VPN bricht zusammen wenn mehr als ein Device verbunden ist mit der gleichen öfftentlichen IP
Guten Abend,
Ich habe das Problem das der VPN zusammen bricht wenn mehr als ein Device verbunden ist mit der gleichen öfftentlichen IP ,ich besitze einen Draytek 3900 , der als VPN-User Datenbank den LDAP Server auf unseren QNAS TURBO verwendet. Wir verwenden als Verbindungstyp L2TP\IPSec mit Preshared Key. Als Protokoll wird PAP verwendet. Hab schon mit Port Forwarding im Router versucht das Problem zu beheben mit udp port 500, 4500 sowie TCP 10000, war aber leider vergebens. Im Router selbst hab ich auch keine Option gefunden, die es Untersagen würde, mehr als einen VPN Tunnel von der gleichen Ip anzunehmen.
Vielleicht wisst Ihr ja Rat. Danke schon mal im vorraus, wer sich die Zeit nimmt und versucht zu Helfen.
BG
Ich habe das Problem das der VPN zusammen bricht wenn mehr als ein Device verbunden ist mit der gleichen öfftentlichen IP ,ich besitze einen Draytek 3900 , der als VPN-User Datenbank den LDAP Server auf unseren QNAS TURBO verwendet. Wir verwenden als Verbindungstyp L2TP\IPSec mit Preshared Key. Als Protokoll wird PAP verwendet. Hab schon mit Port Forwarding im Router versucht das Problem zu beheben mit udp port 500, 4500 sowie TCP 10000, war aber leider vergebens. Im Router selbst hab ich auch keine Option gefunden, die es Untersagen würde, mehr als einen VPN Tunnel von der gleichen Ip anzunehmen.
Vielleicht wisst Ihr ja Rat. Danke schon mal im vorraus, wer sich die Zeit nimmt und versucht zu Helfen.
BG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 239480
Url: https://administrator.de/forum/vpn-bricht-zusammen-wenn-mehr-als-ein-device-verbunden-ist-mit-der-gleichen-oefftentlichen-ip-239480.html
Ausgedruckt am: 06.05.2025 um 02:05 Uhr
16 Kommentare
Neuester Kommentar

Hallo,
ich habe mal eine Frage dazu, warum öffnest Du an
so einem VPN Konzentrator, der bis zu 500 IPSec
Tunnel unterstützt die Ports?
Denn normaler weise können die VPN Nutzer sich
doch direkt mit dem Vigor3900 verbinden, oder?
Und wenn so eine Verbindung steht kann man doch
in der Regel auch auf das komplette dahinter liegende
Netzwerk zugreifen, oder nicht?
eine IP Adresse aus dem eigenen internen Netzwerk (LAN)
per DHCP an den VPN Nutzer vergibt und diese IP Adresse
bindet man dann an die Mac Adresse des VPN Benutzer.
Verbindungen anbetrifft und ich denke das es dort bestimmt
eine Möglichkeit gibt oder sogar mehrere.
Gruß
Dobby
ich habe mal eine Frage dazu, warum öffnest Du an
so einem VPN Konzentrator, der bis zu 500 IPSec
Tunnel unterstützt die Ports?
Denn normaler weise können die VPN Nutzer sich
doch direkt mit dem Vigor3900 verbinden, oder?
Und wenn so eine Verbindung steht kann man doch
in der Regel auch auf das komplette dahinter liegende
Netzwerk zugreifen, oder nicht?
Im Router selbst hab ich auch keine Option gefunden, die es
Untersagen würde, mehr als einen VPN Tunnel von der gleichen
Ip anzunehmen.
Kann man denn nicht am Router einstellen das er immerUntersagen würde, mehr als einen VPN Tunnel von der gleichen
Ip anzunehmen.
eine IP Adresse aus dem eigenen internen Netzwerk (LAN)
per DHCP an den VPN Nutzer vergibt und diese IP Adresse
bindet man dann an die Mac Adresse des VPN Benutzer.
Vielleicht wisst Ihr ja Rat. Danke schon mal im vorraus,
wer sich die Zeit nimmt und versucht zu Helfen.
Der Vigor3900 ist schon eine richtige Rakete was VPNwer sich die Zeit nimmt und versucht zu Helfen.
Verbindungen anbetrifft und ich denke das es dort bestimmt
eine Möglichkeit gibt oder sogar mehrere.
Gruß
Dobby

Ja eine Verbindung mit dem Router per VPN per login
mit dem Lpad server klappt ohne Probleme,
Ah ok das hatte ich dann falsch verstanden,mit dem Lpad server klappt ohne Probleme,
ich dachte daran dass eben das schon nicht
funktioniert.
das Problem tritt erst auf wenn ich einen zweiten Laptop per
VPN mit anderen Nutzerdaten einlogge, die das gleiche
Netzwerk nutzen (als Beispiel eine Nebenstelle).
Vergibt denn Dein Vigor3900 jedem VPN NutzerVPN mit anderen Nutzerdaten einlogge, die das gleiche
Netzwerk nutzen (als Beispiel eine Nebenstelle).
eine IP Adresse aus Eurem Netzwerk vor Ort?
Schau Dir mal die Einstellungen unter LAN > Bind IP to MAC
an und vergibt mal bitte für die beiden Laptops so eine IP
Adresse und schau noch einmal nach ib das dann funktioniert
aber lösche bitte vorher den Cache.
Was auch noch sein kann ist dass dort vor Ort
also nicht bei Euch sondern auf der Seite der
VPN Nutzer eine neue IP Adresse vergeben wird
via DHCP und es dann zu Problemen kommt auf Eurer Seite.
Die Ports hab ich nur kurzzeitig zu testen geöffnet um
zu sehen ob das, dass Problem behebt.
Ich denke eher das es ein Problem ist waszu sehen ob das, dass Problem behebt.
auf beiden Seiten ist.
Gruß
Dobby

