itse92
Goto Top

Telekom Digitalisierungsbox IPSec forwarding

Hallo zusammen,

ich bekomme das Forwarding von IPSec VPN leider nicht zum laufen..

Ich habe eine Digitalisierungsbox Premium, die die All IP DSL Verbindung zur Telekom herstellt und auch das GW für alle Clients ist.
Hinter der Digitalisierungsbox (man, was ein bescheuerter Name..) hängt ein Cisco RV042, der bisher für das VPN da war und auch weiterhin genutzt werden soll.

So sieht es bisher aus:

Digitalisierungsbox - LAN: 192.168.10.254 /24
RV042 - LAN Port: 192.168.100.250 /24
RV042 - WAN Port: 192.168.10.250 /24
Am WAN Port des RV042 ist die Digitalisierungsbox als Gateway und DNS angegeben.

Beide Geräte sind direkt an den Switch gehängt.
Firmware ist auf beiden Geräten aktuell.

Ich habe die Ports UPD 500 und 4500 auf die IP des WAN Ports des RV042 weitergeleitet, sowie das ESP Protokoll.
Die Firewall ist testweise auf der Digitalisierungsbox sowie dem RV042 deaktiviert, aber mein Client bekommt einfach keinen Tunnel aufgebaut.
Bis vor der DSL Umstellung lief es alles ohne Probleme, an den VPN Einstellungen hat sich nichts geändert.

Mein Test-Client, Windows 10 Pro mit Shrew VPN.
Mit der Config lief es bis vor der DSL Umstellung noch.

Beim aufbauen des Tunnels kommt die Meldung:
"negotiation timout occurred"

Das einzeige was im Log vom RV042 auftaucht ist folgendes:
"Connection Accepted UDP 188.xxx.xxx.xxx:500->192.168.10.251:500 on MAC=64:0UDP"

Mehr wird im Log nicht eingetragen.
Im Log der Digitalisierungsbox ist nichts zu sehen was das Forwarding angeht.

Bin über jede Hilfe dankbar!

Grüße

Content-ID: 304102

Url: https://administrator.de/forum/telekom-digitalisierungsbox-ipsec-forwarding-304102.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

129148
129148 10.05.2016 aktualisiert um 19:41:05 Uhr
Goto Top
Digitalisierungsbox - LAN: 192.168.10.254 /24
RV042 - LAN Port: 192.168.10.250 /24
RV042 - WAN Port: 192.168.10.251 /24
Ähh, das muss ein Fehler sein. Auf WAN und LAN das selbe Subnetz?? Das kann so nich funktionieren ... face-wink Wenn das wirklich so eingerichtet ist und kein Tippfehler, ist das schon dein Konfigurationsfehler.

Normalerweise setzt man das LAN an dem Cisco auf ein anderes Subnetz und macht auf dem WAN NAT oder du setzt auf der D-Box eine statische Route für das Subnetz hinter dem Cisco welche auf den Cisco als GW zeigt, dann wird geroutet anstatt genattet was meist zu bevorzugen ist.
Pjordorf
Pjordorf 10.05.2016 um 19:43:02 Uhr
Goto Top
Hallo,

Zitat von @itse92:
Ich habe eine Digitalisierungsbox Premium
Und diese macht doch schon selbst einen VPN (IPsec) Server. Sicher das deine gewünschte Konfiguration auch beim Einrichten angenommen wird? Ein Wireshark sagt dir was aus der Digitalisierungsbox Premium hinten raus kommt sofern dort kein Logging besteht.

Digitalisierungsbox - LAN: 192.168.10.254 /24
RV042 - LAN Port: 192.168.10.250 /24
RV042 - WAN Port: 192.168.10.251 /24
Alles im gleichen Netz?

Gruß,
Peter
itse92
itse92 10.05.2016 aktualisiert um 20:45:44 Uhr
Goto Top
Ups, entschuldigt, ich habe mich tatsächlich vertippt..

Die IP des WAN Ports ist: 192.168.100.250 /24

Den LAN Port habe ich bewusst in das Subnetz des eigentlichen LANs gepackt - 192.168.10.x, da ich ja, wenn ich per VPN mit dem Cisco verbunden bin, von diesem weiter in das LAN möchte um per RDP auf den TS zu kommen. Oder ist das ein Denkfehler, dass der LAN Port im Subnetz des eigentlich LANs sein muss?

