7
Netzwerk Fritzbox 7390 VPN Verbindung - Portfreigabe NAT-T
Ich bekomme es einfach nicht hin obwohl es so Simple sein sollte....
Ich habe ein Netzwerk von 3 Fritzboxen die ein VPN bilden mit verschiedenen Netzen 192.168.x.0/24.
Zum Problem:
Ich habe einen VPN-Client(Server) der sich mit Fritzfernzugang einwählt sowie über die Öffentliche IP eines Router surft.
Nun möchte ich eine Portfreigabe auf den ==> VPN-Client(Server) einrichten gesagt getan.
upd 9987 ==> 192.168.0.204 (IP des VPN Client im Netz)
Es ist aber so das alle Portweiterleitungen auf den VPN-Client nicht funktionieren. Scheint wohl ein Problem mit dem NAT sein.
Obwohl ich use_nat_t = no; ausgeschaltet habe ist irgendwo der Wurm drinne, kann mir jemand helfen der Tiefer in der Geschichte ist ?
Die VPN-Client Config
version {
revision = "$Revision: 1.30 $";
creatversion = "1.1";
}
pwcheck {
}
datapipecfg {
security = dpsec_quiet;
icmp {
ignore_echo_requests = no;
destunreach_rate {
burstfactor = 6;
timeout = 1;
}
timeexceeded_rate {
burstfactor = 6;
timeout = 1;
}
echoreply_rate {
burstfactor = 6;
timeout = 1;
}
}
masqtimeouts {
tcp = 15m;
tcp_fin = 2m;
tcp_rst = 3s;
udp = 5m;
icmp = 30s;
got_icmp_error = 15s;
any = 5m;
tcp_connect = 6m;
tcp_listen = 2m;
}
ipfwlow {
input {
}
output {
}
}
ipfwhigh {
input {
}
output {
}
}
NAT_T_keepalive_interval = 20;
}
targets {
policies {
name = "xxxx.dyndns.org";
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = 192.168.0.204;
remoteip = 0.0.0.0;
remotehostname = "XXXX.dyndns.org";
localid {
user_fqdn = "XXX@XXXX.de";
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "k9bkXXXXXXXXXba80a#d302";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipaddr = 192.168.0.204;
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0",
"reject udp any any eq 53",
"reject udp any any eq 500",
"reject udp any any eq 4500",
"permit ip any any";
wakeupremote = no;
}
}
policybindings {
}
Vielen dank an die die versuchen zu Helfen!
Zum Problem:
Ich habe einen VPN-Client(Server) der sich mit Fritzfernzugang einwählt sowie über die Öffentliche IP eines Router surft.
Nun möchte ich eine Portfreigabe auf den ==> VPN-Client(Server) einrichten gesagt getan.
upd 9987 ==> 192.168.0.204 (IP des VPN Client im Netz)
Es ist aber so das alle Portweiterleitungen auf den VPN-Client nicht funktionieren. Scheint wohl ein Problem mit dem NAT sein.
Obwohl ich use_nat_t = no; ausgeschaltet habe ist irgendwo der Wurm drinne, kann mir jemand helfen der Tiefer in der Geschichte ist ?