Das dachte ich zuerst auch hab dann aber von mir
Zuhause aus versucht mit zwei Laptops per Vpn zuzugreifen,
Ne klar das ist dann ja auch nur eine öffentliche IP AdresseZuhause aus versucht mit zwei Laptops per Vpn zuzugreifen,
die da genutzt wird, oder? Das sollte dann auch nicht funktionieren
es geht zwar schon nur dann eben mittels einer Site-to-Site
Verbindung und dann können auch beide auf das Netzwerk zugreifen.
Also sprich einer Router zu Router VPN Verbindung.
Das sollte dann kein Problem mehr darstellen.
Gruß
Dobby

Außerdem hat das mit dem Vigor 2300 davor eigentlich
immer problemlos funktioniert (ohne Site-to-Site).
Dann wird es mit dem Vigor3900 garantiert auch funktionieren!immer problemlos funktioniert (ohne Site-to-Site).
Aber ganz bestimmt sogar! Denn der ist ja eigentlich für solche
VPN Geschichten prädestiniert, ist bestimmt irgend eine
Konfigurationssache und dann funktioniert es hier auch wieder.
Gruß
Dobby
Moin,
auszug aus ftp://ftp.draytek.pl/POMOC/Gotowe_przyklady/3300V/VPN_Dostep_zdalny/IPSec_Host-to-LAN_Smart%20VPN_DHCP_over_IPSec.pdf
Vermutlich kann der Draytek dann die bereits generierte IPSec Policy für den ersten Client nicht auch für den zweiten benutzen, und bricht dann beim Versuch eine dynamische IPSec-Policy mit gleicher Security Gateway IP zu generieren ab.
Hatte ich auch schon bei einem anderen Draytek Modell...
Grüße Uwe
auszug aus ftp://ftp.draytek.pl/POMOC/Gotowe_przyklady/3300V/VPN_Dostep_zdalny/IPSec_Host-to-LAN_Smart%20VPN_DHCP_over_IPSec.pdf
If the remote user is behind the NAT, then other hosts within the same subnet cannot connect to the VPN server. That is, only one host can dial IPSec to the VPN server at the same time if behind the NAT.
Hatte ich auch schon bei einem anderen Draytek Modell...
Grüße Uwe
Moin,
. Da scheint die Authentifizierung auschliesslich im main-mode über die IP realisiert zu werden. Wenn das wirklich drückt, musst Du den VPN-Router wechseln, bspw. LANCOM können das ...
LG, Thomas
If the remote user is behind the NAT, then other hosts within the same subnet cannot connect to the VPN server. That is, only one host can dial IPSec to the VPN server at the same time if behind the NAT.
schlecht leben muss nicht billig sein LG, Thomas
...oder ganz simpel auf dem QNAP NAS einfach den Openvpn Server mit einem Mausklick aktivieren....
Oder noch einfacher:
Reines IPsec verwenden auf dem Draytek ohne L2TP !
Dazu findest du grundlegende Infos hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Oder noch einfacher:
Reines IPsec verwenden auf dem Draytek ohne L2TP !
Dazu findest du grundlegende Infos hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

ftp://ftp.draytek.pl/POMOC/Gotowe_przyklady/3300V/VPN_Dostep_zdalny/IP
Bezieht sich aber auf den Draytek Vigor3300V und nicht auf den Vigor3900.Die letzte aktuelle Firmware voraus gesetzt (vers. 1.08) sollte sich unter:
- "VPN and Remote Access" ein Karteireiter namens "VPN Server Wizard"
befinden und dort kann man dann auch einen VPN Server einrichten.
- Und unter "VPN Profiles" kann man im Karteireiter "Advanced"
für das erstellte Profile bei "Route/NAT" auch auch "NAT" umstellen
Gruß
Dobby
P.S. Kleiner Nachtrag:
In den "Release Notes" der Firmware 1.08 befinden sich folgende Punkte:
"New Features"
- Support VPN LAN to LAN for overlap/duplicate subnets
Improvement"
- Support NAT option for IPsec LAN to LAN
"Known Issues"
You need to disable "Force IPsec with L2TP" options for pure
L2TP tunnel in VPN and Remote Access >> PPP General Setup.
Wir verwenden als Verbindungstyp L2TP\IPSec mit Preshared Key
Bei der Nutzung von L2TP mit IPSec gilt bei deinem Draytek-Modell folgende Einschränkung:Note :
More than one L2TP over IPsec connections from the same remote public IP is not supported.
For more than one VPN connections and better VPN performnace, please use PPTP/IPsec instead.
Ein Demo-Interface für den Draytek 3900 findet sich unter folgender Adresse (dank an @108012):
http://60.250.189.150:3900/
Also reines IPSec und die L2TP Option an der genannten Stelle deaktivieren, dann sollte es laufen.
Grüße Uwe
Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !