Router VPN konfiguration - Telekom support hat aufgegeben
Nach dem Versuch von 3 router- Speedport W722, Linksys, und Apple router - Internetzugang ist kein problem - nur VPN funktioniert nicht (auch mit de-aktivierter Router-Firewall). Die VPN Verbindung kann jedoch ohne Problem ueber ein als Modem konfiguriertes iPhone (tethering) aufgebaut werden oder aber bei oeffentlichen WLans. D.h. aus meiner Sicht muss es an der DSL Routerkonfiguration oder an der alten geraeten DSL/ISDN verbindung liegen (Der Router ist direkt an dem NTBA angeschlossen).
Bitte um Unterstuetzung / Ratschlag bei folgendem Problem
Internetzugang funktionirt prima nur kann keine VPN verbindung aufgebaut werden. die VPN verbinung bricht ab mit folgenden Fehlermeldung:
93 04:58:51.160 06/12/2011 Sev=Info/4 CM/0x43100002
Begin connection process
94 04:58:51.160 06/12/2011 Sev=Warning/2 CVPND/0x83400011
Error -28 sending packet. Dst Addr: 0xAC10CEFF, Src Addr: 0xAC10CE01 (DRVIFACE:1158).
95 04:58:51.161 06/12/2011 Sev=Warning/2 CVPND/0x83400011
Error -28 sending packet. Dst Addr: 0xC0A827FF, Src Addr: 0xC0A82701 (DRVIFACE:1158).
96 04:58:51.161 06/12/2011 Sev=Info/4 CM/0x43100004
Establish secure connection using Ethernet
97 04:58:51.161 06/12/2011 Sev=Info/4 CM/0x43100024
Attempt connection with server "xxx.xxx.xxx.xx"
98 04:58:51.161 06/12/2011 Sev=Info/4 CVPND/0x43400019
Privilege Separation: binding to port: (500).
99 04:58:51.162 06/12/2011 Sev=Info/4 CVPND/0x43400019
Privilege Separation: binding to port: (4500).
100 04:58:51.162 06/12/2011 Sev=Info/6 IKE/0x4300003B
Attempting to establish a connection with xxx.xxx.xxx.xx.
101 04:58:51.252 06/12/2011 Sev=Info/4 IKE/0x43000013
SENDING >>> ISAKMP OAK AG (SA, KE, NON, ID, VID(Xauth), VID(dpd), VID(Frag), VID(Nat-T), VID(Unity)) to xxx.xxx.xxx.xx
102 04:58:51.477 06/12/2011 Sev=Info/4 IPSEC/0x43700008
IPSec driver successfully started
103 04:58:51.477 06/12/2011 Sev=Info/4 IPSEC/0x43700014
Deleted all keys
104 04:58:56.477 06/12/2011 Sev=Info/4 IKE/0x43000021
Retransmitting last packet!
105 04:58:56.477 06/12/2011 Sev=Info/4 IKE/0x43000013
SENDING >>> ISAKMP OAK AG (Retransmission) to xxx.xxx.xxx.xx
106 04:59:01.977 06/12/2011 Sev=Info/4 IKE/0x43000021
Retransmitting last packet!
107 04:59:01.977 06/12/2011 Sev=Info/4 IKE/0x43000013
SENDING >>> ISAKMP OAK AG (Retransmission) to xxx.xxx.xxx.xx
108 04:59:07.475 06/12/2011 Sev=Info/4 IKE/0x43000021
Retransmitting last packet!
109 04:59:07.475 06/12/2011 Sev=Info/4 IKE/0x43000013
SENDING >>> ISAKMP OAK AG (Retransmission) to xxx.xxx.xxx.xx
110 04:59:12.475 06/12/2011 Sev=Info/4 IKE/0x43000017
Marking IKE SA for deletion (I_Cookie=8FD037F78D1FD426 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING
111 04:59:12.975 06/12/2011 Sev=Info/4 IKE/0x4300004B
Discarding IKE SA negotiation (I_Cookie=8FD037F78D1FD426 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING
112 04:59:12.975 06/12/2011 Sev=Info/4 CM/0x43100014
Unable to establish Phase 1 SA with server "xxx.xxx.xxx.xx" because of "DEL_REASON_PEER_NOT_RESPONDING"
113 04:59:12.975 06/12/2011 Sev=Info/5 CM/0x43100025
Initializing CVPNDrv
114 04:59:12.977 06/12/2011 Sev=Info/4 CVPND/0x4340001F
Privilege Separation: restoring MTU on primary interface.
