Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf VPN Router (Draytek Vigor 2930) durch Fritzbox (7490)

Frage Netzwerke Router & Routing

Mitglied: natas78

natas78 (Level 1) - Jetzt verbinden

30.11.2014 um 13:34 Uhr, 4318 Aufrufe, 9 Kommentare

Hallo,

habe folgendes Problem:

Meine bisherige Konfiguration war die folgende:
Im Draytek Router waren die Anmeldeinfos für den Provider eingetragen und dieser hat Internet, VPN SSL und WLAN ermöglicht.

Nun musste ich aber eine Fritzbox vorschalten.
Das heißt meine jetztige Konfiguration sieht so aus zuerst kommt die Fritzbox (Wan: XXX, LAN 192.168.0.253).
Dann kommt der Draytek Router (WAN 192.168.0.254, LAN 192.168.1.254).

Die Verbindung zwischen Fritzbox und Draytek sieht so aus: Fritz LAN-Port 1 -> Draytek WAN-Port 1

Im Draytek sind die Einstellungen folgende:

WAN:
IP-Adress 192.168.0.254
Gateway: 192.168.0.253
DNS: 192.168.0.253

LAN:
IP-Adress: 192.168.1.254
Gateway: 192.168.1.254
DNS: 192.168.1.254

Fritzbox hat folgende Einstellungen:
Statische IP Route:
Netzwerk: 192.168.1.0
Gateway: 192.168.0.254

DHCP (Draytek: 192.168.1.0, Fritzbox: 192.168.0.0) und WLAN ist bei beiden aktiviert.

So nun das, was ich nicht verstehe:
Wenn ich mich per WLAN von dem Draytek Router verbinde und dann eine VPN SSL Verbindung mit der externen WAN-Adresse von der Fritzbox aufbaue funktioniert alles wunderbar.

Wenn ich in das WLAN der Fritzbox bin und von dort aus die Verbindung versuche kommt keine zustande. Genauso verhält es sich mit allen anderen Verbindungen von extern, die eine VPN SSL aufbauen wollen.

Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP und GRE.

Beide Router sind von einem Computer über die Adressen 192.168.1.254 (Draytek) und 192.168.0.253 (Fritzbox) erreichbar.
Mitglied: Lochkartenstanzer
30.11.2014 um 13:40 Uhr
Zitat von natas78:

Nun musste ich aber eine Fritzbox vorschalten.

Warum?

So nun das, was ich nicht verstehe:
Wenn ich mich per WLAN von dem Draytek Router verbinde und dann eine VPN SSL Verbindung mit der externen WAN-Adresse von der
Fritzbox aufbaue funktioniert alles wunderbar.

Wenn ich in das WLAN der Fritzbox bin und von dort aus die Verbindung versuche kommt keine zustande. Genauso verhält es sich
mit allen anderen Verbindungen von extern, die eine VPN SSL aufbauen wollen.

Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP
und GRE.

Wenn Du von innen Dich auf den externen Port verbindest, kommen manche Router drucheinander. Insbesondere billige Plastikrouter. Wozu soll das überhaupt gut sein? Und warum verbindest Du Dich mit deinem SSl-VPn nicht direkt auf den draytek?

lks
Bitte warten ..
Mitglied: natas78
30.11.2014 um 14:03 Uhr
Ich versuche mich ja mit dem Draytek zu verbinden.

Nur klappt das nicht. Ich habe eine feste IP.
Nun gehe ich über diese IP und lande im WAN-Port der Fritzbox. Von dort soll ich über die Portfreigabe mit den Ports 443, 1723 und den weitergeleiteten Protokollen GRE und ESP auf den Draytek Router, welcher dann als VPN-Server die VPNs aufbauen soll.

Nur klappt das von aussen nicht. Das funktioniert nur, wenn ich im WLAN des Draytek Routers bin.
Bitte warten ..
Mitglied: colinardo
30.11.2014, aktualisiert um 14:45 Uhr
Hallo natas78, Willkommen auf Administrator.de!
Du sprichst hier nur von einem SSL-VPN welches die Clients aufbauen sollen, nicht PPTP oder einem IPSec-Tunnel, sehe ich das richtig ?
Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP und GRE.
Wenn ja, dann benötigst du nur eine Weiterleitung von Port 443 auf der Fritzbox für die SSL-VPN Variante von Draytek !
ESP und GRE und Port 1723 haben mit dem SSL-VPN nun überhaupt nichts am Hut und werden nur für IPSec (ESP[50]) bzw. PPTP[1723,GRE] Verbindungen benötigt!!

Wichtig für das SSL-VPN: Das verwendete Server-Zertifikat auf dem Draytek sollte als Common-Name entweder die externe feste IP oder den Domain-Name enthalten unter dem du dich von extern verbindest! Bei selbst signierten Zertifikaten beachte auch folgende Seite:
http://www.draytek.com/index.php?option=com_k2&view=item&id=203 ...

Ob die VPN-Pakete erfolgreich am Draytek ankommen lässt sich schnell mit Wireshark und einem Paket-Mittschnitt auf der Fritzbox klären.

Bitte teile uns doch die Fehlermeldung deines VPN-Clients mit. "Geht nicht" ist keine aussagekräftige Fehlermeldung. Merci.

