16
Telekom Digitalisierungsbox IPSec forwarding
Hallo zusammen,
ich bekomme das Forwarding von IPSec VPN leider nicht zum laufen..
Ich habe eine Digitalisierungsbox Premium, die die All IP DSL Verbindung zur Telekom herstellt und auch das GW für alle Clients ist.
Hinter der Digitalisierungsbox (man, was ein bescheuerter Name..) hängt ein Cisco RV042, der bisher für das VPN da war und auch weiterhin genutzt werden soll.
So sieht es bisher aus:
Digitalisierungsbox - LAN: 192.168.10.254 /24
RV042 - LAN Port: 192.168.100.250 /24
RV042 - WAN Port: 192.168.10.250 /24
Am WAN Port des RV042 ist die Digitalisierungsbox als Gateway und DNS angegeben.
Beide Geräte sind direkt an den Switch gehängt.
Firmware ist auf beiden Geräten aktuell.
Ich habe die Ports UPD 500 und 4500 auf die IP des WAN Ports des RV042 weitergeleitet, sowie das ESP Protokoll.
Die Firewall ist testweise auf der Digitalisierungsbox sowie dem RV042 deaktiviert, aber mein Client bekommt einfach keinen Tunnel aufgebaut.
Bis vor der DSL Umstellung lief es alles ohne Probleme, an den VPN Einstellungen hat sich nichts geändert.
Mein Test-Client, Windows 10 Pro mit Shrew VPN.
Mit der Config lief es bis vor der DSL Umstellung noch.
Beim aufbauen des Tunnels kommt die Meldung:
"negotiation timout occurred"
Das einzeige was im Log vom RV042 auftaucht ist folgendes:
"Connection Accepted UDP 188.xxx.xxx.xxx:500->192.168.10.251:500 on MAC=64:0UDP"
Mehr wird im Log nicht eingetragen.
Im Log der Digitalisierungsbox ist nichts zu sehen was das Forwarding angeht.
Bin über jede Hilfe dankbar!
Grüße
ich bekomme das Forwarding von IPSec VPN leider nicht zum laufen..
Ich habe eine Digitalisierungsbox Premium, die die All IP DSL Verbindung zur Telekom herstellt und auch das GW für alle Clients ist.
Hinter der Digitalisierungsbox (man, was ein bescheuerter Name..) hängt ein Cisco RV042, der bisher für das VPN da war und auch weiterhin genutzt werden soll.
So sieht es bisher aus:
Digitalisierungsbox - LAN: 192.168.10.254 /24
RV042 - LAN Port: 192.168.100.250 /24
RV042 - WAN Port: 192.168.10.250 /24
Am WAN Port des RV042 ist die Digitalisierungsbox als Gateway und DNS angegeben.
Beide Geräte sind direkt an den Switch gehängt.
Firmware ist auf beiden Geräten aktuell.
Ich habe die Ports UPD 500 und 4500 auf die IP des WAN Ports des RV042 weitergeleitet, sowie das ESP Protokoll.
Die Firewall ist testweise auf der Digitalisierungsbox sowie dem RV042 deaktiviert, aber mein Client bekommt einfach keinen Tunnel aufgebaut.
Bis vor der DSL Umstellung lief es alles ohne Probleme, an den VPN Einstellungen hat sich nichts geändert.
Mein Test-Client, Windows 10 Pro mit Shrew VPN.
Mit der Config lief es bis vor der DSL Umstellung noch.
Beim aufbauen des Tunnels kommt die Meldung:
"negotiation timout occurred"
Das einzeige was im Log vom RV042 auftaucht ist folgendes:
"Connection Accepted UDP 188.xxx.xxx.xxx:500->192.168.10.251:500 on MAC=64:0UDP"
Mehr wird im Log nicht eingetragen.
Im Log der Digitalisierungsbox ist nichts zu sehen was das Forwarding angeht.
Bin über jede Hilfe dankbar!
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 304102
Url: https://administrator.de/contentid/304102
Printed on: April 25, 2024 at 15:04 o'clock
16 Comments
Latest comment
Digitalisierungsbox - LAN: 192.168.10.254 /24
RV042 - LAN Port: 192.168.10.250 /24
RV042 - WAN Port: 192.168.10.251 /24
Ähh, das muss ein Fehler sein. Auf WAN und LAN das selbe Subnetz?? Das kann so nich funktionieren ... RV042 - LAN Port: 192.168.10.250 /24
RV042 - WAN Port: 192.168.10.251 /24
Wenn das wirklich so eingerichtet ist und kein Tippfehler, ist das schon dein Konfigurationsfehler.Normalerweise setzt man das LAN an dem Cisco auf ein anderes Subnetz und macht auf dem WAN NAT oder du setzt auf der D-Box eine statische Route für das Subnetz hinter dem Cisco welche auf den Cisco als GW zeigt, dann wird geroutet anstatt genattet was meist zu bevorzugen ist.