115 04:59:12.977 06/12/2011 Sev=Info/4 IKE/0x43000001
IKE received signal to terminate VPN connection
116 04:59:13.026 06/12/2011 Sev=Info/4 IPSEC/0x43700014
Deleted all keys
117 04:59:13.026 06/12/2011 Sev=Info/4 IPSEC/0x43700014
Deleted all keys
118 04:59:13.026 06/12/2011 Sev=Info/4 IPSEC/0x43700014
Deleted all keys
119 04:59:13.026 06/12/2011 Sev=Info/4 IPSEC/0x4370000A
IPSec driver successfully stopped
Vielen Dank
Bitte um Unterstuetzung / Ratschlag bei folgendem Problem
Internetzugang funktionirt prima nur kann keine VPN verbindung aufgebaut werden. die VPN verbinung bricht ab mit folgenden Fehlermeldung:
93 04:58:51.160 06/12/2011 Sev=Info/4 CM/0x43100002
Begin connection process
94 04:58:51.160 06/12/2011 Sev=Warning/2 CVPND/0x83400011
Error -28 sending packet. Dst Addr: 0xAC10CEFF, Src Addr: 0xAC10CE01 (DRVIFACE:1158).
95 04:58:51.161 06/12/2011 Sev=Warning/2 CVPND/0x83400011
Error -28 sending packet. Dst Addr: 0xC0A827FF, Src Addr: 0xC0A82701 (DRVIFACE:1158).
96 04:58:51.161 06/12/2011 Sev=Info/4 CM/0x43100004
Establish secure connection using Ethernet
97 04:58:51.161 06/12/2011 Sev=Info/4 CM/0x43100024
Attempt connection with server "xxx.xxx.xxx.xx"
98 04:58:51.161 06/12/2011 Sev=Info/4 CVPND/0x43400019
Privilege Separation: binding to port: (500).
99 04:58:51.162 06/12/2011 Sev=Info/4 CVPND/0x43400019
Privilege Separation: binding to port: (4500).
100 04:58:51.162 06/12/2011 Sev=Info/6 IKE/0x4300003B
Attempting to establish a connection with xxx.xxx.xxx.xx.
101 04:58:51.252 06/12/2011 Sev=Info/4 IKE/0x43000013
SENDING >>> ISAKMP OAK AG (SA, KE, NON, ID, VID(Xauth), VID(dpd), VID(Frag), VID(Nat-T), VID(Unity)) to xxx.xxx.xxx.xx
102 04:58:51.477 06/12/2011 Sev=Info/4 IPSEC/0x43700008
IPSec driver successfully started
103 04:58:51.477 06/12/2011 Sev=Info/4 IPSEC/0x43700014
Deleted all keys
104 04:58:56.477 06/12/2011 Sev=Info/4 IKE/0x43000021
Retransmitting last packet!
105 04:58:56.477 06/12/2011 Sev=Info/4 IKE/0x43000013
SENDING >>> ISAKMP OAK AG (Retransmission) to xxx.xxx.xxx.xx
106 04:59:01.977 06/12/2011 Sev=Info/4 IKE/0x43000021
Retransmitting last packet!
107 04:59:01.977 06/12/2011 Sev=Info/4 IKE/0x43000013
SENDING >>> ISAKMP OAK AG (Retransmission) to xxx.xxx.xxx.xx
108 04:59:07.475 06/12/2011 Sev=Info/4 IKE/0x43000021
Retransmitting last packet!
109 04:59:07.475 06/12/2011 Sev=Info/4 IKE/0x43000013
SENDING >>> ISAKMP OAK AG (Retransmission) to xxx.xxx.xxx.xx
110 04:59:12.475 06/12/2011 Sev=Info/4 IKE/0x43000017
Marking IKE SA for deletion (I_Cookie=8FD037F78D1FD426 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING
111 04:59:12.975 06/12/2011 Sev=Info/4 IKE/0x4300004B
Discarding IKE SA negotiation (I_Cookie=8FD037F78D1FD426 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING
112 04:59:12.975 06/12/2011 Sev=Info/4 CM/0x43100014
Unable to establish Phase 1 SA with server "xxx.xxx.xxx.xx" because of "DEL_REASON_PEER_NOT_RESPONDING"
113 04:59:12.975 06/12/2011 Sev=Info/5 CM/0x43100025
Initializing CVPNDrv
114 04:59:12.977 06/12/2011 Sev=Info/4 CVPND/0x4340001F
Privilege Separation: restoring MTU on primary interface.
