16
Sonicwall VPN durch Fritzbox 7050
Hi Administratoren
Ich habe folgendes Problem, und zwar habe ich hier folgende Konstellation:
Internet --> Fritzbox --> Sonicwall --> Clients & Server
Jetzt will ich von außerhalb auf das Interne Netz er VPN zugreifen.
Dies wollte ich über das in die Sonicwall einprogrammierte VPN lösen, doch leider blockiert
die Fritzbox, anscheinend, die Verbindung.
Daten:
Fritzbox Fon Wlan 7050
Sonicwall PRO 230
Clients OS: Windows XP
Hat jemand einen Lösung Vorschlag?
Ich habe folgendes Problem, und zwar habe ich hier folgende Konstellation:
Internet --> Fritzbox --> Sonicwall --> Clients & Server
Jetzt will ich von außerhalb auf das Interne Netz er VPN zugreifen.
Dies wollte ich über das in die Sonicwall einprogrammierte VPN lösen, doch leider blockiert
die Fritzbox, anscheinend, die Verbindung.
Daten:
Fritzbox Fon Wlan 7050
Sonicwall PRO 230
Clients OS: Windows XP
Hat jemand einen Lösung Vorschlag?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 122259
Url: https://administrator.de/contentid/122259
Ausgedruckt am: 26.11.2024 um 08:11 Uhr
16 Kommentare
Neuester Kommentar
firewall von der fritzbox schon mal ausgemacht bzw die ports eingestellt für die vpn
standartgemäs blockt fritzbox alles was von Inet kommt ( da dein inet schon zwischen fitzbox und sonicwall beginnt nimmt die box an das es inet ist)
standartgemäs blockt fritzbox alles was von Inet kommt ( da dein inet schon zwischen fitzbox und sonicwall beginnt nimmt die box an das es inet ist)
Läft die FritzBox als Modem oder noch als Router? Falls sie noch als Router läuft solltest du mal die Ports weiterleiten.
Also ich hab sie veruscht auszumachen aber ich hab nix gefunden wo ich sie ausmachen kann. Und das mit den ports hab ch auch probiert aber das hat euch nicht hingehaun.
Nur zur Sicherheit welche wären das denn?
Und die Fritzbox läuft als Router
Nur zur Sicherheit welche wären das denn?
Und die Fritzbox läuft als Router
Wenn es möglich ist die FB im sog. PPPoE Passthrough Modus als reines Modem zu betreiben existiert dein Problem gar nicht erst, da die Sonicwall dann der Internet Zugang ist.
Technisch gesehen ist das zweifelsohne die allerbeste Lösung !
OK, wenn die FB als Router arbeitet ist es klar und logisch das die FB den Zugang von aussen blockt da sie, wie du ja vermutlich selber weisst, eine NAT (Adress Translation) Firewall betreibt die du mit einem Port Weiterleitungs Eintrag für dein VPN logischerweise erst überwinden musst !
Leider teilst du uns ja intelligenterweise nicht mit WELCHES VPN Protokoll denn deine Sonicwall verwendet und so zwingst du uns leider wie so oft zum Raten so das eine qualifizierte Hilfe sehr schwer ist.
Wenn dir aber Raten reicht, dann raten wir mal das die Sonicwall vermutlich IPsec im ESP Modus als VPN Protokoll verwendet.
Dann musst du auf der FB die Ports:
UDP 500 (IKE)
ESP Protokoll (Protokoll Nummer 50, NICHT TCP oder UDP 50 !)
an die lokale IP der Sonicwall forwarden !
Wenn wir mal weiterraten könnte es noch PPTP als VPN Protokoll sein, dann musst du
TCP 1723
GRE Protokoll (Protokoll Nummer 47, NICHT TCP oder UDP 47 )
an die lokale IP der Sonicwall forwarden !
Siehe auch hier am Ende des Turorials:
VPNs einrichten mit PPTP
Es gibt natürlich noch weitere VPN Protokolle so das wir hier lustig weiterraten können aber da wäre es dann wohl besser DU klärst uns auch was du denn willst damit wir uns nicht die Finger wund schreiben... !!
Sonst bleibt dir ja immer noch die FB als VPN Server zu benutzen:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Technisch gesehen ist das zweifelsohne die allerbeste Lösung !
OK, wenn die FB als Router arbeitet ist es klar und logisch das die FB den Zugang von aussen blockt da sie, wie du ja vermutlich selber weisst, eine NAT (Adress Translation) Firewall betreibt die du mit einem Port Weiterleitungs Eintrag für dein VPN logischerweise erst überwinden musst !
Leider teilst du uns ja intelligenterweise nicht mit WELCHES VPN Protokoll denn deine Sonicwall verwendet und so zwingst du uns leider wie so oft zum Raten so das eine qualifizierte Hilfe sehr schwer ist.
Wenn dir aber Raten reicht, dann raten wir mal das die Sonicwall vermutlich IPsec im ESP Modus als VPN Protokoll verwendet.
