Bintec-Ipsec Client hinter AVM 7150

Der IP-sec Client von Bintec bringt eine virtuelle Netzwerkkarte mit. Bei der Verbindung über den Cleint wird diese dann genutzt....

Das ist gängige Praxis JEDER Art von VPN Clients !! Wie sollte es denn auch anders funktionieren ?!

Du musst das Port Forwarding auf die lokale LAN Schnittstelle des Rechners einstellen ! Also auf die IP Adresse indem sich auch der Router LAN Port befindet. (Deshalb auch die Anmerkung statt DHCP statische IPs zu verwenden ! Eine virtuelle VPN Schnittstelle bekommt ja niemals vom DHCP Server des Routers eine IP das wäre Quatsch !)

Auf die virtuelle IP Adresse wäre ja vollkommener Unsinn, denn die befindet sich ja in einem ganz anderen IP Netz (Nämlich dem VPN Netz) das der Router nicht kennt. Da wäre dann die Port Weiterleitung so oder so auch völlig ohne Wirkung !

Hallo, mal ne ganz blöde Frage/Lösungsansatz:
Auf dem Client-PC befindet sich nicht zufällig eine Firewall(z.b. Norton Internetsecurity), die den Datenverkehr in ein anderes Netz unterbindet/blokiert?
Ich habe mit dieser Art Software immer wieder mal schwierigkeiten, da die Kunden vergessen das andere Netz als "vertrauenswürdig" zu deklarieren.

mfg Doc Andy

Nachtrag:
Also ich selber greife auf meine Firma mit derselben Software hinter einer AVM Fritzbox 7050 ohne Probleme zu.

Noch ne kleine Anmerkung:

Den Eintrag in der Profilkonfiguration des IPSEC-Clients bzgl. VPN-IP-Netze hast Du hoffentlich gesetzt?!
Mit dem Eintrag(hier muss der Netzwerkbereich des Firmennetzes eingetragen werden) wird definiert, welche Pakete den Tunnel benutzen.

Hast Du die Windows Firewall komplett deaktiviert?
-Reg-Karte Allgemein auf deaktiviert
-Reg-Ausnahmen alle Haken setzen
-Reg-Karte Erweitert alle Haken bei den Verbindungen entfernen

Erst wenn Du die Win-Firewall so konfigurierst, ist Sie auch tatsächlich aus. Ansonsten greifen die Richtlinien/Einschränkungen weiterhin.

Öhm, NAT-T ist gerade für Systeme gedacht, welche eben kein Passthrough bieten. Speziell mit dem Funkwerk IPSec Client habe ich viele Installationen (sogar 2 Vistas), wo das ohne zusätzliches Portforwarding funktioniert (spätestens in den Mobilfunknetzen wirst du das auch kaum konfigurieren können ).

Ostergrüße,
Steffen

Die Firewall der AVM Box hat doch keinerlei Einfluss, das ist doch Unsinn !! Durch die AVM Box läuft doch nur der VPN Tunnel, das ist alles was die sieht. Die Wirkdaten im Tunnel selber kann die AVM Box dann logischerweise ja gar nicht sehen !!!
Da du ja schreibst die VPN Verbindung wird aufgebaut hat die AVM Box damit auch nichts mehr zu tun, denn sonst wäre der Tunnel ja erst gar nicht aufgebaut worden !!!

Kannst du den Tunnelendpunkt also den Bintec Router pingen ??? Nur mal so als Frage ob der Tunnel WIRKLICH aufgebaut ist. Denn das muss immer klappen !! (Vorausgesetzt der Bintec lässt sich pingen !)

Stimmt da hast du Recht. Wie immer ist es nun aber ein Winblows Problem (..und damit vermutlich zu 99% wieder ein Firewall Problem !) wie goaknecht ja nun rausbekommen hat.

Dann kann man ja eigentlich den Thread auf
Wie kann ich einen Beitrag als gelöst markieren?
setzen ?!

Hallo,

ich stehe momentan vor dem selben Problem.
IPSEC Verbindung zwischen einem R1200 und dem Secure IPSec Client funktioniert; jedoch wird kein Host im Zielnetz erreicht, wenn der Client die Internet-Verbindung über einen Router (FritzBox) nutzt.

Wenn man sich am Client-PC (der selbe!) direkt mit PPPOE verbindet, funktioniert alles problemlos.

Windows Firewall ist ausgeschaltet.

Ich habe auch schon versucht die Firewall der FritzBox auszuschalten, indem ich den jeweiligen Client-PC als "Exposed Host" eingetragen habe. Alles jedoch ohne Verbesserung.