115 04:59:12.977 06/12/2011 Sev=Info/4 IKE/0x43000001
IKE received signal to terminate VPN connection
116 04:59:13.026 06/12/2011 Sev=Info/4 IPSEC/0x43700014
Deleted all keys
117 04:59:13.026 06/12/2011 Sev=Info/4 IPSEC/0x43700014
Deleted all keys
118 04:59:13.026 06/12/2011 Sev=Info/4 IPSEC/0x43700014
Deleted all keys
119 04:59:13.026 06/12/2011 Sev=Info/4 IPSEC/0x4370000A
IPSec driver successfully stopped
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 167909
Url: https://administrator.de/forum/router-vpn-konfiguration-telekom-support-hat-aufgegeben-167909.html
Ausgedruckt am: 01.04.2025 um 06:04 Uhr
13 Kommentare
Neuester Kommentar
In der Tat ! Die Informationen sind recht dürftig und unvollständig. Relevant wäre z.B. als Wichtigstes WELCHES der zahllosen VPN Protokolle (PPTP, IPsec, L2TP, SSL usw.) der TO denn verwendet aber auch hier zieht er es lieber vor uns im Dunkeln im freien Fall raten zu lassen.
Das ist dann auch irgendwie verständlich das mit diesen mageren Grundlagen beim Telekom Support ebenfalls nix bei rauskommt, denn die Kollegen dort können ja dann auch nur raten. Nundenn...
Sieht man sich einmal die zusammenhanglos geposteten Fehlermeldungen etwas genauer an hier, kommt man zu dem vorsichtigen Schluss das der VPN Client hinter dem NAT Router das IPsec Protokoll verwendet. Zum Client selber sagt der TO ja auch rein gar nix, also raten wir mal wieder das dieser das besagte iPhone mit dem integrierten Cisco IPsec Client ist.
Normalerweise kommt IPsec NICHT über eine bestehende NAT (Adress Translation) Firewall rüber wie sie alle DSL Router ja betreiben.
Wichtigste Voraussetzung ist zudem das Feature "VPN Passthrough" was zwingend der Router supporten muss sonst wird es nix.
IPsec besteht aus folgenden Einzelprotokollen:
UDP 500 = IKE
UDP 4500 = NAT Traversal
ESP = IP Protokoll mit der Nummer 50 (kein UDP oder TCP 50 !)
Solltest du L2TP als VPN Protokoll verwenden kommt noch der Port 1701 hinzu. (Das aber NUR bei L2TP !)
Du gehst nun in das Menü "Port Forwarding" oder "Port Weiterleitung" (meist unter NAT oder Firewall zu finden) auf diesen Routern und trägst dort eintsprechend ein Port Forwarding oder Port Weiterleitung dieser 3 Ports ein und das auf die lokale IP Adresse deines VPN Clients im lokalen Netzwerk.
Tunlichst solltest du dem VPN Client (iPhone ?!) dann anhand seiner Mac Adresse eine feste IP im DHCP zuteilen sofern der Router das supportet oder mit statischen IPs (außerhalb des Router DHCP Bereichs) arbeiten.
Das dient der Sicherheit, denn sollte sich die IP Adresse deines Clients im lokalen Netzwerk einmal wegen der Dynamik von DHCP (automatische IP Adressvergabe) ändern läuft deinen statische Port Weiterleitung, die zwingend notwendig ist für IPsec, logischerweise ins Leere.
Eine Konstanz der Client IP ist also nicht unwichtig !
Wenn du diese 3 Protokolle dann forgewardet hast wird auch deine IPsec VPN Verbindung fehlerfrei und auf Anhieb funktionieren.
Das es bei dir nicht klappt siehst du an den letzten o.a. Meldungen wo es schon am Zustandekommen der SA Phase 1 hapert weil die Gegenstelle nicht antwortet. Ein zu 90% sicheres Indiz dafür das dein Port Forwarding schlicht fehlt oder nicht funktioniert.
Ein Bespiel wie das beim VPN Protokoll PPTP aussieht kannst du hier sehen:
VPNs einrichten mit PPTP
(ACHTUNG: Bitte NICHT diese Ports im Beispiel kopieren denn es ist PPTP und KEIN IPsec wie bei dir !!)
Leider ein täglicher Klassiker hier bei Admin.de und leider muss man sagen das der Speedport ein sehr übler Vertreter ist was das Thema "VPN Passthrough" anbetrifft da er sehr inkonsistent funktioniert damit.
