Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Routing und RAS IP-Sec Verbindung zu bzw. von einer Fritz!Box

Frage Netzwerke Netzwerkprotokolle

Mitglied: zeroblue2005

zeroblue2005 (Level 2) - Jetzt verbinden

04.11.2011, aktualisiert 18.10.2012, 6677 Aufrufe, 10 Kommentare

Hallo Zusammen,

ich hoffe ich bin in diesem Bereich richtig!

Ich bin heute auf die Idee gekommen, eine Fritz!Box 7170 über das interne Tool via VPN IP-Sec ohne Zertifikat an einem Server mit Routing und RAS Server 2003 (VPN-Gateway) anzubinden. Es geht mir dabei um ein Lan zu Lan Zenario! Der Kunde kommt einfach nicht klar mit den ständigen Einwählen wenn er das und jenes machen will! Also dachte ich mir, Er hat ne Fritz!Box 7170. OK so weit so gut!

Von einer Fritz!Box zu Fritz!Box ist ja auch Kinderk.....

Aber wie mache ich das den von einer Fritz!Box zu einem Windows-2008R2? Bzw. jetzt im Test zu einem 2003 SP II mit Routing und RAS ohne Zertifikate als PSK!

Was ich schon mal rausgefunden habe ist, dass ich den Servern erst mal das laufen beibringen muss! Hier muss ich wohl folgendes ändern:

2003
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

2008
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Server Neustart und dann klappt das wohl mit IP-Sec

Jetzt habe ich die Konfigdatei Script, was muss ich da ändern, damit die Verbindung klappt?:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "server.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "server.de";
localid {
fqdn = "kunde.de";
}
remoteid {
fqdn = "server.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "password";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.2.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

Ich meine, wenn ich zu kopliziert bin, dann bin ich mit jeden anderen Weg einverstanden, solange es ein Weg gibt, dass ich der Fritz!Box und dem Server klar mache, dass die Quatschen

Danke für euere Hilfe!
Mitglied: aqui
04.11.2011 um 18:04 Uhr
Wenn der Server wirklich natives IPsec spricht (das benötigt die FB !) also kein L2TP (das kann die FB nicht !) dann stellt sich die Frage WIE der Server am Internet hängt. Leider keinerlei Infos dazu von dir so das wir raten müssen
Wenn ein NAT Router dazwischen ist musst du IPsec forwarden dort. Auch wenn der Server direkt am Internet hängt (was wir alle hier mal nicht hoffen...) dann muss die interne Firewall das zulassen.
Erst wenn diese Voraussetzungen wirklich gegeben sind kann man weitermachen.
Einfacher ist es aber 2 FBs zu nutzen oder einen VPN Router zu nehmen der PPTP versteht (Draytek z.B.) dann sind es 3 Mausklicks auf dem Server und dem Router und der Tunnel steht.
Bitte warten ..
Mitglied: zeroblue2005
04.11.2011 um 18:14 Uhr
Sorry ich hatte das vergessen, Der Server steht im Rechenzetrum mit fester IP! Ports sind und müssen Weitergeleitet werden! Reicht das?
Bitte warten ..
Mitglied: aqui
04.11.2011 um 18:35 Uhr
Feste IP ? Was für eine, öffentlich oder RFC 1918 (Private IP). Ist ein NAT Router dazwischen ?
Wenn dem so ist musst du erstmal UDP 500, UDP 4500 und das ESP Protokoll (IP Nummer 50) auf die Server IP forwarden, sonst geht gar nix !
Bist du wirklich sicher das der Server native IPsec kann ?? Normalerweise kann ein Winblows Server das von Haus aus nicht und benötigt einen Client wie z.. den Shrew Client http://www.shrew.net/
Bitte warten ..
Mitglied: zeroblue2005
05.11.2011 um 10:05 Uhr
Also ob öffentliche oder RFC ist ne gute Frage? Die IP beginnt mit: 81.16. usw. und Sub ist: 255.255.255.192 also gehe ich mal davon aus, dass diese eine RFC ist oder? Diese ist auf jeden Fall hinter einer Firewall des Rechenzetrum. Aber lassen wir doch einfach mal die Anbindung weg, da es dabei ja nur um die Ports geht! Das ist mein kleinstes Problem!

