Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf VPN Router (Draytek Vigor 2930) durch Fritzbox (7490)

Frage Netzwerke Router & Routing

Mitglied: natas78

natas78 (Level 1) - Jetzt verbinden

30.11.2014 um 13:34 Uhr, 5466 Aufrufe, 9 Kommentare

Hallo,

habe folgendes Problem:

Meine bisherige Konfiguration war die folgende:
Im Draytek Router waren die Anmeldeinfos für den Provider eingetragen und dieser hat Internet, VPN SSL und WLAN ermöglicht.

Nun musste ich aber eine Fritzbox vorschalten.
Das heißt meine jetztige Konfiguration sieht so aus zuerst kommt die Fritzbox (Wan: XXX, LAN 192.168.0.253).
Dann kommt der Draytek Router (WAN 192.168.0.254, LAN 192.168.1.254).

Die Verbindung zwischen Fritzbox und Draytek sieht so aus: Fritz LAN-Port 1 -> Draytek WAN-Port 1

Im Draytek sind die Einstellungen folgende:

WAN:
IP-Adress 192.168.0.254
Gateway: 192.168.0.253
DNS: 192.168.0.253

LAN:
IP-Adress: 192.168.1.254
Gateway: 192.168.1.254
DNS: 192.168.1.254

Fritzbox hat folgende Einstellungen:
Statische IP Route:
Netzwerk: 192.168.1.0
Gateway: 192.168.0.254

DHCP (Draytek: 192.168.1.0, Fritzbox: 192.168.0.0) und WLAN ist bei beiden aktiviert.

So nun das, was ich nicht verstehe:
Wenn ich mich per WLAN von dem Draytek Router verbinde und dann eine VPN SSL Verbindung mit der externen WAN-Adresse von der Fritzbox aufbaue funktioniert alles wunderbar.

Wenn ich in das WLAN der Fritzbox bin und von dort aus die Verbindung versuche kommt keine zustande. Genauso verhält es sich mit allen anderen Verbindungen von extern, die eine VPN SSL aufbauen wollen.

Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP und GRE.

Beide Router sind von einem Computer über die Adressen 192.168.1.254 (Draytek) und 192.168.0.253 (Fritzbox) erreichbar.
Mitglied: Lochkartenstanzer
30.11.2014 um 13:40 Uhr
Zitat von natas78:

Nun musste ich aber eine Fritzbox vorschalten.

Warum?

So nun das, was ich nicht verstehe:
Wenn ich mich per WLAN von dem Draytek Router verbinde und dann eine VPN SSL Verbindung mit der externen WAN-Adresse von der
Fritzbox aufbaue funktioniert alles wunderbar.

Wenn ich in das WLAN der Fritzbox bin und von dort aus die Verbindung versuche kommt keine zustande. Genauso verhält es sich
mit allen anderen Verbindungen von extern, die eine VPN SSL aufbauen wollen.

Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP
und GRE.

Wenn Du von innen Dich auf den externen Port verbindest, kommen manche Router drucheinander. Insbesondere billige Plastikrouter. Wozu soll das überhaupt gut sein? Und warum verbindest Du Dich mit deinem SSl-VPn nicht direkt auf den draytek?

lks
Bitte warten ..
Mitglied: natas78
30.11.2014 um 14:03 Uhr
Ich versuche mich ja mit dem Draytek zu verbinden.

Nur klappt das nicht. Ich habe eine feste IP.
Nun gehe ich über diese IP und lande im WAN-Port der Fritzbox. Von dort soll ich über die Portfreigabe mit den Ports 443, 1723 und den weitergeleiteten Protokollen GRE und ESP auf den Draytek Router, welcher dann als VPN-Server die VPNs aufbauen soll.

Nur klappt das von aussen nicht. Das funktioniert nur, wenn ich im WLAN des Draytek Routers bin.
Bitte warten ..
Mitglied: colinardo
30.11.2014, aktualisiert um 14:45 Uhr
Hallo natas78, Willkommen auf Administrator.de!
Du sprichst hier nur von einem SSL-VPN welches die Clients aufbauen sollen, nicht PPTP oder einem IPSec-Tunnel, sehe ich das richtig ?
Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP und GRE.
Wenn ja, dann benötigst du nur eine Weiterleitung von Port 443 auf der Fritzbox für die SSL-VPN Variante von Draytek !
ESP und GRE und Port 1723 haben mit dem SSL-VPN nun überhaupt nichts am Hut und werden nur für IPSec (ESP[50]) bzw. PPTP[1723,GRE] Verbindungen benötigt!!

Wichtig für das SSL-VPN: Das verwendete Server-Zertifikat auf dem Draytek sollte als Common-Name entweder die externe feste IP oder den Domain-Name enthalten unter dem du dich von extern verbindest! Bei selbst signierten Zertifikaten beachte auch folgende Seite:
http://www.draytek.com/index.php?option=com_k2&view=item&id=203 ...

Ob die VPN-Pakete erfolgreich am Draytek ankommen lässt sich schnell mit Wireshark und einem Paket-Mittschnitt auf der Fritzbox klären.

Bitte teile uns doch die Fehlermeldung deines VPN-Clients mit. "Geht nicht" ist keine aussagekräftige Fehlermeldung. Merci.

Grüße Uwe
Bitte warten ..
Mitglied: natas78
30.11.2014 um 14:39 Uhr
Die Ports 1723 und die Protokolle ESP UND GRE hab ich benutzt, um das vor Ort zu überprüfen. D.h. ich versuche übers iPhone eine PPTP-Verbindung vom Mobilnetz aufzubauen. Das klappt auch nur, wenn ich WLAN am iPhone aktiviert habe und dann im WLAN des Drytek Routers bin.
Wäre natürlich schön, wenn VPN SSL und PPTP gehen würde.

