mcrelax
Goto Top

DrayTek Vigor2200: VPN-Verbindung mit Windows 2k3

Hallo!

Ich sitze nun schon seit 3 Wochen daran, eine VPN-Verbindung für mein Heimnetzwerk einzurichten. Doch scheinbar lässt mich mein Router nicht durch.

Mein Netzwerk
Ich habe zu Hause einen Router (DrayTek Vigor2200) an meinem Internet-Modem angeschlossen. An diesem Router ist wiederum ein Router (Linksys WRT54GC) angeschlossen, hinter dem sich mein Netzwerk befindet. Im Netzwerk befindet sich ein Windows 2k3-Server, mit dem ich eine VPN-Verbindung aufbauen will.

PC (VPN-Client) ------- Internet ------- DrayTekRouter ------- LinksysRouter ------- Server (VPN-Server)

Am Server lasse ich Eingehende Verbindungen zu.

Gute Nachrichten
Wenn ich auf einem Computer zu Hause eine VPN-Verbindung einrichte (also mit der lokalen IP des Servers), dann kann ich ohne Probleme verbinden.

Wenn ich zwischen den beiden Routern sitze, und eine VPN-Verbindung mit der externen IP-Adresse des Linksys-Routers einrichte, kann ich genauso ohne Probleme verbinden.

Problem
Versuche ich allerdings eine VPN-Verbindung von irgendwo, mit meiner Internet-IP-Adresse einzurichten, sodass ich also über den ersten und den zweiten Router gehe, dann kommen die Probleme:
Beim Anmelden bleibt der externe PC dann länger bei Benutzername und Kennwort werden verifiziert... hängen, und nach etwa 1/2 Minute kommt folgende Fehlermeldung:
Fehler 721: Der Remotecomputer antwortet nicht. Klicken Sie auf "Details" oder suchen Sie im "Hilfe und Supportcetner" nach dieser Fehlernummer um weitere Informationen zu erhalten.

Keine Lösungen
Das Handbuch 1 von DrayTek klingt gut, jedoch habe ich ein anderes Menü, als in der Anleitung beschrieben. Trotzdem habe ich versucht mich daran zu halten. Hat aber leider nichts geholfen.
Weiters habe ich die Ports TCP 1723 (PPTP) und UDP 500 (IPsec) für die IP-Adresse des Linksys-Routers geöffnet. Jedoch wieder ohne Erfolg.

Hinweis:
In meinem Linksys-Router gibt es die Funktion VPN-Passthrough. Damit kann ich ganz einfach VPN-Verbindungen durchschleusen. Doch so etwas habe ich beim DrayTek Router bis jetzt noch nicht gefunden. Das wäre die beste und einfachste Lösung.

Nun noch einige Daten:

DrayTek-Router:
Modell: Vigor2200 Series
Firmware: v2.00

Linksys-Router:
Modell: WRT54GC
Firmware: v1.03.0

Ich kann jeden Rat gut gebrauchen! Bitte gebt mir ein paar Tipps!

Danke!
Benjamin!

Content-ID: 38404

Url: https://administrator.de/forum/draytek-vigor2200-vpn-verbindung-mit-windows-2k3-38404.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

cykes
cykes 21.08.2006 um 11:33:05 Uhr
Goto Top
Hi,

aus welchem Grund hast Du denn 2 Router im Betrieb?
Hast Du schon mal versucht, nur den Linksys mit aktiviertem VPN Passthrough
an das DSL Modem zu hängen?

Kannst mal unter http://www.portforward.com/ nach Deinem Modell schauen,
dort ist die Einrichtung mit Bildschirmfotos sehr gut erklärt.

Gruß

cykes
dalton-1
dalton-1 21.08.2006 um 13:50:31 Uhr
Goto Top
Hallo McRelax
wenn du nur den vigor laufen hättest sollte es kein Prob sein auf deine ressourcen zuzugreifen. ich selbst kenne nur den 2500 und der ist ein vpn-server.
Mit dem linksys, wenn mich nicht alles täuscht, musst du den RAS auf dem server laufen lassen, genauso wie mit einer Fritz Box. Den Dienst GRE solltest dun noch auf die Netzwerkkarte routen, neben dem vpn port 1723
So geht es bei mir (RAS)
Bei einigen anderen problemlos mit dem vigor 2500 ohne RAS.
McRelax
McRelax 21.08.2006 um 14:25:10 Uhr
Goto Top
Vielen Dank für eure Antworten!

