9
Kommunikationsprobleme bei der Einrichtung von WLan
Es ist nicht möglich, eine Verbindung zum Internet herzustellen
Hallo liebe Administrator Kollegen,
Ich habe folgendes Problem:
Setze ich den AP an den Switch des normalen Netzes, so kann der client eine Verbindung zum Netz aufbauen, jedoch sagt dann der VPN client ( RSA... ) das die connection time out ist.
Setze ich nun den AP an die DMZ der Firewall/Router, so kann ich vom Internen Netz zwar auf die Config Oberfläche des AP zugreifen, der client kann sich mit dem Netz verbinden, aber eine Verbindung ins Internet ist nicht möglich.
Der Client muss per DHCP seine Netzwerkaddresse beziehen, über die er sich ins Internet verbinden kann und einen VPN Tunnel aufbauen kann.
Die Topologie sieht so aus:
Internes Netz----192.168.0.x ---->FW----> WAN ( Funktioniert ohne Probleme
AP-->192.168.4.2---DMZ--->192.168.4.1--->WAN
Der AP hat den DHCP Server aktiviert, welcher dem client die Netzwerkaddresse und das Standartgateway vergibt.
Die DMZ wurde so konfiguriert, das jeder Service ins Internet darf.
Die Routing eigenschaften wurden so vergeben, wie sie es auch im internen Netz sind.
So langsam gehen mir die Ideen aus, worin hier die problematik besteht.
Könnt Ihr mir vielleicht helfen?
Für Eure hilfe bedanke ich mich schon einmal im voraus.
Grüsse
Ich habe folgendes Problem:
Setze ich den AP an den Switch des normalen Netzes, so kann der client eine Verbindung zum Netz aufbauen, jedoch sagt dann der VPN client ( RSA... ) das die connection time out ist.
Setze ich nun den AP an die DMZ der Firewall/Router, so kann ich vom Internen Netz zwar auf die Config Oberfläche des AP zugreifen, der client kann sich mit dem Netz verbinden, aber eine Verbindung ins Internet ist nicht möglich.
Der Client muss per DHCP seine Netzwerkaddresse beziehen, über die er sich ins Internet verbinden kann und einen VPN Tunnel aufbauen kann.
Die Topologie sieht so aus:
Internes Netz----192.168.0.x ---->FW----> WAN ( Funktioniert ohne Probleme
AP-->192.168.4.2---DMZ--->192.168.4.1--->WAN
Der AP hat den DHCP Server aktiviert, welcher dem client die Netzwerkaddresse und das Standartgateway vergibt.
Die DMZ wurde so konfiguriert, das jeder Service ins Internet darf.
Die Routing eigenschaften wurden so vergeben, wie sie es auch im internen Netz sind.
So langsam gehen mir die Ideen aus, worin hier die problematik besteht.
Könnt Ihr mir vielleicht helfen?
Für Eure hilfe bedanke ich mich schon einmal im voraus.
Grüsse
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 66419
Url: https://administrator.de/contentid/66419
Printed on: April 23, 2024 at 16:04 o'clock
9 Comments
Latest comment
Macht deine Firewall NAT ??? Welches Protokoll nutzt deine VPN Verbindung ??? Vermutlich liegt das Problem da, denn wenn du IPsec machst musst du der Firewall reverse IKE (UDP 500) und das ESP Protokoll erlauben, sonst ist ein VPN Verbindungsaufbau über einen NAT Firewall nicht möglich. (Bei PPTP wärs TCP 1723 und das GRE Protokoll)
Dein Szenario müsste so aussehen, richtig ?
Ist der AP wirklich ein normaler AP oder ein WLAN Router ???
Dein Szenario müsste so aussehen, richtig ?
Ist der AP wirklich ein normaler AP oder ein WLAN Router ???
Macht deine Firewall NAT ??? Welches
Protokoll nutzt deine VPN Verbindung ???
