4
Problem beim VPN Aufbau End-To-Site
VPN Aufbau zwischen Draytek Smart VPN Client hinter AVM FRITZ BOX 3030 zu einem externen Teledat 803 Router funktioniert nicht mit Fritz Box
Hallo, ich habe folgendes Scenario
PC (Draytek VPN Client) --> FritzBox 3030 --> Internet --> Teledat 803 VPN Router
Die Einwahl per L2TP und Ipsec funktioniert nur wenn ich die FritzBox umgehe und direkt über ein Modem die Verbindung aufbaue.
Habe NAT in Verdacht. Hat jemand ne Idee wie das auch mit der Fritz Box funzt?
Habe laut den Seiten von AVM auch den AH serverseitig schon abgeschaltet.
PC (Draytek VPN Client) --> FritzBox 3030 --> Internet --> Teledat 803 VPN Router
Die Einwahl per L2TP und Ipsec funktioniert nur wenn ich die FritzBox umgehe und direkt über ein Modem die Verbindung aufbaue.
Habe NAT in Verdacht. Hat jemand ne Idee wie das auch mit der Fritz Box funzt?
Habe laut den Seiten von AVM auch den AH serverseitig schon abgeschaltet.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 44279
Url: https://administrator.de/contentid/44279
Printed on: April 18, 2024 at 06:04 o'clock
4 Comments
Latest comment
Ja das vermutest du richtig mit NAT ! L2TP benutzt IPsec. IPsec AH Mode lässt sich überhaupt nicht über NAT übertragen, da es dann in den encapsulated Packets zu einem Checksummen Problem kommt. IPsec vermutet dann eine Manipulation und stoppt den Verbindungsaufbau. Du kannst nur IPsec im ESP Mode übertragen.
Dafür muss die Fritzbox im IP Forwarding Setup IKE/ISAKMP Port UDP 500 und ESP (Protokoll 50 ,Achtung NICHT Port TCP 50) auf die IP Adresse deines Clients eingetragen haben !
Kann die FB das nicht, kannst du den Port an dem dein Client ist als sog. "DMZ" Port definieren, dann forwardet die FB alles was nicht anderweitig in der Port Forwarding Tabelle angegeben ist auf diesen Port.
Dafür muss die Fritzbox im IP Forwarding Setup IKE/ISAKMP Port UDP 500 und ESP (Protokoll 50 ,Achtung NICHT Port TCP 50) auf die IP Adresse deines Clients eingetragen haben !
Kann die FB das nicht, kannst du den Port an dem dein Client ist als sog. "DMZ" Port definieren, dann forwardet die FB alles was nicht anderweitig in der Port Forwarding Tabelle angegeben ist auf diesen Port.
Dafür muss die Fritzbox im IP
Forwarding Setup IKE/ISAKMP Port UDP 500 und
ESP (Protokoll 50 ,Achtung NICHT Port TCP 50)
auf die IP Adresse deines Clients eingetragen
haben !
Kann die FB das nicht, kannst du den Port an
dem dein Client ist als sog. "DMZ"
Port definieren, dann forwardet die FB alles
was nicht anderweitig in der Port Forwarding
Tabelle angegeben ist auf diesen Port.
Das ist nach meinen Erfahrungen so nicht ganz richtig.Forwarding Setup IKE/ISAKMP Port UDP 500 und
ESP (Protokoll 50 ,Achtung NICHT Port TCP 50)
auf die IP Adresse deines Clients eingetragen
haben !
Kann die FB das nicht, kannst du den Port an
dem dein Client ist als sog. "DMZ"
Port definieren, dann forwardet die FB alles
was nicht anderweitig in der Port Forwarding
Tabelle angegeben ist auf diesen Port.
Selbst wenn der Draytek Client in der DMZ stehen würde, was natürlich möglichst zu verhindern gilt, so muß dennoch ESP weitergeleitet werden.
Die Fritzbox sollte das allerdings auch so können.
Also ESP und Port 50 UDP an den Client weitergeleitet und es sollte gehen.
Sollte NAT-T unterstützt werden muß Port 4500 UDP weitergeleitet werden.
AVM sagt dazu folgendes:
Zitat
ID Related Document Nr. 5511 1
VPN-Verbindungen über die Internetverbindung der FRITZ !Box herstellen
Ist Ihre FRITZ!Box als DSL-Router eingerichtet, kann sich über die Internetverbindung der
FRITZ!Box ein VPN-Klient in Ihrem Netzwerk mit einem VPN-Server im Internet verbinden.
Die Firewall der FRITZ!Box unterstützt dafür "VPN-Passthrough" für die VPN-Protokolle
IPSec und PPTP.
Um eine VPN-Verbindung zwischen dem Klienten und dem VPN-Server aufzubauen, führen
Sie bitte die hier beschriebenen Maßnahmen nacheinander durch.
1 Vorbereitungen
1. Erkundigen Sie sich beim Hersteller oder Administrator des VPN-Servers, ob beim
Aufbau der VPN-Verbindung das Protokoll PPTP oder das Protokoll IPSec
verwendet wird.
Wenn das Protokoll IPSec verwendet wird, fragen Sie außerdem nach, ob die
VPN-Lösung IPSec NAT-Traversal unterstützt, und ob der VPN-Server
ausschließlich IKE-Pakete (Internet Key Exchange Protocol) vom Quell-Port UDP
500 entgegennimmt oder auch von anderen Quell-Ports.
Das Standardprotokoll des VPN-Servers von Windows XP und
Windows 2003 ist PPTP.
