gigi300885
Goto Top

TP-Link TL-ER6120 L2TP over IPsec hinter Fritzbox

Hallo zusammen,

Ich habe eine Fritzbox 7362 welche die Internetverbindung herstellt(TP-Link Router unterstützt nicht VDSL) und als DECT Basis fungiert.

An der FritzBOX(192.168.5.1/24) ist der TL-ER6120 über den WAN Port (als Static IP konfiguriert 192.168.5.2) angeschlossen. Die FritzBox ist im Internet über DDNS erreichbar.

Der TP-Link stellt sein eigenes Netz (192.168.0.0/24) zur Verfügung und dahin möchte ich eine VPN Verbindung über L2TP Ipsec realisieren.
Bis jetzt ist mir aber leider nur eine PPTP Verbindung gelungen. (Portweiterleitung TCP 1723 an den WAN Anschluss des TP-Link(192.168.5.2))

Folgende Konfigurationen habe ich bereits vorgenommen:
FritzBox Portweiterleitungen an 192.168.5.2(TP-Link Router):

UDP 1701 (L2TP)
UDP 4500 (IPsec)
UDP 500 (IKE)

Auch habe ich es schon probiert alles freizugeben (Exposed Host) aber das hat ebenfalls keine Wirkung gezeigt.face-sad

Konfigurationen auf dem TP-Link:
1. IP-Adresspool für L2TP angelegt
2. Als Mode "Server" und Tunnel "Client to LAN" + PSK und Benutzer
3.IPsec in den Generalsettings auf "Enabled" gesetzt.

Vom Intenet aus wenn ich nun über den DDNS Dienst den VPN Router ansprechen will funktioniert der Tunnelaufbau nicht.

Vom Netz der FritzBox aus kann ich den Tunnel wenn ich den TP-Link über die 192.168.5.2 anspreche aufbauen.


Woran kann das liegen? muss ich noch irgendwas an der FritzBox einrichten? VPN Passthrough? Wenn ja wie?
Bin für jede Hilfe dankbar face-sad

Gruß gigi

Content-ID: 255864

Url: https://administrator.de/forum/tp-link-tl-er6120-l2tp-over-ipsec-hinter-fritzbox-255864.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

114757
114757 25.11.2014 aktualisiert um 23:19:32 Uhr
Goto Top
Moin,
dir fehlt in der Fritte die Weiterleitung des ESP-Protokolls(50). Wichtig: damit ist kein Port gemeint sondern das Protokoll mit der Nummer 50 !

Grundlagen zu IPSec VPNs werden hier ausführlich behandelt:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Außerdem kann es eventuell nötig sein das du in Windows eine Einstellung in der Registry setzen musst, wenn du den Windows-eigenen VPN Client benutzt und das VPN einen NAT-Router überwinden muss.

VPN Verbindung L2TP IPSec

Gruß jodel32
gigi300885
gigi300885 25.11.2014 um 23:13:24 Uhr
Goto Top
Ok vielen Dank für die Antwort. und wie stelle ich das an??
114757
114757 25.11.2014 aktualisiert um 23:17:34 Uhr
Goto Top
Zitat von @gigi300885:
Ok vielen Dank für die Antwort. und wie stelle ich das an??
na genau wie eine Portweiterleitung, anstatt TCP oder UDP wählst du stattdessen als Protokoll ESP aus und leitest dieses an die IP des TP-Link ...
gigi300885
gigi300885 26.11.2014 um 08:12:43 Uhr
Goto Top
Da hatte ich wohl tomaten auf den augenface-smileHab nun beides gemacht. Registry editiert und und esp Forwarding eingestellt. Jedoch kann die Verbindung noch immer nicht hergestellt werdenface-sad noch eine idee?
114757
114757 26.11.2014 um 09:10:19 Uhr
Goto Top
Jedoch kann die Verbindung noch immer nicht hergestellt werden noch eine idee?
Fehlermeldung des Clients ???
Checke die eingestellten Phase 1 und Phase 2 Verschlüsselungsprotokolle für den IPSec-Tunnel sowohl auf dem TP Link als auch in den Firewall-Eigenschaften des Clientrechners. Dann natürlich noch die Firewall des TP-Link, die du am besten für deine Tests erst mal ausschaltest, dort müssen die entsprechenden Ports und Protokolle ebenfalls geöffnet sein.