Ich werde das mit dem Zertifikat mal ausprobieren und die Pakete mal mitschneiden.

VG

Martin
Bitte warten ..
Mitglied: aqui
30.11.2014 um 18:33 Uhr
Weitere Hilfen für heterogenen IPsec VPN Betrieb findest du auch hier:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Bitte warten ..
Mitglied: natas78
01.12.2014 um 11:36 Uhr
Also mit dem Smart VPN Client von Drytek bekomme ich eine VPN SSL Verbindung hin. Denke also, dass es nicht an den Routereinstellungen liegt, sondern am Browser.
Eine PPTP Verbindung geht allerdings immernoch nicht, auch nicht mit dem Smart VPN Client.
Brauche ich hierfür in der Fritzbox noch was anderes als die Freigabe von 1723 und GRE?
Bitte warten ..
Mitglied: colinardo
01.12.2014, aktualisiert um 17:18 Uhr
Zitat von natas78:

Also mit dem Smart VPN Client von Drytek bekomme ich eine VPN SSL Verbindung hin. Denke also, dass es nicht an den
Routereinstellungen liegt, sondern am Browser.
Dito, sagte ich ja die Browser sind inzwischen sehr restriktiv bei falschen Zertifikatsinfos, besonders wenn Java im Spiel ist so wie das bei Draytek per Browser der Fall zu sein scheint. Siehe Link oben.
Eine PPTP Verbindung geht allerdings immernoch nicht, auch nicht mit dem Smart VPN Client.
Nochmal: "Geht nicht" ist keine Fehlermeldung !! Bitte sag und doch was der Client für einen Fehler meldet. Und was sagen die Paketmitschnitte ? Kommen die Pakete auf Port 1723 auf dem Draytek an oder nicht ?

Brauche ich hierfür in der Fritzbox noch was anderes als die Freigabe von 1723 und GRE?
Nein, das reicht in dem Fall aus. Trotzdem würde ich nicht mehr auf das unsichere PPTP setzen sondern es gleich via OpenVPN oder L2TP/IPSec einrichten.

Grüße Uwe
Bitte warten ..
Mitglied: natas78
07.12.2014, aktualisiert um 18:40 Uhr
Also eine eine Verbindung mit dem VPN-Router kommt zustande. Es hapert aber an der Authentifizierung.

Hier mal ein Telnet-Mitschnitt der beiden Verbindungsversuche:

Zunächst der Verbindungsversuch, wenn ich mich im WLAN der Fritzbox befinde (= Fehlschlag).

0:11:24.010 PPP Start (VPN-0)
0:11:56.610 PPP Closed : LCP Time-out (VPN-0)

Danach ein Verbindungsversuch im WLAN des Draytek-VPN-Routers (hier funktioniert es)

0:12:36.050 PPP Start (VPN-0)
0:12:38.710 CHAP Login OK (VPN-0, (Benutzername))
0:12:38.730 IPCP Opening (VPN-0, (Benutzername))
Own IP Address : 192.168.1.254 Peer IP Address

Danach habe ich die Verbindung manuell getrennt.

0:12:41.890 PPP Closed : Remote Terminating (VPN-0, (Benutzername))

Ich habe echt keine Ahnung woran es noch liegen könnte. Bei beiden malen gehe ich über die externe Feste-IP.
Bitte warten ..
Mitglied: colinardo
07.12.2014, aktualisiert um 20:08 Uhr
Ich habe echt keine Ahnung woran es noch liegen könnte. Bei beiden malen gehe ich über die externe Feste-IP.
Stichwort Hairpin-NAT, bitte versuche die Verbindung von außerhalb deiner Netzwerk direkt aus dem Internet (z.B . via 3G), dann kannst du ein Hairpin-NAT Problem der Fritzbox ausschließen !! Normalerweise haben die Fritten aber keine Probleme mit Harpin NAT, aber überprüfen kann hier nicht schaden ...
Ansonsten helfen uns hier nur noch harte Fakten wie ein Wireshark-Mittschnitt, denn ein LCP Timeout kann mehrere Ursachen haben!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
FritzBox 7490 und Draytek Vigor 130 - geht das ?
gelöst Frage von hyperpacRouter & Routing1 Kommentar

Moin, da die Fritzbox 7490 ja kein 802.1Q unterstützt möchte ich folgendes tun: - Fritzbox als VDSL2 Modem und ...

Router & Routing
LAN-to-LAN VPN Draytek Vigor 2910 und FritzBox 7490
Frage von bobbele66Router & Routing21 Kommentare

Hallo an die VPN Experten, Szenario: gehosteter Server, hier steht ein konfigurierter (gemieteter) VPN Router Draytek Vigor 2910. Büro, ...

Router & Routing
VPN DrayTek Vigor 2960
Frage von ZappBrannigenRouter & Routing

Hallo, ich bin dabei einen Router einzurichten, es handelt sich um einen DrayTek Vigor 2960. Es funktioniert soweit fast ...

LAN, WAN, Wireless
VPN Edge Router zu Fritzbox 7490
Frage von WebKameraLAN, WAN, Wireless2 Kommentare

Hallo, ich habe einen Edgerouter von Ubiquiti. An dem hängen 4 IPKameras. Ich möchte das mir der Edgerouter ein ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 3 StundenVerschlüsselung & Zertifikate

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 14 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 16 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...