21
VPN durch 2 Fritz!Boxen...PORTS?
Es klappt einfach nicht.
Guten Morgen,
ich habe hier und überall schon so viele Beiträge gelesen über Fritz!Boxen und VPN und alle erdenklichen möglichkeiten ausgeschöpft. Ich bin mit meinem Latein am Ende. Ich erkläre mal meine Situation:
Haus 1:
- WinXP Rechner hinter einer Fritz!Box
- VPN-Server eingerichtet (Mit sämtlichen Port die irgendwo im Forum beschrieben wurden in der Fritz!Box eingegeben: UDP500, TCP1723, TCP1701,TCP50,TCP51,ESP,GRE etc.)
- DynDns ist eingerichtet und in der Fritz!Box eingerichtet. Erfolgreichen Ping durchgeführt. Klappt also.
FERTIG
Haus2:
- WinXP Reczner hinter einer Fritz!Box (Gleiche Einstellung wie in Haus 1)
- VPN-Verbindung hergestellt und mit Benutzerdaten angemeldet. ANMELDUNG KLAPPT!!!
Nun zu meinem Problem:
Ich kann mich mit dem Client zwar anmelden, der Server merkt auch und sagt auch das jetzt ein Client angemeldet ist, jedoch ist ein Ping von Client zu Server oder von Server zu Client erfolglos geblieben. Auch auf die Freigegebenen Netzwerressourcen kann ich nicht zugreifen. Nun meine Frage:
Was mache ich falsch? Muss ich noch was in der Fritz!Box aktivieren oder sonst irgendwas...Firewalls gibt es in beiden Häusern nicht. Die habe ich extra deaktiviert zum Testen
Mir wurde gesagt dass das bei Fritz!Boxen irgendwie schwerer ist. Kann mir jemand helfen???
Gruß
Tim Litmeyer
Guten Morgen,
ich habe hier und überall schon so viele Beiträge gelesen über Fritz!Boxen und VPN und alle erdenklichen möglichkeiten ausgeschöpft. Ich bin mit meinem Latein am Ende. Ich erkläre mal meine Situation:
Haus 1:
- WinXP Rechner hinter einer Fritz!Box
- VPN-Server eingerichtet (Mit sämtlichen Port die irgendwo im Forum beschrieben wurden in der Fritz!Box eingegeben: UDP500, TCP1723, TCP1701,TCP50,TCP51,ESP,GRE etc.)
- DynDns ist eingerichtet und in der Fritz!Box eingerichtet. Erfolgreichen Ping durchgeführt. Klappt also.
FERTIG
Haus2:
- WinXP Reczner hinter einer Fritz!Box (Gleiche Einstellung wie in Haus 1)
- VPN-Verbindung hergestellt und mit Benutzerdaten angemeldet. ANMELDUNG KLAPPT!!!
Nun zu meinem Problem:
Ich kann mich mit dem Client zwar anmelden, der Server merkt auch und sagt auch das jetzt ein Client angemeldet ist, jedoch ist ein Ping von Client zu Server oder von Server zu Client erfolglos geblieben. Auch auf die Freigegebenen Netzwerressourcen kann ich nicht zugreifen. Nun meine Frage:
Was mache ich falsch? Muss ich noch was in der Fritz!Box aktivieren oder sonst irgendwas...Firewalls gibt es in beiden Häusern nicht. Die habe ich extra deaktiviert zum Testen
Mir wurde gesagt dass das bei Fritz!Boxen irgendwie schwerer ist. Kann mir jemand helfen???
Gruß
Tim Litmeyer
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 26634
Url: https://administrator.de/contentid/26634
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
21 Kommentare
Neuester Kommentar
Nimm OpenVPN das klappt mit allen Routern
da muste du nur auf dem Server ein Port weiterleiten.
da muste du nur auf dem Server ein Port weiterleiten.
Hmm ok ich versuch es mal mit OpenVPN.
Habe gerad mit AVM-Support telefoniert.
Die meinten ich hätte alles richtig gemacht und
das sollte so auch funktionieren. Tut es aber net.
AVM hat gesagt das könnte an Microdoof liegen.
Gruß
Habe gerad mit AVM-Support telefoniert.
Die meinten ich hätte alles richtig gemacht und
das sollte so auch funktionieren. Tut es aber net.