Die Frage nach den 2 FB war ja auch mein Gedankengang und daher hatte ich den Jungs im Rechenzetrum gesagt, ich schicke euch ne FB 7390 und die Klemmen wir zwischen den Server und Switch, dann verpasse ich der FB die Adresse des Server und sage Internet über LAN1 uns gut ist! Pustekuchen, sobald die Einstellung getätigt wird, steht NAT und auch VPN nicht mehr zur verfügung! Daher ja mein neuer Gedankengang, dem Server als VPN-Gateway zu benutzen.

Wenn es ein Tool gibt, dass ich auf dem Server installieren kann, damit dieser Natives IP-Sec versteht, dann her damit!

Die Sache mit dem VPN-Router via PPTP ist nicht so dolle! Da ich hier die Sache im Forum verinfacht habe, es handelt sich um 30 Standorte, die angebunden werden müssen und alle haben min. eine FB 7170 Wie soll ich denen jetzt klarmachen, dass die alle neue Router brauchen?

Ich meine auch mal gehört zu haben, dass die FB eigentlich schon vorher von Hause aus VPN konnten auch ohne das im Webinterface bereitgestellte tool!

Bleibt also die Frage, was tun. Wie bekommen wir 2008R2 dazu als VPN Gateway zu fungieren mit nativen IP-Sec!

Wenn einer weis wie ich die FB 7390 dazu bekomme trotzdem als VPN-Gateway zu fungieren, dann immer her mit den Ideen

Danke und schönes Wochenende

PS: Anmerkung zu "Bist du wirklich sicher das der Server native IPsec kann ?? Normalerweise kann ein Winblows Server das von Haus aus nicht und benötigt einen Client wie z.. den Shrew Client http://www.shrew.net/;
Das Teil kommt mir ja bekannt vor, sieht so aus als wenn AVM davon einen Clone hat! Mir geht es ja nicht darum nur eine IP-Sec Verbindung aufzubauen (Client zu Client) dann kann ich ja auch bei PPTP von MS bleiben! Mir geht es um eine Verbindung von:

Standort A (Fritz!Box baut VPN auf) <<<<>>>>>Server
Bitte warten ..
Mitglied: aqui
05.11.2011, aktualisiert 18.10.2012
.. ."Also ob öffentliche oder RFC ist ne gute Frage? "
Dazu solltest du dir das hier mal durchlesen:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Denek mal das du dir die Frage dann wohl selber beantworten kannst....?!
Wenns an solchen simplen Grundlagen im IP Wissen schon scheitert sieht der weitere Weg steinig aus...

"...und die Klemmen wir zwischen den Server und Switch, dann verpasse ich der FB die Adresse des Server und sage Internet über LAN1 uns gut ist! "
Eigentlich die richtige Idee und der richtige Weg !!
Vermutlich hast du aber nicht bedacht das das RZ auch nochmal NAT am Switch zum Internet macht du also doppeltes NAT machst.
Niemals wird das RZ ja eine öffentliche Internet IP Adresse am Switch haben.
Klar das dann NAT und VPN tot ist, denn du musst am RZ Eingangsrouter ein VPN Port Forwarding auf deine zugeschickte FB machen logischerweise !!
Ein neuer Gedankenganz ist also vollkommen überflüssig und lässt sich problemlos mit diesem Szenario realisieren. Siehe hier:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...