Die VPN-Client Config
version {
revision = "$Revision: 1.30 $";
creatversion = "1.1";
}
pwcheck {
}
datapipecfg {
security = dpsec_quiet;
icmp {
ignore_echo_requests = no;
destunreach_rate {
burstfactor = 6;
timeout = 1;
}
timeexceeded_rate {
burstfactor = 6;
timeout = 1;
}
echoreply_rate {
burstfactor = 6;
timeout = 1;
}
}
masqtimeouts {
tcp = 15m;
tcp_fin = 2m;
tcp_rst = 3s;
udp = 5m;
icmp = 30s;
got_icmp_error = 15s;
any = 5m;
tcp_connect = 6m;
tcp_listen = 2m;
}
ipfwlow {
input {
}
output {
}
}
ipfwhigh {
input {
}
output {
}
}
NAT_T_keepalive_interval = 20;
}
targets {
policies {
name = "xxxx.dyndns.org";
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = 192.168.0.204;
remoteip = 0.0.0.0;
remotehostname = "XXXX.dyndns.org";
localid {
user_fqdn = "XXX@XXXX.de";
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "k9bkXXXXXXXXXba80a#d302";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipaddr = 192.168.0.204;
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0",
"reject udp any any eq 53",
"reject udp any any eq 500",
"reject udp any any eq 4500",
"permit ip any any";
wakeupremote = no;
}
}
policybindings {
}
Vielen dank an die die versuchen zu Helfen!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201497
Url: https://administrator.de/contentid/201497
Printed on: April 16, 2024 at 07:04 o'clock
7 Comments
Latest comment
Nur nochmal zum Verständnis um dieses völlig verdrehte Netz zu verstehen:
1te Frage bevor wir ins Eingemachte gehen: Das Port Forwarding bewirkt das dort eingehende UDP 9987 Verbindungen mit einer externen Absender IP Adresse am Server ankommen !!
Nebenbei bemerkt ist das schon ein sehr krankes Konstrukt...
- Du hast 3 Fritzboxen die per Site to Site VPN gekoppelt sind
- Ein Server der an einem externen Standort also NICHT an einem dieser 3 Standorte steht wählt sich auf einen der 3 Router (derjenige der lokal das .0.0er Netz hat) als Client ein.
- Dieser Server hat als default Gateway die Tunnel IP sprich routet dann seinen gesamten Traffic internet usw. in den Tunnel auf den 0.0er Router über den er dann ins Internet geht
- Auf dieser .0.0er Fritzbox soll dann ein Port Forwarding von UDP 9987 auf die VPN Client IP des dort per VPN eingewählten VPN Client, sprich des Servers gemacht werden ?
1te Frage bevor wir ins Eingemachte gehen: Das Port Forwarding bewirkt das dort eingehende UDP 9987 Verbindungen mit einer externen Absender IP Adresse am Server ankommen !!
- Die lokale Firewall des Servers hast du entsprechend customized das die externe IP Adressen zulässt ? Per Default blockt die das sonst !
- Hast du mit einem Wireshark_Sniffer oder MS_Netmonitor auf dem Server erstmal gecheckt ob dort überhaupt geforwardete UDP 9987 Pakete vom Router ankommen ??
Nebenbei bemerkt ist das schon ein sehr krankes Konstrukt...
Hallo aqui,
du hast es voll im Blick ich habe eben mal kurz Wireshark ausprobiert und habe folgende Erkenntnis:
Die Paket werden von Router (192.168.0.1) angenommen jedoch nicht weitergeleitet.
Internes LAN kann Client pingen sowie anderes rum also das Funktioniert. (Im Modus NAT-T)
(Wenn ich den Modus NAT-T ausmache habe ich nicht mehr die möglichkeit den Traffice über den VPN zu routen).
Ich glaube es liegt einfach an AVM das die Boxen sich so nicht Konfigurieren lassen. Mit einer ASA oder Fortigate würde mir das nicht passieren :D
_______________________________________
Falls die VPN-Software das IPSec-Protokoll ohne NAT-Traversal oder das PPTP-Protokoll verwendet, ergeben sich folgende Einschränkungen:
Gleichzeitige Verbindungen von mehreren VPN-Clients im FRITZ!Box-Heimnetz zum selben VPN-Server sind nicht möglich.
Der IPSec-Betriebsmodus "Authentification Header" (AH) kann nicht genutzt werden.
Da die VPN-Software die Trennung der Internetverbindung nicht registriert, wird nach dem erneuten Aufbau der Internetverbindung nicht automatisch eine neue VPN-Verbindung mit dem VPN-Server im Internet ausgehandelt. Dies ist aber notwendig, da die FRITZ!Box üblicherweise bei Aufbau einer neuen Internetverbindung vom Internetanbieter eine neue IP-Adresse erhält.
Die FRITZ!Box sollte daher so eingerichtet sein, dass die Internetverbindung dauerhaft gehalten wird.
