Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN hinter Fritzboxen - neue Erkenntnisse

Mitglied: Henere

Henere (Level 2) - Jetzt verbinden

08.08.2018, aktualisiert 01:45 Uhr, 1398 Aufrufe, 16 Kommentare

Hallo,

vielleicht interessiert es ja den einen oder anderen. Jedenfalls strotzt das Netz nur voller "Geheimtipps" wie man ein anderes VPN-Gateway hinter einer Fritte betreiben soll. Teils total veraltet. Hier mal die aktuelle Situation:

Bisher war es nötig, auf einer Fritte zum Betreiben eines VPN-Gateways hinter der Fritte teilweise "Exposed Host" zu nutzen und sämtliche VPN-Verbindungen sowie das MyFritz Konto zu löschen um IPSEC_VPN durchreichen zu können.

Ich habe derzeit eine 7490 als VDSL-Modem 100/400. FritzOS: 06.98-60091 BETA Dahinter eine Zyxel USG50
Gegenseite: 200MBit/s Glasfaser und Zyxel USG60W
Nach einigen intensiven Tests nun folgendes:

- Man kann einfach den Exposed Host auf das VPN-GW setzen. Dennoch können weiter Portweiterleitungen eingerichtet werden. (Ob Feature oder BUG sei mal dahin gestellt. Als Feature: SEHR GUT) Ich habe die Ports 25, 587 und 443 auf andere Hosts geleitet, die nicht hinter der USG50 sind. VPN läßt sich von beiden Seiten aufbauen

. Es reicht die Ports / Protokolle
500 UDP
4500 UDP
10000 TCP
ESP
an das VPN-GW durchzureichen. Hierzu ist es nicht mehr erforderlich wie im Eingangssatz zu handeln. VPN läßt sich von beiden Seiten aufbauen

Grüße, Henere

Beitrag darf gerne erweitert / korrigiert werden.









Mitglied: Dilbert-MD
08.08.2018 um 10:05 Uhr
Moin,

interessanter Ansatz.

Wenn an der Fritzbox kein 'Expoded Host' konfiguriert wird, dann macht die Fritzbox wieder NAT??
Ergibt das dann ggf. Doppel-NAT? Einmal an der Fritte und nochmal an der UTM/am VPN-Gateway?

Außer auf den durchgeleiteten Ports werden Portanfragen (Portscans, Pings etc.) an der Fritzbox abgefangen und dürften dann nicht mehr im Log der UTM erscheinen. Oder habe ich jetzt hier einen thermisch bedingten Gedankenfehler?

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
08.08.2018 um 11:34 Uhr
Zitat von Dilbert-MD:

Wenn an der Fritzbox kein 'Expoded Host' konfiguriert wird, dann macht die Fritzbox wieder NAT??

Die macht immer NAT, es sei denn, man hat in der ar.cfg herumgefuscht.

Ergibt das dann ggf. Doppel-NAT? Einmal an der Fritte und nochmal an der UTM/am VPN-Gateway?

Ja!

Außer auf den durchgeleiteten Ports werden Portanfragen (Portscans, Pings etc.) an der Fritzbox abgefangen und dürften dann nicht mehr im Log der UTM erscheinen. Oder habe ich jetzt hier einen thermisch bedingten Gedankenfehler?

Deien frage ist etwas mißverständlich. Alles was die Fritzbox weiterleitet, schöägt normalerweise auf dem exposed host auf, bis auf die Ports, die man woanders weiterleiet.

lks

Gruß
Bitte warten ..
Mitglied: Spirit-of-Eli
08.08.2018 um 11:44 Uhr
Moin,


Bisher war es nötig, auf einer Fritte zum Betreiben eines VPN-Gateways hinter der Fritte teilweise "Exposed Host" zu nutzen und sämtliche VPN-Verbindungen sowie das MyFritz Konto zu löschen um IPSEC_VPN durchreichen zu können.

Das ist rein logisch nach wie vor nötig und etwas anderes stellst du weiter auch nicht dar.
Die Ports müssen in irgend einer Form immer an das VPN-GW weiter geleitet werden.

Ein Problem taucht aber genau dann auf, wenn die FB selbst derartige Konfigurationen hat. In der Reihenfolge greift nämlich als erste die FB selbst.
Daher ist es nach wie vor nicht möglich trotz MyFritz-VPN Konfig hinter der Box ein IPsec Tunnel zu terminieren.



- Man kann einfach den Exposed Host auf das VPN-GW setzen. Dennoch können weiter Portweiterleitungen eingerichtet werden. (Ob Feature oder BUG sei mal dahin gestellt. Als Feature: SEHR GUT) Ich habe die Ports 25, 587 und 443 auf andere Hosts geleitet, die nicht hinter der USG50 sind. VPN läßt sich von beiden Seiten aufbauen


Die Weiterleitung von Ports war doch immer schon möglich obwohl man einen Host in die pseudo DMZ gestellt hat.


