Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN mit ASUS RT-N56U Router nicht möglich?

Frage Netzwerke Router & Routing

Mitglied: kwame501

kwame501 (Level 1) - Jetzt verbinden

30.07.2011, aktualisiert 18.10.2012, 19564 Aufrufe, 15 Kommentare

Obwohl man eine VPN-Verbindung aufbauen kann, sind Clients und Dienste nicht verwendbar

Wir verwenden ein Netzwerk mit einem SBS2003 Server. Der neue Router ASUS RT-N56U ist für das Internet und DHCP im Einsatz. Um unser Netzwerk von Aussen zu erreichen, nutzen wir den DynDNS-Service, um es per VPN zu erreichen. Wir haben nun das Problem, dass wir zwar eine VPN-Verbindung von Aussen aufbauen können, aber die Clients z. B. per Remote Desktop nicht erreichbar sind. Auch die Verbindung zu Exchange mit Outlook funktioniert wird.

Komisch ist, dass wir den Server per Remote Desktop erreichen können, aber die Clients nicht. Um auszuschliessen, dass es nicht an unserem Netzwerk liegt, haben wir wieder die AVM Fritz!Box 7270 wieder angeschlossen, und siehe da, es funktioniert alles einwandfrei. Nach mehreren Mails an den ASUS Support hiess es letztendlich, dass es nur an unserem Netzwerk liegen kann, da wenn die VPN-Verbindung doch aufgebaut wird, der Router mit diesem Problem aussen vor sei. Auch die Erklärung, dass andere Router diese Probleme nicht haben, brachte bisher keine Lösung.

Was könnte ich noch testen? Weiss jemand, woran das sonst liegen könnte?

Gruß

Hüseyin
Mitglied: aqui
30.07.2011, aktualisiert 18.10.2012
Leider ist deine Beschreibung wie so oft hier recht oberflächlich und wir wissen nicht wie du dein VPN aufgebaut hast (Terminierung auf dem Router wie der FritzBox oder Server) bzw. welches VPN Protokoll (L2TP, IPsec, PPTP, SSL usw.) du verwendet hast.
So hilft uns nur die berühmte Kristallkugel und Raten im freien Fall was eine sinnvolle Hilfestellung für dich nicht wirklich einfach macht.
Raten wir also mal und nehmen ein simples VPN Standard Szeanrio an indem du das VPN nicht auf dem Router terminierst sondern auf dem 2003er Server und als VPN Protokoll den Klassiker PPTP verwendest.
Dazu musst du mehrere zwingend Vorgaben beachten:
  • PPTP muss auf dem Asus Router per Port Weiterleitung (Forwarding) an die lokale IP Adresse des Server geforwardet werden. PPTP besteht dabei immer aus 2 Protokollen nämlich einmal TCP 1723 und dem GRE Protokoll mit der eigenen IP Protokoll Nummer 47 (nicht UDP oder TCP 47 !!). Wie man das einstellt siehe hier: http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ... ! Das musst du zwingend so auch am ASUS eintragen !
  • Bedenke das Clients als Default Router immer den Internet Router im LAN eingetragen haben ! Wenn du nun bei dir den VPN Tunnel auf den Server ziehst, dann ist der Server als quasi der Router für das remote VPN Netz. Willst du nun von remote auf andere Geräte im Netz als den Server zugreifen klappt das erstmal problemlos. Antwortpakete aus dem remoten VPN Netz schicken diese Geräte aber nun an ihr default Gateway und das ist der ASUS Router. Der forwardet das dann ins Internet wo diese Pakete dann im Nirwana verschwinden...genau das also was du siehst ! Du musst also zwingend im ASUS enen statische Route auf das remote IP Netz eintragen mit dem 2003er Server als next Hop Gateway. Dann wird auch dein VPN mit der Asus Gurke problemlos laufen.
P.S.: Nutzt du als VPN Protokoll L2TP musst du UDP 500, UDP 4500, TCP 1701 und das ESP Protokoll mit der IP Protokoll Nummer 50 (nicht UDP oder TCP 50 !!) forwarden im Router statt der o.a. angegebenen PPTP Ports.
Besser ist es immer das VPN direkt auf dem Router zu terminieren, wie man das mit der FB ja machen kann und zig anderen VPN Routern wie Draytek usw.
Warum du auch von einer FB auf ein Router Billigstprodukt am untersten Ende gewechselt bist und dir damit selber diese Probleme eingebrockt hast ist ebenso rätselhaft. Vermutlich waren die letzten 10 Euro im Blödmarkt wieder mal zuviel oder Unkenntniss ?!
Bitte warten ..
Mitglied: Niklaus
30.07.2011 um 14:22 Uhr
Versuch mal aussen einen Client zu verwenden, der mittels WIFI verbunden ist.

