Digitalisierungsbox Premium VPN End-to-Site ShrewSoft Probleme
Hallo
Ich habe seit Kurzem eine Digitalisierungsbox Premium.
Bisher habe ich alles funktionierend konfiguriert bekommen: Internet, VoIP, LAN und NAT für http und https. Ich kann von außen auf die http/https-Freigaben zugreifen.
Was aber nicht klappt ist eine Einwahl ins Netzwerk über VPN. Ich habe mich da stark an die Anleitung unter https://www.youtube.com/watch?v=4nFBUa0PP1Q&t=2s gehalten und dann ShrewSoft VPN-Client analog konfiguriert.
Verschlüsselung mit AES und SHA2-256 und DH-Gruppe 14.
In der D-Box Firewall habe ich einen Eintrag für die VPN-Verbindung erstellt und ihr Rechte auf alle Dienste gegeben.
Wenn ich nun versuche mich mit dem VPN der Digitalisierungsbox zu verbinden passiert wenig und ich bekomme einen Negotiation Timeout.
Ich denke, daß die VPN-Anfrage garnicht durch die D-Box durchgeht, sondern irgendwo vorher stecken bleibt.
Muß ich im NAT hierfür noch etwas einstellen (wenn es wie in meinem Fall schon Einträge gibt)?
Bin für Tipps dankbar.
Johannes
Ich habe seit Kurzem eine Digitalisierungsbox Premium.
Bisher habe ich alles funktionierend konfiguriert bekommen: Internet, VoIP, LAN und NAT für http und https. Ich kann von außen auf die http/https-Freigaben zugreifen.
Was aber nicht klappt ist eine Einwahl ins Netzwerk über VPN. Ich habe mich da stark an die Anleitung unter https://www.youtube.com/watch?v=4nFBUa0PP1Q&t=2s gehalten und dann ShrewSoft VPN-Client analog konfiguriert.
Verschlüsselung mit AES und SHA2-256 und DH-Gruppe 14.
In der D-Box Firewall habe ich einen Eintrag für die VPN-Verbindung erstellt und ihr Rechte auf alle Dienste gegeben.
Wenn ich nun versuche mich mit dem VPN der Digitalisierungsbox zu verbinden passiert wenig und ich bekomme einen Negotiation Timeout.
Ich denke, daß die VPN-Anfrage garnicht durch die D-Box durchgeht, sondern irgendwo vorher stecken bleibt.
Muß ich im NAT hierfür noch etwas einstellen (wenn es wie in meinem Fall schon Einträge gibt)?
Bin für Tipps dankbar.
Johannes
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 366766
Url: https://administrator.de/contentid/366766
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
7 Kommentare
Neuester Kommentar
In der D-Box Firewall habe ich einen Eintrag für die VPN-Verbindung erstellt
Welchen denn ??Die 3 IPsec Komponenten sind UDP 500, UDP 4500 und das ESP Protokoll mit der IP Nummer 50 (Achtung: Kein UDP oder TCP 50 !)
Ich denke, daß die VPN-Anfrage garnicht durch die D-Box durchgeht
Das ist zu vermuten.Leider warst du ja nichtmal in der Lage das Log der D-Box UND auch das Log des VPN Clients hier zu posten
Dann hätten wir sofort gesehen woarn es liegt !
Muß ich im NAT hierfür noch etwas einstellen
Nein, im NAT nicht wenn die D-Box selber VPN Server ist. Aber in der Firewall das die die o.a. Ports zulässt.Siehe auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Prozeduren sind mehr oder minder identisch.
Du kannst dir die Shrew Konfig auch am Beispiel der FritzBox ansehen das ist mehr oder minder das gleiche an diesen billigen Consumer Routern:
https://www.rokawedes.de/faq-reader/wie-baue-ich-eine-vpn-verbindung-zur ...
Grundsätzlich muss man sich aber fragen warum du ein Loch in deine Firewall bohrst und deine Web Server im lokalen Netz frei im Internet exponierst dann aber zusätzlich ein VPN aufsetzen willst.
