Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

TP-Link TL-ER6120 L2TP over IPsec hinter Fritzbox

Frage Netzwerke Router & Routing

Mitglied: gigi300885

gigi300885 (Level 1) - Jetzt verbinden

25.11.2014, aktualisiert 26.11.2014, 4514 Aufrufe, 13 Kommentare

Hallo zusammen,

Ich habe eine Fritzbox 7362 welche die Internetverbindung herstellt(TP-Link Router unterstützt nicht VDSL) und als DECT Basis fungiert.

An der FritzBOX(192.168.5.1/24) ist der TL-ER6120 über den WAN Port (als Static IP konfiguriert 192.168.5.2) angeschlossen. Die FritzBox ist im Internet über DDNS erreichbar.

Der TP-Link stellt sein eigenes Netz (192.168.0.0/24) zur Verfügung und dahin möchte ich eine VPN Verbindung über L2TP Ipsec realisieren.
Bis jetzt ist mir aber leider nur eine PPTP Verbindung gelungen. (Portweiterleitung TCP 1723 an den WAN Anschluss des TP-Link(192.168.5.2))

Folgende Konfigurationen habe ich bereits vorgenommen:
FritzBox Portweiterleitungen an 192.168.5.2(TP-Link Router):

UDP 1701 (L2TP)
UDP 4500 (IPsec)
UDP 500 (IKE)

Auch habe ich es schon probiert alles freizugeben (Exposed Host) aber das hat ebenfalls keine Wirkung gezeigt.

Konfigurationen auf dem TP-Link:
1. IP-Adresspool für L2TP angelegt
2. Als Mode "Server" und Tunnel "Client to LAN" + PSK und Benutzer
3.IPsec in den Generalsettings auf "Enabled" gesetzt.

Vom Intenet aus wenn ich nun über den DDNS Dienst den VPN Router ansprechen will funktioniert der Tunnelaufbau nicht.

Vom Netz der FritzBox aus kann ich den Tunnel wenn ich den TP-Link über die 192.168.5.2 anspreche aufbauen.


Woran kann das liegen? muss ich noch irgendwas an der FritzBox einrichten? VPN Passthrough? Wenn ja wie?
Bin für jede Hilfe dankbar

Gruß gigi



Mitglied: 114757
25.11.2014, aktualisiert um 23:19 Uhr
Moin,
dir fehlt in der Fritte die Weiterleitung des ESP-Protokolls(50). Wichtig: damit ist kein Port gemeint sondern das Protokoll mit der Nummer 50 !

Grundlagen zu IPSec VPNs werden hier ausführlich behandelt:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...

Außerdem kann es eventuell nötig sein das du in Windows eine Einstellung in der Registry setzen musst, wenn du den Windows-eigenen VPN Client benutzt und das VPN einen NAT-Router überwinden muss.

http://www.administrator.de/forum/vpn-verbindung-l2tp-ipsec-246837.html

Gruß jodel32
Bitte warten ..
Mitglied: gigi300885
25.11.2014 um 23:13 Uhr
Ok vielen Dank für die Antwort. und wie stelle ich das an??
Bitte warten ..
Mitglied: 114757
25.11.2014, aktualisiert um 23:17 Uhr
Zitat von gigi300885:
Ok vielen Dank für die Antwort. und wie stelle ich das an??
na genau wie eine Portweiterleitung, anstatt TCP oder UDP wählst du stattdessen als Protokoll ESP aus und leitest dieses an die IP des TP-Link ...
Bitte warten ..
Mitglied: gigi300885
26.11.2014 um 08:12 Uhr
Da hatte ich wohl tomaten auf den augenHab nun beides gemacht. Registry editiert und und esp Forwarding eingestellt. Jedoch kann die Verbindung noch immer nicht hergestellt werden noch eine idee?
Bitte warten ..
Mitglied: 114757
26.11.2014 um 09:10 Uhr
Jedoch kann die Verbindung noch immer nicht hergestellt werden noch eine idee?
Fehlermeldung des Clients ???
Checke die eingestellten Phase 1 und Phase 2 Verschlüsselungsprotokolle für den IPSec-Tunnel sowohl auf dem TP Link als auch in den Firewall-Eigenschaften des Clientrechners. Dann natürlich noch die Firewall des TP-Link, die du am besten für deine Tests erst mal ausschaltest, dort müssen die entsprechenden Ports und Protokolle ebenfalls geöffnet sein.

