Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vpn passthrought

Frage Netzwerke Router & Routing

Mitglied: d-fault

d-fault (Level 1) - Jetzt verbinden

23.11.2011, aktualisiert 18.10.2012, 5125 Aufrufe, 3 Kommentare

Hallo,
ich möchte einen VPN-Tunnel (IPSec-VPN mit PSK) zwischen zwei Routern über das Internet aufbauen (LAN-LAN). Allerdings ist auf der einen Seite der entsprechende Router (VPN-Partner) wiederum hinter einen Router welcher für die Internet-Verbindung zuständig ist.
Bei jedem der Router ist eine NAT eingerichtet.

Nun sollte das Szenario mit VPN-Passthrought und NAT-Traversal lösbar sein. Allerdings bekomme ich das einfach nicht hin.

Tunnelaufbau bricht schon bei Phase 1 ab und mit den Logs kann ich auch nicht so viel anfangen.

In meinem Szenario werden nur Bintec R1202 verwendet.

\|/ 10.1.3.254 (NAT: 10.1.3.0 255.255.255.0)
Router 3 (an DSL, mit NAT, IPSec-VPN-Partner 1, Standard-Route: WAN)
| 20.20.20.5
|
|
| Internet
|
|
| 20.20.20.2
Router 2 (an DSL, mit NAT, Standard-Route: WAN; Portweiterleitungen an Router 1: UDP 500; UDP 4500; ESP)
/|\ 10.1.2.254 (NAT: 10.1.2.0 255.255.255.0)
|
| LAN
|
| 10.1.2.253
Router 1 (an R2, mit NAT, IPSec-VPN-Partner 2, Standard-Route: Router 2)
/|\ 10.1.1.254 (NAT: 10.1.2.0 255.255.255.0)

Der Bintec R1202 (mit NAT) sitzt zwischen dem Internet und einem weiteren Router (auch wieder mit NAT), welcher einem IPSec-VPN-Tunnel mit einem im Internet befindlichen VPN-Partner herstellen soll. Jedoch kann dieser Tunnel nicht aufgebaut werden.

Die Frage ist welche Einstellungen müssen ab Bintec R1202 gemacht werden, damit der VPN-Tunnel durchgeleitet wird.

Protokolle:

Router 3:
1 2011-11-23 12:40:12 Debug INET NAT: new outgoing session on ifc 10001 prot 17 20.20.20.5:500/20.20.20.5:702 -> 20.20.20.2:500
2 2011-11-23 12:40:12 Debug IPSec P1: peer 1 (VPN-Name) sa 30 (I): identified ip 20.20.20.5 -> ip 20.20.20.2
3 2011-11-23 12:40:12 Debug IPSec P1: peer 1 (VPN-Name) sa 30 (I): notify id 500 -> id 20.20.20.2 (unencrypted): No proposal chosen proto 1 spi(16) = [b296e7e9 ecd3d41b : 0eb0a3d8 1cd4d49e]
4 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 30 (I): failed id fqdn(any:0,[0..5]=r1202b) -> ip 20.20.20.2 (No proposal chosen)
5 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 0 (-): blocked for 15 seconds
6 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 30 (I): delete ip 20.20.20.5 -> ip 20.20.20.2: Blocked

Router 2:
43 2011-11-23 12:43:56 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
44 2011-11-23 12:43:50 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
45 2011-11-23 12:43:49 Debug INET NAT: delete session on ifc 10001 prot 6 10.2.2.12:51377/20.20.20.2:42735 <-> 20.21.22.45:80
46 2011-11-23 12:43:49 Debug INET NAT: delete session on ifc 10001 prot 6 10.2.2.12:51376/20.20.20.2:41039 <-> 20.21.22.78:80
47 2011-11-23 12:43:47 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
48 2011-11-23 12:43:42 Debug INET NAT: new outgoing session on ifc 10001 prot 17 10.1.2.253:904/20.20.20.2:945 -> 20.20.20.5:500
49 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:53/20.20.20.2:865 <-> 169.254.100.100:53
50 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 10.1.2.253:889/20.20.20.2:970 <-> 169.254.100.100:53
51 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:35302/20.20.20.2:37121 <->20.21.22.25:53
52 2011-11-23 12:43:38 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:55557/20.20.20.2:47338 <-> 20.21.22.25:53
53 2011-11-23 12:43:35 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:50208/20.20.20.2:55229 <-> 20.21.22.25:53

Router 1:
1 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 32 (I): failed id fqdn(any:0,[0..5]=r1202a) -> ip 20.20.20.5 (Timeout)
2 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 0 (-): blocked for 30 seconds
3 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 32 (I): delete ip 10.1.2.253 -> ip 20.20.20.5: Blocked
4 2011-11-23 12:43:43 Debug INET NAT: new outgoing session on ifc 1000 prot 17 10.1.2.253:500/10.1.2.253:904 -> 20.20.20.5:500
5 2011-11-23 12:43:43 Debug IPSec P1: peer 1 (VPN-Name) sa 32 (I): identified ip 10.1.2.253 -> ip 20.20.20.5
6 2011-11-23 12:43:40 Debug INET NAT: delete session on ifc 1000 prot 17 10.1.2.253:53/10.1.2.253:889 <-> 169.254.100.100:53


Vielleicht haben Sie noch einen Lösungsansatz.
danke
Mitglied: mrtux
23.11.2011 um 14:52 Uhr
Hi !

Kannst Du mir mal erklären warum Du das so kompliziert machst und welche Vorteile Du in deiner Konstellation siehst? Ich sehe da eigentlich nur Nachteile....Setz den Bintec an die Front und betreibe den Router 2 über PPPoe Pass-through als reines DSL Modem, vor allem wenn es sich um einen popelige Homerouter vom Provider handelt (z.B. Speedport o.ä.). Und wenn Du ein zweites Netzwerksegment benötigst, dann kannst Du das über den Switch im Bintec genauso lösen.

mrtux
Bitte warten ..
Mitglied: Fluxkompensator
24.11.2011 um 17:16 Uhr
Router 3 Zeile 4:

4 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (PROCOS) sa 30 (I): failed id fqdn(any:0,[0..5]=r1202b) -> ip 20.20.20.2 (No proposal chosen)

Scheint so als würde bei Phase 1 die Sicherheitsaushandlung scheitern, überprüf das mal..
Bitte warten ..
Mitglied: aqui
30.11.2011, aktualisiert 18.10.2012
Und das ist sonnenklar warum die Phase 1 schon scheitert, denn der davorliegende NAT Router blockiert IPsec !!

Dort muss logischerweise zwingend ein Port Forwarding eingerichtet sein auf den VPN Zielrouter bzw. dessen IP der dahinter liegt mit folgenden Ports die IPsec nutzt:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, kein TCP/UDP ! ESP ist ein eigenes IP Protokoll !)
Wenn du das gemacht hast wird auch die VPN Verbindung problemlos laufen !!
Details dazu siehe auch hier:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ... (hier bezogen auf OVPN Ports !)
http://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
InterVlan Routing mit Linksys LRT224 Dual WAN Gigabit VPN Router (1)

Frage von darkliving zum Thema Router & Routing ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...