2. Wird das Protokoll IPSec verwendet und unterstützt die VPN-Lösung IPSec
NAT-Traversal, können Sie ohne weitere Maßnahmen eine VPN-Verbindung
zwischen dem Klienten und dem VPN-Server aufbauen.
Wird das Protokoll IPSec verwendet und unterstützt die VPN-Lösung nicht IPSec
NAT-Traversal, fahren Sie mit Abschnitt 2 fort und beachten Sie die Hinweise in
Abschnitt 3.
Wird das Protokoll PPTP verwendet, können Sie ohne weitere Maßnahmen eine
VPN-Verbindung aufbauen. Beachten Sie jedoch die Hinweise in Abschnitt 3.
2 FRITZ!Box einrichten
Richten Sie die FRITZ!Box wie hier beschrieben ein, wenn die VPN-Verbindung über
das Protokoll IPSec aufgebaut wird, die VPN-Lösung nicht IPSec NAT-Traversal
unterstützt und der VPN-Server ausschließlich IKE-Pakete vom Quell-Port UDP 500
entgegennimmt.
ID Related Document Nr. 5511
1. Rufen Sie an einem Computer, der mit der FRITZ!Box verbunden ist, die
Benutzeroberfläche der FRITZ!Box auf. Geben Sie dazu im Internetbrowser (z.B.
Internet Explorer) die Adresse http://fritz.box ein.
2. Klicken Sie auf "Einstellungen", und wählen Sie im Menü "Internet" den Punkt
"Portfreigabe" aus.
3. Klicken Sie auf "Neue Portfreigabe"
4. Wählen Sie im Dropdown-Menü hinter "Portfreigabe aktiv für:" "Andere
Anwendungen" aus
5. Tragen Sie unter "Bezeichnung" einen Namen für die neue Portfreigabe ein (z.B.
VPN).
6. Wählen Sie unter "Protokoll" im Dropdown-Menü das Protokoll UDP aus.
7. Tragen Sie unter "von Port" und "an Port" jeweils 500 ein.
8. Tragen Sie unter "an IP-Adresse" die IP-Adresse des Computers ein, von dem
VPN-Verbindungen ins Internet hergestellt werden sollen.
9. Klicken Sie auf "Übernehmen".
3 Einschränkungen beim Aufbau von VPN -Verbindungen
Diese Einschränkungen gelten nicht, wenn die VPN-Verbindung über das
Protokoll IPSec aufgebaut wird und die VPN-Lösung IPSec NAT-Traversal
unterstützt.
An einem VPN-Klienten können Sie nicht mehrere Verbindung gleichzeitig zu ein
und demselben VPN-Server im Internet aufbauen.
Den IPSec-Betriebsmodus "Authentification Header" (AH) können Sie nicht
nutzen.
Den automatischen Auf- und Abbau von Internetverbindungen
("Short-Hold-Mode") durch die FRITZ!Box können Sie nur eingeschränkt nutzen.
Da der VPN-Klient den Abbau einer Internetverbindung nicht mitbekommt,
handelt er nach dem erneuten Aufbau einer Internetverbindung nicht automatisch
eine neue VPN-Verbindung mit dem VPN-Server im Internet aus. Dies ist aber in
der Regel notwendig, da die FRITZ!Box üblicherweise bei Aufbau einer neuen
Internetverbindung vom Internetanbieter auch eine neue IP-Adresse erhält.
Zitat Ende
Danke für die bisherigen Antworten.
Das hat leider alles nichts geholfen.
Weder die Portfreigaben noch das einstellen des Rechners in die DMZ.
Es funktioniert nur auf 1 Weise:
Das Modem der Fritz Box ausschalten bzw. keine Einwahl der Fritz Box ins Internet.
Ein externes DSL Modem an die LAN Buchse, und dann vom Notebook per PPPoE eine Internetverbindung aufbauen. Dann hat mein Notebook auch die öffentliche IP Adresse.
Somit kann ich mich verbinden und IpSec funktioniert auch.
Liegt das eventuell am Client, der unbedingt die öffentliche IP Adresse haben will???
Diese Lösung ist natürlich nicht optimal da die anderen PCs im LAN kein Internet mehr haben.
Es sollte nur zur Lösung beitragen. Ich weiss nicht weiter.
Das hat leider alles nichts geholfen.
Weder die Portfreigaben noch das einstellen des Rechners in die DMZ.
Es funktioniert nur auf 1 Weise:
Das Modem der Fritz Box ausschalten bzw. keine Einwahl der Fritz Box ins Internet.
Ein externes DSL Modem an die LAN Buchse, und dann vom Notebook per PPPoE eine Internetverbindung aufbauen. Dann hat mein Notebook auch die öffentliche IP Adresse.
Somit kann ich mich verbinden und IpSec funktioniert auch.
Liegt das eventuell am Client, der unbedingt die öffentliche IP Adresse haben will???
Diese Lösung ist natürlich nicht optimal da die anderen PCs im LAN kein Internet mehr haben.
Es sollte nur zur Lösung beitragen. Ich weiss nicht weiter.
Schon sehr seltsam.
Ich selber habe es mit einer LANCOM Lösung hinbekommen.
Du solltest auf alle Fälle den "Aggressive Mode" einsetzen hinter einem NAT.
Desweiteren wäre es natürlich interessant, was das logging des Teledat 803 VPN Router anzeigt.
Ich selber habe es mit einer LANCOM Lösung hinbekommen.
Du solltest auf alle Fälle den "Aggressive Mode" einsetzen hinter einem NAT.
Desweiteren wäre es natürlich interessant, was das logging des Teledat 803 VPN Router anzeigt.