Hast Du die neueste Firmware auf dem Router?: http://ch.asus.com/de/Networks/WiFi_Networking/RTN56U/#download

Hier wird dieses Problem ebenfalls geschildert: http://www.dslreports.com/forum/r25566245-VPN-only-works-with-WIRELESS- ...

Gruss

Niklaus
Bitte warten ..
Mitglied: Niklaus
30.07.2011 um 14:58 Uhr
Sorry, aqui, ich bin heute das erste Mal hier, aber Du solltest Dich im Ton ein wenig zurück halten. Niklaus.
Bitte warten ..
Mitglied: aqui
30.07.2011 um 15:42 Uhr
@Nikolaus
Was bitte ist an dem "Ton" nicht zurückhaltend...sorry aber der Einwand ist unverständlich ? Gerade wenn man neu hier ist...
Bitte warten ..
Mitglied: Niklaus
30.07.2011 um 19:10 Uhr
@aqui: Ich kann es nicht glauben, dass Du nicht verstehst, was ich meine, aber o.k. ich nehm es zur Kenntnis: „berühmte Kristallkugel“, Vorwurf des Wechsel auf ein „Billigstprodukt am untersten Ende“ (dieses Produkt hat beste Kritiken), „Probleme selber eingebrockt“, „Blödmarkt“ und jetzt auch noch, dass Neulinge bitte schön die Klappe halten sollen. Klingt alles, nochmals sorry, sehr überheblich.
Bitte warten ..
Mitglied: kwame501
09.08.2011 um 00:01 Uhr
Hallo aqui,

danke für deine Antwort, die tatsächlich etwas arrogant wirkt, auch wenn deine Einwände teilweise gerechtfertigt sind. Wie dem auch sei... Also, da ich ja kein Superprofi bin, konnte ich leider nicht viel mehr Informationen mitteilen. Unten sieht man die Portweiterleitungen, die im ASUS Router bereits eingerichtet waren. Diese wurden 1:1 vom AVM Router übernommen. Ich muss noch dazu sagen, dass es nicht an diesem "Biligstprodukt" liegen kann. Denn der AVM Router war nur einer von insgesamt 3 Routern, bei dem VPN vorher einwandfrei funktioniert hat. Und darunter waren ganz einfache Home-Router von z. B. Netgear dabei. Warum wir nun diesen ASUS Router im Einsatz haben, liegt daran, dass dieser vom Preis-/Leistungsverhältnis eine sehr gute Kritik hat und die 64 MBit/s Unitymedia-Leitung bei vielen anderen Routern nicht annähernd erreicht wurden. Falls du einen bezahlbaren (100-150 EUR) Gigabit-Router empfehlen kannst, der die 64 MBit/s ohne Abstriche schafft und VPN problemlos unterstützt, bin ich für deine Tipps sicher dankbar.

