3
IPSec (Tunnel) über NAT-T Firewall auf Draytek nicht möglich?
Hallo,
ich habe hier einen Vista Business Arbeitsplatz (alle Updates, Firewall aus), welcher hinter einer Astaro v6.x Firewall hängt. Diese beherrscht NAT-T, welches auch aktiv ist.
Ich will nun mit diverser IPSec-Clientsoftware (gateProtect sowie Draytek-Client) auf einen Draytek verbinden, welcher über DynDNS angesprochen werden kann.
Also Entferntes Subnet ist 192.168.215.0/25, das lokale .254.0/24 ...
Eine PPTP-Verbindung über Windows bzw. die Draytek-Clientsoftware läuft bereits sehr stabil und gut.
Nur mit IPSec (Tunneling) bzw. L2TP + IPSec funzt es partout nicht.
Woran liegts? Was mach' ich falsch?
ich habe hier einen Vista Business Arbeitsplatz (alle Updates, Firewall aus), welcher hinter einer Astaro v6.x Firewall hängt. Diese beherrscht NAT-T, welches auch aktiv ist.
Ich will nun mit diverser IPSec-Clientsoftware (gateProtect sowie Draytek-Client) auf einen Draytek verbinden, welcher über DynDNS angesprochen werden kann.
Also Entferntes Subnet ist 192.168.215.0/25, das lokale .254.0/24 ...
Eine PPTP-Verbindung über Windows bzw. die Draytek-Clientsoftware läuft bereits sehr stabil und gut.
Nur mit IPSec (Tunneling) bzw. L2TP + IPSec funzt es partout nicht.
Woran liegts? Was mach' ich falsch?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 71612
Url: https://administrator.de/contentid/71612
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
3 Kommentare
Neuester Kommentar
Eigentlich klappt das sehr zuverlässig mit den Drayteks so das man fast von einem Konfig Fehler ausgehen kann !
Hier:
http://www.draytek.de/Beispiele.htm (unter VPN)
bzw. hier:
http://www.draytek.com/support/support_note/router/application/vpn_solu ...
kannst du nochmal genau nachlesen wie es einzustellen ist !
Vorsicht ist auch bei einigen Providern (wie z.B. Arcor) geboten, die outgoing IPsec Verbindungen in ihrem internen Netz filtern. Zur Sicherheit solltest du nochmal bei deinem Provider nachfragen ob solcherlei Filter bestehen, sonst konfigurierst du dich schwarz... !
Wenn IPsec durch die Astaro durch muss musst du ebenfalls die korrekten Ports verwenden:
IKE UDP 500
ESP Protokoll (IP Protokollnummer 50) bei IPsec im ESP Modus
NAT T UDP 4500
Benutzt du IPsec im AH Modus ist dies die IP Protokollnummer 51 !!! Achtung AH Modus ist nicht über NAT übertragbar !!!
Hier:
http://www.draytek.de/Beispiele.htm (unter VPN)
bzw. hier:
http://www.draytek.com/support/support_note/router/application/vpn_solu ...
kannst du nochmal genau nachlesen wie es einzustellen ist !
Vorsicht ist auch bei einigen Providern (wie z.B. Arcor) geboten, die outgoing IPsec Verbindungen in ihrem internen Netz filtern. Zur Sicherheit solltest du nochmal bei deinem Provider nachfragen ob solcherlei Filter bestehen, sonst konfigurierst du dich schwarz... !
Wenn IPsec durch die Astaro durch muss musst du ebenfalls die korrekten Ports verwenden:
IKE UDP 500
ESP Protokoll (IP Protokollnummer 50) bei IPsec im ESP Modus
NAT T UDP 4500
Benutzt du IPsec im AH Modus ist dies die IP Protokollnummer 51 !!! Achtung AH Modus ist nicht über NAT übertragbar !!!
Ja, ich wollte den ESP-Modus, da ich das mit AH schon las, danke.
Auch die Konfigbeispiele von Draytek habe ich überprüft/gelesen.
Ich denke, es hängt irgendwie(?) mit der Astaro zusammen, nur wie genau... *Axlzuckend*
Norm. lässt sie intern alles raus, da wird nix groß gefiltert. Und ich dachte, wenn ich von Intern eine NAT-Session anschmeisse, so lässt die SPI-Firewall auch die Pakete wieder herein, welche dazugehören, oder habe ich das falsch verstanden?
Ich denke, ich werde dies heute Abend von Zuhause (nur über eine FritzBox) testen.
Auch die Konfigbeispiele von Draytek habe ich überprüft/gelesen.
Ich denke, es hängt irgendwie(?) mit der Astaro zusammen, nur wie genau... *Axlzuckend*
Norm. lässt sie intern alles raus, da wird nix groß gefiltert. Und ich dachte, wenn ich von Intern eine NAT-Session anschmeisse, so lässt die SPI-Firewall auch die Pakete wieder herein, welche dazugehören, oder habe ich das falsch verstanden?
Ich denke, ich werde dies heute Abend von Zuhause (nur über eine FritzBox) testen.
Ja normalerweise bei klassischen Protokollen ist dem auch so, nicht aber bei Protokollen die eine dynamische Portauswahl treffen und dazu gehört nun mal die Suite von IPsec.
Das musst du also in jedem Falle customizen auf der Astaro !
Das musst du also in jedem Falle customizen auf der Astaro !
