6
Draytek 2200 - VPN L2TP IPSEC hinter FritzBox
Hallo,
ich habe heute versucht zu einem Draytek 2200 eine VPN Verbindung aufzubauen.
Ich habe in der Vergangenheit dafür das Protokoll PPTP verwendet.
Auf der Clientseite habe ich den Draytek SmartClient verwendet. Das Ganze hat auch wunderbar funktioniert.
Jetzt würde ich gerne auf IPSEC umstellen, dies ist mir aber leider nicht gelungen.
Ich habe alles entsprechend dieser Anleitung eingestellt: http://www.draytek.de/Beispiele_html/VPN/Host-LAN-L2TP-over-IPSec.htm
Ich bekomme aber keine Verbindung zu Stande.
Auf der Clientseite steht eine FritzBox. Muss ich auf der Clientseite Ports weiterleiten?
Müssen auf der Serverseite am Drytek Ports weitergeleitet werden?
Ich verwende auf beiden Seiten dynamische Adressen.
Ich könnte aber auf der Serverseite auch eine feste IP verwenden.
Wäre super wenn mir jemand helfen könnte.
Vielen Dank.
mfg
Alforno
ich habe heute versucht zu einem Draytek 2200 eine VPN Verbindung aufzubauen.
Ich habe in der Vergangenheit dafür das Protokoll PPTP verwendet.
Auf der Clientseite habe ich den Draytek SmartClient verwendet. Das Ganze hat auch wunderbar funktioniert.
Jetzt würde ich gerne auf IPSEC umstellen, dies ist mir aber leider nicht gelungen.
Ich habe alles entsprechend dieser Anleitung eingestellt: http://www.draytek.de/Beispiele_html/VPN/Host-LAN-L2TP-over-IPSec.htm
Ich bekomme aber keine Verbindung zu Stande.
Auf der Clientseite steht eine FritzBox. Muss ich auf der Clientseite Ports weiterleiten?
Müssen auf der Serverseite am Drytek Ports weitergeleitet werden?
Ich verwende auf beiden Seiten dynamische Adressen.
Ich könnte aber auf der Serverseite auch eine feste IP verwenden.
Wäre super wenn mir jemand helfen könnte.
Vielen Dank.
mfg
Alforno
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 117244
Url: https://administrator.de/contentid/117244
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
6 Kommentare
Neuester Kommentar
Wenn der Draytek direkt am Internet ist muss du da gar nichts forwarden !
Wenn der Client hinter einem Router hängt musst du dort:
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP (IP Protokoll Nummer 50)
Achtung IPsec ESP ist ein eigenständiges IP Protokoll, kein UDP oder TCP 50 !
Diese 3 Ports müssen auf die lokale IP des Clients weitergeleitet werden. Dafür sollte der Client auch tunlichst eine statische IP haben denn sollte sich seine IP mit DHCP aufgrund der Dynmaik von DHCP einmal ändern ists wieder aus mit der VPN Verbindung !
Damit sollte das dann problemlos klappen !
Wenn der Client hinter einem Router hängt musst du dort:
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP (IP Protokoll Nummer 50)
Achtung IPsec ESP ist ein eigenständiges IP Protokoll, kein UDP oder TCP 50 !
Diese 3 Ports müssen auf die lokale IP des Clients weitergeleitet werden. Dafür sollte der Client auch tunlichst eine statische IP haben denn sollte sich seine IP mit DHCP aufgrund der Dynmaik von DHCP einmal ändern ists wieder aus mit der VPN Verbindung !
Damit sollte das dann problemlos klappen !
Aqui, ich danke Dir.
Hatte auch ein bisschen auf deine Antwort gehofft.
Ich werde das heute Abend nochmal probieren.
Ich weiß eben nicht ob die olle FritzBox mit der ESP Geschichte klar kommt.
Mehr als L2TP / IPSEC ist aber nicht drin, oder?
Auf der Draytek Seite habe ich zum Thema IPSEC und dem Draytek 2200 noch folgenden Hinweis gefunden: http://www.draytek.de/FAQ/8013.htm
Konnte das leider nicht so richtig nachvollziehen.
Wäre es sinnvoll, den Draytek 2200 durch einen Vigor2910 zu ersetzen?
Vielen Dank für deine Hilfe.
mfg
Alforno
Hatte auch ein bisschen auf deine Antwort gehofft.
Ich werde das heute Abend nochmal probieren.
Ich weiß eben nicht ob die olle FritzBox mit der ESP Geschichte klar kommt.
Mehr als L2TP / IPSEC ist aber nicht drin, oder?
Auf der Draytek Seite habe ich zum Thema IPSEC und dem Draytek 2200 noch folgenden Hinweis gefunden: http://www.draytek.de/FAQ/8013.htm
Konnte das leider nicht so richtig nachvollziehen.
Wäre es sinnvoll, den Draytek 2200 durch einen Vigor2910 zu ersetzen?
Vielen Dank für deine Hilfe.
mfg
Alforno
Nein, das wäre nicht sinnvoll und rausgeschmissens Geld, denn dein Virgor kann ja alles... !
ESP verwendet dann halt nicht den Agressive sondern den Main Mode der so oder so sicherer ist.
Details dazu findest du hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Wie das eingestellt wird auf dem Draytek kannst du hier sehen:
http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-L2TP.htm
Deinen Frage:
"Mehr als L2TP / IPSEC ist aber nicht drin, oder?..."
ist unverständlich ?? Was meinst du damit ??