ServicenamePortbereichLokale IPLokaler PortProtokoll
HTTP Server 80 192.168.0.10 80 TCP
FTP Server 21 192.168.0.10 21 TCP
HTTPS-TCP 443 192.168.0.10 443 TCP
HTTPS-UDP443192.168.0.10443UDP
L2TP1701192.168.0.101701UDP
PPTP1723192.168.0.101723TCP
POP3 Server110192.168.0.10110TCP
DNS Server53192.168.0.1053UDP
SMTP Server 25192.168.0.1025TCP
TELNET Server23192.168.0.1023TCP
TELNET UDP23192.168.0.1023UDP
MS RDP 3389192.168.0.103389TCP

Das GRE Protokoll konnte ich so nicht einrichten. Es sind lediglich die Protokolle TCP, UDP, BOTH und OTHER wählbar.

ASUS schreibt mir zuletzt folgendes:
...
wenn Ihr Server auf die Gegebenheiten des AVM Routers konfiguriert ist, ist klar das es funktioniert, das bezweifelt ja auch keiner.

Eine VPN Verbindung ist eine durch den Router getunnelte Verbindung - die ja nach Ihren Angaben ( wie auch bei unseren Tests) zu einem Server hinter dem Router besteht. Diese Verbindung kann nicht vom Router beeinflusst werden. Sobald diese Verbindung besteht laufen alle Pakete direkt zum Server der dann die Verbindungen zu den Clienten aufbaut (sofern er richtig konfiguriert ist ).

Da Fritzboxen standardmässig ein anderes Subnet benutzen gehen wir davon aus das Ihr Problem an diesem anderen Subnet liegt. Ihr VPN Server sowie sonstigen Einstellungen sich auf dieses Subnet beziehen und somit logischerweise die AVM problemlos funktioniert.

Wurden die Einstellungen auf dem Server daraufhin angepasst ?
Ist die VPN Software des Server so konfiguriert das Verbindungen zu anderen Klienten möglich sind ?

Wie verhält es sich, wenn das gleiche Subnet wie auf der Fritzbox genutzt wird oder wenn statt des RT-N56U Ihr Server DHCP übernimmt ?
Also wir haben den Server nie speziell für irgendeinen der bisher eingesetzten Router angepasst.

Das DHCP hat der ASUS Router verwaltet, so auch die anderen Router. Ich habe es nun auf den Server umgestellt und werde es morgen mal probieren. Aber was ASUS da oben sonst meint, verstehe ich nicht.

Gruß

Hüseyin
Bitte warten ..
Mitglied: kwame501
09.08.2011 um 00:22 Uhr
Hallo Niklaus,

danke für deine Recherchen und Mühen, mir helfen zu wollen. Die Firmware ist die Aktuellste. ASUS hat mir sogar eine Firmware zugeschickt, die noch nicht offiziell ist, da die offizielle Firmware nicht einmal eine VPN-Verbindung aufbauen konnte, da der DynDNS-Dienst gar nicht angesprochen wurde.

Den anderen Link und auch viele weitere kenne ich bereits. Bei diesem Link handelt es sich um ein Problem, bei dem VPN nur bei Wireless Verbindungen funktioniert. Das ist bei mir nicht der Fall.

Gruß

Hüseyin
Bitte warten ..
Mitglied: Fluxkompensator
24.11.2011 um 13:24 Uhr
Überprüfe mal ob IPSEC- und L2TP- Passthrough aktiviert ist:

Erweiterte Einstellungen --> WAN --> DMZ --> VPN PPTP Passthrough und VPN L2TP Passthrough

Danach gings bei mir. Habe die Firmware 1.0.1.7c

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: aqui
24.11.2011 um 16:13 Uhr
Die Frage die sich stellt ist WAS für ein VPN Protokoll kwame501 denn verwendet ?? Dazu äußert er sich ja nicht.
OK, raten wir mal das es IPsec ist, das ist insofern vermutlich der Fall da vorher ein FritzBox Router aktiv war.
Bei IPsec und auch L2TP müsste aber auch UDP 4500 und UDP 500 mit in der Port Forwarding Tabelle stehen. Tut es aber nicht !
Zudem fehlt noch das ESP Protokoll für den Tunnel der die Produktivdaten transportiert. Auch das fehlt....
Ebenso GRE sofern er als VPN protokoll PPTP statt L2TP oder IPsec nutzt was wir aber alle nicht wissen und weiter hier raten müssen
Am fehlenden Feedback ist auch ersichtlich das ihm das problem vermutlich nun völlig egal ist und ihn eine Lösung nicht mehr interessiert.
Vielleicht reichts dann noch für ein:
http://www.administrator.de/index.php?faq=32
oder war das jetzt wieder zu arrogant ?!
Bitte warten ..
Mitglied: Fluxkompensator
24.11.2011 um 17:06 Uhr
"Bei IPsec und auch L2TP müsste aber auch UDP 4500 und UDP 500 mit in der Port Forwarding Tabelle stehen."

