Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vpn passthrought

Frage Netzwerke Router & Routing

Mitglied: d-fault

d-fault (Level 1) - Jetzt verbinden

23.11.2011, aktualisiert 18.10.2012, 5442 Aufrufe, 3 Kommentare

Hallo,
ich möchte einen VPN-Tunnel (IPSec-VPN mit PSK) zwischen zwei Routern über das Internet aufbauen (LAN-LAN). Allerdings ist auf der einen Seite der entsprechende Router (VPN-Partner) wiederum hinter einen Router welcher für die Internet-Verbindung zuständig ist.
Bei jedem der Router ist eine NAT eingerichtet.

Nun sollte das Szenario mit VPN-Passthrought und NAT-Traversal lösbar sein. Allerdings bekomme ich das einfach nicht hin.

Tunnelaufbau bricht schon bei Phase 1 ab und mit den Logs kann ich auch nicht so viel anfangen.

In meinem Szenario werden nur Bintec R1202 verwendet.

\|/ 10.1.3.254 (NAT: 10.1.3.0 255.255.255.0)
Router 3 (an DSL, mit NAT, IPSec-VPN-Partner 1, Standard-Route: WAN)
| 20.20.20.5
|
|
| Internet
|
|
| 20.20.20.2
Router 2 (an DSL, mit NAT, Standard-Route: WAN; Portweiterleitungen an Router 1: UDP 500; UDP 4500; ESP)
/|\ 10.1.2.254 (NAT: 10.1.2.0 255.255.255.0)
|
| LAN
|
| 10.1.2.253
Router 1 (an R2, mit NAT, IPSec-VPN-Partner 2, Standard-Route: Router 2)
/|\ 10.1.1.254 (NAT: 10.1.2.0 255.255.255.0)

Der Bintec R1202 (mit NAT) sitzt zwischen dem Internet und einem weiteren Router (auch wieder mit NAT), welcher einem IPSec-VPN-Tunnel mit einem im Internet befindlichen VPN-Partner herstellen soll. Jedoch kann dieser Tunnel nicht aufgebaut werden.

Die Frage ist welche Einstellungen müssen ab Bintec R1202 gemacht werden, damit der VPN-Tunnel durchgeleitet wird.

Protokolle:

Router 3:
1 2011-11-23 12:40:12 Debug INET NAT: new outgoing session on ifc 10001 prot 17 20.20.20.5:500/20.20.20.5:702 -> 20.20.20.2:500
2 2011-11-23 12:40:12 Debug IPSec P1: peer 1 (VPN-Name) sa 30 (I): identified ip 20.20.20.5 -> ip 20.20.20.2
3 2011-11-23 12:40:12 Debug IPSec P1: peer 1 (VPN-Name) sa 30 (I): notify id 500 -> id 20.20.20.2 (unencrypted): No proposal chosen proto 1 spi(16) = [b296e7e9 ecd3d41b : 0eb0a3d8 1cd4d49e]
4 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 30 (I): failed id fqdn(any:0,[0..5]=r1202b) -> ip 20.20.20.2 (No proposal chosen)
5 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 0 (-): blocked for 15 seconds
6 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 30 (I): delete ip 20.20.20.5 -> ip 20.20.20.2: Blocked

Router 2:
43 2011-11-23 12:43:56 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
44 2011-11-23 12:43:50 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
45 2011-11-23 12:43:49 Debug INET NAT: delete session on ifc 10001 prot 6 10.2.2.12:51377/20.20.20.2:42735 <-> 20.21.22.45:80
46 2011-11-23 12:43:49 Debug INET NAT: delete session on ifc 10001 prot 6 10.2.2.12:51376/20.20.20.2:41039 <-> 20.21.22.78:80
47 2011-11-23 12:43:47 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
48 2011-11-23 12:43:42 Debug INET NAT: new outgoing session on ifc 10001 prot 17 10.1.2.253:904/20.20.20.2:945 -> 20.20.20.5:500
49 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:53/20.20.20.2:865 <-> 169.254.100.100:53
50 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 10.1.2.253:889/20.20.20.2:970 <-> 169.254.100.100:53
51 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:35302/20.20.20.2:37121 <->20.21.22.25:53
52 2011-11-23 12:43:38 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:55557/20.20.20.2:47338 <-> 20.21.22.25:53
53 2011-11-23 12:43:35 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:50208/20.20.20.2:55229 <-> 20.21.22.25:53