AVM hat gesagt das könnte an Microdoof liegen.
Gruß
Das Probelm ist, das die MS Implementation von IPsec nicht NAT fähig ist.
Standard IPsec ist generell nicht NAT fähig, da der NAT Prozess die IP Adressen ändert. Beim Sessionaufbau vermutet IPsec eine Manipulation und die Session scheitert. ( http://www.different-thinking.de/ipsec_nat_traversal.php ) Das sieht dann so aus wie bei dir.
Generell sind solche VPN Lösungen hinter NAT Routern problematisch allerdings gibt es workarounds (sieh URL oben). Allerdings supporten moderne OS Versionen in den gängisten Routern eine einzige IPsec Session. Die machen dann automatisch ein statisches Portforwarding. Es können aber wie gesagt nicht alle. Draytek und Linksys supporten das z.B. bei allen anderen musst du ins Datenblatt sehen.
Ich habe deine Beschreibung allerdings so verstanden das die Router die VPN Verbindung aufbauen und das sollte eigentlich immer klappen sofern die Router VPN fähig sind aber da müsst ich selbst mal bei AVM in den Specs nachsehen...
Generell sind solche VPN Lösungen hinter NAT Routern problematisch allerdings gibt es workarounds (sieh URL oben). Allerdings supporten moderne OS Versionen in den gängisten Routern eine einzige IPsec Session. Die machen dann automatisch ein statisches Portforwarding. Es können aber wie gesagt nicht alle. Draytek und Linksys supporten das z.B. bei allen anderen musst du ins Datenblatt sehen.
Ich habe deine Beschreibung allerdings so verstanden das die Router die VPN Verbindung aufbauen und das sollte eigentlich immer klappen sofern die Router VPN fähig sind aber da müsst ich selbst mal bei AVM in den Specs nachsehen...
Also, ich habe es nun hinbekommen. Ohne OpenVPN oder derartiges. Sondern nur über XP.
Ich habe es so gemacht:
Ab beiden Fritz!Boxen:
UDP 500
ESP
TCP 1723 (Der aber glaub ich net nötig ist)
Dann am Server die VPN-Verbindung eingerichtet, aber drauf achten das man auf DCHP stellt. Jetzt vergibt er sich wie in meinem Beispiel die IP 169.254.150.112
An dem Client habe ich die VPN-Verbindung eingerichtet, aber die IP`s selber vergeben.
192.168.178.100
255.255.255.0
192.168.178.1
So wenn ich jetzt mit dem client eine Verbindung aufbaue klappt es und ich bekomme auch einen Ping zu 169.254.150.112 hin (also quasi auf dem Rechner wo eigentlich schon die ganze Zeit drauf wollte).
Nun kann ich auf alle Netzwerkressourcen zugreifen und alles läuft.
Gruß
Ich habe es so gemacht:
Ab beiden Fritz!Boxen:
UDP 500
ESP
TCP 1723 (Der aber glaub ich net nötig ist)
Dann am Server die VPN-Verbindung eingerichtet, aber drauf achten das man auf DCHP stellt. Jetzt vergibt er sich wie in meinem Beispiel die IP 169.254.150.112
An dem Client habe ich die VPN-Verbindung eingerichtet, aber die IP`s selber vergeben.
192.168.178.100
255.255.255.0
192.168.178.1
So wenn ich jetzt mit dem client eine Verbindung aufbaue klappt es und ich bekomme auch einen Ping zu 169.254.150.112 hin (also quasi auf dem Rechner wo eigentlich schon die ganze Zeit drauf wollte).
Nun kann ich auf alle Netzwerkressourcen zugreifen und alles läuft.
Gruß
Gut das es klappt aber deine 169.254er Adressen sind KEINE Adressen die per DHCP kommen ! Ich wäre da auch vorsichtig, denn das sind sogenannte APIPA Adressen.
http://www.willemer.de/informatik/net/apipa.htm
Also Adressen die Windows sich automatisch vergibt wenn es auf Dynamische Adressvergabe gestellt ist (DHCP) aber keine Adresse bekommt oder keinen DHCP Server findet. Nach einer Timeoutzeit gibt der Windows Rechner dann auf und vergibt sich zufällig eine Adresse aus diesem Bereich. Diese kann sich aber auf Grund dieses Zufallprozesses permanent ändern. Ich würde deshalb da auch vorschlagen eine feste statische IP ausserhalb der APIPA Range zu vergeben. Just in case....
