Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN bricht zusammen wenn mehr als ein Device verbunden ist mit der gleichen öfftentlichen IP

Frage Netzwerke Router & Routing

Mitglied: Carpediem89

Carpediem89 (Level 1) - Jetzt verbinden

28.05.2014, aktualisiert 29.05.2014, 1668 Aufrufe, 16 Kommentare, 2 Danke

Guten Abend,

Ich habe das Problem das der VPN zusammen bricht wenn mehr als ein Device verbunden ist mit der gleichen öfftentlichen IP ,ich besitze einen Draytek 3900 , der als VPN-User Datenbank den LDAP Server auf unseren QNAS TURBO verwendet. Wir verwenden als Verbindungstyp L2TP\IPSec mit Preshared Key. Als Protokoll wird PAP verwendet. Hab schon mit Port Forwarding im Router versucht das Problem zu beheben mit udp port 500, 4500 sowie TCP 10000, war aber leider vergebens. Im Router selbst hab ich auch keine Option gefunden, die es Untersagen würde, mehr als einen VPN Tunnel von der gleichen Ip anzunehmen.

Vielleicht wisst Ihr ja Rat. Danke schon mal im vorraus, wer sich die Zeit nimmt und versucht zu Helfen.

BG
Mitglied: Dobby
29.05.2014 um 01:33 Uhr
Hallo,

ich habe mal eine Frage dazu, warum öffnest Du an
so einem VPN Konzentrator, der bis zu 500 IPSec
Tunnel unterstützt die Ports?

Denn normaler weise können die VPN Nutzer sich
doch direkt mit dem Vigor3900 verbinden, oder?

Und wenn so eine Verbindung steht kann man doch
in der Regel auch auf das komplette dahinter liegende
Netzwerk zugreifen, oder nicht?

Im Router selbst hab ich auch keine Option gefunden, die es
Untersagen würde, mehr als einen VPN Tunnel von der gleichen
Ip anzunehmen.
Kann man denn nicht am Router einstellen das er immer
eine IP Adresse aus dem eigenen internen Netzwerk (LAN)
per DHCP an den VPN Nutzer vergibt und diese IP Adresse
bindet man dann an die Mac Adresse des VPN Benutzer.

Vielleicht wisst Ihr ja Rat. Danke schon mal im vorraus,
wer sich die Zeit nimmt und versucht zu Helfen.
Der Vigor3900 ist schon eine richtige Rakete was VPN
Verbindungen anbetrifft und ich denke das es dort bestimmt
eine Möglichkeit gibt oder sogar mehrere.

Gruß
Dobby
Bitte warten ..
Mitglied: Carpediem89
29.05.2014, aktualisiert um 01:52 Uhr
Erstmal Danke für die schnelle Antwort.

Ja eine Verbindung mit dem Router per VPN per login mit dem Lpad server klappt ohne Probleme, das Problem tritt erst auf wenn ich einen zweiten Laptop per VPN mit anderen Nutzerdaten einlogge, die das gleiche Netzwerk nutzen (als Beispiel eine Nebenstelle) also die gleiche öffentliche IP hat. Dann bricht die Verbindung beider zusammen vollständig, kein Ping gar nichts. Davor geht die komplette Netzwerkkommunikation inkl DHCP.

Die Ports hab ich nur kurzzeitig zu testen geöffnet um zu sehen ob das, dass Problem behebt.
Bitte warten ..
Mitglied: Dobby
29.05.2014 um 02:03 Uhr
Ja eine Verbindung mit dem Router per VPN per login
mit dem Lpad server klappt ohne Probleme,
Ah ok das hatte ich dann falsch verstanden,
ich dachte daran dass eben das schon nicht
funktioniert.

das Problem tritt erst auf wenn ich einen zweiten Laptop per
VPN mit anderen Nutzerdaten einlogge, die das gleiche
Netzwerk nutzen (als Beispiel eine Nebenstelle).
Vergibt denn Dein Vigor3900 jedem VPN Nutzer
eine IP Adresse aus Eurem Netzwerk vor Ort?