Klar das der PPTP Vorschlag dann auch nix bringt aber der muss ja auch gar nicht sein !! Mit deiner FB im RZ ist ja alles gut !
So müsste das aussehen dort damit es funktioniert !:

ff9bb990b02acd66111f0fc4f86eee40 - Klicke auf das Bild, um es zu vergrößern

Grundlagen dazu siehe auch hier:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: zeroblue2005
06.11.2011 um 14:04 Uhr
Mein lieber Aqui,

jetzt fühle ich mich ein wenig vera... von dir! Ich wusste ja das Aroganz in unserem Bereich weit verbreitet ist, aber bevor du Sprüch wie:..Basiswissen und steiniger Weg benutzt, solltest du vieleicht mal meine Antworten genau lesen!!

Nur weil ich auf das Thema Öffentliche IP u. Interne IP nicht weiter eingehe, weil es nicht mein Problem ist, heisst es nicht das ich die Funktionweise einer NAT nicht verstehe. Fakt ist, dass es schei... egal ist, weil es hier in diesem Beitrag nicht das Problem ist und mich dann auch noch auf die Daus-Seite von AVM zu schicken! Also ehrlich....

So jetzt noch mal zu Thema: Der Aufbau den du beschreibst, ist genau der, den ich schon vor Wochen geplannt hatte! Die FB benutzt LAN 1 als WAN Eingang, jedoch ist in diesem Moment VPN nd NAT aus und lässt sich nicht mehr konfigurieren!

Die FB ist dann nur ein ganz einfach AC-Point und Switch mehr auch nicht! Und deshalb klappt das Zenario nicht!

Ich habe schon ganz andere Sachen gebaut, wie FB VPN zu einem IP-Cop usw. so lange es von der FB zu einer Linux Kiste läuft geht das auch alles nur zu Win ist das halt schwierig!

Ich möchte eine Lan zu Lan Zenario bauen. Aber ich glaube, ich habe eine Idee! FB kann kein PPTP und Win keine natives IP-Sec. Aber ich habe hier von meinem Händler noch ein paar ganz einfache Router und so viel ich weis, können die von Haus aus eine PPTP aufbauen. Wenn ich die an den Standorten hitder der FB bauen und ihn den WAN der FB gebe, dann sollte eigentlich autom. eine LAN to Lan VPN endstehen, ich muss nartüchlich die Rechner in den Switch des VPN PPTP Routers stecken.

Werde ich Morgen mal ausprobieren!
Bitte warten ..
Mitglied: aqui
06.11.2011 um 21:18 Uhr
Nur die FB am LAN 1 Port anzuschliessen klappt natürlich niemals. Und NAT kann man an der FB nicht ausschalten...jedenfalls nicht mit der AVM Firmware.
Du musst den normalen WAN/DSL Port ans RZ LAN anbringen und am LAN 1 Port deinen Server.
Nur so geht es aber das weisst du ja schon längst alles. Wozu malt man es also alles noch auf... ?!
Mit dem PPTP Router und der Kaskadierung geht's natürlich auch. Wäre aber eine unsinnige Materialschlacht mit zusätzlichen Fehlerquellen weil man es wie in der o.a. Skizze ja auch ganz einfach haben kann....aber sorry hatte vergessen das du das ja alles schon weisst... !
Bitte warten ..
Mitglied: zeroblue2005
07.11.2011 um 07:38 Uhr
Hi Aqui,

jetzt komm mal wieder runter Na klar weis ich nicht alles, sonst wäre ich ja nicht oder? Und wenn ich Mist baue bin ich auch in der Lage mich zu endschuldigen!

Du hast Recht die Sache mit dem zweiten kaskadierenden Router ist Mist und auch mit NAT hast du Recht! ich meinte die Konfig. Möglichkeit und VPN ist dann ausgeschaltet, wenn über LAN 1

Ich weiß jetzt auch wo mein Problem liegt und warum ich gedacht habe du willst mich vera... und du wiederum gedacht hast, ist der doof oder was! Pass auf jetzt kommt es:

Ich habe hier eine FB 7390 und die hat ein Branding UI !!!! Wenn ich da auf Interneteinstellungen gehe, habe ich garnicht die Möglichkeit auf Routerbetrieb über WAN und RFC Betrieb umzustellen! Die ist einfach nicht vorhanden, wurde wohl von 1und1 rausgenommen! Super was As ich dann in meinem Netzwerk mal meine Oberfläche aufgemacht habe (Auch eine FB 7390) dann sah ich da, Betrieb Router mit RFC! Da lag also das Problem!