Hat mittlerweile jemand eine brauchbare Lösung hierfür?

Das ist de facto eine Fehlkonfiguration deinerseits !!
IPsec Verbindungen über die FB funktionieren fehlerlos wenn diese eine statische Port Weiterleitung der IPsec Ports:
UDP 500
UDP 4500
ESP Protokoll mit der IP Protokoll Nummer 50 (nicht UDP oder TCP 50 !!)
auf den Client eingestellt hat.
Logisch das durch diese statische Port Weiterleitung der Client auch eine feste statische IP haben muss ! Mindestens aber eine IP die auf Baisis seiner Mac Adresse immer dieselbe ist wie im Port Forwarding definiert.
Du musst auch sicherstellen, das die FB keine Fernwartung aktiviert hat, denn sonst blockt sie selber IPsec, da ihre Fernwartungs VPN Funktion auf IPsec basiert !
Wenn du das alles beachtest funktioniert das absolut Problemlos !!
Im Zweifel einen alternativen Client austesten wie den freien Shrew VPN Client !

So, ich habe jetzt die 3 Portweiterleitungen eingerichtet, und siehe da:

->keine Verbesserung!

Natürlich hat der Client ein feste IP, und die FritzBox eigene Ferwartung ist auch deaktiviert.

Dass das mit der Portweiterleitung nix bringt war quasi vorher schon klar, denn ich habe das ja bereits per Exposed Host versucht, so dass jeglicher eingehender Verkehr auf den Client geht.

Es muss ja definitiv mit der FritzBox zu tun haben, aber es kann (selbst wenn das jetzt funktionieren würde) ja nicht sein, dass man bei jedem Router, eines möglichen Mitarbeiters solche Einstellungen vornehmen muss... Oder wie sollen dann Zugänge von öffentlichen Orten aus möglich sein?? z.B. Flughafen, Internet-Cafe, Hotspot, UMTS, u.s.w.

Ja, damit hast du vermutlich Recht. Wenn es bei allen anderen klappt und nur bei diesem einen Client nicht liegt der Fehler zu 99% dort !
Nun musst du etwas schwerere Geschütze rausholen !
Es gibt mehrere Ursachen:

• Client Rechner filtert IPsec durch lokale FW
• FB filtert mehr oder weniger diese Pakete
• Lokaler Provider filtert IPces Verbindungen

Dafür musst du nun erstmal checken ob überhaupt IPsec Verbindungsanforderungen beim Bintec ankommen.
Dazu nimmst du einen Wireshark Sniffer oder MS Netmonitor auf dem Clientrechner installieren und checken ob hier sauber die IPsec Pakete rausgehen. Um ganz sicher zu gehen das sie nicht in einer lokalen FW des Clientrechners hängenbleiben am besten mit einem externen Wireshark im LAN checken ob diese Pakete rausgehen Richtung FB.
Das gleiche machst du analog auf der Bintec Seite und checkst ob dort eingehende IPsec Anforderungen genau von diesem Client kommen.
Da der Bintec ein guter Router ist führt der auch ein Syslog. Statt Paket Sniffer kannst du also auch hier im Log genau nachsehen ob dort Pakete von diesem Client eingehen.
Analog siehst du natürlich auch mit dem Wireshark ob der Bintec auf Clientseite auf IPsec Requestes an den Bintec antwortet, denn du siehst ja dann dort auch die Antwortpakete vom Bintec !
Es ist nicht ganz klar was und woher der o.a. Logbuch Auszug kommt. Wenn das aber die Client ist dann sieht das ganz gut aus, denn dort sind keine Fehler zu sehen.
Dumm ist natürlich mal wieder das für die VPN wieder eins der 192.168er Banalnetze verwendet wurde ! Du musst also auch zwingend darauf achten das es nicht zu einer Überschneidung kommt sollte der Client ebenfalls dieses Netz nutzen. Es gilt immer das hier zum VPN Design:
VPNs einrichten mit PPTP
Ist das der Fall ist dann klar das nix klappt !
Das musst du also prüfen, damit du genau sehen kannst WO diese IPsec Pakete hängenbleiben. Genau an dem Punkt setzt du dann an.
Wenns ganz böse kommt filtert der Provider IPsec Verbindungen da er diese nur Business Kunden verkaufen will. Dann hast du allerdings ein generelles Problem was du erstmal so nicht lösen kannst. Ggf. also vorher mal die Hotline des Providers anrufen bevor du dir einen Wolf suchst !