5
Problem mit einem VPN Testaufbau
Hallo Leute,
ich habe ein kleines Problem mit meinem VPN Testaufbau.
Am 1. Standort steht ein Bintec Router wo alle Ports auf einem LAN Port offen sind, an diesen LAN Port ist ein D-Link 804HV VPN Router angeschlossen.
Am 2. Standort ist eine Fritz!Box 7490 wo alle Ports auf einem LAN Port offen sind, an diesen LAN Port ist auch ein D-Link 804HV VPN Router angeschlossen.
Leider hat die VPN Verbindung so nicht geklappt, daher mach ich gerade ein Testaufbau an zwei Anschlüssen. Am 1. Anschluss ist eine Fritz!Box 6360 und am 2. eine Fritz!Box 7360. Bei beiden Fritzboxen sind alle Ports für die WAN Port Adresse des jeweiligen D-Link Routers dahinter frei gegeben.
Am 1. Standort wo der Bintec steht kann ich leider nichts am Aufbau ändern da die EDV Firma über den Bintec keine VPN Verbindung machen möchte. Am 2. Standort könnte man was am Aufbau verändern.
Bei meinem Testaufbau habe ich in beiden D-Link Routern die jeweilige Öffentliche IP Adresse des anderen Anschlusses eingetragen, also ohne DDNS Account.
Mein Problem ist das sich die beiden D-link Router nicht finden.
Der LOG in den D-Link Routern sehen auf beiden Seiten gleich aus:
Thursday July 14, 2016 10:17:02 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:07 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:17 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:27 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:47 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:48 IKE phase1 (ISAKMP SA) remove : 192.168.178.28 <-> 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:48 Send IKE A1(AINIT) : 192.168.178.28 --> 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:53 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:58 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:18:08 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:18:18 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:18:38 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:18:39 IKE phase1 (ISAKMP SA) remove : 192.168.178.28 <-> 37.xxx.xxx.xxx
Thursday July 14, 2016 10:18:39 Send IKE A1(AINIT) : 192.168.178.28 --> 37.xxx.xxx.xxx
die 192.168.178.28 ist die WAN Port Adresse des D-Link Routers. 37.xxx.xxx.xxx ist die öffentliche IP des anderen Anschlusses.
ich habe ein kleines Problem mit meinem VPN Testaufbau.
Am 1. Standort steht ein Bintec Router wo alle Ports auf einem LAN Port offen sind, an diesen LAN Port ist ein D-Link 804HV VPN Router angeschlossen.
Am 2. Standort ist eine Fritz!Box 7490 wo alle Ports auf einem LAN Port offen sind, an diesen LAN Port ist auch ein D-Link 804HV VPN Router angeschlossen.
Leider hat die VPN Verbindung so nicht geklappt, daher mach ich gerade ein Testaufbau an zwei Anschlüssen. Am 1. Anschluss ist eine Fritz!Box 6360 und am 2. eine Fritz!Box 7360. Bei beiden Fritzboxen sind alle Ports für die WAN Port Adresse des jeweiligen D-Link Routers dahinter frei gegeben.
Am 1. Standort wo der Bintec steht kann ich leider nichts am Aufbau ändern da die EDV Firma über den Bintec keine VPN Verbindung machen möchte. Am 2. Standort könnte man was am Aufbau verändern.
Bei meinem Testaufbau habe ich in beiden D-Link Routern die jeweilige Öffentliche IP Adresse des anderen Anschlusses eingetragen, also ohne DDNS Account.
Mein Problem ist das sich die beiden D-link Router nicht finden.
Der LOG in den D-Link Routern sehen auf beiden Seiten gleich aus:
Thursday July 14, 2016 10:17:02 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:07 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:17 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:27 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:47 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:48 IKE phase1 (ISAKMP SA) remove : 192.168.178.28 <-> 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:48 Send IKE A1(AINIT) : 192.168.178.28 --> 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:53 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:17:58 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:18:08 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:18:18 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:18:38 IKED re-TX : AINIT to 37.xxx.xxx.xxx
Thursday July 14, 2016 10:18:39 IKE phase1 (ISAKMP SA) remove : 192.168.178.28 <-> 37.xxx.xxx.xxx
Thursday July 14, 2016 10:18:39 Send IKE A1(AINIT) : 192.168.178.28 --> 37.xxx.xxx.xxx
die 192.168.178.28 ist die WAN Port Adresse des D-Link Routers. 37.xxx.xxx.xxx ist die öffentliche IP des anderen Anschlusses.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 305699
Url: https://administrator.de/contentid/305699
Printed on: April 25, 2024 at 12:04 o'clock
5 Comments
Latest comment
Hallo,
wichtigste Frage vorweg: Was für ein VPN Protokoll möchtest du verwenden?