Ansonsten häng dich mit Wireshark in den Netzwerktraffic, oder zeichne diesen mit der Fritte auf, dann findet sich das Problem ruckzuck

Gruß jodel
aqui
aqui 26.11.2014 aktualisiert um 18:35:26 Uhr
Goto Top
Jedoch kann die Verbindung noch immer nicht hergestellt werdenface-sad noch eine idee?
Ja, das war zu erwarten. Die FB supportet ja selber IPsec VPNs. Folglich "hört" und antwortet sie natürlich selber auf IPsec Pakete und ignoriert das Port Forwarding.
Du musst auf der FB also zuallererst das VPN global deaktivieren, damit sie nicht immer denkt es ist für sie. Erst dann kann sie auch die L2TP Pakete an den TP-Link forwarden !
Grundlagen dazu findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
114757
114757 26.11.2014 aktualisiert um 18:47:00 Uhr
Goto Top
Zitat von @aqui:

> Jedoch kann die Verbindung noch immer nicht hergestellt werdenface-sad noch eine idee?
Ja, das war zu erwarten. Die FB supportet ja selber IPsec VPNs. Folglich "hört" und antwortet sie natürlich
selber auf IPsec Pakete und ignoriert das Port Forwarding.
Du musst auf der FB also zuallererst das VPN global deaktivieren, damit sie nicht immer denkt es ist für sie.
Wenn in der Fritte die VPN-Ports sowie das Protokoll weitergeleitet werden deaktiviert die Fritte Ihr eigenes VPN von selbst face-wink bzw. man sollte natürlich sicherstellen das keine VPN-Profile auf der Fritte aktiviert sind.

Gruß jodel32
aqui
aqui 26.11.2014 aktualisiert um 19:36:53 Uhr
Goto Top
Das lässt sich mit einem Wireshark Sniffer ja dann auch in Sekundenschnelle verifizieren ob diese 3 Protokolle von der FB dann an ihr LAN Interface und damit an den WAN Port des kaskadierten TP-Links weitergeleitet werden !
http://avm.de/nc/service/fritzbox/fritzbox-7390/wissensdatenbank/public ...
Passthrough bedeutet aber das es schon eine outbound VPN Verbindung geben muss ! Das ist bei dir aber NICHT der Fall da der VPN Aufbau inbound durchgereicht werden muss von der FB.
Fraglich ob dafür einfachs Port Forwarding reicht die eigenen IPsec Funktion damit zu deaktivieren.... Versuch macht bekanntlch klug und der Wireshark zeigt dir schnell ob das Forwarding auf der FB wirklich klappt !
gigi300885
gigi300885 26.11.2014 aktualisiert um 22:28:01 Uhr
Goto Top
Es erscheint folgende Fehlermeldung mit Windows Boardmitteln:
"Fehler789: Verbindungsversuch fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist."

Habe nun mit der Fritzbox den Eth0 Port aufgezeichnet(Port an dem der TP-Link hängt)
Jedoch kann ich nicht allzuviel mit dem Ergebnis anfangen....
Ich habe es nach der IP sortiert mit der ich versuche in das LAN rein zu kommen. (Einmal als Quelle und einmal als Ziel)

Quelle
eeadc8aa1468ddef58eaaa05f8b8a600

Ziel
0e317c0a702a4cede2f1933bfebe5873

Das einzige was mir aufgefallen ist. ESP rein aber nicht raus....
114757
114757 27.11.2014 aktualisiert um 10:19:53 Uhr
Goto Top
Fraglich ob dafür einfachs Port Forwarding reicht die eigenen IPsec Funktion damit zu deaktivieren....
geht problemlos, würde ich ja nicht behaupten wenn ich's hier nicht laufen hätte face-smile