Ich habe 2 voneinander getrennte Netzwerke. Daher auch 2 Router. Und ich kann die Router nicht austauschen oder einen von beiden weglassen. Die Router müssen so bleiben.
Aber das gibts doch nicht, dass dieser Router, der so viel kann, der sogar selbst VPN-Server sein kann (nur halt nicht so wie ich es will), das gibt es doch nicht, dass der nicht fähig ist, einfach ein VPN-Passthrough zu machen. Oder?

Auf Portforward.com habe ich auch schon geschaut. Aber da findet man nichtmal das PPTP-Protokoll in der Portliste. Und genausowenig ist VPN bei den Programmen zu finden.

Trotzdem danke!!!
Benjamin!
aqui
aqui 21.08.2006 um 16:59:23 Uhr
Goto Top
So einfach wie du denkst ist das Thema VPN aber nicht..... Die Router supporten meist nur IPsec mit einem entsprechenden Client. IPsec muss dann auch im ESP (Encapsulation Security Payload) laufen. Die 2. Variante ist AH aber bei AH wird die Prüfsumme auch über den externen IP Header errechnet so das diese Variante niemals über NAT in einem Router übertragbar wäre.
PPTP ist ein typisches Windows Protokoll und kommt auch hauptsächlich hier zum Einsatz.
PPTP nutzt GRE (Genereic Route Encapsulation) in einem Tunnel für die Daten und die Authentifizierung passiert parallel mit PPP über TCP Port 1723. Leider mit einem schwachen Authentifizierungsverfahren, weshalb PPTP auch etwas umstritten ist...nundenn.
Der Kanckpunkt ist GRE denn bei diesem Protokoll gibt es keine Ports. Viele Router verwerfen diese Packete kommentarlos und wenn sie denn VPN Passthrough machen können sie dies gerademal für einen einzigen Host im Netzwerk nicht für mehrere.
Da du hier 2 Router einsetzt musst du auch über 2 NAT Prozesse. Allerdings ist das wie dann davon abhängig wie du die Router verbunden hast.
Ich denke mal das sieht so aus:

Internet---(WAN-ADSL.Draytek.LAN)----(WAN.Linksys.LAN)----Server

D.h. du müsstest eingentlich den WAN Port vom Linksys und hier mit einer statischen Adresse im LAN Netz des Draytek haben. Der Linksys macht hier aber auch NAT.
Leider schreibst du nichts darüber so dasman nur raten kann, das ist aber sehr wichtig für die Funktion.
Um das zu lösen muss nun also der Draytek ein Port Forwarding von TCP 1723 auf die Adresse des Linksys haben. Dieser wiederum ein Portforwarding von TCP 1723 auf die IP des Servers. Man kann dann nur hoffen das 2mal VPN Passthrough dem GRE Protokoll nichts ausmacht bzw. hier was hängenbleibt.
Also einfach ist das Konstrukt nicht....zumal auch noch 2 Hersteller im Boot sind.
mogwai
mogwai 22.08.2006 um 00:22:17 Uhr
Goto Top
Interessanter Thread. Post dient dazu, um den Thread weiterverfolgen zu können.
Wüßte nicht wie dies ander geht.

cu ...
McRelax
McRelax 22.08.2006 um 08:23:45 Uhr
Goto Top
Korrekt!

Du hast alles richtig geraten! Ich habe sogar das Port-Forwarding vom Draytek zum Linksys, und vom Linksys zum Server eingerichtet. So wie du es gesagt hast.
Das mit dem GRE-Protokoll wusste ich. Aber gibt es da keine Möglichkeit, das auch durch zu lassen? Durch den Linksys kommt alles ohne Probleme durch. Nur der DrayTek-Router lässt das scheinbar nicht zu.

Tja... Zu Windows oder Router: Ich finde es einfacher Windows für die VPN-Verbindung zu konfigurieren, als den Router. Aber ich denke ich werde mich jetzt mal mit dem Router beschäftigen... Auch wenn ich das eigentlich eh schon gemacht habe und irgendwann aufgegeben hab.
Beispielsweise habe ich das Gefühl, dass man immer die IP-Adressen angeben muss, von den Personen, die die VPN-Verbindung verwenden möchten. Aber ich habe eigentlich keine Lust jede IP-Adresse von meinen Arbeitsstätten herauszufinden. Das wären viele.

Danke!
Benjamin