Schau Dir mal die Einstellungen unter LAN > Bind IP to MAC
an und vergibt mal bitte für die beiden Laptops so eine IP
Adresse und schau noch einmal nach ib das dann funktioniert
aber lösche bitte vorher den Cache.
Was auch noch sein kann ist dass dort vor Ort
also nicht bei Euch sondern auf der Seite der
VPN Nutzer eine neue IP Adresse vergeben wird
via DHCP und es dann zu Problemen kommt auf Eurer Seite.

Die Ports hab ich nur kurzzeitig zu testen geöffnet um
zu sehen ob das, dass Problem behebt.
Ich denke eher das es ein Problem ist was
auf beiden Seiten ist.

Gruß
Dobby
Bitte warten ..
Mitglied: Carpediem89
29.05.2014, aktualisiert um 02:41 Uhr
Das dachte ich zuerst auch hab dann aber von mir Zuhause aus versucht mit zwei Laptops per Vpn zuzugreifen, was soll ich sagen das gleiche Problem.

Ich versuch das gleich mal mit Bind IP to MAC und geb dann Bescheid aber er vergibt wenn sich mehrere VPN User einloggen automatisch in einen bestimmten Adressenbereich die Ip's, das funktioniert.

Danke und Beste Grüße


Hat leider nicht funktioniert er zeigt mir bei Bind IP to MAC die vergebene IP nicht an sie ist aber eindeutig per DHCP vergeben, da ich zwei mal einloggen musste per VPN und dabei den alles Resetet hab vergab der Vigor auch eine neue IP. Hab die MAC-Adresse und die IP dann Manuel hinzugefügt ich war leider trotzdem von DHCP betroffen.

http://picload.org/image/lcidpac/7dc4c3fea38761885acb3188e3a589.jpg --> Das Bild zeigt was passiert wenn zwei VPN Tunnel verbunden sind mit unterschiedlicher Öffentlicher IP.

Die IP-Adressen der Nebenstellen sind intern im Bereich 192.168.0.1/255 Subnet 255.255.255.0 aber unsere ist 10.0.1.0/255 bis 10.0.15.0/255 Subnet 255.255.240.0.
Bitte warten ..
Mitglied: Dobby
29.05.2014 um 02:50 Uhr
Das dachte ich zuerst auch hab dann aber von mir
Zuhause aus versucht mit zwei Laptops per Vpn zuzugreifen,
Ne klar das ist dann ja auch nur eine öffentliche IP Adresse
die da genutzt wird, oder? Das sollte dann auch nicht funktionieren
es geht zwar schon nur dann eben mittels einer Site-to-Site
Verbindung und dann können auch beide auf das Netzwerk zugreifen.
Also sprich einer Router zu Router VPN Verbindung.

Das sollte dann kein Problem mehr darstellen.

Gruß
Dobby
Bitte warten ..
Mitglied: Carpediem89
29.05.2014, aktualisiert um 03:22 Uhr
Ja das hab auch schon gelesen das da Site-to-Site besser ist leider geht die Nebenstelle über eine Router der nicht zum Unternehmen gehört sondern wird als Vlan von Nachbar Unternehmen bereitgestellt , daher kann ich leider nicht auf den Router zugreifen.

Außerdem hat das mit dem Vigor 2300 davor eigentlich immer problemlos funktioniert (ohne Site-to-Site).

Danke dir die Mühe.

BG
Bitte warten ..
Mitglied: Dobby
29.05.2014 um 03:22 Uhr
Außerdem hat das mit dem Vigor 2300 davor eigentlich
immer problemlos funktioniert (ohne Site-to-Site).
Dann wird es mit dem Vigor3900 garantiert auch funktionieren!
Aber ganz bestimmt sogar! Denn der ist ja eigentlich für solche
VPN Geschichten prädestiniert, ist bestimmt irgend eine
Konfigurationssache und dann funktioniert es hier auch wieder.