_______________________________________________
Sprich weg ich kann die Fritzbox Kiste vergessen ==> da aus diesem Artikel hervor geht ohne NAT-Traversal nur MAX eine Verbindung möglich ....
Gruß SceniX
du hast es voll im Blick ich habe eben mal kurz Wireshark ausprobiert und habe folgende Erkenntnis:
Die Paket werden von Router (192.168.0.1) angenommen jedoch nicht weitergeleitet.
Internes LAN kann Client pingen sowie anderes rum also das Funktioniert. (Im Modus NAT-T)
(Wenn ich den Modus NAT-T ausmache habe ich nicht mehr die möglichkeit den Traffice über den VPN zu routen).
Ich glaube es liegt einfach an AVM das die Boxen sich so nicht Konfigurieren lassen. Mit einer ASA oder Fortigate würde mir das nicht passieren :D
_______________________________________
Falls die VPN-Software das IPSec-Protokoll ohne NAT-Traversal oder das PPTP-Protokoll verwendet, ergeben sich folgende Einschränkungen:
Gleichzeitige Verbindungen von mehreren VPN-Clients im FRITZ!Box-Heimnetz zum selben VPN-Server sind nicht möglich.
Der IPSec-Betriebsmodus "Authentification Header" (AH) kann nicht genutzt werden.
Da die VPN-Software die Trennung der Internetverbindung nicht registriert, wird nach dem erneuten Aufbau der Internetverbindung nicht automatisch eine neue VPN-Verbindung mit dem VPN-Server im Internet ausgehandelt. Dies ist aber notwendig, da die FRITZ!Box üblicherweise bei Aufbau einer neuen Internetverbindung vom Internetanbieter eine neue IP-Adresse erhält.
Die FRITZ!Box sollte daher so eingerichtet sein, dass die Internetverbindung dauerhaft gehalten wird.
_______________________________________________
Sprich weg ich kann die Fritzbox Kiste vergessen ==> da aus diesem Artikel hervor geht ohne NAT-Traversal nur MAX eine Verbindung möglich ....
Gruß SceniX
Bitte lies dir erstmal die Grundlagen von IPsec ESP und NAT Traversal an:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Dann verstehst du vielleicht endlich warum NAT Traversal NICHTS mit deinem Problem zu tun hat !
Das bestimmt lediglich WIE der VPN Tunnel über NAT aufgebaut wird, hat aber nichts mit dem Traffic innerhalb des Tunnels zu tun !!! Also den Traffic über den wir hier reden !
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Dann verstehst du vielleicht endlich warum NAT Traversal NICHTS mit deinem Problem zu tun hat !
Das bestimmt lediglich WIE der VPN Tunnel über NAT aufgebaut wird, hat aber nichts mit dem Traffic innerhalb des Tunnels zu tun !!! Also den Traffic über den wir hier reden !
Danke für die Aufklärung.
Es hängt mit den ACL zusammen da der Traffic von WAN nicht zum VPN-Client kommt. Jetzt ist die frage wie bringe ich der BOX es bei das der Traffic dort hin darf !
Gruß SceniX
Es hängt mit den ACL zusammen da der Traffic von WAN nicht zum VPN-Client kommt. Jetzt ist die frage wie bringe ich der BOX es bei das der Traffic dort hin darf !
Gruß SceniX
Die drunterliegende Frage ist ob die Box das überhaupt kann. Das ist ein billiges Consumer Produkt für Couch Surfer aber nicht für Netzwerk Profis...erwarte also da nicht allzuviel !!
Hab das nun an den AVM Support gesendet mal schauen was die dazu sagen :D
Die Antwort von denen wäre in der Tat mal interessant hier zu posten... !
Vermutlich müssen die sich aber erstmal von den Bauchschmerzen erholen den sie beim Anblick deines etwas "kranken" Designs bekommen haben...
Vermutlich müssen die sich aber erstmal von den Bauchschmerzen erholen den sie beim Anblick deines etwas "kranken" Designs bekommen haben...