Fritzbox: VPN-Problem nach Zwangstrennung mit NAT
Ich benutze 2 Fritzboxen an verschiedenen Standorten, um einen VPN-Tunnel herzustellen und die Remotenetze mittels LAN-LAN-Kopplung miteinander zu verbinden. Sowohl Ping als auch TCP-basierte Verbindungen funktionieren problemlos bis zur DSL-Zwangstrennung.
Nach Wederaufbau des VPN-Tunnels funktioniert zwar wieder der Ping von einem LAN zum anderen, aber bei einigen TCP-Verbindungen (zB SQL Port 3306) wird durch eine der beiden Fritzboxen der TCP-Port des Servers verändert (vermutlich durch NAT) von 3306 auf zB. 61004. Eigentlich sollte im Falle eines Tunnels kein NAT angewendet werden , was auch im Regelbetrieb nicht vorkommt. Aber nach einigen Zwangstrennungen wird der Port dennoch verändert. Eigentlich sollte der Port weiterhin 3306 bleiben.
Da sich meine Linuxkenntnisse leider auf rudimentäre Befehle beschränken bin ich auf Hilfe angewiesen. Die Firma AVM bleibt mir bislang eine Aussagekräftige Antwort schuldig. Hat jmd. eine Idee, welcher Mechanismus das nicht-gewollte NAT verursacht und wie man dieses Phänomen vermeiden kann.
Nach Wederaufbau des VPN-Tunnels funktioniert zwar wieder der Ping von einem LAN zum anderen, aber bei einigen TCP-Verbindungen (zB SQL Port 3306) wird durch eine der beiden Fritzboxen der TCP-Port des Servers verändert (vermutlich durch NAT) von 3306 auf zB. 61004. Eigentlich sollte im Falle eines Tunnels kein NAT angewendet werden , was auch im Regelbetrieb nicht vorkommt. Aber nach einigen Zwangstrennungen wird der Port dennoch verändert. Eigentlich sollte der Port weiterhin 3306 bleiben.
Da sich meine Linuxkenntnisse leider auf rudimentäre Befehle beschränken bin ich auf Hilfe angewiesen. Die Firma AVM bleibt mir bislang eine Aussagekräftige Antwort schuldig. Hat jmd. eine Idee, welcher Mechanismus das nicht-gewollte NAT verursacht und wie man dieses Phänomen vermeiden kann.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 274606
Url: https://administrator.de/forum/fritzbox-vpn-problem-nach-zwangstrennung-mit-nat-274606.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
9 Kommentare
Neuester Kommentar
wird durch eine der beiden Fritzboxen der TCP-Port des Servers verändert (vermutlich durch NAT)
Sorry, aber das ist technischer Unsinn ! NAT verändert niemals die TCP oder UDP Ports sondern einzig nur die Layer 3 IP Adressen !Woher weisst du das ? Hast du mit dem Wireshark mitgesniffert ?
Sollte dem wirklich so sein und ist das im Sniffertrace sichtbar, dann ist das eindeutig ein Bug der Firmware. Es darf doch niemals der Ziel Port verändert werden, denn dann ist der Traffic niemals mehr einer Applikation am Zielsystem zuortbar und würde den sofortigen Stillstand und Abbruch der Kommunikation bedeuten.
Ausserdem ist deinen Vermutung absolut korrekt, denn der VPN Tunnel selber ist vom NAT Prozess ausgenommen. Das muss auch so sein, denn sonst wäre eine transparente Kommunikation beider Seiten bei einer LAN zu LAN Kopplung unmöglich !
Stimmt das alles was du sagst hier müsste man einen Firmware Bug annehmen.
Ist deine Firmware auf dem aktuellsten Stand ?
Du hast zweifelsohne Recht was die Source Ports anbetrifft. Klar, die werden wie auch die Source Adresse umgeschrieben, das steht außer Frage.
Oben redest du aber von den Destination Ports und die können unmöglich umgeschrieben werden. Ggf. war das missverständlich sorry.
Die Source Ports sind aber für die Kommunikation vollkommen uninteressant.
Und ja du hast Recht NAT im VPN Tunnel ist völliger Blödsinn und auch kontraproduktiv, denn so ist keine saubere geroutete Kommunikation zwischen den via VPN gekoppelten LAN Netzen mehr möglich. Kein Mensch macht so einen Unsinn, da hast du Recht.
Ob du iptables Regeln aktiv hast kannst du mit iptables -L checken.
Oben redest du aber von den Destination Ports und die können unmöglich umgeschrieben werden. Ggf. war das missverständlich sorry.
Die Source Ports sind aber für die Kommunikation vollkommen uninteressant.
Und ja du hast Recht NAT im VPN Tunnel ist völliger Blödsinn und auch kontraproduktiv, denn so ist keine saubere geroutete Kommunikation zwischen den via VPN gekoppelten LAN Netzen mehr möglich. Kein Mensch macht so einen Unsinn, da hast du Recht.
Ob du iptables Regeln aktiv hast kannst du mit iptables -L checken.