Hallo,
Und diese macht doch schon selbst einen VPN (IPsec) Server. Sicher das deine gewünschte Konfiguration auch beim Einrichten angenommen wird? Ein Wireshark sagt dir was aus der Digitalisierungsbox Premium hinten raus kommt sofern dort kein Logging besteht.
Gruß,
Peter
Und diese macht doch schon selbst einen VPN (IPsec) Server. Sicher das deine gewünschte Konfiguration auch beim Einrichten angenommen wird? Ein Wireshark sagt dir was aus der Digitalisierungsbox Premium hinten raus kommt sofern dort kein Logging besteht.
Digitalisierungsbox - LAN: 192.168.10.254 /24
RV042 - LAN Port: 192.168.10.250 /24
RV042 - WAN Port: 192.168.10.251 /24
Alles im gleichen Netz?RV042 - LAN Port: 192.168.10.250 /24
RV042 - WAN Port: 192.168.10.251 /24
Gruß,
Peter
Ups, entschuldigt, ich habe mich tatsächlich vertippt..
Die IP des WAN Ports ist: 192.168.100.250 /24
Den LAN Port habe ich bewusst in das Subnetz des eigentlichen LANs gepackt - 192.168.10.x, da ich ja, wenn ich per VPN mit dem Cisco verbunden bin, von diesem weiter in das LAN möchte um per RDP auf den TS zu kommen. Oder ist das ein Denkfehler, dass der LAN Port im Subnetz des eigentlich LANs sein muss?
Wo ich gerade statische Route lesen, benötige ich denn eine statische Route von der D-Box auf das Subetz des WAN Ports von dem Cisco?
Der Cisco soll nur VPN machen.
Die D-Box ist der eigentlich Router und das GW für alle Clients inkl. Server.
Die IP des WAN Ports ist: 192.168.100.250 /24
Den LAN Port habe ich bewusst in das Subnetz des eigentlichen LANs gepackt - 192.168.10.x, da ich ja, wenn ich per VPN mit dem Cisco verbunden bin, von diesem weiter in das LAN möchte um per RDP auf den TS zu kommen. Oder ist das ein Denkfehler, dass der LAN Port im Subnetz des eigentlich LANs sein muss?
Wo ich gerade statische Route lesen, benötige ich denn eine statische Route von der D-Box auf das Subetz des WAN Ports von dem Cisco?
Der Cisco soll nur VPN machen.
Die D-Box ist der eigentlich Router und das GW für alle Clients inkl. Server.
Moin,
das VPN muss natürlich am WAN Port des Cisco Routers ankommen.
Das deine Konfig nicht funktioniert kannst du dir sicher selbst denken...
Der WAN Port des Cisco Routers braucht eine IP aus dem LAN Subnetz der Digitalbox.
LAN ist ja egal wenn du das nicht verwendest, sollte aber ein anderes sein.
Edit:
Warum nimmst du nicht einfach einen Raspberry oder eine Linux Kiste und löst das ganze mit OpenVPN?
Da leitest du einfach den UDP Port 1194 weiter und gut ist.
VG
Val
das VPN muss natürlich am WAN Port des Cisco Routers ankommen.
Das deine Konfig nicht funktioniert kannst du dir sicher selbst denken...
Oder ist das ein Denkfehler, dass der LAN Port im Subnetz des eigentlich LANs sein muss?
Ja.Der WAN Port des Cisco Routers braucht eine IP aus dem LAN Subnetz der Digitalbox.
LAN ist ja egal wenn du das nicht verwendest, sollte aber ein anderes sein.
Wo ich gerade statische Route lesen, benötige ich denn eine statische Route von der D-Box auf das Subetz des WAN Ports von dem Cisco?
Wenn der Cisco NAT macht nicht.Edit:
Warum nimmst du nicht einfach einen Raspberry oder eine Linux Kiste und löst das ganze mit OpenVPN?
Da leitest du einfach den UDP Port 1194 weiter und gut ist.
