IPSec VPN von Client hinter Fritzbox zu Astaro Firewall - End-to-Site
Hallo,
möchte es Clients ermöglichen extern über ihre Internetverbindung eine
VPN-Verbindung mit unserem Netzwerk herzustellen.
Ist es möglich ein IPSec-VPN von einem Client hinter einer Fritzbox, welche NAT verwendet, zur Astaro Security Gateway V7 (Firewall) herzustellen?
VPN-Client ---> FritzBox7141 ---> Internet ---> Astaro V7
Wenn ich die Fritzbox als DSL-Modem nutze, dann funktioniert die Verbindung,
wenn ich die Fritzbox als Router (mit NAT) nutze, dann nicht.
Habe etwas gelesen, wo geschrieben stand, dass der AH von IPSec den IP-Header verpackt und einen HASH-Wert bildet, der durch das NAT natürlich erneut verpackt, also verändert wird und somit ungültig wird.
Nun würde ich gerne wissen, ob es da eine Lösung gibt, bei der der Client weiterhin hinter einem Router stehen darf, um eine VPN-Verbindung aufzubauen?
Port 500 und ESP ist natürlich offen.
Als VPN-Client verwende ich Astaro Secure Client.
Vielen Dank im Voraus.
P.S.: Bin neu hier ;)
möchte es Clients ermöglichen extern über ihre Internetverbindung eine
VPN-Verbindung mit unserem Netzwerk herzustellen.
Ist es möglich ein IPSec-VPN von einem Client hinter einer Fritzbox, welche NAT verwendet, zur Astaro Security Gateway V7 (Firewall) herzustellen?
VPN-Client ---> FritzBox7141 ---> Internet ---> Astaro V7
Wenn ich die Fritzbox als DSL-Modem nutze, dann funktioniert die Verbindung,
wenn ich die Fritzbox als Router (mit NAT) nutze, dann nicht.
Habe etwas gelesen, wo geschrieben stand, dass der AH von IPSec den IP-Header verpackt und einen HASH-Wert bildet, der durch das NAT natürlich erneut verpackt, also verändert wird und somit ungültig wird.
Nun würde ich gerne wissen, ob es da eine Lösung gibt, bei der der Client weiterhin hinter einem Router stehen darf, um eine VPN-Verbindung aufzubauen?
Port 500 und ESP ist natürlich offen.
Als VPN-Client verwende ich Astaro Secure Client.
Vielen Dank im Voraus.
P.S.: Bin neu hier ;)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 78956
Url: https://administrator.de/forum/ipsec-vpn-von-client-hinter-fritzbox-zu-astaro-firewall-end-to-site-78956.html
Ausgedruckt am: 25.12.2024 um 07:12 Uhr
1 Kommentar
Du schreibst selber das du IPsec in der AH Variante benutzt. Das ist technisch nicht möglich dies über einen NAT Router zu übertragen !!!
AH vermutet einen Man in the Middle Attack da durch NAT die IP des Packetes verändert wird und verweigert den Verbindungsaufbau !
Du hast nur die Chance wenn der VPN Client den ESP Modus benutzt das über den NAT Router zu bringen. Dazu müssen folgende Ports in die Port weiterleitung auf die Client IP eingetragen werden:
ESP IP Protokoll Nummer 50 (Achtung nicht TCP/UDP 50 !)
IKE UDP 500
NAT-T UDP 4500
Wie gesagt mit IPsec im AH Mode ist es nicht möglich. Siehe auch hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
AH vermutet einen Man in the Middle Attack da durch NAT die IP des Packetes verändert wird und verweigert den Verbindungsaufbau !
Du hast nur die Chance wenn der VPN Client den ESP Modus benutzt das über den NAT Router zu bringen. Dazu müssen folgende Ports in die Port weiterleitung auf die Client IP eingetragen werden:
ESP IP Protokoll Nummer 50 (Achtung nicht TCP/UDP 50 !)
IKE UDP 500
NAT-T UDP 4500
Wie gesagt mit IPsec im AH Mode ist es nicht möglich. Siehe auch hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen