alforno
Goto Top

Draytek 2200 - VPN L2TP IPSEC hinter FritzBox

Hallo,

ich habe heute versucht zu einem Draytek 2200 eine VPN Verbindung aufzubauen.
Ich habe in der Vergangenheit dafür das Protokoll PPTP verwendet.
Auf der Clientseite habe ich den Draytek SmartClient verwendet. Das Ganze hat auch wunderbar funktioniert.

Jetzt würde ich gerne auf IPSEC umstellen, dies ist mir aber leider nicht gelungen.
Ich habe alles entsprechend dieser Anleitung eingestellt: http://www.draytek.de/Beispiele_html/VPN/Host-LAN-L2TP-over-IPSec.htm

Ich bekomme aber keine Verbindung zu Stande.
Auf der Clientseite steht eine FritzBox. Muss ich auf der Clientseite Ports weiterleiten?

Müssen auf der Serverseite am Drytek Ports weitergeleitet werden?

Ich verwende auf beiden Seiten dynamische Adressen.
Ich könnte aber auf der Serverseite auch eine feste IP verwenden.

Wäre super wenn mir jemand helfen könnte.

Vielen Dank.

mfg
Alforno

Content-ID: 117244

Url: https://administrator.de/forum/draytek-2200-vpn-l2tp-ipsec-hinter-fritzbox-117244.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

aqui
aqui 02.06.2009 um 11:03:33 Uhr
Goto Top
Wenn der Draytek direkt am Internet ist muss du da gar nichts forwarden !

Wenn der Client hinter einem Router hängt musst du dort:

UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP (IP Protokoll Nummer 50)

Achtung IPsec ESP ist ein eigenständiges IP Protokoll, kein UDP oder TCP 50 !
Diese 3 Ports müssen auf die lokale IP des Clients weitergeleitet werden. Dafür sollte der Client auch tunlichst eine statische IP haben denn sollte sich seine IP mit DHCP aufgrund der Dynmaik von DHCP einmal ändern ists wieder aus mit der VPN Verbindung !

Damit sollte das dann problemlos klappen !
Alforno
Alforno 02.06.2009 um 16:12:53 Uhr
Goto Top
Aqui, ich danke Dir.

Hatte auch ein bisschen auf deine Antwort gehofft. face-smile
Ich werde das heute Abend nochmal probieren.

Ich weiß eben nicht ob die olle FritzBox mit der ESP Geschichte klar kommt.

Mehr als L2TP / IPSEC ist aber nicht drin, oder?

Auf der Draytek Seite habe ich zum Thema IPSEC und dem Draytek 2200 noch folgenden Hinweis gefunden: http://www.draytek.de/FAQ/8013.htm

Konnte das leider nicht so richtig nachvollziehen.

Wäre es sinnvoll, den Draytek 2200 durch einen Vigor2910 zu ersetzen?

Vielen Dank für deine Hilfe.

mfg
Alforno
aqui
aqui 02.06.2009, aktualisiert am 18.10.2012 um 18:38:20 Uhr
Goto Top
Nein, das wäre nicht sinnvoll und rausgeschmissens Geld, denn dein Virgor kann ja alles... !
ESP verwendet dann halt nicht den Agressive sondern den Main Mode der so oder so sicherer ist.
Details dazu findest du hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen

Wie das eingestellt wird auf dem Draytek kannst du hier sehen:

http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-L2TP.htm

Deinen Frage:
"Mehr als L2TP / IPSEC ist aber nicht drin, oder?..."
ist unverständlich ?? Was meinst du damit ??

Wenn du außer dem Winblows L2TP noch einen anderen IPsec Client verwenden willst, dann kannst du den von Shrewsoft verwenden:
http://www.shrew.net/
Die Anleitung zur Konfiguration findest du hier:

http://www.draytek.de/Beispiele/VPN/ShrewSoft_Client.pdf

Damit klappt es auch oder eben mit PPTP...oder was sollte deine Frage bedeuten ??
Alforno
Alforno 02.06.2009 um 19:38:10 Uhr
Goto Top
Zitat von @aqui:

Deinen Frage:
"Mehr als L2TP / IPSEC ist aber nicht drin, oder?..."
ist unverständlich ?? Was meinst du damit ??

Korrigiere mich bitte wenn ich falsch liege, mehr als gefährliches Halbwissen ist leider nicht vorhanden.
Ich war davon ausgegangen, dass von den drei Protokollen PPTP, L2TP/IPSEC und IPSEC das letzt genannte das sicherste ist.

Ich werde mich jetzt mal ran machen, deine Hinweise umzusetzen.

Ich denke ich werde weiterhin den Smart Client von Draytek verwenden.

Danke.

mfg
Alforno
Alforno
Alforno 02.06.2009 um 20:41:46 Uhr
Goto Top
So, also ich habe die drei Ports nun auf meinen Client weitergeleitet.
Für das Protokoll ESP ist extra eine Einstellmöglichkeit vorgesehen.

Problem ist aber, dass ich keine Verbindung zu Stande bekomme. Ich habe es sowohl mittels Smart Client als auch mit den Windows Bordmitteln entsprechend der Anleitungen probiert.
Benutzername oder Passwort sollen nicht korrekt sein. Sind sie aber.

Es ist doch richtig, dass ich meinem Client eine feste IP zuweise und auf diese dann die Ports an der FritzBox weiterleite?

Ich habe im VPN Menü des Draytek unter dem Menüpunkt "Einwahlmöglichkeiten" alle drei Protokolle aktiviert.

Würde mich freuen wenn du noch nen Tipp hast.

mfg
Alforno
aqui
aqui 03.06.2009 um 12:01:07 Uhr
Goto Top
Microsoft gibt an das deren L2TP Lösung noch den Port UDP 1701 benötigt also fehlte der in der Liste oben wenn du L2TP machen willst.
Es wären dann folgende Ports die lokal auf die Draytek IP geforwardet werden müssten:
UDP 500 (IKE)
UDP 1701 (MS L2TP)
UDP 4500 (NAT-T)
ESP (IP Protokoll Nummer 50)

IPsec gilt gemeinhin als sicherer gegenüber PPTP. Ob du das mit einem dedizierten IPsec Client benutzt oder mit L2TP die als Transport IPsec benutzen ist dabei egal.

Alternativ kannst du zu L2TP 2 freie IPsec VPN Clients versuchen, von Shrewsoft
http://www.shrew.net/
oder GateProtect die mit den Standardports bei IPsec auskommen.

In jedem Falle solltest du dringend für diesen test auf deinem Draytek den Syslog aktivieren und die Logging Meldungen des Draytek auf einen lokalen Syslog Server schicken wie z.B. dem freien Kiwi Syslog:
http://www.kiwisyslog.com/kiwi-syslog-server-overview/

Dann hätte man hier konkrete fehlermeldungen und müsste nicht wild raten face-sad