Wo ich gerade statische Route lesen, benötige ich denn eine statische Route von der D-Box auf das Subetz des WAN Ports von dem Cisco?

Der Cisco soll nur VPN machen.
Die D-Box ist der eigentlich Router und das GW für alle Clients inkl. Server.
119944
119944 10.05.2016 aktualisiert um 21:14:23 Uhr
Goto Top
Moin,

das VPN muss natürlich am WAN Port des Cisco Routers ankommen.
Das deine Konfig nicht funktioniert kannst du dir sicher selbst denken...

Oder ist das ein Denkfehler, dass der LAN Port im Subnetz des eigentlich LANs sein muss?
Ja.
Der WAN Port des Cisco Routers braucht eine IP aus dem LAN Subnetz der Digitalbox.
LAN ist ja egal wenn du das nicht verwendest, sollte aber ein anderes sein.

Wo ich gerade statische Route lesen, benötige ich denn eine statische Route von der D-Box auf das Subetz des WAN Ports von dem Cisco?
Wenn der Cisco NAT macht nicht.

Edit:
Warum nimmst du nicht einfach einen Raspberry oder eine Linux Kiste und löst das ganze mit OpenVPN?
Da leitest du einfach den UDP Port 1194 weiter und gut ist.

VG
Val
129148
129148 10.05.2016 aktualisiert um 21:16:00 Uhr
Goto Top
Zitat von @itse92:
Den LAN Port habe ich bewusst in das Subnetz des eigentlichen LANs gepackt - 192.168.10.x, da ich ja, wenn ich per VPN mit dem Cisco verbunden bin, von diesem weiter in das LAN möchte um per RDP auf den TS zu kommen. Oder ist das ein Denkfehler, dass der LAN Port im Subnetz des eigentlich LANs sein muss?
Der Router muss je selber eine IP in seinem LAN haben, wie sollte es sonst funktionieren face-smile, sonst hätten die Clients ja kein Gateway.
Wo ich gerade statische Route lesen, benötige ich denn eine statische Route von der D-Box auf das Subetz des WAN Ports von dem Cisco?
Wie ich geschrieben habe, nur wenn auf dem WAN-Port des Cisco kein NAT gemacht wird. Per Default wird am WAN SRC-NAT betrieben, man braucht dann also keine Route, logisch wenn man denn die Routinggrundlagen beherrscht.
Der Cisco soll nur VPN machen.
Die D-Box ist der eigentlich Router und das GW für alle Clients inkl. Server.
Nö, dein Cisco ist das GW wenn die Clients an seinem LAN hängen und dem Cisco sein GW ist die D-Box!
Das ist eine einfache Routerkaskade die du da betreibst.
itse92
itse92 10.05.2016 um 21:34:09 Uhr
Goto Top
Zitat von @119944:

das VPN muss natürlich am WAN Port des Cisco Routers ankommen.
Das tut es ja

Edit:
Warum nimmst du nicht einfach einen Raspberry oder eine Linux Kiste und löst das ganze mit OpenVPN?
Da leitest du einfach den UDP Port 1194 weiter und gut ist.
Weil sonst bei div. Leuten (Clients) das VPN neu eingerichtet werden muss.

Zitat von @129148:

Der Cisco soll nur VPN machen.
Die D-Box ist der eigentlich Router und das GW für alle Clients inkl. Server.
Nö, dein Cisco ist das GW wenn die Clients an seinem LAN hängen und dem Cisco sein GW ist die D-Box!
Das ist eine einfache Routerkaskade die du da betreibst.

Also, die D-Box ist und soll das Gateway bleiben.
Der Cisco soll nur da sein, damit man von außen sich per VPN Verbinden kann.
Jeder Client hat als Gateway die D-Box eingetragen.

Das WAN des Ciscos ist im gleichen Subnet, wie das LAN der D-Box.
Die D-Box leitet die Ports / ESP auf den WAN Port vom Cisco.

Wenn mein Tunnel jetzt aufgebaut ist, hat mein Client ja eine direkt Verbindung zu dem Cisco.
Wie komme ich dann vom Cisco in das LAN, wenn der LAN Port von dem Cisco in einem anderen Subnet ist?
Der LAN Port wäre dann 192.168.20.x
Meine Geräte auf die ich dann aber über VPN zugreifen möchte, befinden sich in 192.168.10.x
119944
119944 10.05.2016 aktualisiert um 21:48:57 Uhr
Goto Top
Das WAN des Ciscos ist im gleichen Subnet, wie das LAN der D-Box.
Digitalisierungsbox - LAN: 192.168.10.254 /24
RV042 - LAN Port: 192.168.10.250 /24
RV042 - WAN Port: 192.168.100.250 /24
Lt. Deiner Beschreibung ja eben nicht!

