Kein VPN möglich mit Zyxel USG110 hinter Fritzbox 7490
Hallo in die Runde.
Zuerst einmal, ich bin wirklich neu in der Thematik, also bitte keine Kommentare wie "man bist Du blöd" ;) Ich bastel seit mehreren Tagen daran eine VPN Verbindung in unser Firmennetzwerk aufzubauen und bekomme es einfach nicht hin. Vielleicht hat jemand von euch soviel Zeit mir wirklich für "Dummies" aufzuschreiben was zu tun ist, vielleicht habe ich einfach nur einen Denkfehler....
Zur Konfiguration:
Fritzbox 7490 > Zyxel USG110 > Netzwerk
Fritzbox IP 192.168.5.11
Zyxel IP 192.168.10.11 / WAN IP 192.168.5.12
Netzwerk 192.168.10.0 - 192.168.10.254
Von ISP haben wir eine feste IP bekommen 217.xx.xx.xx
Als VPN Client habe ich den Zyxel eigenen VPN Client und Bintec-Elmeg VPN Client zur Verfügung.
Ich habe in der Fritzbox bereits versucht die entsprechenden Ports UDP 500, 4500 und 1701 sowie ESP freigegeben und auch schon versucht die USG110 als Exposed Host freizugeben und wie ich hier auch schon gelesen habe, sind alle VPN Verbindungen in der Fritzbox gelöscht.
Da die USG110 von einer externen Firma eingerichtet wurde, bin ich mir nicht unbedingt sicher das dort alle VPN-Einstellungen richtig sind.
Muß ich in der Fritzbox auch noch eine statische Route eintragen?
Wie gesagt, ich bin wirklich für jede Hilfe dankbar, da ich hier langsam verzweifel....
Zuerst einmal, ich bin wirklich neu in der Thematik, also bitte keine Kommentare wie "man bist Du blöd" ;) Ich bastel seit mehreren Tagen daran eine VPN Verbindung in unser Firmennetzwerk aufzubauen und bekomme es einfach nicht hin. Vielleicht hat jemand von euch soviel Zeit mir wirklich für "Dummies" aufzuschreiben was zu tun ist, vielleicht habe ich einfach nur einen Denkfehler....
Zur Konfiguration:
Fritzbox 7490 > Zyxel USG110 > Netzwerk
Fritzbox IP 192.168.5.11
Zyxel IP 192.168.10.11 / WAN IP 192.168.5.12
Netzwerk 192.168.10.0 - 192.168.10.254
Von ISP haben wir eine feste IP bekommen 217.xx.xx.xx
Als VPN Client habe ich den Zyxel eigenen VPN Client und Bintec-Elmeg VPN Client zur Verfügung.
Ich habe in der Fritzbox bereits versucht die entsprechenden Ports UDP 500, 4500 und 1701 sowie ESP freigegeben und auch schon versucht die USG110 als Exposed Host freizugeben und wie ich hier auch schon gelesen habe, sind alle VPN Verbindungen in der Fritzbox gelöscht.
Da die USG110 von einer externen Firma eingerichtet wurde, bin ich mir nicht unbedingt sicher das dort alle VPN-Einstellungen richtig sind.
Muß ich in der Fritzbox auch noch eine statische Route eintragen?
Wie gesagt, ich bin wirklich für jede Hilfe dankbar, da ich hier langsam verzweifel....
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 309716
Url: https://administrator.de/forum/kein-vpn-moeglich-mit-zyxel-usg110-hinter-fritzbox-7490-309716.html
Ausgedruckt am: 14.05.2025 um 22:05 Uhr
24 Kommentare
Neuester Kommentar
Moin,
ist das ein Kabel Anschluss? Und irgendwie vermisse ich da noch das ESP Protokoll, das von der FB zur USG geleitet werden sollte.
Gruß
Uwe
ist das ein Kabel Anschluss? Und irgendwie vermisse ich da noch das ESP Protokoll, das von der FB zur USG geleitet werden sollte.
Gruß
Uwe
Nein ein normaler Telekom DSL Anschluss. ESP habe ich freigegeben, hatte ich das nicht geschrieben?
Gruß
Christian
Gruß
Christian
Sorry, hab ich übersehen. Was gibt denn die Ereignisanzeige der USG her?
1701 kannst Du wieder schließen. Wenn es denn kein L2TP over IPSec ist.
1701 kannst Du wieder schließen. Wenn es denn kein L2TP over IPSec ist.
Moin,
VPN-verbindungen aus dem Netz hinter der Fritzbox heraus unterliegen einschränkungen.
Um IPSEC-VPN-Verbindung an einer Kiste hinter der fritzbox zu terminieren, muß auf der Fritzbix alles was mit VPN zusam,menhängt rausgenommen werden und VPN-endpoit hinter der Fritzbox als exposed host freigegeben werden. ESP (=IP-protokoll 50) kann in der Fritzbox mit Bordmittel nciht an einen Host dahinter weitergereuicht werden.
lks
VPN-verbindungen aus dem Netz hinter der Fritzbox heraus unterliegen einschränkungen.
Um IPSEC-VPN-Verbindung an einer Kiste hinter der fritzbox zu terminieren, muß auf der Fritzbix alles was mit VPN zusam,menhängt rausgenommen werden und VPN-endpoit hinter der Fritzbox als exposed host freigegeben werden. ESP (=IP-protokoll 50) kann in der Fritzbox mit Bordmittel nciht an einen Host dahinter weitergereuicht werden.
lks
Die gibt insofern gar nichts her, also komme ich wahrscheinlich noch nicht mal bis zur Firewall?! Wenn ich versuche in der fritzbox eine statische Route einzurichten, steht dort Uhr "wan1 dead"... Also mache ich da wahrscheinlich schon einen Fehler....
Hatte irgendwo gelesen 1701 brauche ich für IPSec?!
Hatte irgendwo gelesen 1701 brauche ich für IPSec?!
Das habe ich ja oben schon geschrieben, in der Fritzbox habe ich alle VPN Verbindungen gelöscht und nicht nur deaktiviert. Exposed host hatte ich zur Firewall aktiviert, leider auch ohne Erfolg....
Zitat von @Storm78:
Die gibt insofern gar nichts her, also komme ich wahrscheinlich noch nicht mal bis zur Firewall?! Wenn ich versuche in der fritzbox eine statische Route einzurichten, steht dort Uhr "wan1 dead"... Also mache ich da wahrscheinlich schon einen Fehler....
Hatte irgendwo gelesen 1701 brauche ich für IPSec?!
Die gibt insofern gar nichts her, also komme ich wahrscheinlich noch nicht mal bis zur Firewall?! Wenn ich versuche in der fritzbox eine statische Route einzurichten, steht dort Uhr "wan1 dead"... Also mache ich da wahrscheinlich schon einen Fehler....
Hatte irgendwo gelesen 1701 brauche ich für IPSec?!
In der Fritzbox brauchst Du normalerweise keine satische Router, wenn der VPN-Router dahinter sitzt. Allerdings Sollte Du denjenigen der den VPN-Route reingerichtet hat mal fragen, welches Protokoll (IPSEC? SSL-VPN? irgendetwas anderes?) mit welchen Parametern er eingerichtet hat und was genau er benötigt.
lks
Du brauchst keine statische Route. Was mich aber wundert ist "wan1 dead". Hängt die USG denn auch mit WAN1 an der FB oder ist da eventuell der Port mit WAN2 vertauscht?
Du könntest übrigens mit
http://fritz.box/html/capture.html
mitsniffen, was zwischen Fritzbox und VPN-Router passiert.
lks
http://fritz.box/html/capture.html
mitsniffen, was zwischen Fritzbox und VPN-Router passiert.
lks
Ok ich dachte ich benötige die um z.b. die Fritzbox aus dem eigenen Netzwerk zu erreichen? Ja die USG ist mit Wan1 am Lan1 der Fritzbox angeschlossen.
Erreichst Du die FB von der USG aus per Ping Befehl? Unter dem Reiter Wartung--->Diagnose-->Netzwerkprogramm ist die entsprechende Option zu finden.
Den einzigen Eintrag den ich in der USG finde ist vpn_l2tp....
Müsste ich morgen früh gleich probieren, aber da ich ja eine normale Internetverbindung habe die vom Netzwerk > Firewall > Fritzbox funktioniert, denke ich schon das die beiden richtig kommunizieren....?
Dann ist das L2TP over IPSec, das vermutlich per Wizzard konfiguriert wurde. Dafür brauchst Du dann allerdings doch den Port 1701.
Only Port UDP 500,4500 and ESP(protocol nr. 50) is needed, L2TP takes place over the encrypted tunnel but 1701 then musst be allowed in the tunnel endpoints firewalls, not the fritzbox.
Follow this guide to setup the VPN responder on the USG
https://community.spiceworks.com/how_to/76543-vpn-setup-with-zyxel-usg-d ...
Regards
Follow this guide to setup the VPN responder on the USG
https://community.spiceworks.com/how_to/76543-vpn-setup-with-zyxel-usg-d ...
Regards
Zitat von @Storm78:
Müsste ich morgen früh gleich probieren, aber da ich ja eine normale Internetverbindung habe die vom Netzwerk > Firewall > Fritzbox funktioniert, denke ich schon das die beiden richtig kommunizieren....?
Müsste ich morgen früh gleich probieren, aber da ich ja eine normale Internetverbindung habe die vom Netzwerk > Firewall > Fritzbox funktioniert, denke ich schon das die beiden richtig kommunizieren....?
"wan1 dead"
Und Du kommst über die USG wirklich ins Internet?
Das wan1 dead kommt ja nur wenn ich versuche ne statische Route einzurichten. Das ich das nicht brauche, hab ich ja schon erfahren jetzt. Klar das funktioniert ja ohne Probleme. Anpingen kann ich sie ja auch.
64 bytes from 192.168.5.11: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 192.168.5.11: icmp_seq=2 ttl=64 time=0.312 ms
64 bytes from 192.168.5.11: icmp_seq=3 ttl=64 time=0.321 ms
--- 192.168.5.11 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1998ms
rtt min/avg/max/mdev = 0.312/0.327/0.350/0.026 ms
- ping 192.168.5.11 -n -c 3
64 bytes from 192.168.5.11: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 192.168.5.11: icmp_seq=2 ttl=64 time=0.312 ms
64 bytes from 192.168.5.11: icmp_seq=3 ttl=64 time=0.321 ms
--- 192.168.5.11 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1998ms
rtt min/avg/max/mdev = 0.312/0.327/0.350/0.026 ms
ich bin wirklich neu in der Thematik, also bitte keine Kommentare wie "man bist Du blöd"
Kann aber schon mal passieren wenn man sich Noob statt zu gutefrage.de in ein Administrator Forum wagt....Hier gilt es dann Rückgrat zu zeigen und nicht weinerlich zu sein und alles auf die Goldwaage zu legen...
Zurück zum Thema...
Du betreibst eine Router/FW Kaskade wie sie hier in der Alternative 2 beschrieben ist:
Kopplung von 2 Routern am DSL Port
Generell ist das ein simpler Klassiker, denn man muss lediglich (bei IPsec basierten VPNs !) die IPsec Ports:
- UDP 500
- UDP 4500
- ESP Protokoll mit der IP Nummer 50 (Achtung kein TCP oder UDP 50 ! ESP ist eigenes IP Protokoll !)
Das der kaskadierte Router damit keine dynmaische IP per DHCP kriegen sollte liegt auf der Hand, denn sonst kann es passieren das die Port Forwarding Regel ins Nirwanan geht sollte sich diese IP mal ändern.