Vermutlich liegt das Problem da, denn wenn du
IPsec machst musst du der Firewall reverse
IKE (UDP 500) und das ESP Protokoll erlauben,
sonst ist ein VPN Verbindungsaufbau über
einen NAT Firewall nicht möglich. (Bei
PPTP wärs TCP 1723 und das GRE
Protokoll)
Dein Szenario müsste so aussehen,
richtig ?
absolut korrektProtokoll nutzt deine VPN Verbindung ???
Vermutlich liegt das Problem da, denn wenn du
IPsec machst musst du der Firewall reverse
IKE (UDP 500) und das ESP Protokoll erlauben,
sonst ist ein VPN Verbindungsaufbau über
einen NAT Firewall nicht möglich. (Bei
PPTP wärs TCP 1723 und das GRE
Protokoll)
Dein Szenario müsste so aussehen,
richtig ?
Ist der AP wirklich ein normaler AP oder ein
WLAN Router ???
bezüglich des Protokolles schwebt mir noch vor, das RSA Sec pp2tp benutzt.
DerRouter ist nat, kann aber auch direkt oder sat. Ich habe alle sachen standartmäßig freigegeben um das Problem einzugrenzen, jedoch ohne erfolg.
Aber das mit dem DHCP im Accesspoint müsste doch so korrekt funktionieren, oder?
Der client ist zwar mit dem Netz verbunden, sagt aber nicht, das er eine Verbindung zum internet hat. Nutzen tut er den DNS der vom ISP vergeben wird.
Ja das ist so ok. Wichtig ist ja nur das er eine gültige IP asz dem Segment 192.168.4.0/24 bekommt. DHCP Broadcasts gehen nicht über geroutete Interfaces und FW Interfaces schon gar nicht.
Im Zweifelsfall musst du mal einen Sniffer wie den
Wireshark (www.wireshark.org) oder Windows Net-Monitor
zwischen AP und FW hängen und dir den Verbindungsaufbau zum VPN mal ansehen. Desgleichen im lokalen LAN wo es funktioniert. Dann siehst du meistens sofort woran es hapert !
Im Zweifelsfall musst du mal einen Sniffer wie den
Wireshark (www.wireshark.org) oder Windows Net-Monitor
zwischen AP und FW hängen und dir den Verbindungsaufbau zum VPN mal ansehen. Desgleichen im lokalen LAN wo es funktioniert. Dann siehst du meistens sofort woran es hapert !
das VPN benötigt nicht DHCP, DHCP braucht der Laptop ( auf diesem gibt es keine admin rechte ), das er sich mit dem Internet verbinden kann. Der Laptop muss ja wissen, wie er wo wohin soll 
würde er wenigstens die Verbindung ins Netz schaffen, so hätte ich einen Milestone bereits geschafft.
würde er wenigstens die Verbindung ins Netz schaffen, so hätte ich einen Milestone bereits geschafft.
Das hatte ich auch so gemeint, denn ohne eigene IP Adresse kann er ja keinen VPN Tunnel aufbauen. Allerdings kannst du die IPs ja auch statisch vergeben als Alternative.....
Der nicht funktionierende Internet Zugang kann aber nur etwas mit der FW Einstellung zu tun haben, das das Netz 192.168.4.0 vom Zugang gesperrt ist. Anders ist das nicht zu erklären. Das musst du also zuerst fixen dann wird sehr wahrscheinlich auch der VPN Zugang funktionieren.
Der nicht funktionierende Internet Zugang kann aber nur etwas mit der FW Einstellung zu tun haben, das das Netz 192.168.4.0 vom Zugang gesperrt ist. Anders ist das nicht zu erklären. Das musst du also zuerst fixen dann wird sehr wahrscheinlich auch der VPN Zugang funktionieren.
Also ich habe es nun hinbekommen, dass das WLAN Netz eine Verbindung zum Internet bekommt.
DNS und Standart UDP/TCP werden via NAT auf WAN gesetzt
Der VPN client sagt aber, das er keine L2TP Verbindung aufbauen kann. Aber ich habe einmal alle L2TP dienste via NAT auf WAN gesetzt und einmal mit nur ALLOW...