Wenn mein Tunnel jetzt aufgebaut ist, hat mein Client ja eine direkt Verbindung zu dem Cisco.
Funktioniert es denn jetzt?

Wie komme ich dann vom Cisco in das LAN, wenn der LAN Port von dem Cisco in einem anderen Subnet ist?
Na der Cisco routet zwischen den beiden Netzen wenn er in beiden steckt...

Die RV Serie ist übrigens absoluter Schrott und total eingeschränkt. Hab noch einen RV320 auf Arbeit rum liegen weil das Ding nie stabil gelaufen ist...

Ansonsten ist hier noch was zum Thema:
Kopplung von 2 Routern am DSL Port

VG
Val
itse92
itse92 10.05.2016 um 22:01:13 Uhr
Goto Top
Das WAN des Ciscos ist im gleichen Subnet, wie das LAN der D-Box.
Digitalisierungsbox - LAN: 192.168.10.254 /24
RV042 - LAN Port: 192.168.10.250 /24
RV042 - WAN Port: 192.168.100.250 /24
Lt. Deiner Beschreibung ja eben nicht!
Ja, Du hast Recht!
Ist jetzt angepasst.
WAN Port: 192.168.10.250
LAN Port: 192.168.100.250

Die D-Box leitet die Ports an 192.168.10.250

aber..
Wenn mein Tunnel jetzt aufgebaut ist, hat mein Client ja eine direkt Verbindung zu dem Cisco.
Funktioniert es denn jetzt?
Es funktioniert immer noch nicht
itse92
itse92 10.05.2016 aktualisiert um 22:30:49 Uhr
Goto Top
Noch etwas:

Wenn ich den LAN Port vom Cisco auf ein anderes Subnet stelle: 192.168.100.250
dann kann ich den Cisco unter dem WAN Port nicht mehr erreichen (anpingen)
Als wäre der WAN Port tot.
Obwohl der WAN Port in dem gleichen Subnet ist wie auch die D-Box.
Pjordorf
Pjordorf 11.05.2016 um 00:59:54 Uhr
Goto Top
Hallo,

Zitat von @itse92:
Die D-Box leitet die Ports an 192.168.10.250
Bist du dir dessen sicher das deine gewünschten Ports alle durch deine Digitalisierungsbox Premium kommen? Hast du das verifiziert?. Die D-Box ist ja selbst auch ein VPN Server!

Wenn ich den LAN Port vom Cisco auf
Dann schleunigst mal dein Aufbau auf Papier gebracht, IPs, SN und GW an allen Ports dazuschreiben dann sollte der Fehler dort schon erkennbar sein.

ein anderes Subnet stelle: 192.168.100.250
Dann hängt der LAN Port deiner RV042 in der Luft, auch wenn ein Switch oder sonstwas dran hängt. Wenn du kein Netz mit 192.168.100.0/24 hast. Was soll das bringen?

dann kann ich den Cisco unter dem WAN Port nicht mehr erreichen (anpingen)
Dann ist bei dir noch mehr im argen

Als wäre der WAN Port tot.
Nur wenn kein anderes aktives Gerät dran hängt...

Obwohl der WAN Port in dem gleichen Subnet ist wie auch die D-Box.
Das nennt sich dann eine Router Kaskade und dein LAN gehört am LAN Port deines RV042 und dort müssen dann alle eine IP aus den Netz 192.168.100.0/24 haben.

Du hast doch nur die Digitalisierungsbox Premium gegen dein vorher vorhanden Modem/Router getauscht oder war vorher nur ein Modem direkt an dein RV042 am WAN Port dran? Da wird doch keine IP deines Netzes geändert, oder? hat es denn vorher schon funktioniert und wie genau war der Aufbau und dessen konfiguration. Ansonsten ist der Fehler beim geänderten Produkt...