Wenn du außer dem Winblows L2TP noch einen anderen IPsec Client verwenden willst, dann kannst du den von Shrewsoft verwenden:
http://www.shrew.net/
Die Anleitung zur Konfiguration findest du hier:
http://www.draytek.de/Beispiele/VPN/ShrewSoft_Client.pdf
Damit klappt es auch oder eben mit PPTP...oder was sollte deine Frage bedeuten ??
ESP verwendet dann halt nicht den Agressive sondern den Main Mode der so oder so sicherer ist.
Details dazu findest du hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Wie das eingestellt wird auf dem Draytek kannst du hier sehen:
http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-L2TP.htm
Deinen Frage:
"Mehr als L2TP / IPSEC ist aber nicht drin, oder?..."
ist unverständlich ?? Was meinst du damit ??
Wenn du außer dem Winblows L2TP noch einen anderen IPsec Client verwenden willst, dann kannst du den von Shrewsoft verwenden:
http://www.shrew.net/
Die Anleitung zur Konfiguration findest du hier:
http://www.draytek.de/Beispiele/VPN/ShrewSoft_Client.pdf
Damit klappt es auch oder eben mit PPTP...oder was sollte deine Frage bedeuten ??
Zitat von @aqui:
Deinen Frage:
"Mehr als L2TP / IPSEC ist aber nicht drin, oder?..."
ist unverständlich ?? Was meinst du damit ??
Korrigiere mich bitte wenn ich falsch liege, mehr als gefährliches Halbwissen ist leider nicht vorhanden.Deinen Frage:
"Mehr als L2TP / IPSEC ist aber nicht drin, oder?..."
ist unverständlich ?? Was meinst du damit ??
Ich war davon ausgegangen, dass von den drei Protokollen PPTP, L2TP/IPSEC und IPSEC das letzt genannte das sicherste ist.
Ich werde mich jetzt mal ran machen, deine Hinweise umzusetzen.
Ich denke ich werde weiterhin den Smart Client von Draytek verwenden.
Danke.
mfg
Alforno
So, also ich habe die drei Ports nun auf meinen Client weitergeleitet.
Für das Protokoll ESP ist extra eine Einstellmöglichkeit vorgesehen.
Problem ist aber, dass ich keine Verbindung zu Stande bekomme. Ich habe es sowohl mittels Smart Client als auch mit den Windows Bordmitteln entsprechend der Anleitungen probiert.
Benutzername oder Passwort sollen nicht korrekt sein. Sind sie aber.
Es ist doch richtig, dass ich meinem Client eine feste IP zuweise und auf diese dann die Ports an der FritzBox weiterleite?
Ich habe im VPN Menü des Draytek unter dem Menüpunkt "Einwahlmöglichkeiten" alle drei Protokolle aktiviert.
Würde mich freuen wenn du noch nen Tipp hast.
mfg
Alforno
Für das Protokoll ESP ist extra eine Einstellmöglichkeit vorgesehen.
Problem ist aber, dass ich keine Verbindung zu Stande bekomme. Ich habe es sowohl mittels Smart Client als auch mit den Windows Bordmitteln entsprechend der Anleitungen probiert.
Benutzername oder Passwort sollen nicht korrekt sein. Sind sie aber.
Es ist doch richtig, dass ich meinem Client eine feste IP zuweise und auf diese dann die Ports an der FritzBox weiterleite?
Ich habe im VPN Menü des Draytek unter dem Menüpunkt "Einwahlmöglichkeiten" alle drei Protokolle aktiviert.
Würde mich freuen wenn du noch nen Tipp hast.
mfg
Alforno
Microsoft gibt an das deren L2TP Lösung noch den Port UDP 1701 benötigt also fehlte der in der Liste oben wenn du L2TP machen willst.
Es wären dann folgende Ports die lokal auf die Draytek IP geforwardet werden müssten:
UDP 500 (IKE)
UDP 1701 (MS L2TP)
UDP 4500 (NAT-T)
ESP (IP Protokoll Nummer 50)
IPsec gilt gemeinhin als sicherer gegenüber PPTP. Ob du das mit einem dedizierten IPsec Client benutzt oder mit L2TP die als Transport IPsec benutzen ist dabei egal.
Alternativ kannst du zu L2TP 2 freie IPsec VPN Clients versuchen, von Shrewsoft
http://www.shrew.net/
oder GateProtect die mit den Standardports bei IPsec auskommen.
In jedem Falle solltest du dringend für diesen test auf deinem Draytek den Syslog aktivieren und die Logging Meldungen des Draytek auf einen lokalen Syslog Server schicken wie z.B. dem freien Kiwi Syslog:
http://www.kiwisyslog.com/kiwi-syslog-server-overview/
Dann hätte man hier konkrete fehlermeldungen und müsste nicht wild raten
Es wären dann folgende Ports die lokal auf die Draytek IP geforwardet werden müssten:
UDP 500 (IKE)
UDP 1701 (MS L2TP)
UDP 4500 (NAT-T)
ESP (IP Protokoll Nummer 50)
IPsec gilt gemeinhin als sicherer gegenüber PPTP. Ob du das mit einem dedizierten IPsec Client benutzt oder mit L2TP die als Transport IPsec benutzen ist dabei egal.
Alternativ kannst du zu L2TP 2 freie IPsec VPN Clients versuchen, von Shrewsoft
http://www.shrew.net/
oder GateProtect die mit den Standardports bei IPsec auskommen.
In jedem Falle solltest du dringend für diesen test auf deinem Draytek den Syslog aktivieren und die Logging Meldungen des Draytek auf einen lokalen Syslog Server schicken wie z.B. dem freien Kiwi Syslog:
http://www.kiwisyslog.com/kiwi-syslog-server-overview/
Dann hätte man hier konkrete fehlermeldungen und müsste nicht wild raten