Es erscheint folgende Fehlermeldung mit Windows Boardmitteln:
"Fehler789: Verbindungsversuch fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist."
Wie vermutet ein Problem beim IKE Austausch (Phase 1).
Laut deinem Log kommen die Pakete durch. Dann wirst du die, wie schon angemerkt, eingestellten Verschlüsselungsarten auf TP-LInk und Clientseitig in der Firewall (IPSec Einstellungen) abgleichen müssen. Wenn hier was nicht passt, kommt keine Verbindung zustande weil sich die Gegenstellen auf keinen gemeinsames Protokoll einigen können.

http://www.windowsecurity.com/articles-tutorials/firewalls_and_VPN/Wind ...

Und die Firewall auf dem TP-Link bitte erst mal ausmachen ...

Steht aber auch alles in Aquis Tutorial was oben verlinkt ist.

Gruß jodel32
aqui
aqui 27.11.2014 um 21:01:29 Uhr
Goto Top
WO ist der erste Sniffer Trace gezogen worden ?? Am Client ??
Ist das der Fall machst du vermutlich einen gehörigen Denkfehler !

Als Absender ist dort die 89.x.x.x und als Ziel die 192.168.5.2. Ist der Client in einem öffentlichen Netz (UMTS etc.) kann man als Ziel niemals eine private 192er RFC 1918 IP Adresse angeben !!
Diese IP Adressen werden im Internet nicht geroutet und schmeisst der Provider sofort weg:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Jedr netzwerker weiss das.
Für den Client ist immer die öffentliche IP Adresse deine Fritzbox das Ziel !!
Logisch, denn die IP ist ja weltweit erreichbar und dir Fritzbox "sieht" dann diese Pakete die an ihrer IP Adresse ankommen und forwardet sie dann gemäss der Regel an den Port im lokalen Netzwerk.
Idealerweise konfiguriert man eine DynDNS Adresse an der FB wenn man hier wechselnde IP Adressen am WAN / Internet Port der FB hat um zu einem festen Hostnamen den man im Client dann angeben kann immer die richtige Ziel IP zu erreichen.
Normal wechseln die IPs durch die tägliche Zwangstrennung der Provider.

Welche aktuelle Ziel IP du auf deiner FB hast kannst du sehen wenn du aus dem netz an der FB mal mit deinem Browser auf die Adresse http://www.wieistmeineip.de surfst. Alternativ geht auch http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

DAS ist das richtige Ziel für den Client.
Das Ergebnis kannst du auch sehen, denn die ESP Pakete des Clients müssten analog so auch am Ziel ankommen und wie du sihest ist da rein gar nichts... Klar duchr die oben geschilderte Problematik deiner völlig falschen Ziel IP am VPN Client !!
gigi300885
gigi300885 27.11.2014 aktualisiert um 22:12:41 Uhr
Goto Top
Ist nicht am client aufgezeichnet. Sondern auch von der fritzbox. Die fb habe ich natürlich uber ddns angesprochen. Die private ip ist der tplink router wohin die fb die anfragen weiterleitet. Der soll dann die vpn verbindung aufbauen. Ich glaub ich werd das unterfangen erst mal auf eis legen. Aber vielen lieben dank an euch face-smile
aqui
aqui 28.11.2014 um 19:25:44 Uhr
Goto Top
OK, dann nehm ich alles zurück und behaupte das Gegenteil... face-smile
Das sieht dann aber gut aus und es werkelt wie es soll. ISAKMP (IKE) und ESP werden ja sauber auf den TP-Link geforwardet !!
Alles gut also....
Was sagt den das Syslog beim TP-Link bei eingehender IPsec Verbindung ??
Warum auf Eis legen ?? Das bekommt man ganz sicher zum Fliegen.