Fazit: Immer feste statische IPs hier vergeben auf dem kaskadierten Router die außerhalb der DHCP Range liegt.
Bei /24er IP Netzen bietet sich es an mit Routern immer ganz nach oben oder ganz nach unten zu gehen.
Also z.B. x.x.x.1 für den einen und x.x.x.254 für den anderen Router.
Bei der FB hat man aber nun eine besonderheit, denn die FB ist ja selber ein IPsec VPN Router. Sprich sie kann also selber aktiv IPsec Tunnel terminieren.
Eingehende IPsec Pakete definiert sie also deshalb für sich selber und ignoriert hier die Port Forwarding Regel für die o.a. Ports und Protokolle.
Folglich sendet sie diese Daten nicht weiter und der Tunnel Request erreicht das kaskadierte Gerät gar nicht erst.
Ein VPN Tunnel kommt auch als exposed Host so niemals zustande, denn exposted Host forwardet nur das was nicht für den Router selber ist oder nicht fürs Port Forwarding eingetragen ist. Greift hier also nicht !!
Die Lösung ist aber kinderleicht.
Deaktiviere die VPN Funktion auf der FB im Setup GUI und forwarde die 3 oben genannten Ports bzw. Protokolle !
Damit blockt die FB die IPsec Pakete nicht mehr und forwardet die dann direkt auf den WAN Port der Zyxel Gurke und dann kommt das sofort zum Fliegen !
Port UDP 1701 ist übrigens Unsinn, denn der wird bei native IPsec nicht benutzt und ist ausschliesslich nur für MS L2TP relevant was du gar nicht machst. (Man bist du blöd...!
)Besser also schnell wieder entfernen !
Weitere Grundlagen zu dem Thema und ToDos findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
und auch:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
1
Keine Angst, ich werde nicht weinen und Rückgrat hab ich auch, aber danke für Deine nette Begrüßung ..lach... Wollte damit nur sagen das ich mich mit dem Thema noch nicht wirklich beschäftigt habe ;)
Aber zurück zum Wesentlichen, die Ports habe ich bereits alle eingetragen und wie ich in einem anderen Forum bereits gelesen habe, sind in der Fritzbox alle VPN Verbindungen gelöscht und nicht nur deaktiviert.
Weiß nicht wie weit Du Dich direkt mit der USG auskennst, aber ich habe da die Möglichkeit direkt mit einem "Wizard" eine Bereitstellungskonfiguration zu erstellen, die danach mit dem VPN-Client (Zyxel) abgerufen werden kann. Das funktioniert tadellos, der Client verbindet sich mit dem Server (der USG) und empfängt die Konfiguration. Nur der anschließende Verbindungsaufbau klappt dann nicht.
Also denke ich mal, werden zumindest die Einstellungen in der Fritzbox korrekt sein?!
Aber zurück zum Wesentlichen, die Ports habe ich bereits alle eingetragen und wie ich in einem anderen Forum bereits gelesen habe, sind in der Fritzbox alle VPN Verbindungen gelöscht und nicht nur deaktiviert.
Weiß nicht wie weit Du Dich direkt mit der USG auskennst, aber ich habe da die Möglichkeit direkt mit einem "Wizard" eine Bereitstellungskonfiguration zu erstellen, die danach mit dem VPN-Client (Zyxel) abgerufen werden kann. Das funktioniert tadellos, der Client verbindet sich mit dem Server (der USG) und empfängt die Konfiguration. Nur der anschließende Verbindungsaufbau klappt dann nicht.
Also denke ich mal, werden zumindest die Einstellungen in der Fritzbox korrekt sein?!
Zitat von @Storm78:
Weiß nicht wie weit Du Dich direkt mit der USG auskennst, aber ich habe da die Möglichkeit direkt mit einem "Wizard" eine Bereitstellungskonfiguration zu erstellen, die danach mit dem VPN-Client (Zyxel) abgerufen werden kann. Das funktioniert tadellos, der Client verbindet sich mit dem Server (der USG) und empfängt die Konfiguration. Nur der anschließende Verbindungsaufbau klappt dann nicht.