Reines IPSec oder L2TP over IPSec?
Die Fritzbox könnte selbst VPN und schluckt deshalb wahrscheinlich alle VPN Pakete bevor die überhaupt an den dahinterliegenden VPN Server gelangen.
Hast du auf der Fritzbox mal alle VPN Profile gelöscht?
Gruß
wichtigste Frage vorweg: Was für ein VPN Protokoll möchtest du verwenden?
Reines IPSec oder L2TP over IPSec?
Die Fritzbox könnte selbst VPN und schluckt deshalb wahrscheinlich alle VPN Pakete bevor die überhaupt an den dahinterliegenden VPN Server gelangen.
Hast du auf der Fritzbox mal alle VPN Profile gelöscht?
Gruß
Vielleicht hilft dieses Testaufbau Beispiel etwas:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Der Bintec supportet vermutlich nur IPsec, richtig ?
Der Logauszug bestätigt das auch, denn "IKE" ist das Key Exchange Protocoll von IPsec. Daran scheitert die Phase 1 schon.
Ursache dafür ist meist ein fehlendes oder falsche Port Forwarding für IPsec VPN Router bzw. ein Blocking einer Firewall (hier Standort 1 !) der 3 IPsec Protokoll Komponenten UDP 500, UDP 4500 und ESP Protokoll (IP Nummer 50).
Ansonsten hat der Kollege michi1983 Recht, ohne diese Information raten wir hier nur im freien Fall rum
Weitere Infos dazu auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Der Bintec supportet vermutlich nur IPsec, richtig ?
Der Logauszug bestätigt das auch, denn "IKE" ist das Key Exchange Protocoll von IPsec. Daran scheitert die Phase 1 schon.
Ursache dafür ist meist ein fehlendes oder falsche Port Forwarding für IPsec VPN Router bzw. ein Blocking einer Firewall (hier Standort 1 !) der 3 IPsec Protokoll Komponenten UDP 500, UDP 4500 und ESP Protokoll (IP Nummer 50).
Ansonsten hat der Kollege michi1983 Recht, ohne diese Information raten wir hier nur im freien Fall rum
Weitere Infos dazu auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Hallo,
Gruß,
Peter
Zitat von @c-o-o-p-e-r92:
Am 1. Standort wo der Bintec steht kann ich leider nichts am Aufbau ändern da die EDV Firma über den Bintec keine VPN Verbindung machen möchte.
Lassen die es grundsätzlich nicht zu d.h. die sperren alles was VPN sein kann oder soll es nur bedeuten das der Bintec selbst kein VPN Server sein darf, Ports und Protokolle dafür werden aber zu deinen D-Link korrekt weitergegeben?Am 1. Standort wo der Bintec steht kann ich leider nichts am Aufbau ändern da die EDV Firma über den Bintec keine VPN Verbindung machen möchte.
Gruß,
Peter
Versuche doch zuerst mal folgendes:
- Stelle sicher, dass Du hinter jedem dieser D-Link Router in Deinem Aufbau Internet hast.
- Du wirst nicht drum herum kommen, gewisse Ports und Protokolle auf die DLINK Router zu mappen. Dementsprechend sind Veränderungen am Bintec und der Fritzbox notwendig. Es reicht nicht, dass die Ports offen sind, sie müssen weitergeleitet werden.
Genau da an Standort 1 und dem Bintec wird es auch mit großer Wahrscheinlichkeit liegen das der kein IPsec vollständig weiterreicht.
Dort müsste man das Port Forwarding mal mit einem Wireshark checken oder dessen Konfig diesbezüglich checken.
Das der Bintec das technisch kann steht sicherlich außer Frage, denn der Router ist ja bekanntlich nun kein billiger Baumarkt Router.
Wie immer vermutlich eine fehlerhafte Konfig... ?!
Dort müsste man das Port Forwarding mal mit einem Wireshark checken oder dessen Konfig diesbezüglich checken.
Das der Bintec das technisch kann steht sicherlich außer Frage, denn der Router ist ja bekanntlich nun kein billiger Baumarkt Router.
Wie immer vermutlich eine fehlerhafte Konfig... ?!