Irgendwie ja etwas widersprüchlich ?!
Nee schimpfen tun wir nicht nur ist das schon komisch das man erst die Sicherheit mit Füßen tritt (Port Forwarding für HTTP) und dann aber ein VPN. Das wiederspricht sich etwas.
Warum du einen Cisco gegen ne billige Bintec Gurke tauschst muss man sicher nicht verstehen, aber egal.
Mit dem Cisco hättest du für die Webserver wenigstens eine siucher DMZ mit Firewall usw. bauen können. Mit der Bintec Gurke entfällt das nun. Aber du wirst ja sic her Gründe dafür haben. Außerdem ist das ein anderes Thema und wir bleiben jetzt erstmal beim VPN.
Also einer bietet AES an der andere kann aber nur 3DES oder sowas. Der Proposal muss alle Schlüsseloptionen umfassen die beide Seiten können.
Das musst du anpassen, dann sollte es sofort klappen.
Mode auf Agressive nicht vergessen.
Warum du einen Cisco gegen ne billige Bintec Gurke tauschst muss man sicher nicht verstehen, aber egal.
Mit dem Cisco hättest du für die Webserver wenigstens eine siucher DMZ mit Firewall usw. bauen können. Mit der Bintec Gurke entfällt das nun. Aber du wirst ja sic her Gründe dafür haben. Außerdem ist das ein anderes Thema und wir bleiben jetzt erstmal beim VPN.
(No proposal chosen)
Das zeigt das die im Bintec konfigurierte Cipher Suite nicht mit dem vom Shrew Client übereinstimmt.Also einer bietet AES an der andere kann aber nur 3DES oder sowas. Der Proposal muss alle Schlüsseloptionen umfassen die beide Seiten können.
Das musst du anpassen, dann sollte es sofort klappen.
Mode auf Agressive nicht vergessen.
mega-anstrengende Konfiguration des Cisco-Routers...
Was bitte ist daran anstrengend. Cisco CLI ist der quasi Standard in der Netzwerkwelt. Das ist so wie Microsoft Klicki Bunti in der PC Welt.Außerdem gibt es hier im Forum ein Abtipp fertiges Tutorial für Anfänger....
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Mal ganz zu schweigen von den Top Debug Möglichkeiten des Routers...aber egal, ganz andere Baustelle.
Laut Fehlermeldung kann aber einer der beiden diese Cipher Kombination nicht. Und da die D-Box diesen Fehler ausgibt ist sie das.
Klick den Shrew mal das er als proposal auch den Klassiker 3DES, AES128 und SHA1 akzeptiert. Bintec ist nicht gerade für Innovationen im Router geschweige denn VPN Umfeld bekannt. Möglich also das die noch olle Kamellen dort im Einsatz haben. Den Versuch ist es wert.
Sieht man sich die meisten Seiten dazu im Internet an:
https://www.router-forum.de/bintec/ipsec-bintec-shrew-soft-client.t51944 ...
http://edv-helferlein.de/digitalisierungsbox-smart-vpn-mit-shrewsoft
https://www.andysblog.de/telekom-digitalisierungsbox-premium-und-vpn-fue ...
kann die Bintec nur AES 128 und SHA 1. Was dann auch deine Fehlermeldung erklären würde.
Hallo Johannes,
wenn du nach dem Video in deiner Frage vorgegangen bist, dann funktioniert das nicht. Shrew ist ein IPSec-Client, der nur IKEv1 kann. Du musst also auf dem Bintec eine andere Verbindung einstellen.
Auf die Schnelle habe ich dieses Video auf Youtube gefunden. Angesehen habe ich es nicht, aber vielleicht hilft es dir weiter.
BB
wenn du nach dem Video in deiner Frage vorgegangen bist, dann funktioniert das nicht. Shrew ist ein IPSec-Client, der nur IKEv1 kann. Du musst also auf dem Bintec eine andere Verbindung einstellen.
Auf die Schnelle habe ich dieses Video auf Youtube gefunden. Angesehen habe ich es nicht, aber vielleicht hilft es dir weiter.
BB