VG
Val
Zitat von @itse92:
Den LAN Port habe ich bewusst in das Subnetz des eigentlichen LANs gepackt - 192.168.10.x, da ich ja, wenn ich per VPN mit dem Cisco verbunden bin, von diesem weiter in das LAN möchte um per RDP auf den TS zu kommen. Oder ist das ein Denkfehler, dass der LAN Port im Subnetz des eigentlich LANs sein muss?
Der Router muss je selber eine IP in seinem LAN haben, wie sollte es sonst funktionieren Den LAN Port habe ich bewusst in das Subnetz des eigentlichen LANs gepackt - 192.168.10.x, da ich ja, wenn ich per VPN mit dem Cisco verbunden bin, von diesem weiter in das LAN möchte um per RDP auf den TS zu kommen. Oder ist das ein Denkfehler, dass der LAN Port im Subnetz des eigentlich LANs sein muss?
, sonst hätten die Clients ja kein Gateway.Wo ich gerade statische Route lesen, benötige ich denn eine statische Route von der D-Box auf das Subetz des WAN Ports von dem Cisco?
Wie ich geschrieben habe, nur wenn auf dem WAN-Port des Cisco kein NAT gemacht wird. Per Default wird am WAN SRC-NAT betrieben, man braucht dann also keine Route, logisch wenn man denn die Routinggrundlagen beherrscht.Der Cisco soll nur VPN machen.
Die D-Box ist der eigentlich Router und das GW für alle Clients inkl. Server.
Nö, dein Cisco ist das GW wenn die Clients an seinem LAN hängen und dem Cisco sein GW ist die D-Box!Die D-Box ist der eigentlich Router und das GW für alle Clients inkl. Server.
Das ist eine einfache Routerkaskade die du da betreibst.
Zitat von @119944:
das VPN muss natürlich am WAN Port des Cisco Routers ankommen.
Das tut es jadas VPN muss natürlich am WAN Port des Cisco Routers ankommen.
Edit:
Warum nimmst du nicht einfach einen Raspberry oder eine Linux Kiste und löst das ganze mit OpenVPN?
Da leitest du einfach den UDP Port 1194 weiter und gut ist.
Weil sonst bei div. Leuten (Clients) das VPN neu eingerichtet werden muss.Warum nimmst du nicht einfach einen Raspberry oder eine Linux Kiste und löst das ganze mit OpenVPN?
Da leitest du einfach den UDP Port 1194 weiter und gut ist.
Zitat von @129148:
Das ist eine einfache Routerkaskade die du da betreibst.
Der Cisco soll nur VPN machen.
Die D-Box ist der eigentlich Router und das GW für alle Clients inkl. Server.
Nö, dein Cisco ist das GW wenn die Clients an seinem LAN hängen und dem Cisco sein GW ist die D-Box!Die D-Box ist der eigentlich Router und das GW für alle Clients inkl. Server.
Das ist eine einfache Routerkaskade die du da betreibst.
Also, die D-Box ist und soll das Gateway bleiben.
Der Cisco soll nur da sein, damit man von außen sich per VPN Verbinden kann.
Jeder Client hat als Gateway die D-Box eingetragen.
Das WAN des Ciscos ist im gleichen Subnet, wie das LAN der D-Box.
Die D-Box leitet die Ports / ESP auf den WAN Port vom Cisco.
Wenn mein Tunnel jetzt aufgebaut ist, hat mein Client ja eine direkt Verbindung zu dem Cisco.
Wie komme ich dann vom Cisco in das LAN, wenn der LAN Port von dem Cisco in einem anderen Subnet ist?
Der LAN Port wäre dann 192.168.20.x
Meine Geräte auf die ich dann aber über VPN zugreifen möchte, befinden sich in 192.168.10.x
Das WAN des Ciscos ist im gleichen Subnet, wie das LAN der D-Box.
Lt. Deiner Beschreibung ja eben nicht!Digitalisierungsbox - LAN: 192.168.10.254 /24
RV042 - LAN Port: 192.168.10.250 /24
RV042 - WAN Port: 192.168.100.250 /24
RV042 - LAN Port: 192.168.10.250 /24
RV042 - WAN Port: 192.168.100.250 /24
Wenn mein Tunnel jetzt aufgebaut ist, hat mein Client ja eine direkt Verbindung zu dem Cisco.
Funktioniert es denn jetzt?Wie komme ich dann vom Cisco in das LAN, wenn der LAN Port von dem Cisco in einem anderen Subnet ist?
Na der Cisco routet zwischen den beiden Netzen wenn er in beiden steckt...Die RV Serie ist übrigens absoluter Schrott und total eingeschränkt. Hab noch einen RV320 auf Arbeit rum liegen weil das Ding nie stabil gelaufen ist...
