Draytek 2200 - VPN L2TP IPSEC hinter FritzBox
Hallo,
ich habe heute versucht zu einem Draytek 2200 eine VPN Verbindung aufzubauen.
Ich habe in der Vergangenheit dafür das Protokoll PPTP verwendet.
Auf der Clientseite habe ich den Draytek SmartClient verwendet. Das Ganze hat auch wunderbar funktioniert.
Jetzt würde ich gerne auf IPSEC umstellen, dies ist mir aber leider nicht gelungen.
Ich habe alles entsprechend dieser Anleitung eingestellt: http://www.draytek.de/Beispiele_html/VPN/Host-LAN-L2TP-over-IPSec.htm
Ich bekomme aber keine Verbindung zu Stande.
Auf der Clientseite steht eine FritzBox. Muss ich auf der Clientseite Ports weiterleiten?
Müssen auf der Serverseite am Drytek Ports weitergeleitet werden?
Ich verwende auf beiden Seiten dynamische Adressen.
Ich könnte aber auf der Serverseite auch eine feste IP verwenden.
Wäre super wenn mir jemand helfen könnte.
Vielen Dank.
mfg
Alforno
ich habe heute versucht zu einem Draytek 2200 eine VPN Verbindung aufzubauen.
Ich habe in der Vergangenheit dafür das Protokoll PPTP verwendet.
Auf der Clientseite habe ich den Draytek SmartClient verwendet. Das Ganze hat auch wunderbar funktioniert.
Jetzt würde ich gerne auf IPSEC umstellen, dies ist mir aber leider nicht gelungen.
Ich habe alles entsprechend dieser Anleitung eingestellt: http://www.draytek.de/Beispiele_html/VPN/Host-LAN-L2TP-over-IPSec.htm
Ich bekomme aber keine Verbindung zu Stande.
Auf der Clientseite steht eine FritzBox. Muss ich auf der Clientseite Ports weiterleiten?
Müssen auf der Serverseite am Drytek Ports weitergeleitet werden?
Ich verwende auf beiden Seiten dynamische Adressen.
Ich könnte aber auf der Serverseite auch eine feste IP verwenden.
Wäre super wenn mir jemand helfen könnte.
Vielen Dank.
mfg
Alforno
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 117244
Url: https://administrator.de/forum/draytek-2200-vpn-l2tp-ipsec-hinter-fritzbox-117244.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
6 Kommentare
Neuester Kommentar
Wenn der Draytek direkt am Internet ist muss du da gar nichts forwarden !
Wenn der Client hinter einem Router hängt musst du dort:
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP (IP Protokoll Nummer 50)
Achtung IPsec ESP ist ein eigenständiges IP Protokoll, kein UDP oder TCP 50 !
Diese 3 Ports müssen auf die lokale IP des Clients weitergeleitet werden. Dafür sollte der Client auch tunlichst eine statische IP haben denn sollte sich seine IP mit DHCP aufgrund der Dynmaik von DHCP einmal ändern ists wieder aus mit der VPN Verbindung !
Damit sollte das dann problemlos klappen !
Wenn der Client hinter einem Router hängt musst du dort:
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP (IP Protokoll Nummer 50)
Achtung IPsec ESP ist ein eigenständiges IP Protokoll, kein UDP oder TCP 50 !
Diese 3 Ports müssen auf die lokale IP des Clients weitergeleitet werden. Dafür sollte der Client auch tunlichst eine statische IP haben denn sollte sich seine IP mit DHCP aufgrund der Dynmaik von DHCP einmal ändern ists wieder aus mit der VPN Verbindung !
Damit sollte das dann problemlos klappen !
Nein, das wäre nicht sinnvoll und rausgeschmissens Geld, denn dein Virgor kann ja alles... !
ESP verwendet dann halt nicht den Agressive sondern den Main Mode der so oder so sicherer ist.
Details dazu findest du hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Wie das eingestellt wird auf dem Draytek kannst du hier sehen:
http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-L2TP.htm
Deinen Frage:
"Mehr als L2TP / IPSEC ist aber nicht drin, oder?..."
ist unverständlich ?? Was meinst du damit ??
Wenn du außer dem Winblows L2TP noch einen anderen IPsec Client verwenden willst, dann kannst du den von Shrewsoft verwenden:
http://www.shrew.net/
Die Anleitung zur Konfiguration findest du hier:
http://www.draytek.de/Beispiele/VPN/ShrewSoft_Client.pdf
Damit klappt es auch oder eben mit PPTP...oder was sollte deine Frage bedeuten ??
ESP verwendet dann halt nicht den Agressive sondern den Main Mode der so oder so sicherer ist.
Details dazu findest du hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Wie das eingestellt wird auf dem Draytek kannst du hier sehen:
http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-L2TP.htm
Deinen Frage:
"Mehr als L2TP / IPSEC ist aber nicht drin, oder?..."
ist unverständlich ?? Was meinst du damit ??
Wenn du außer dem Winblows L2TP noch einen anderen IPsec Client verwenden willst, dann kannst du den von Shrewsoft verwenden:
http://www.shrew.net/
Die Anleitung zur Konfiguration findest du hier:
http://www.draytek.de/Beispiele/VPN/ShrewSoft_Client.pdf
Damit klappt es auch oder eben mit PPTP...oder was sollte deine Frage bedeuten ??
Microsoft gibt an das deren L2TP Lösung noch den Port UDP 1701 benötigt also fehlte der in der Liste oben wenn du L2TP machen willst.
Es wären dann folgende Ports die lokal auf die Draytek IP geforwardet werden müssten:
UDP 500 (IKE)
UDP 1701 (MS L2TP)
UDP 4500 (NAT-T)
ESP (IP Protokoll Nummer 50)
IPsec gilt gemeinhin als sicherer gegenüber PPTP. Ob du das mit einem dedizierten IPsec Client benutzt oder mit L2TP die als Transport IPsec benutzen ist dabei egal.
Alternativ kannst du zu L2TP 2 freie IPsec VPN Clients versuchen, von Shrewsoft
http://www.shrew.net/
oder GateProtect die mit den Standardports bei IPsec auskommen.
In jedem Falle solltest du dringend für diesen test auf deinem Draytek den Syslog aktivieren und die Logging Meldungen des Draytek auf einen lokalen Syslog Server schicken wie z.B. dem freien Kiwi Syslog:
http://www.kiwisyslog.com/kiwi-syslog-server-overview/
Dann hätte man hier konkrete fehlermeldungen und müsste nicht wild raten
Es wären dann folgende Ports die lokal auf die Draytek IP geforwardet werden müssten:
UDP 500 (IKE)
UDP 1701 (MS L2TP)
UDP 4500 (NAT-T)
ESP (IP Protokoll Nummer 50)
IPsec gilt gemeinhin als sicherer gegenüber PPTP. Ob du das mit einem dedizierten IPsec Client benutzt oder mit L2TP die als Transport IPsec benutzen ist dabei egal.
Alternativ kannst du zu L2TP 2 freie IPsec VPN Clients versuchen, von Shrewsoft
http://www.shrew.net/
oder GateProtect die mit den Standardports bei IPsec auskommen.
In jedem Falle solltest du dringend für diesen test auf deinem Draytek den Syslog aktivieren und die Logging Meldungen des Draytek auf einen lokalen Syslog Server schicken wie z.B. dem freien Kiwi Syslog:
http://www.kiwisyslog.com/kiwi-syslog-server-overview/
Dann hätte man hier konkrete fehlermeldungen und müsste nicht wild raten