Router 1:
1 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 32 (I): failed id fqdn(any:0,[0..5]=r1202a) -> ip 20.20.20.5 (Timeout)
2 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 0 (-): blocked for 30 seconds
3 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 32 (I): delete ip 10.1.2.253 -> ip 20.20.20.5: Blocked
4 2011-11-23 12:43:43 Debug INET NAT: new outgoing session on ifc 1000 prot 17 10.1.2.253:500/10.1.2.253:904 -> 20.20.20.5:500
5 2011-11-23 12:43:43 Debug IPSec P1: peer 1 (VPN-Name) sa 32 (I): identified ip 10.1.2.253 -> ip 20.20.20.5
6 2011-11-23 12:43:40 Debug INET NAT: delete session on ifc 1000 prot 17 10.1.2.253:53/10.1.2.253:889 <-> 169.254.100.100:53


Vielleicht haben Sie noch einen Lösungsansatz.
danke
Mitglied: mrtux
23.11.2011 um 14:52 Uhr
Hi !

Kannst Du mir mal erklären warum Du das so kompliziert machst und welche Vorteile Du in deiner Konstellation siehst? Ich sehe da eigentlich nur Nachteile....Setz den Bintec an die Front und betreibe den Router 2 über PPPoe Pass-through als reines DSL Modem, vor allem wenn es sich um einen popelige Homerouter vom Provider handelt (z.B. Speedport o.ä.). Und wenn Du ein zweites Netzwerksegment benötigst, dann kannst Du das über den Switch im Bintec genauso lösen.

mrtux
Bitte warten ..
Mitglied: Fluxkompensator
24.11.2011 um 17:16 Uhr
Router 3 Zeile 4:

4 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (PROCOS) sa 30 (I): failed id fqdn(any:0,[0..5]=r1202b) -> ip 20.20.20.2 (No proposal chosen)

Scheint so als würde bei Phase 1 die Sicherheitsaushandlung scheitern, überprüf das mal..
Bitte warten ..
Mitglied: aqui
30.11.2011, aktualisiert 18.10.2012
Und das ist sonnenklar warum die Phase 1 schon scheitert, denn der davorliegende NAT Router blockiert IPsec !!

Dort muss logischerweise zwingend ein Port Forwarding eingerichtet sein auf den VPN Zielrouter bzw. dessen IP der dahinter liegt mit folgenden Ports die IPsec nutzt:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, kein TCP/UDP ! ESP ist ein eigenes IP Protokoll !)
Wenn du das gemacht hast wird auch die VPN Verbindung problemlos laufen !!
Details dazu siehe auch hier:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ... (hier bezogen auf OVPN Ports !)
http://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...
Bitte warten ..
Ähnliche Inhalte
Cluster
VPN - Aber wie?
gelöst Frage von schneerunzelCluster5 Kommentare

Hallo zusammen. . ich brauch eine neue Lösung für VPN Verbindungen von Clients zum RZ Standort. Leider bin ich ...

LAN, WAN, Wireless
Ein VPN im VPN aufbauen
Frage von MasterSchlumpfLAN, WAN, Wireless3 Kommentare

Hallo Freunde, ich habe eine Frage. Welchern Ausgangsort habe ich, wenn ich von meinem PC aus 2 VPN Verbindungen. ...

Microsoft
VPN Client mit VPN Server
Frage von FengShuiMicrosoft5 Kommentare

Hallo zusammen, in diesem Forum habe ich vieles gelesen mit der VPN Einrichtung über den Router und sonstige VPN ...

Router & Routing
Tunnel VPN to VPN
Frage von itschloeglRouter & Routing8 Kommentare

Guten Abend. Folgende Problemstellung: Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 1 TagMicrosoft Office3 Kommentare

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...