Ansonsten häng dich mit Wireshark in den Netzwerktraffic, oder zeichne diesen mit der Fritte auf, dann findet sich das Problem ruckzuck

Gruß jodel
Bitte warten ..
Mitglied: aqui
26.11.2014, aktualisiert um 18:35 Uhr
Jedoch kann die Verbindung noch immer nicht hergestellt werdenface-sad noch eine idee?
Ja, das war zu erwarten. Die FB supportet ja selber IPsec VPNs. Folglich "hört" und antwortet sie natürlich selber auf IPsec Pakete und ignoriert das Port Forwarding.
Du musst auf der FB also zuallererst das VPN global deaktivieren, damit sie nicht immer denkt es ist für sie. Erst dann kann sie auch die L2TP Pakete an den TP-Link forwarden !
Grundlagen dazu findest du auch hier:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Bitte warten ..
Mitglied: 114757
26.11.2014, aktualisiert um 18:47 Uhr
Zitat von aqui:

> Jedoch kann die Verbindung noch immer nicht hergestellt werdenface-sad noch eine idee?
Ja, das war zu erwarten. Die FB supportet ja selber IPsec VPNs. Folglich "hört" und antwortet sie natürlich
selber auf IPsec Pakete und ignoriert das Port Forwarding.
Du musst auf der FB also zuallererst das VPN global deaktivieren, damit sie nicht immer denkt es ist für sie.
Wenn in der Fritte die VPN-Ports sowie das Protokoll weitergeleitet werden deaktiviert die Fritte Ihr eigenes VPN von selbst bzw. man sollte natürlich sicherstellen das keine VPN-Profile auf der Fritte aktiviert sind.

Gruß jodel32
Bitte warten ..
Mitglied: aqui
26.11.2014, aktualisiert um 19:36 Uhr
Das lässt sich mit einem Wireshark Sniffer ja dann auch in Sekundenschnelle verifizieren ob diese 3 Protokolle von der FB dann an ihr LAN Interface und damit an den WAN Port des kaskadierten TP-Links weitergeleitet werden !
http://avm.de/nc/service/fritzbox/fritzbox-7390/wissensdatenbank/public ...
Passthrough bedeutet aber das es schon eine outbound VPN Verbindung geben muss ! Das ist bei dir aber NICHT der Fall da der VPN Aufbau inbound durchgereicht werden muss von der FB.
Fraglich ob dafür einfachs Port Forwarding reicht die eigenen IPsec Funktion damit zu deaktivieren.... Versuch macht bekanntlch klug und der Wireshark zeigt dir schnell ob das Forwarding auf der FB wirklich klappt !
Bitte warten ..
Mitglied: gigi300885
26.11.2014, aktualisiert um 22:28 Uhr
Es erscheint folgende Fehlermeldung mit Windows Boardmitteln:
"Fehler789: Verbindungsversuch fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist."

Habe nun mit der Fritzbox den Eth0 Port aufgezeichnet(Port an dem der TP-Link hängt)
Jedoch kann ich nicht allzuviel mit dem Ergebnis anfangen....
Ich habe es nach der IP sortiert mit der ich versuche in das LAN rein zu kommen. (Einmal als Quelle und einmal als Ziel)

Quelle
eeadc8aa1468ddef58eaaa05f8b8a600 - Klicke auf das Bild, um es zu vergrößern

Ziel
0e317c0a702a4cede2f1933bfebe5873 - Klicke auf das Bild, um es zu vergrößern

Das einzige was mir aufgefallen ist. ESP rein aber nicht raus....
Bitte warten ..
Mitglied: 114757
27.11.2014, aktualisiert um 10:19 Uhr
Fraglich ob dafür einfachs Port Forwarding reicht die eigenen IPsec Funktion damit zu deaktivieren....
geht problemlos, würde ich ja nicht behaupten wenn ich's hier nicht laufen hätte

Es erscheint folgende Fehlermeldung mit Windows Boardmitteln:
"Fehler789: Verbindungsversuch fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist."
Wie vermutet ein Problem beim IKE Austausch (Phase 1).
Laut deinem Log kommen die Pakete durch. Dann wirst du die, wie schon angemerkt, eingestellten Verschlüsselungsarten auf TP-LInk und Clientseitig in der Firewall (IPSec Einstellungen) abgleichen müssen. Wenn hier was nicht passt, kommt keine Verbindung zustande weil sich die Gegenstellen auf keinen gemeinsames Protokoll einigen können.

http://www.windowsecurity.com/articles-tutorials/firewalls_and_VPN/Wind ...