Also denke ich mal, werden zumindest die Einstellungen in der Fritzbox korrekt sein?!
Weiß nicht wie weit Du Dich direkt mit der USG auskennst, aber ich habe da die Möglichkeit direkt mit einem "Wizard" eine Bereitstellungskonfiguration zu erstellen, die danach mit dem VPN-Client (Zyxel) abgerufen werden kann. Das funktioniert tadellos, der Client verbindet sich mit dem Server (der USG) und empfängt die Konfiguration. Nur der anschließende Verbindungsaufbau klappt dann nicht.
Also denke ich mal, werden zumindest die Einstellungen in der Fritzbox korrekt sein?!
Um das festzustellen soltlest Du einfach an der Fritzbox mitsniffen und dann schauen, ob die Pakete richtig laufen.
lks
So ich habe es dank der Anleitung von highload (Thanks!!!) endlich geschafft eine funktionierende Verbindung aufzubauen, nun kommt mein nächstes Problem 
Ich sehe alle unsere Switche, Netzwerkdrucker und so weiter und kann Diese auch anpingen. Nur das was ich sehen muß, unsere Server, kann ich weder anpingen und somit natürlich auch keine Remote-Verbindung aufbauen. Da der "Rest" funktioniert, denke ich mal ist in der Fritzbox alles richtig eingestellt und vermutlich muß im Regelwerk der USG110 noch etwas eingetragen werden.
Irgendjemand eine Idee?
Ich sehe alle unsere Switche, Netzwerkdrucker und so weiter und kann Diese auch anpingen. Nur das was ich sehen muß, unsere Server, kann ich weder anpingen und somit natürlich auch keine Remote-Verbindung aufbauen. Da der "Rest" funktioniert, denke ich mal ist in der Fritzbox alles richtig eingestellt und vermutlich muß im Regelwerk der USG110 noch etwas eingetragen werden.
Irgendjemand eine Idee?
Nur das was ich sehen muß, unsere Server, kann ich weder anpingen und somit natürlich auch keine Remote-Verbindung aufbauen.
Ist auch vollkommen logisch !- 1.) Blockt die lokale Windows Firewall per Default ICMP (Ping) so das die Server nicht anpingbar sind: https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
- 2.) Dadurch das du per VPN und damit mit einer anderen externen IP auf die Server zugreifen wills,t schlägt hier die lokale Windows Firewall ein zweites Mal zu, denn sie erlaubt nur Zugriffe aus dem lokalen IP Netz, nicht aber von Fremdnetzen. RDP benutzt TCP 3389 als Zugriffsport. Den musst du also zwangsläufig in der lokalen Windows Firewall für das VPN Netz erlauben im RDP Dienst und sehr wahrscheinlich auch auf der UTM.
3 Allerwelts Gründe also warum es glorreich scheitert...
Den aqui und seine netten Kommentare mag ich am liebsten ..lach.. Aber trotzdem hast Du mich auf den richtigen Lösungsansatz gebracht ;)
In der Windows Firewall sind die entsprechenden Ports natürlich freigegeben, ganz so "blöd" bin ich dann doch nicht;) Aber das ich diese auch noch explizit in der USG freigeben muss, hab ich natürlich überhaupt nicht bedacht (ok also doch blöd)
Danke dir.
PS: Winblows Knecht ist arbeitsbedingt leider richtig, fühle mich sonst eher auf Mac's zu Hause.
In der Windows Firewall sind die entsprechenden Ports natürlich freigegeben, ganz so "blöd" bin ich dann doch nicht;) Aber das ich diese auch noch explizit in der USG freigeben muss, hab ich natürlich überhaupt nicht bedacht (ok also doch blöd
)Danke dir.
PS: Winblows Knecht ist arbeitsbedingt leider richtig, fühle mich sonst eher auf Mac's zu Hause.
Alles wird gut...