Hier gilt: Unbedingt die aktuellste Firmware verwenden und den Router ggf. updaten. Generell gilt das auch für alle Router in so einem Umfeld !
Das ist dann auch irgendwie verständlich das mit diesen mageren Grundlagen beim Telekom Support ebenfalls nix bei rauskommt, denn die Kollegen dort können ja dann auch nur raten. Nundenn...
Sieht man sich einmal die zusammenhanglos geposteten Fehlermeldungen etwas genauer an hier, kommt man zu dem vorsichtigen Schluss das der VPN Client hinter dem NAT Router das IPsec Protokoll verwendet. Zum Client selber sagt der TO ja auch rein gar nix, also raten wir mal wieder das dieser das besagte iPhone mit dem integrierten Cisco IPsec Client ist.
Normalerweise kommt IPsec NICHT über eine bestehende NAT (Adress Translation) Firewall rüber wie sie alle DSL Router ja betreiben.
Wichtigste Voraussetzung ist zudem das Feature "VPN Passthrough" was zwingend der Router supporten muss sonst wird es nix.
IPsec besteht aus folgenden Einzelprotokollen:
UDP 500 = IKE
UDP 4500 = NAT Traversal
ESP = IP Protokoll mit der Nummer 50 (kein UDP oder TCP 50 !)
Solltest du L2TP als VPN Protokoll verwenden kommt noch der Port 1701 hinzu. (Das aber NUR bei L2TP !)
Du gehst nun in das Menü "Port Forwarding" oder "Port Weiterleitung" (meist unter NAT oder Firewall zu finden) auf diesen Routern und trägst dort eintsprechend ein Port Forwarding oder Port Weiterleitung dieser 3 Ports ein und das auf die lokale IP Adresse deines VPN Clients im lokalen Netzwerk.
Tunlichst solltest du dem VPN Client (iPhone ?!) dann anhand seiner Mac Adresse eine feste IP im DHCP zuteilen sofern der Router das supportet oder mit statischen IPs (außerhalb des Router DHCP Bereichs) arbeiten.
Das dient der Sicherheit, denn sollte sich die IP Adresse deines Clients im lokalen Netzwerk einmal wegen der Dynamik von DHCP (automatische IP Adressvergabe) ändern läuft deinen statische Port Weiterleitung, die zwingend notwendig ist für IPsec, logischerweise ins Leere.
Eine Konstanz der Client IP ist also nicht unwichtig !
Wenn du diese 3 Protokolle dann forgewardet hast wird auch deine IPsec VPN Verbindung fehlerfrei und auf Anhieb funktionieren.
Das es bei dir nicht klappt siehst du an den letzten o.a. Meldungen wo es schon am Zustandekommen der SA Phase 1 hapert weil die Gegenstelle nicht antwortet. Ein zu 90% sicheres Indiz dafür das dein Port Forwarding schlicht fehlt oder nicht funktioniert.
Ein Bespiel wie das beim VPN Protokoll PPTP aussieht kannst du hier sehen:
VPNs einrichten mit PPTP
(ACHTUNG: Bitte NICHT diese Ports im Beispiel kopieren denn es ist PPTP und KEIN IPsec wie bei dir !!)
Leider ein täglicher Klassiker hier bei Admin.de und leider muss man sagen das der Speedport ein sehr übler Vertreter ist was das Thema "VPN Passthrough" anbetrifft da er sehr inkonsistent funktioniert damit.
Hier gilt: Unbedingt die aktuellste Firmware verwenden und den Router ggf. updaten. Generell gilt das auch für alle Router in so einem Umfeld !
Zitat von @aqui:
Leider ein täglicher Klassiker hier bei Admin.de und leider muss man sagen das der Speedport ein sehr übler Vertreter
ist was das Thema "VPN Passthrough" anbetrifft da er sehr inkonsistent funktioniert damit.
Leider ein täglicher Klassiker hier bei Admin.de und leider muss man sagen das der Speedport ein sehr übler Vertreter
ist was das Thema "VPN Passthrough" anbetrifft da er sehr inkonsistent funktioniert damit.
Mein Tipp in solchen Fällen ist, falls es ein AVM-Speedprt ist, ihn mit freetz zu flashen, um daraus eine Fritzbox zu machen. Ist zwar auch nicht immer das gelbe vom Ei, aber meist besser als die Speedport-Firmware.