Dann musst du auf der FB die Ports:
UDP 500 (IKE)
ESP Protokoll (Protokoll Nummer 50, NICHT TCP oder UDP 50 !)
an die lokale IP der Sonicwall forwarden !
Wenn wir mal weiterraten könnte es noch PPTP als VPN Protokoll sein, dann musst du
TCP 1723
GRE Protokoll (Protokoll Nummer 47, NICHT TCP oder UDP 47 )
an die lokale IP der Sonicwall forwarden !
Siehe auch hier am Ende des Turorials:
VPNs einrichten mit PPTP
Es gibt natürlich noch weitere VPN Protokolle so das wir hier lustig weiterraten können aber da wäre es dann wohl besser DU klärst uns auch was du denn willst damit wir uns nicht die Finger wund schreiben... !!
Sonst bleibt dir ja immer noch die FB als VPN Server zu benutzen:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
unter internet -> freigaben
Sry das mit dem VPN hatte ich ganz vergessen:
IPSec Keying Mode: IKE using pre-shared secret
Phase 1 Encryption/Authentication: 3DES & SHA1
Phase 2 Encryption/Authentication: Strong Encrypt and Authenticate ( ESP 3DES HMAC SHA1)
Was ich damit bezwecken will ist einen Außenstehenden Client ins Netz einzubinden, so das dieser Emails & Daten vom Server abholen kann.
BTW: das GRE und ESP eigene Protkolle sind weiss ich ;)
IPSec Keying Mode: IKE using pre-shared secret
Phase 1 Encryption/Authentication: 3DES & SHA1
Phase 2 Encryption/Authentication: Strong Encrypt and Authenticate ( ESP 3DES HMAC SHA1)
Was ich damit bezwecken will ist einen Außenstehenden Client ins Netz einzubinden, so das dieser Emails & Daten vom Server abholen kann.
BTW: das GRE und ESP eigene Protkolle sind weiss ich ;)
OK, das ist IPsec im ESP Modus wie du ja auch selber in deinem Post lesen kannst !
Und dann gilt damit das was oben beschrieben ist mit der Port Weiterleitung (UDP 500 und ESP mit der IP ProtNummer 50 !).
Damit funktioniert das sofort im Handumdrehen !!
Und dann gilt damit das was oben beschrieben ist mit der Port Weiterleitung (UDP 500 und ESP mit der IP ProtNummer 50 !).
Damit funktioniert das sofort im Handumdrehen !!
Also ich hab die Ports jetzt so weitergeleitet wie du gesagt hast, aber ich bekomm folgende Meldung:
2009/08/08 13:36:20:311 Error 91.9.90.150 The peer is not responding to phase 1 ISAKMP requests.
2009/08/08 13:36:20:311 Error 91.9.90.150 The peer is not responding to phase 1 ISAKMP requests.
Dann stimmt was mit deinem Port Forwarding nicht bzw. dir sollte klar sein das die 91.9.90.150 dann die DSL IP auf der FB sein MUSS !!
Schalte mal einen Packet Sniffer wie den freien Wireshark in die LAN Verbindung zwischen deiner FB und der Sonicwall und kontrolliere einmal ob die FB wirklich den UDP 500 und den ESP Traffic forwardet auf die Sonicwall !
Damit kannst du auch gleichzeitig genau kontrollieren ob die Sonicwall überhaupt antwortet auf die (hoffentlich) eingehenden IPsec Packete des Clients und ob auf der Sonicwall alles richtig konfiguriert ist !?
Bedenke das auch auf der Client Seite sollte sich dieser hinter einem NAT Router befinden zwingend ein Port Forwarding auf die lokale Client IP erforderlich ist !!
Im Zweifelsfall solltest du also immer erstmal den VPN Client HIER im Verbindungsnetz zw. FB und Sonicwall platzieren und ganz sicher verifizieren das der Client eine VPN Verbindung zur Sonicwall aufbauen kann.
Erst wenn das der Fall ist kannst du dir sicher sein das der fehler dann sicher nicht mehr an der Sonicwall liegt !!
Ein Log Auszug der Sonicwall bei eingehender VPN Session wäre ebenfalls sehr hilfreich hier !
Schalte mal einen Packet Sniffer wie den freien Wireshark in die LAN Verbindung zwischen deiner FB und der Sonicwall und kontrolliere einmal ob die FB wirklich den UDP 500 und den ESP Traffic forwardet auf die Sonicwall !
Damit kannst du auch gleichzeitig genau kontrollieren ob die Sonicwall überhaupt antwortet auf die (hoffentlich) eingehenden IPsec Packete des Clients und ob auf der Sonicwall alles richtig konfiguriert ist !?
Bedenke das auch auf der Client Seite sollte sich dieser hinter einem NAT Router befinden zwingend ein Port Forwarding auf die lokale Client IP erforderlich ist !!
Im Zweifelsfall solltest du also immer erstmal den VPN Client HIER im Verbindungsnetz zw. FB und Sonicwall platzieren und ganz sicher verifizieren das der Client eine VPN Verbindung zur Sonicwall aufbauen kann.
Erst wenn das der Fall ist kannst du dir sicher sein das der fehler dann sicher nicht mehr an der Sonicwall liegt !!