Gruß
Dobby
Bitte warten ..
Mitglied: Carpediem89
29.05.2014, aktualisiert um 03:24 Uhr
Genau danach such ich. Leider kann ich es aber nicht finden. Hab das komplette Ding schon zweimal durchsucht.
Bitte warten ..
Mitglied: colinardo
LÖSUNG 29.05.2014, aktualisiert 03.06.2014
Moin,
auszug aus ftp://ftp.draytek.pl/POMOC/Gotowe_przyklady/3300V/VPN_Dostep_zdalny/IP ...
If the remote user is behind the NAT, then other hosts within the same subnet cannot connect to the VPN server. That is, only one host can dial IPSec to the VPN server at the same time if behind the NAT.
Vermutlich kann der Draytek dann die bereits generierte IPSec Policy für den ersten Client nicht auch für den zweiten benutzen, und bricht dann beim Versuch eine dynamische IPSec-Policy mit gleicher Security Gateway IP zu generieren ab.

Hatte ich auch schon bei einem anderen Draytek Modell...

Grüße Uwe
Bitte warten ..
Mitglied: keine-ahnung
LÖSUNG 29.05.2014, aktualisiert 03.06.2014
Moin,
If the remote user is behind the NAT, then other hosts within the same subnet cannot connect to the VPN server. That is, only one host can dial IPSec to the VPN server at the same time if behind the NAT.
schlecht leben muss nicht billig sein . Da scheint die Authentifizierung auschliesslich im main-mode über die IP realisiert zu werden. Wenn das wirklich drückt, musst Du den VPN-Router wechseln, bspw. LANCOM können das ...

LG, Thomas
Bitte warten ..
Mitglied: aqui
LÖSUNG 29.05.2014, aktualisiert 03.06.2014
...oder ganz simpel auf dem QNAP NAS einfach den Openvpn Server mit einem Mausklick aktivieren....
Oder noch einfacher:
Reines IPsec verwenden auf dem Draytek ohne L2TP !
Dazu findest du grundlegende Infos hier:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Bitte warten ..
Mitglied: Dobby
29.05.2014, aktualisiert um 13:10 Uhr
Bezieht sich aber auf den Draytek Vigor3300V und nicht auf den Vigor3900.

Die letzte aktuelle Firmware voraus gesetzt (vers. 1.08) sollte sich unter:
- "VPN and Remote Access" ein Karteireiter namens "VPN Server Wizard"
befinden und dort kann man dann auch einen VPN Server einrichten.

- Und unter "VPN Profiles" kann man im Karteireiter "Advanced"
für das erstellte Profile bei "Route/NAT" auch auch "NAT" umstellen

Gruß
Dobby



P.S. Kleiner Nachtrag:
In den "Release Notes" der Firmware 1.08 befinden sich folgende Punkte:
"New Features"
- Support VPN LAN to LAN for overlap/duplicate subnets
Improvement"
- Support NAT option for IPsec LAN to LAN
"Known Issues"
You need to disable "Force IPsec with L2TP" options for pure
L2TP tunnel in VPN and Remote Access >> PPP General Setup.
Bitte warten ..
Mitglied: colinardo
LÖSUNG 29.05.2014, aktualisiert 03.06.2014
Wir verwenden als Verbindungstyp L2TP\IPSec mit Preshared Key
Bei der Nutzung von L2TP mit IPSec gilt bei deinem Draytek-Modell folgende Einschränkung:
Note : 
More than one L2TP over IPsec connections from the same remote public IP is not supported. 
For more than one VPN connections and better VPN performnace, please use PPTP/IPsec instead.
zu sehen unter VPN and Remote Access > PPP General Setup > L2TP unten.

Ein Demo-Interface für den Draytek 3900 findet sich unter folgender Adresse (dank an @Dobby):
http://60.250.189.150:3900/

Also reines IPSec und die L2TP Option an der genannten Stelle deaktivieren, dann sollte es laufen.

Grüße Uwe
Bitte warten ..
Mitglied: aqui
30.05.2014 um 20:41 Uhr
Wenns das denn nun war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: Carpediem89
03.06.2014 um 01:22 Uhr
Danke für eure Mühen, hat alles super geklappt. Ich zieh den Hut vor euch. :D

Team Mission Accomplished

BG
Bitte warten ..
Mitglied: Carpediem89
03.06.2014 um 01:24 Uhr
Lösung:

VPN and Remote Access > PPP General Setup > L2T > Force L2Tp with IPsec policy disabled
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Router & Routing
IP Sec VPN 2 x Digitalsierungsbox (3)

Frage von Finnbiss zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Windows 7 IP-Sec VPN Client Alternative (4)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...