Grüße Uwe
Bitte warten ..
Mitglied: natas78
30.11.2014 um 14:39 Uhr
Die Ports 1723 und die Protokolle ESP UND GRE hab ich benutzt, um das vor Ort zu überprüfen. D.h. ich versuche übers iPhone eine PPTP-Verbindung vom Mobilnetz aufzubauen. Das klappt auch nur, wenn ich WLAN am iPhone aktiviert habe und dann im WLAN des Drytek Routers bin.
Wäre natürlich schön, wenn VPN SSL und PPTP gehen würde.

Ich werde das mit dem Zertifikat mal ausprobieren und die Pakete mal mitschneiden.

VG

Martin
Bitte warten ..
Mitglied: aqui
30.11.2014 um 18:33 Uhr
Weitere Hilfen für heterogenen IPsec VPN Betrieb findest du auch hier:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Bitte warten ..
Mitglied: natas78
01.12.2014 um 11:36 Uhr
Also mit dem Smart VPN Client von Drytek bekomme ich eine VPN SSL Verbindung hin. Denke also, dass es nicht an den Routereinstellungen liegt, sondern am Browser.
Eine PPTP Verbindung geht allerdings immernoch nicht, auch nicht mit dem Smart VPN Client.
Brauche ich hierfür in der Fritzbox noch was anderes als die Freigabe von 1723 und GRE?
Bitte warten ..
Mitglied: colinardo
01.12.2014, aktualisiert um 17:18 Uhr
Zitat von natas78:

Also mit dem Smart VPN Client von Drytek bekomme ich eine VPN SSL Verbindung hin. Denke also, dass es nicht an den
Routereinstellungen liegt, sondern am Browser.
Dito, sagte ich ja die Browser sind inzwischen sehr restriktiv bei falschen Zertifikatsinfos, besonders wenn Java im Spiel ist so wie das bei Draytek per Browser der Fall zu sein scheint. Siehe Link oben.
Eine PPTP Verbindung geht allerdings immernoch nicht, auch nicht mit dem Smart VPN Client.
Nochmal: "Geht nicht" ist keine Fehlermeldung !! Bitte sag und doch was der Client für einen Fehler meldet. Und was sagen die Paketmitschnitte ? Kommen die Pakete auf Port 1723 auf dem Draytek an oder nicht ?

Brauche ich hierfür in der Fritzbox noch was anderes als die Freigabe von 1723 und GRE?
Nein, das reicht in dem Fall aus. Trotzdem würde ich nicht mehr auf das unsichere PPTP setzen sondern es gleich via OpenVPN oder L2TP/IPSec einrichten.

Grüße Uwe
Bitte warten ..
Mitglied: natas78
07.12.2014, aktualisiert um 18:40 Uhr
Also eine eine Verbindung mit dem VPN-Router kommt zustande. Es hapert aber an der Authentifizierung.

Hier mal ein Telnet-Mitschnitt der beiden Verbindungsversuche:

Zunächst der Verbindungsversuch, wenn ich mich im WLAN der Fritzbox befinde (= Fehlschlag).

0:11:24.010 PPP Start (VPN-0)
0:11:56.610 PPP Closed : LCP Time-out (VPN-0)

Danach ein Verbindungsversuch im WLAN des Draytek-VPN-Routers (hier funktioniert es)

0:12:36.050 PPP Start (VPN-0)
0:12:38.710 CHAP Login OK (VPN-0, (Benutzername))
0:12:38.730 IPCP Opening (VPN-0, (Benutzername))
Own IP Address : 192.168.1.254 Peer IP Address

Danach habe ich die Verbindung manuell getrennt.

0:12:41.890 PPP Closed : Remote Terminating (VPN-0, (Benutzername))

Ich habe echt keine Ahnung woran es noch liegen könnte. Bei beiden malen gehe ich über die externe Feste-IP.
Bitte warten ..
Mitglied: colinardo
07.12.2014, aktualisiert um 20:08 Uhr
Ich habe echt keine Ahnung woran es noch liegen könnte. Bei beiden malen gehe ich über die externe Feste-IP.
Stichwort Hairpin-NAT, bitte versuche die Verbindung von außerhalb deiner Netzwerk direkt aus dem Internet (z.B . via 3G), dann kannst du ein Hairpin-NAT Problem der Fritzbox ausschließen !! Normalerweise haben die Fritten aber keine Probleme mit Harpin NAT, aber überprüfen kann hier nicht schaden ...
Ansonsten helfen uns hier nur noch harte Fakten wie ein Wireshark-Mittschnitt, denn ein LCP Timeout kann mehrere Ursachen haben!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst FritzBox 7490 und Draytek Vigor 130 - geht das ? (1)

Frage von hyperpac zum Thema Router & Routing ...

Router & Routing
gelöst Kein Zugriff auf Draytek Vigor 3200 Weboberfläche (16)

Frage von halington zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Fritzbox 7490 - WLAN Geräte zugriff auf LAN Kamera hinter SONICWALL (25)

Frage von GoriBoy zum Thema LAN, WAN, Wireless ...

Netzwerkprotokolle
gelöst VPN-Verbindung von Fritzbox 7490 auf Synology NAS am anderen Anschluss (5)

Frage von ExkoSven zum Thema Netzwerkprotokolle ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...