. Es reicht die Ports / Protokolle
500 UDP
4500 UDP
10000 TCP
ESP
an das VPN-GW durchzureichen. Hierzu ist es nicht mehr erforderlich wie im Eingangssatz zu handeln. VPN läßt sich von beiden Seiten aufbauen

Das Sind Ports für IPsec.


Gruß
Spirit
Bitte warten ..
Mitglied: sk
08.08.2018, aktualisiert um 12:08 Uhr
Zitat von Henere:
Man kann einfach den Exposed Host auf das VPN-GW setzen. Dennoch können weiter Portweiterleitungen eingerichtet werden. (Ob Feature oder BUG sei mal dahin gestellt. Als Feature: SEHR GUT)

Inwiefern ist das jetzt bemerkenswert? Ist das nicht bei allen Privatenkunden- und SOHO-Geräten der Normalfall? Oftmals heisst diese Funktion ja auch "Default-Server" statt "Exposed Host". Da wird dieses Verhalten bereits an der Bezeichnung offenkundig.


Zitat von Henere:
. Es reicht die Ports / Protokolle
500 UDP
4500 UDP
10000 TCP
ESP
an das VPN-GW durchzureichen.

Bemerkenswert wäre, wenn man auf der Fritzbox das Protokoll ESP dediziert auswählen und "weiterleiten" (eigentlich handelt es sich hierbei um DNAT) könnte. Dies können nämlich die meisten Geräte nicht. Da gehen nur TCP oder UDP.
Wenn es bei der FB jedoch funktionieren sollte, wofür hast Du das VPN-Gateway dann überhaupt noch als "Exposed Host" angegeben? Das wäre dann m.M.n. nicht mehr nötig.


Gruß
sk

Nachtrag:
Wofür soll TCP/10.000 gut sein? Sagt mir nix...
Bitte warten ..
Mitglied: Lochkartenstanzer
08.08.2018 um 12:17 Uhr
Zitat von sk:

Bemerkenswert wäre, wenn man auf der Fritzbox das Protokoll ESP dediziert auswählen und "weiterleiten" (eigentlich handelt es sich hierbei um DNAT) könnte. Dies können nämlich die meisten Geräte nicht. Da gehen nur TCP oder UDP.

Die Fritzbox kann das auch nicht.
Zumindest nicht ohne in der ar.cfg herumzupfuschen.

lks
Bitte warten ..
Mitglied: goscho
08.08.2018 um 12:19 Uhr
Zitat von sk:
Zitat von Henere:
. Es reicht die Ports / Protokolle
500 UDP
4500 UDP
10000 TCP
ESP
an das VPN-GW durchzureichen.

Bemerkenswert wäre, wenn man auf der Fritzbox das Protokoll ESP dediziert auswählen und "weiterleiten" (eigentlich handelt es sich hierbei um DNAT) könnte. Dies können nämlich die meisten Geräte nicht. Da gehen nur TCP oder UDP.
Wenn es bei der FB jedoch funktionieren sollte, wofür hast Du das VPN-Gateway dann nach als Exposed Host angegeben? Das wäre dann m.M.n. nicht mehr nötig.
Das Protokoll ESP weiterzuleiten ermöglichen die Fritten schon lange.

Unschön ist es natürlich, wenn die Fritzbox die Portforwardings einfach handelt, wie sie möchte und nicht so, wie sie eingetragen sind.
Den Fall habe ich nämlich gerade. Es handelt sich dabei um eine FB6490 cable (freie und keine Providerbox).
Dort werden die Portweiterleitungen UDP500 und UDP4500 durch die Fritzbox von extern auf andere Ports gelegt (61000 steigend).

Mal sehen, wann sich der achso kompetente Fritzsupport wieder meldet.

VPN geht trotzdem, da ich die Gegenstelle als Responder nutzen kann und den Lancom hinter dieser Fritte als Initiator.
Bitte warten ..
Mitglied: aqui
08.08.2018, aktualisiert um 13:17 Uhr
Wofür soll TCP/10.000 gut sein? Sagt mir nix...
Ist auch Unsinn und kein Port den IPsec nutzt. Hat dort also nichts zu suchen.
Bei der IANA ist er offiziell als ndmp Protokoll registriert was nichts mit VPNs zu tun hat:
https://www.iana.org/assignments/service-names-port-numbers/service-name ...

Höchstens UDP 1701 macht da im IPsec Umfeld noch Sinn wenn es L2TP ist das IPsec als Tunnel benutzt.
Bei native IPsec sind es rein nur die 2 oben genannten Ports UDP 500, 4500 und das ESP Protokoll was bekanntlich ein eigenständiges IP Protokoll ist mit der Protokoll ID 50.
Bitte warten ..
Mitglied: Henere
09.08.2018 um 01:44 Uhr
Es ist richtig mit dem 10000TCP. Der ist überflüssig.
Also doch nur 500 und 4500 UDP sowie das Protokoll ESP was die Fritte sehr wohl an den Host dahinter weiter leiten kann. Damit klappt der Verbindungsaufbau in beiden Richtungen. Ich habe die VPN-Verbindung der Fritte nicht gelöscht, sondern nur den Haken raus genommen. Das reicht mit dem aktuellen FritzOS.