Nein, muss es nicht.
Ich nutze IPsec over L2TP und es geht ohne Regelwerk.

Zur Qualität vom Asus Router kann ich noch sagen das ich sehr zufrieden bin. Bei den wenigen verfügbaren Gigabit-Routern (Speziell auf WAN-Seite) gibt es im Moment nur eine Hand voll, die bezahlbar sind. Ich habe jahrelang nur Draytek eingesetzt, aber der Vigor2130n ist fast doppelt so teuer und lohnt sich meiner Meinung nach nur wenn man Side-toSide Tunnel bauen will/muss.

Vertragt Euch! :D

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: aqui
24.11.2011 um 18:14 Uhr
Nein, diese Aussage ist technisch falsch ! L2TP basiert auf IPsec bzw. ist (fast) natives IPsec.
Was du machst ist NAT Traversal über UDP 4500 so das IPsec Pakete problemlos auch ganz ohne Port Forwarding über NAT Firewals kommen.
http://en.wikipedia.org/wiki/NAT_traversal
Das kann aber (leider) nicht jeder IPsec Client. Die meisten aber schon, nur eingerichtet muss es auch sein.
Ob ASUS oder Draytek letztlich sind das alles billige Consumer Systeme wobei Draytek do noch auf der etwas gehobeneren Schiene dieser Anbieter steht.
Draytek macht in so fern immer Sinn als das er alle 3 gängigen VPN Protokolle parallel supportet (IPsec, PPTP, L2TP) und die neueren Geräte sogar SSL. Das ist ein gravierender Unterschied, denn das können die anderen Consumer VPN Router nicht. Gerade das populäre PPTP das alle Rechner wie Winblows, Apple, Mac, Linux und so gut wie alle Smartphones von Haus aus an Bord haben.
Die anderen Consumer VPN Router können meist nur IPsec und das erzwingt dann immer zusätzliche Client Software. Ok, mit dem freien Shrew Client ist das dann auch kein Thema aber die meisten Laien hier legen sich die Karten bei IPsec und der teils komplexen Protokoll Materie.
Das tägliche Leiden hier beim Einrichten von IPsec Verbindungen spricht endlose Bände....
Wieso vertragen...wir waren nie zerstritten
Bitte warten ..
Mitglied: Fluxkompensator
24.11.2011 um 23:31 Uhr
Hä? Erst sagst du man müsse "aber auch UDP 4500 und UDP 500" eintragen und als ich sage es geht ohne sagst du das "Was du machst ist NAT Traversal über UDP 4500 so das IPsec Pakete problemlos auch ganz ohne Port Forwarding über NAT Firewals kommen."
In deinem Link von wikipedia steht doch:

... in case of NAT-T:

IKE - UDP port 500
IPsec NAT-T - UDP port 4500

Often this is accomplished on home routers by enabling "IPsec Passthrough".