Ansonsten ist hier noch was zum Thema:
Kopplung von 2 Routern am DSL Port
VG
Val
Das WAN des Ciscos ist im gleichen Subnet, wie das LAN der D-Box.
Lt. Deiner Beschreibung ja eben nicht!Digitalisierungsbox - LAN: 192.168.10.254 /24
RV042 - LAN Port: 192.168.10.250 /24
RV042 - WAN Port: 192.168.100.250 /24
RV042 - LAN Port: 192.168.10.250 /24
RV042 - WAN Port: 192.168.100.250 /24
Ist jetzt angepasst.
WAN Port: 192.168.10.250
LAN Port: 192.168.100.250
Die D-Box leitet die Ports an 192.168.10.250
aber..
Wenn mein Tunnel jetzt aufgebaut ist, hat mein Client ja eine direkt Verbindung zu dem Cisco.
Funktioniert es denn jetzt?
Noch etwas:
Wenn ich den LAN Port vom Cisco auf ein anderes Subnet stelle: 192.168.100.250
dann kann ich den Cisco unter dem WAN Port nicht mehr erreichen (anpingen)
Als wäre der WAN Port tot.
Obwohl der WAN Port in dem gleichen Subnet ist wie auch die D-Box.
Wenn ich den LAN Port vom Cisco auf ein anderes Subnet stelle: 192.168.100.250
dann kann ich den Cisco unter dem WAN Port nicht mehr erreichen (anpingen)
Als wäre der WAN Port tot.
Obwohl der WAN Port in dem gleichen Subnet ist wie auch die D-Box.
Hallo,
Bist du dir dessen sicher das deine gewünschten Ports alle durch deine Digitalisierungsbox Premium kommen? Hast du das verifiziert?. Die D-Box ist ja selbst auch ein VPN Server!
Du hast doch nur die Digitalisierungsbox Premium gegen dein vorher vorhanden Modem/Router getauscht oder war vorher nur ein Modem direkt an dein RV042 am WAN Port dran? Da wird doch keine IP deines Netzes geändert, oder? hat es denn vorher schon funktioniert und wie genau war der Aufbau und dessen konfiguration. Ansonsten ist der Fehler beim geänderten Produkt...
Gruß,
Peter
Bist du dir dessen sicher das deine gewünschten Ports alle durch deine Digitalisierungsbox Premium kommen? Hast du das verifiziert?. Die D-Box ist ja selbst auch ein VPN Server!
Wenn ich den LAN Port vom Cisco auf
Dann schleunigst mal dein Aufbau auf Papier gebracht, IPs, SN und GW an allen Ports dazuschreiben dann sollte der Fehler dort schon erkennbar sein.ein anderes Subnet stelle: 192.168.100.250
Dann hängt der LAN Port deiner RV042 in der Luft, auch wenn ein Switch oder sonstwas dran hängt. Wenn du kein Netz mit 192.168.100.0/24 hast. Was soll das bringen?dann kann ich den Cisco unter dem WAN Port nicht mehr erreichen (anpingen)
Dann ist bei dir noch mehr im argenAls wäre der WAN Port tot.
Nur wenn kein anderes aktives Gerät dran hängt...Obwohl der WAN Port in dem gleichen Subnet ist wie auch die D-Box.
Das nennt sich dann eine Router Kaskade und dein LAN gehört am LAN Port deines RV042 und dort müssen dann alle eine IP aus den Netz 192.168.100.0/24 haben.Du hast doch nur die Digitalisierungsbox Premium gegen dein vorher vorhanden Modem/Router getauscht oder war vorher nur ein Modem direkt an dein RV042 am WAN Port dran? Da wird doch keine IP deines Netzes geändert, oder? hat es denn vorher schon funktioniert und wie genau war der Aufbau und dessen konfiguration. Ansonsten ist der Fehler beim geänderten Produkt...
Gruß,
Peter
Ok, danke erstmal für Eure Tipps.
Ich werde dann die Tage erstmal den Cisco wieder als GW für die Clients einrichten, damit der Aufbau so ist, wie Ihr hier mehrfach beschrieben habt.
Ich werde berichten.
Ich werde dann die Tage erstmal den Cisco wieder als GW für die Clients einrichten, damit der Aufbau so ist, wie Ihr hier mehrfach beschrieben habt.
Ich werde berichten.
Mal 'ne ganz blöde Frage:
Warum nutzt Du nicht die be.ip (=digitalisierungsbox) als VPN-Server?
lks
Warum nutzt Du nicht die be.ip (=digitalisierungsbox) als VPN-Server?
lks
Hinter der Digitalisierungsbox (man, was ein bescheuerter Name..)