@goscho: Lösch den Eintrag mit dem Highport und erstelle ihn neu. Danach übernimmt er den 4500UDP auch als externen Port. Kommt beim erstanlegen bei mir auch immer.

unbenannt - Klicke auf das Bild, um es zu vergrößern

Henere
Bitte warten ..
Mitglied: goscho
09.08.2018 um 07:48 Uhr
Zitat von Henere:
@goscho: Lösch den Eintrag mit dem Highport und erstelle ihn neu. Danach übernimmt er den 4500UDP auch als externen Port. Kommt beim erstanlegen bei mir auch immer.
Wäre zu schön, klappt bei mir aber nicht, schon diverse Male versucht.
Bitte warten ..
Mitglied: Henere
09.08.2018 um 13:57 Uhr
Die letzte Software drauf ?
Myfritz deaktiviert ?
Bitte warten ..
Mitglied: goscho
09.08.2018 um 18:28 Uhr
Zitat von Henere:

Die letzte Software drauf ?
Na klar und das tollste ist, dass keine Alternative zur 6.87 gibt.
Myfritz deaktiviert ?
Hab ich noch nie genutzt.
Diese Fritte ist mit fester IP-Adresse im Kabelnetz.
AVM Support untersucht diesen Fall gerade.
Bitte warten ..
Mitglied: FFSephiroth
10.08.2018 um 17:13 Uhr
Ich hab eine Clavister hinter meiner FB 7490. Fritte reicht alles an Exposed Host durch. Auf der Fritte läuft auch myfritz. Fritte und Clavister haben unterschiedliche IP Kreise...ich hab keine Probleme, alles läuft rund.
Bitte warten ..
Mitglied: aqui
11.08.2018 um 12:13 Uhr
Fritte und Clavister haben unterschiedliche IP Kreise...
Dann wäre, was das Transfer Netz anbetrifft, eine Kopplung (Kaskade) technisch unmöglich !
Diese Aussage ist also mehr oder minder sinnfrei wenn man nicht die Segmente benennt wo die IP Adressierung unterschiedlich ist.
Bitte warten ..
Mitglied: FFSephiroth
11.08.2018 um 15:40 Uhr
Fritte hat zB 192.168.5.254 und die Clavister hat als WAN 192.168.5.1 (als Exposed Host). Lan 1 der Clavister hat dann die 192.168.178.1 und Lan 2 die 192.168.2.1.
Bitte warten ..
Mitglied: aqui
12.08.2018 um 15:15 Uhr
Dann passt es wieder...
Bitte warten ..
Mitglied: goscho
15.08.2018 um 16:27 Uhr
So, habe jetzt einen Tipp vom AVM-Support bekommen, wie das gelöst werden kann:
Ein angelegter Benutzer hatte das Recht zur VPN-Nutzung (VPN-Verbindungen zur Fritzbox können hergestellt werden). Nachdem dieser Haken entfernt wurde, wurden die Portweiterleitungen auch korrekt angelegt (bei UDP4500 erst nach dem 2. Versuch).

Den Benutzer hatte ich angelegt, damit eine Einwahl von außen möglich ist. Allerdings sollte die Fritte nie VPN-Endpunkt sein, von daher habe ich diesem User auch nicht bewusst die VPN-Nutzung eingerichtet.
Bitte warten ..
Ähnliche Inhalte
Netzwerke

FritzBox VPN funktioniert zwar, jedoch kein Internetzugriff

Tipp von pelzfruchtNetzwerke1 Kommentar

Moin, Da Ich denke dass der VPN Server der FritzBox für mich reicht, und schneller eingerichtet ist als der ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneerRouter & Routing4 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

TK-Netze & Geräte

Fritzbox als Session Boarder Controller

Tipp von Spirit-of-EliTK-Netze & Geräte15 Kommentare

Moin zusammen, Es wird zwar auch häufig drauf hingewisen das man auch TK Anlagen an den S0 einer Fritzbox ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von 134464Router & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Neue Wissensbeiträge
Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 1 TagDrucker und Scanner3 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 2 TagenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 4 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 5 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

Heiß diskutierte Inhalte
Windows 10
WIN 10 1803 - LTE Stick kein Internetzugriff
Frage von killtecWindows 1023 Kommentare

Hallo, ich habe mit einem Windows 10 1803 Probleme mit einem LTE-Stick. Das gleiche Problem ist bei mehreren Rechnern ...

CPU, RAM, Mainboards
Xeon E5620: noch schnell genug?
Frage von ahussainCPU, RAM, Mainboards19 Kommentare

Hallo allerseits, ich habe die Möglichkeit, aus Restbeständen einen Tower mit Xeon E5620 CPU und 24 GB RAM zu ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
Frage von Marcel1989Datenbanken18 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...

Peripheriegeräte
Steckdose(nleiste) mit Schwellwert für off und mit externem Taster
Frage von ahstaxPeripheriegeräte16 Kommentare

Hallo, ich suche eine Steckdose oder Steckdosenleiste mit externem Taster und Schwellwerterkennung. Zu realisieren ist folgendes: Ein PC soll ...