Bestätigt letztlich die Erfahrung hier das Speedports im Allgemeinen keinen guten VPN Passthrough Support haben. Die Tatsache das eine FB (und vermutlich auch andere Router) das problemlos supporten erhärtet diese Aussage.
Ggf. Solltest du also besser den Speedport entsorgen und etwas besseres und anständigeres dort einsetzen.
Das löst wenigstens dein Problem umfassend und final.
Wenn der SP kein ESP forwarden kann ist es klar das VPNs damit scheitern müssen...
Ggf. Solltest du also besser den Speedport entsorgen und etwas besseres und anständigeres dort einsetzen.
Das löst wenigstens dein Problem umfassend und final.
Wenn der SP kein ESP forwarden kann ist es klar das VPNs damit scheitern müssen...
Die Beantwortung folgender Fragen wäre hilfreich:
- Befindet sich deine neue Fritzbox direkt am DSL Splitter ? Oder ist davor noch der olle Speedport ?
- Wenn die VPN Verbindung hergestellt ist kannst du das LAN Interface (lokales LAN) der Fritz box anpingen ?
- Wenn ja, kannst du auch den Server auf den dein Laufwerksmapping ausgeführt wird anpingen bei aktiver VPN Verbindung ?
- Falls du den Server nicht anpingen kannst: Hast du die lokale Firewall des Servers entsprechend angepasst ? Stimmt das Default Gateway des Servers (muss auf die neue FB zeigen !)
- Was weiterhin noch unklar ist: WOHIN machst du deine VPN Verbindung ?? Ist das ein Server der direkt hinter der FB steht (VPN Passthrough mit Portweiterleitung im Router) oder terminierst du die VPN Verbindung direkt auf dem FB Router wie HIER beschrieben ?
Denn ist doch alles gut wenn du über den VPN Client alle Geräte im remoten Netz erreichen kannst ! Der Berg der o.a. Daten ist dann doch völlig überflüssig zumal er auch gar einen Fehler anzeigt und eher bestätigt das VPN technisch alles sauber ist, was deinen erfolgreichen Pings ja auch eindrucksvoll bestätigen !!
Netzwerktechnisch rennt denn alles wie es soll. Der Rest ist dann nur Applikationsbezogen sofern es noch Probleme gibt.
Wo ist denn nun dein Problem ??
Netzwerktechnisch rennt denn alles wie es soll. Der Rest ist dann nur Applikationsbezogen sofern es noch Probleme gibt.
Wo ist denn nun dein Problem ??
Zitat von @Martinsd70:
Ich bin aktuell bei einem Bekannten mit einen 1&1 Anschluss und der VPN-Zugang einschl. Replikation funktioniert ohne Probleme
(auch ohne manuelle Freigabe von PORTS). D.h. es muss irgendwie an dem Telekom-Anschluss liegen. Bin mir nicht sicher wo ich noch
einen Trace machen kann ...
Ich bin aktuell bei einem Bekannten mit einen 1&1 Anschluss und der VPN-Zugang einschl. Replikation funktioniert ohne Probleme
(auch ohne manuelle Freigabe von PORTS). D.h. es muss irgendwie an dem Telekom-Anschluss liegen. Bin mir nicht sicher wo ich noch
einen Trace machen kann ...
Mal die Router überprüft, bzw. den baugleichen Router für beide Anschlüsse probiert, z.B. den Speedport, bzw FB7270 mal beim Bekannten mit 1&1-Anschluß ausprobiert?
Kannst du nur den Server nicht anpingen oder auch alle anderen Geräte im remoten Netz ? Speziell den Router LAN Port.
M.E. hattest du ja gesagt das das wenigstens klappt. Wenn du allerdings nichtmal den VPN Router LAN Port anpingen kannst, dann ist keine aktive VPN Verbindung zustande gekommen !
Wenn du nur den Server nicht anpingen kannst, dann liegt es zu 95% an der Server eigenen lokalen Firewall oder das der Server ein falsches Gateway eingetragen hat.
Pathping und/oder Traceroute vom Client sind dann deine Freunde um das herauszubekommen !
M.E. hattest du ja gesagt das das wenigstens klappt. Wenn du allerdings nichtmal den VPN Router LAN Port anpingen kannst, dann ist keine aktive VPN Verbindung zustande gekommen !
Wenn du nur den Server nicht anpingen kannst, dann liegt es zu 95% an der Server eigenen lokalen Firewall oder das der Server ein falsches Gateway eingetragen hat.
Pathping und/oder Traceroute vom Client sind dann deine Freunde um das herauszubekommen !