Ein Log Auszug der Sonicwall bei eingehender VPN Session wäre ebenfalls sehr hilfreich hier !
Also wenn ich mit WirShark die Pakete an der FB abhöre kommt das, wenn ich die VPN Verbindung aktiviere:
15 109.930253 Sonic_18:30:31 Broadcast ARP Who has 192.168.0.1? Tell 192.168.0.108
15 109.930253 Sonic_18:30:31 Broadcast ARP Who has 192.168.0.1? Tell 192.168.0.108
Das ist ein stinknormaler ARP (Adress Resolution Protokoll).
Das hat mit IPsec und VPN rein gar nichts zu tun und zeigt eher das hier gar kein VPN Datenstrom ankommt.
Bedenke das du NICHT mit einem Switch sniffern darfst, denn der forwardet auf dem Snifferport logischerweise nur Broadcasts (wie z.B. das ARP)
Logischerweise musst du einen dummen Hub dazwischen haben um Packete zu sehen !
Siehe hier:
http://www.heise.de/netze/Fehler-erschnueffeln--/artikel/76929
Damit sollte dir dann die Problematik beim Sniffern hoffentlich klar sein, oder ??
Also HUB dazwischen !
Hast du mal versucht mit einem Testclient im FB Sonicwall Netz ein VPN zur Sonicwall aufzubauen um die Sonicwall VPN Verbindung zu checken ??
Das hat mit IPsec und VPN rein gar nichts zu tun und zeigt eher das hier gar kein VPN Datenstrom ankommt.
Bedenke das du NICHT mit einem Switch sniffern darfst, denn der forwardet auf dem Snifferport logischerweise nur Broadcasts (wie z.B. das ARP)
Logischerweise musst du einen dummen Hub dazwischen haben um Packete zu sehen !
Siehe hier:
http://www.heise.de/netze/Fehler-erschnueffeln--/artikel/76929
Damit sollte dir dann die Problematik beim Sniffern hoffentlich klar sein, oder ??
Also HUB dazwischen !
Hast du mal versucht mit einem Testclient im FB Sonicwall Netz ein VPN zur Sonicwall aufzubauen um die Sonicwall VPN Verbindung zu checken ??
Also wenn ich von intern zu connecten versuch dann kommt das:
2009/08/10 15:45:32:322 Error <Default Gateway> Received invalid ID information from the peer. Cannot continue with phase 1. Please contact your network administrator.
Mit dem Hub konnt ich leider noch nicht ausprobiern weil ich erst mal einen auftriben muss.
2009/08/10 15:45:32:322 Error <Default Gateway> Received invalid ID information from the peer. Cannot continue with phase 1. Please contact your network administrator.
Mit dem Hub konnt ich leider noch nicht ausprobiern weil ich erst mal einen auftriben muss.
Wenn du schon vom FB - Sonicwall Segment keine VPN Verbindung herstellen kannst, dann hast du ein generelles VPN Problem.
Ist ja klar, das es dann von Remote auch nicht klappen kann.
Das musst du erst in den Griff bekommen bevor du weitermachst...
Ist ja klar, das es dann von Remote auch nicht klappen kann.
Das musst du erst in den Griff bekommen bevor du weitermachst...
Also von wenn ich an der sonicwall dran häng bekomm ich eine VPN Verbindung, aber wenn ich an der FB häng dann nicht. Wieder mit der Meldung: The peer is not responding to phase 1 ISAKMP requests
Mit an Sicherheit grenzender Wahrscheinlichkeit funktioniert dann das Port Forwarding nicht an der FB !
Wie gesagt das kannst du ganz einfach mit einem Wireshark Sniffertrace sehen am Eingangsport der Sonicwall.
Wenn dort keine IPsec und UDP 500 Pakete vom Client ankommen forwardet die FB diese Packete nicht an die IP der Sonicwall bzw. das Port Forwarding in der FB ist nicht korrekt konfiguriert !
Wie bereits oben bemerkt kannst du dir die korrekte FB Einstellung im PPTP Turorial ansehen mit dem Unterschied das bei dir die Ports
UDP 500 und
ESP (Protokoll nummer 50)
geforwardet werden müssen !!! (Nicht 1723 und GRE denn das ist PPTP und NICHT IPsec !!!)
Wie gesagt das kannst du ganz einfach mit einem Wireshark Sniffertrace sehen am Eingangsport der Sonicwall.
Wenn dort keine IPsec und UDP 500 Pakete vom Client ankommen forwardet die FB diese Packete nicht an die IP der Sonicwall bzw. das Port Forwarding in der FB ist nicht korrekt konfiguriert !
Wie bereits oben bemerkt kannst du dir die korrekte FB Einstellung im PPTP Turorial ansehen mit dem Unterschied das bei dir die Ports
UDP 500 und
ESP (Protokoll nummer 50)
geforwardet werden müssen !!! (Nicht 1723 und GRE denn das ist PPTP und NICHT IPsec !!!)
Problem hat sich erledigt die Sonicwall hat dne geist aufgegeben -.-