http://www.willemer.de/informatik/net/apipa.htm
Also Adressen die Windows sich automatisch vergibt wenn es auf Dynamische Adressvergabe gestellt ist (DHCP) aber keine Adresse bekommt oder keinen DHCP Server findet. Nach einer Timeoutzeit gibt der Windows Rechner dann auf und vergibt sich zufällig eine Adresse aus diesem Bereich. Diese kann sich aber auf Grund dieses Zufallprozesses permanent ändern. Ich würde deshalb da auch vorschlagen eine feste statische IP ausserhalb der APIPA Range zu vergeben. Just in case....
ja aber wie vergebe ich der VPN Verbindung eine IP-Adresse? ich kann ja nur den Pool bestimmen unter eigenschaften welche ip er VERTEILEN darf aber keine manuelle zuweisung....den die normale LAN-Verbindung ist manuell zugewiesen.
Hallo,
ich habe einen SBS 2003 (PPTP) hinter einer Fritzbox und bekomme das externe VPN nicht zum Laufen.
Intern funktioniert´s!
Ich habe auch schon alle Portspiele durchgemacht. Spielt es eine Rolle, ob der Client auch hinter einer Fritzbox (derselben) sitzt?
ich habe einen SBS 2003 (PPTP) hinter einer Fritzbox und bekomme das externe VPN nicht zum Laufen.
Intern funktioniert´s!
Ich habe auch schon alle Portspiele durchgemacht. Spielt es eine Rolle, ob der Client auch hinter einer Fritzbox (derselben) sitzt?
PPTP Sollte eigentlich per Portforwarding zu handeln sein. Du musst lediglich eingehende PPTP auf die IP Adresse des Routers über statische Port Forwarding (Port 1723) auf deinen VPN Server forwarden. Die Routeradresse muss natürlich bekannt sein, sei es statisch oder über DynDNS o.ä. Hier:
www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/428c1bbf-2ceb-4f76-a1ef-0219982eca10.mspx?mfr=true
findest du Details zum PPTP Verbindungsaufbau.
www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/428c1bbf-2ceb-4f76-a1ef-0219982eca10.mspx?mfr=true
findest du Details zum PPTP Verbindungsaufbau.
Habe ich schon ausprobiert. Aber ich komme einfach über die Meldung 721 nicht hinaus...
Client -> Fritzbox -> Internet -> gleiche Fritzbox -> SBS 2003
Intern geht VPN wunderbar, doch übers Internet (mit der gleichen Fritzbox) klappts nicht.
Ich habe den SBS sogar schon als Exposed Host gesetzt!
Client -> Fritzbox -> Internet -> gleiche Fritzbox -> SBS 2003
Intern geht VPN wunderbar, doch übers Internet (mit der gleichen Fritzbox) klappts nicht.
Ich habe den SBS sogar schon als Exposed Host gesetzt!
Ich habe jetzt sogar VPN via L2TP eingerichtet... mit Zertifikaten usw. Intern funktioniet das jetzt auch. JEtzt habe ich die empfohlenen Ports dafür freigegeben und die SBS sogar als EXPOST HOST gesetzt... nada!
Meine dyndns-Adresse ist aber ok (Remote-Webarbeitsplatz funktioniert tadellos).
Ich verzweifel langsam...
(Vielleicht einfach einen VPN-Router kaufen und gut ist. DIe Fritzbox packt das wahrscheinlich nicht mehr.)
Meine dyndns-Adresse ist aber ok (Remote-Webarbeitsplatz funktioniert tadellos).
Ich verzweifel langsam...
(Vielleicht einfach einen VPN-Router kaufen und gut ist. DIe Fritzbox packt das wahrscheinlich nicht mehr.)
wieso streubt du sich so gegen OpenVPN. Das geht mit jedem Router auch mit den Fritz Kisten.
Wie sieht es denn bei OpenVPN aus mit den Netzwerkressourcen und AD?
Du kannst das ganze für Windows völlig "transparent" gestalten.
Indem du den Bridgemodus statt den Tunnel Modus wählst.
Du schreibst, du hast 2 XP Rechner. Da gibt es ja denn kein AD!!
Indem du den Bridgemodus statt den Tunnel Modus wählst.