<------------------------- UND GENAU DAS: (IPsec Passthrough) wird doch komfortablerweise im Router mit einem Klick aktiviert!!!!!! Sprich: Mit dieser Option lässt der Router Port 4500 und 500 durch

Flasch ist: IPsec über L2TP. Es müsste heissen: IPsec MIT L2TP.
Bitte warten ..
Mitglied: aqui
25.11.2011, aktualisiert 18.10.2012
Nein, auch das ist falsch !
Der Hauptteil von IPsec ist ein ESP Tunnel (Encapsulation Security Payload) oder ein AH Tunnel. Beide Protokolle ESP und AH transportieren encapsuliert die Produktivdaten zw. Client und Server. AH wird wenig verwendet, denn es ist überhaupt nicht über NAT übertragbar, da der IPsec Header in NAT verändert wird. AH vermutet dann einen man in the Middel und droppt die Session.
Wenn NAT dann geht nur ESP !
IPsec Passthrough bedeutet das das ESP Protokoll ! (ESP ist eine eigenes IP Protokoll) durch den Router geforwardet wird nicht aber die Ports 500 und 4500 UDP das wäre Unsinn.
Du hast nur in so fern ein klein bischen Recht das man den UDP Port 4500 nicht unbedingt eintragen muss, denn der wird automatisch benutzt. Das aber nur wenn der Router selber VPN Server ist als VPN Router. Nicht aber wenn der VPN Server hinter der NAT Firewall des Routers liegt logischerweise !
Lies dir am besten das IPsec Tutorial von spacyfreak hier durch...das erklärt (fast) alles:
http://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...
Speziell den Part zur ESP Encapsulierung in UDP 4500.
Passthrough bedeutet lediglich das diese Router ESP und GRE als Protokolle forwarden sofern eine native Encapsulierung (IPsec) gemacht wirt. GRE (PPTP) ist immer nativ. Eben NICHT die Ports 500 und 4500 (ipsec) zur Verwaltung. PPTP benutzt übrigens TCP 1723 und L2TP zusätzlich noch 1701. Das konterkariert also schon mal per se deine Behauptung das diese Ports einfach durchgereicht werden bei VPN Passthrough.
VPN Protokolle bestehen nämliche eben nicht nur aus den bischen UDP und TCP drumrum die nur das Handshaking und Passwort Austausch handeln !! Relevant ist nur ESP und GRE.
Bitte warten ..
Mitglied: Unprofi
01.01.2012 um 12:41 Uhr
Zitat von Fluxkompensator:
Überprüfe mal ob IPSEC- und L2TP- Passthrough aktiviert ist:

Erweiterte Einstellungen --> WAN --> DMZ --> VPN PPTP Passthrough und VPN L2TP Passthrough

Danach gings bei mir. Habe die Firmware 1.0.1.7c

Mit freundlichen Grüßen

Hallo Fluxkompensator,

vielen Dank für den entscheidenden Hinweis. Ich hatte genau das gleiche Problem mit diesem Router, und dein einfacher Hinweis hat es gelöst.

Es scheint manchmal gar nicht nötig zu sein, jedes Detail anzugeben, um kompetente Hilfe zu bekommen. Zumal dem Laien oft nicht klar sein kann, welcher Detailgrad für ein Problem angemessen ist. Deshalb meine Bitte an Helfende: Wenn jemand eine Frage äussert, für deren Beantwortung ihr mehr Informationen benötigt, dann fragt einfach nach. Kostet nicht viel und hilft allen. Dann muss man sich auch nicht durch endlose Polemiken lesen, um schnell eine Lösung zu finden.

Vielen Dank trotzdem, dass es dieses Forum gibt, das mir schnell zu einer Lösung meines Problems verholfen hat.

Beste Grüsse,
Ein Unprofi
Bitte warten ..
Mitglied: aqui
10.01.2012 um 12:47 Uhr
Bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst ASUS RT-AC68 Router Firewall Fehlfunktion? (43)

Frage von pk-911 zum Thema Router & Routing ...

Router & Routing
VPN für LAN-Clients über Asus RT-AC51-U hinter Fritz 7490 (3)

Frage von Samuel113 zum Thema Router & Routing ...

Netzwerke
gelöst VPN Sichtbarkeit im Netzwerk nicht möglich (6)

Frage von serguni zum Thema Netzwerke ...

Router & Routing
gelöst Kein Internet über das Gastwlan von einem Asus RT-AC5300 mit AsusWRT-Merlin (5)

Frage von jeschero zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...