Der ist wirklich bescheuert denn dann sollte schon ein Router sein ! Genauer gesagt ein NAT Router.Dann betreibst du einen Router Kaskade wie hier zu sehen:
Kopplung von 2 Routern am DSL Port
Genau DAS ist auch das Szenario an das du dich mit deinem Setup, IP Adressierung etc. halten MUSST !
Der erste Router (der direkt am Internet wo deinen Zugangsdaten hinterlegt sind) sollte eigentlich der VPN Router sein aus technischen Gründen.
Scheinbar ist das bei dir wohl nicht möglich, da der kein aktives VPN kann so das du diese Kaskade betreibst ?! Kann aber auch Sicherheitsgründe haben ?!
Der Cisco RV macht ja IPsec als VPN Protokoll. Folglich musst du zwangsweise die Ports
UDP 500, UDP 4500
und das ESP Protokoll mit der IP Protokoll Nummer 50 (kein Port 50 !! ESP ist ein eigenständiges IP Protokoll !) auf die kaskadierte WAN IP des Cisco RVs forwarden.
Das ist zwingende Voraussetzung das das zum Fliegen kommt !
Ob diese komische Box (hat die eigentlich keinen Modellnamen ??) überhaupt IPsec Traffic forwardet oder ob du das sauber konfiguriert hast kannst du ganz einfach verifizieren, indem du mal einen PC oder Laptop mit einem kostenlosen Wireshark Sniffers ins Netzwerk an der Box hängst.
Und zwar ersetzt du mit dem Sniffer temporär den Cisco !! Der Sniffer hat dann logischerweise auch die gleiche WAN IP wie der Cisco.
So forwardet dann die Box den gesamten VPN Traffic an den Sniffer und du kannst bequem checken ob dort dann überhaupt IPsec Traffic ankommt.
Forwardet die Box davor kein IPsec oder kommt z.B. ESB nicht an ists logischerweise sofort aus mit dem VPN !
Es gilt also erstmal sicher festzustellen WO hier der Fehler bzw. WER der Verursacher ist bevor man zielgerichtet ans Troubleshootibg geht !!!
Zitat von @aqui:
Scheinbar ist das bei dir wohl nicht möglich, da der kein aktives VPN kann so das du diese Kaskade betreibst ?! Kann aber auch Sicherheitsgründe haben ?!
Scheinbar ist das bei dir wohl nicht möglich, da der kein aktives VPN kann so das du diese Kaskade betreibst ?! Kann aber auch Sicherheitsgründe haben ?!
Die Digitalisierungsbox ist eine be.ip mit Telekom-Firmware und die kann sogar IPSEC.
lks
Na dann sind doch alle Klarheiten beseitigt.
IPsec konfigurieren (wie man es macht steht HIER ) auf der Box, Cisco RV entsorgen und gut iss...
Das wäre dann aber ein peinlicher Thread wenn der TO noch nichteinmal was von den IPsec Fähigkeiten dieser Box wusste BEVOR er den Thread eröffnet hat...
Na ja... das fehlende Feedback jetzt spricht ja schon Bände. Hoffentlich reicht es dann noch für ein:
How can I mark a post as solved?
IPsec konfigurieren (wie man es macht steht HIER ) auf der Box, Cisco RV entsorgen und gut iss...
Das wäre dann aber ein peinlicher Thread wenn der TO noch nichteinmal was von den IPsec Fähigkeiten dieser Box wusste BEVOR er den Thread eröffnet hat...
Na ja... das fehlende Feedback jetzt spricht ja schon Bände. Hoffentlich reicht es dann noch für ein:
How can I mark a post as solved?
Zitat von @aqui:
Das wäre dann aber ein peinlicher Thread wenn der TO noch nichteinmal was von den IPsec Fähigkeiten dieser Box wusste BEVOR er den Thread eröffnet hat...
Das wäre dann aber ein peinlicher Thread wenn der TO noch nichteinmal was von den IPsec Fähigkeiten dieser Box wusste BEVOR er den Thread eröffnet hat...
Der TO hat zumidenst gesagt, daß für VPN die Cisco benutzt werden soll. Allerdings hat er auf meine Nachfrage, warum nicht die IPSec-fähigkeiten der bintec/telekom-box benutzt werden sollen nicht geantwortet. Kann ja durchaus sein, daß durch einenCompany-Standard oder zentrales management die Cisco vorgeschrieben ist.
lks