Du schreibst, du hast 2 XP Rechner. Da gibt es ja denn kein AD!!
Ich war das nicht mit den zwei XP-Rechnern
Ich habe einen SBS2003 und einen XP Prof.
Ich habe einen SBS2003 und einen XP Prof.
ok So erst mal die ganzen "Rehe"entfernen sonst muss noch der Jäger kommen
Den Server kannste mittels OpenVPN zum OpenVPN Server machen. Oder besser du benutzte einen extra client dafür. Der Rechner der sich denn mit dem Server verbinden soll. Der wird denn als openVPN Client einegrichtet. Ob er zum starten schon OpenVPN laden kann, damit er sich denn mit dem AD Server verbinden kann, muss ich mal schauen. Ob ich was zum Thema AD und OpenVPN finde.
Den Server kannste mittels OpenVPN zum OpenVPN Server machen. Oder besser du benutzte einen extra client dafür. Der Rechner der sich denn mit dem Server verbinden soll. Der wird denn als openVPN Client einegrichtet. Ob er zum starten schon OpenVPN laden kann, damit er sich denn mit dem AD Server verbinden kann, muss ich mal schauen. Ob ich was zum Thema AD und OpenVPN finde.
So sollte es gehen:
http://openvpn.se/files/howto/openvpn-howto_run_openvpn_as_nonadmin.htm ...
aber dann solltest du den Windows Zertifikatspseicher nutzen.
http://openvpn.se/files/howto/openvpn-howto_run_openvpn_as_nonadmin.htm ...
aber dann solltest du den Windows Zertifikatspseicher nutzen.
Also am besten finde ich das Programm "Hamachi". Kostenlos und effektiv. Herunterzuladen auf www.hamachi.cc
Es ist einfach und stabil UND schnell. Diese Software wurde ursprünglich dafür genutzt um Spiele die nicht Inernetfähig sind sie halt fähig zu machen mittels einer VPN leitung um Netzwerke zusammenzuführen. Ich nutze jetzt selbst Hamachi und es klappt super. es startet beim windowsstart automatisch im hintergrund und angelegte Netzlaufwerke melden sich direkt an und man kann wunderbar arbeiten. Wenn jemand mit dem Programm nicht zurecht kommt oder Portfreigabenfragen im bezug der Fritzbox hat kann gerne fragen aber es ist so einfach. Das kann eigentlich jeder.
Gruß
spelle
Es ist einfach und stabil UND schnell. Diese Software wurde ursprünglich dafür genutzt um Spiele die nicht Inernetfähig sind sie halt fähig zu machen mittels einer VPN leitung um Netzwerke zusammenzuführen. Ich nutze jetzt selbst Hamachi und es klappt super. es startet beim windowsstart automatisch im hintergrund und angelegte Netzlaufwerke melden sich direkt an und man kann wunderbar arbeiten. Wenn jemand mit dem Programm nicht zurecht kommt oder Portfreigabenfragen im bezug der Fritzbox hat kann gerne fragen
aber es ist so einfach. Das kann eigentlich jeder.Gruß
spelle
Nur läßst sich dort schwer was über die Sicherheit sagen, da nich vollständig offen.
Zum Thema VPN gab's ja auch mal neulich in der CT einen netten Artikel, wo die verschiensten Verfahren verglichen wurden. ua auch openVPN, IPsec, hamchi und und L2TP war glaube ich auch dabei.
Zum Thema VPN gab's ja auch mal neulich in der CT einen netten Artikel, wo die verschiensten Verfahren verglichen wurden. ua auch openVPN, IPsec, hamchi und und L2TP war glaube ich auch dabei.
Ich habe den Artikel gelesen...
Hamachi scheint einfach einzurichten zu sein. Doch trotzdem würde ich davon in sensiblen Umgebungen abraten, wenn Firmendaten im Spiel sind.
Hamachi scheint einfach einzurichten zu sein. Doch trotzdem würde ich davon in sensiblen Umgebungen abraten, wenn Firmendaten im Spiel sind.
Ja gut okay. Risiken gibt es bei jedem verfahren und mit guten Firewalls und vernünftig genutzen Ports. Also nur die, die man auch wirklich braucht, ist es eigentlich sicher. Ich persönlich habe damit noch keine Probleme gehabt und ich finde wie gesagt. SICHER ist man nie!