Und die Firewall auf dem TP-Link bitte erst mal ausmachen ...

Steht aber auch alles in Aquis Tutorial was oben verlinkt ist.

Gruß jodel32
Bitte warten ..
Mitglied: aqui
27.11.2014 um 21:01 Uhr
WO ist der erste Sniffer Trace gezogen worden ?? Am Client ??
Ist das der Fall machst du vermutlich einen gehörigen Denkfehler !

Als Absender ist dort die 89.x.x.x und als Ziel die 192.168.5.2. Ist der Client in einem öffentlichen Netz (UMTS etc.) kann man als Ziel niemals eine private 192er RFC 1918 IP Adresse angeben !!
Diese IP Adressen werden im Internet nicht geroutet und schmeisst der Provider sofort weg:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Jedr netzwerker weiss das.
Für den Client ist immer die öffentliche IP Adresse deine Fritzbox das Ziel !!
Logisch, denn die IP ist ja weltweit erreichbar und dir Fritzbox "sieht" dann diese Pakete die an ihrer IP Adresse ankommen und forwardet sie dann gemäss der Regel an den Port im lokalen Netzwerk.
Idealerweise konfiguriert man eine DynDNS Adresse an der FB wenn man hier wechselnde IP Adressen am WAN / Internet Port der FB hat um zu einem festen Hostnamen den man im Client dann angeben kann immer die richtige Ziel IP zu erreichen.
Normal wechseln die IPs durch die tägliche Zwangstrennung der Provider.

Welche aktuelle Ziel IP du auf deiner FB hast kannst du sehen wenn du aus dem netz an der FB mal mit deinem Browser auf die Adresse http://www.wieistmeineip.de surfst. Alternativ geht auch http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

DAS ist das richtige Ziel für den Client.
Das Ergebnis kannst du auch sehen, denn die ESP Pakete des Clients müssten analog so auch am Ziel ankommen und wie du sihest ist da rein gar nichts... Klar duchr die oben geschilderte Problematik deiner völlig falschen Ziel IP am VPN Client !!
Bitte warten ..
Mitglied: gigi300885
27.11.2014, aktualisiert um 22:12 Uhr
Ist nicht am client aufgezeichnet. Sondern auch von der fritzbox. Die fb habe ich natürlich uber ddns angesprochen. Die private ip ist der tplink router wohin die fb die anfragen weiterleitet. Der soll dann die vpn verbindung aufbauen. Ich glaub ich werd das unterfangen erst mal auf eis legen. Aber vielen lieben dank an euch
Bitte warten ..
Mitglied: aqui
28.11.2014 um 19:25 Uhr
OK, dann nehm ich alles zurück und behaupte das Gegenteil...
Das sieht dann aber gut aus und es werkelt wie es soll. ISAKMP (IKE) und ESP werden ja sauber auf den TP-Link geforwardet !!
Alles gut also....
Was sagt den das Syslog beim TP-Link bei eingehender IPsec Verbindung ??
Warum auf Eis legen ?? Das bekommt man ganz sicher zum Fliegen.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Netzwerke
VPN DHCP IPSec im Vergleich zu L2TP over IPSec (1)

Frage von TomJones zum Thema Netzwerke ...

Netzwerke
Sophos L2TP over IPSec Nutzer

Frage von Dome1988 zum Thema Netzwerke ...

Router & Routing
gelöst TP-Link TL-WR1043ND Ver. 3.0 bricked reparieren (3)

Frage von RobinSCR zum Thema Router & Routing ...

LAN, WAN, Wireless
TP Link tl wr702n - IGMP deaktivieren (4)

Frage von Axel90 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (14)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...