Gruß,
Peter
itse92
itse92 11.05.2016 um 06:45:51 Uhr
Goto Top
Ok, danke erstmal für Eure Tipps.
Ich werde dann die Tage erstmal den Cisco wieder als GW für die Clients einrichten, damit der Aufbau so ist, wie Ihr hier mehrfach beschrieben habt.
Ich werde berichten.
Lochkartenstanzer
Lochkartenstanzer 11.05.2016 aktualisiert um 07:21:56 Uhr
Goto Top
Mal 'ne ganz blöde Frage:

Warum nutzt Du nicht die be.ip (=digitalisierungsbox) als VPN-Server?

lks
aqui
aqui 11.05.2016 um 08:45:31 Uhr
Goto Top
Hinter der Digitalisierungsbox (man, was ein bescheuerter Name..)
Der ist wirklich bescheuert denn dann sollte schon ein Router sein ! Genauer gesagt ein NAT Router.
Dann betreibst du einen Router Kaskade wie hier zu sehen:
Kopplung von 2 Routern am DSL Port
Genau DAS ist auch das Szenario an das du dich mit deinem Setup, IP Adressierung etc. halten MUSST !
Der erste Router (der direkt am Internet wo deinen Zugangsdaten hinterlegt sind) sollte eigentlich der VPN Router sein aus technischen Gründen.
Scheinbar ist das bei dir wohl nicht möglich, da der kein aktives VPN kann so das du diese Kaskade betreibst ?! Kann aber auch Sicherheitsgründe haben ?!
Der Cisco RV macht ja IPsec als VPN Protokoll. Folglich musst du zwangsweise die Ports
UDP 500, UDP 4500
und das ESP Protokoll mit der IP Protokoll Nummer 50 (kein Port 50 !! ESP ist ein eigenständiges IP Protokoll !) auf die kaskadierte WAN IP des Cisco RVs forwarden.
Das ist zwingende Voraussetzung das das zum Fliegen kommt !
Ob diese komische Box (hat die eigentlich keinen Modellnamen ??) überhaupt IPsec Traffic forwardet oder ob du das sauber konfiguriert hast kannst du ganz einfach verifizieren, indem du mal einen PC oder Laptop mit einem kostenlosen Wireshark Sniffers ins Netzwerk an der Box hängst.
Und zwar ersetzt du mit dem Sniffer temporär den Cisco !! Der Sniffer hat dann logischerweise auch die gleiche WAN IP wie der Cisco.
So forwardet dann die Box den gesamten VPN Traffic an den Sniffer und du kannst bequem checken ob dort dann überhaupt IPsec Traffic ankommt.
Forwardet die Box davor kein IPsec oder kommt z.B. ESB nicht an ists logischerweise sofort aus mit dem VPN !

Es gilt also erstmal sicher festzustellen WO hier der Fehler bzw. WER der Verursacher ist bevor man zielgerichtet ans Troubleshootibg geht !!!
Lochkartenstanzer
Lochkartenstanzer 11.05.2016 um 10:52:18 Uhr
Goto Top
Zitat von @aqui:


Scheinbar ist das bei dir wohl nicht möglich, da der kein aktives VPN kann so das du diese Kaskade betreibst ?! Kann aber auch Sicherheitsgründe haben ?!

Die Digitalisierungsbox ist eine be.ip mit Telekom-Firmware und die kann sogar IPSEC.

lks
aqui
aqui 12.05.2016 aktualisiert um 16:59:39 Uhr
Goto Top
Na dann sind doch alle Klarheiten beseitigt.
IPsec konfigurieren (wie man es macht steht HIER ) auf der Box, Cisco RV entsorgen und gut iss...
Das wäre dann aber ein peinlicher Thread wenn der TO noch nichteinmal was von den IPsec Fähigkeiten dieser Box wusste BEVOR er den Thread eröffnet hat...
Na ja... das fehlende Feedback jetzt spricht ja schon Bände. Hoffentlich reicht es dann noch für ein:
Wie kann ich einen Beitrag als gelöst markieren?
Lochkartenstanzer
Lochkartenstanzer 12.05.2016 um 17:47:53 Uhr
Goto Top
Zitat von @aqui:

Das wäre dann aber ein peinlicher Thread wenn der TO noch nichteinmal was von den IPsec Fähigkeiten dieser Box wusste BEVOR er den Thread eröffnet hat...

Der TO hat zumidenst gesagt, daß für VPN die Cisco benutzt werden soll. Allerdings hat er auf meine Nachfrage, warum nicht die IPSec-fähigkeiten der bintec/telekom-box benutzt werden sollen nicht geantwortet. Kann ja durchaus sein, daß durch einenCompany-Standard oder zentrales management die Cisco vorgeschrieben ist.

lks