Aber dennoch ist es mir nicht möglich, mich ins Firmennetzwerk einzuwählen.
Hat jemand ne idee?
Edit:
Ich habe mir das LOG der Firewall angesehen, es wird immer Port: 137 geblockt. Das ist der NetBios dienst. Also habe ich das per Allow an erster stelle von DMZ auf WAN eingestellt.
Im normalen LAN ist dieser Dienst nach aussen hin geblockt...
Was mache ich hier falsch?
DNS und Standart UDP/TCP werden via NAT auf WAN gesetzt
Der VPN client sagt aber, das er keine L2TP Verbindung aufbauen kann. Aber ich habe einmal alle L2TP dienste via NAT auf WAN gesetzt und einmal mit nur ALLOW...
Aber dennoch ist es mir nicht möglich, mich ins Firmennetzwerk einzuwählen.
Hat jemand ne idee?
Edit:
Ich habe mir das LOG der Firewall angesehen, es wird immer Port: 137 geblockt. Das ist der NetBios dienst. Also habe ich das per Allow an erster stelle von DMZ auf WAN eingestellt.
Im normalen LAN ist dieser Dienst nach aussen hin geblockt...
Was mache ich hier falsch?
L2TP nutzt IPsec und NAT Traversal !!! Da musst du in die Port Forwarding Tabelle des Routers gehen und folgende Protokolle auf die lokale IP Adresse deines Clients forwarden:
UDP 500 (IKE)
ESP Protokoll (Protokoll Nummer 50, Achtung nicht TCP oder UDP 50 !)
NAT-T UDP 4500 (NAT Traversal)
Ohne diese PFW Liste im Router wirst du niemals einen VPN L2TP Client ueber einen NAT Router bekommen um eine VPN Verbindung aufzubauen !!!
Port 137 solltest du auch besser geblockt lassen !!! Das nutzen die Datei- und Druckerdienste unter Windows (CIFS Fielsystem). Diese Packete haben im Internet nichts zu suchen (Sicherheitsloch und die Gefahr das Externe deinen Rechner ausspionieren koennen !) und haben auch rein gar nichts mit der VPN Verbindung zu tun !
UDP 500 (IKE)
ESP Protokoll (Protokoll Nummer 50, Achtung nicht TCP oder UDP 50 !)
NAT-T UDP 4500 (NAT Traversal)
Ohne diese PFW Liste im Router wirst du niemals einen VPN L2TP Client ueber einen NAT Router bekommen um eine VPN Verbindung aufzubauen !!!
Port 137 solltest du auch besser geblockt lassen !!! Das nutzen die Datei- und Druckerdienste unter Windows (CIFS Fielsystem). Diese Packete haben im Internet nichts zu suchen (Sicherheitsloch und die Gefahr das Externe deinen Rechner ausspionieren koennen !) und haben auch rein gar nichts mit der VPN Verbindung zu tun !
Also die Firewall kommt von Dlink ( so ein Firewall Router ) und kann laut Anleitung NAT Traversal. Jedoch gibt es im Menu nur: NAT, SAT ( static adress translation ), Allow und FastFWD.
Wie kann man das in diesem Fall zum laufen bringen?
Wie kann man das in diesem Fall zum laufen bringen?
Wie bereits gesagt: Gehe ins Websetup des Router und dann in den Bereich Port Forwarding oder Port Weiterleitung.
Dort trägst du auf die lokale IP Adresse deines Clients folgende Ports ein:
IKE Protokoll UDP 500
ESP Protokoll (Protokoll Nummer 50, Achtung nicht TCP oder UDP 50 !)
NAT-Traversal UDP 4500
Das sollte dann eigentlich alles sofort zum Laufen bringen....
Dort trägst du auf die lokale IP Adresse deines Clients folgende Ports ein:
IKE Protokoll UDP 500
ESP Protokoll (Protokoll Nummer 50, Achtung nicht TCP oder UDP 50 !)
NAT-Traversal UDP 4500
Das sollte dann eigentlich alles sofort zum Laufen bringen....