Fazit: Den Router den Ich vorgesehen habe, taugt also nichts!

Nun stelle ich mir folgende Frage: Ich hatte die FB 7390 gekauft, weil ich dachte, die CPU hat genug Leistung um ca. 15-30 gleichzeitige Verbindungen aufrecht zu erhalten! Auch wenn AVM sagt wir unterstützen nur 8 Verbindungen, aber bei einer Nachfrage sagten die mir, dass auch ohne Probleme mehr möglich ist.

Was meinst du, würde es auch eine 7170 oder 7270 schaffen? Davon habe ich nämlich noch genug hier! Ich will nicht schon wieder 200 € in den Sand setzen

Danke
Bitte warten ..
Mitglied: goscho
07.11.2011 um 12:13 Uhr
Zitat von zeroblue2005:
Hi Aqui,
Fazit: Den Router den Ich vorgesehen habe, taugt also nichts!

Nun stelle ich mir folgende Frage: Ich hatte die FB 7390 gekauft, weil ich dachte, die CPU hat genug Leistung um ca. 15-30
gleichzeitige Verbindungen aufrecht zu erhalten! Auch wenn AVM sagt wir unterstützen nur 8 Verbindungen, aber bei einer
Nachfrage sagten die mir, dass auch ohne Probleme mehr möglich ist.
Wenn dir schon der Hersteller sagt, dass eine FB dafür ungeeignet ist, warum glaubst du dass dann nicht?

Und ich kann dir aus Erfahrung sagen, dass diverse AVM-Boxen (7170/7270) auch schon bei weniger als 5 VPN-Verbindungen Hänger verursachen können.
Wenn du dann noch die Funktion zum Anlegen der VPN-Konfiguration bedenkst, solltest du für dein Vorhaben die Finger von AVM-Geräten lassen.
Was meinst du, würde es auch eine 7170 oder 7270 schaffen? Davon habe ich nämlich noch genug hier! Ich will nicht schon
wieder 200 € in den Sand setzen
Ne, das Geld ist nicht in den Sand gesetzt. Man kann solche Boxen auch gut weiterverkaufen (zumindest die 7390 oder 7270).

Mein Tipp:
Kauf dir einen passenden VPN-Router eines Herstellers für Businesslösungen, der dir 15-30 gleichzeitige IPSEC-VPN-Tunnel supported.

BTW: Warum kaufst du die TK-Anlagen/DSL-Router/Home-Server von AVM, wenn du doch nur 'nen Router + VPN brauchst?
Bitte warten ..
Mitglied: zeroblue2005
07.11.2011 um 12:24 Uhr
Ne ne AVM sagt nicht ungeignet, nur die sagen sich wir unterstützen nur 8 Verbindungen. Bei einer Nachfrage bei AVM sagten die mir aber auch dass diese auch schon 20 Verbindungen und mehr hatten! Die 8 Unterstützen die daher nur wegen der DSl Bandbreite! Daher sagte mir der Mitarbeiter dass es im Rechenzetrum kein Thema ist!

Ich denke, du hast Recht! Danke!!!
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Fritz!Box 6490 Cable source IP based routing (8)

Frage von ketanest112 zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
Langsame Verbindung zu FRITZ!Box (1)

Frage von eQuest zum Thema LAN, WAN, Wireless ...

TK-Netze & Geräte
Panasonic KX-TG6811 an Fritz Box 7490 (21)

Frage von bytetix zum Thema TK-Netze & Geräte ...

Router & Routing
IP Sec VPN 2 x Digitalsierungsbox (3)

Frage von Finnbiss zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...