andiaff1
27.03.2007, aktualisiert am 30.03.2007
view14709
view17
0
Goto Top

VPN durch Barricade zu Fritz Box?

FrageNetzwerkeRouter, Routing
Barricade SMC7004VBR blockiert VPN Verbindung zur FritzBox

Hallo!

Ich habe mir einen Barricade Router SMC7004VBR zugelegt, um meinen Desktop-Rechner und meinen Laptop gleichzeitig im Netz nutzen zu können.

Habe das Netzwerk soweit konfiguriert, daß alle Verbindungen nach außen funktionieren und mein Netz geschützt ist, jetzt bekomm ich aber die VPN Verbindung zu meiner Fritzbox nicht mehr zum laufen. Welche Ports muß ich in meinem Router öffnen? Wie leite ich die entsprechende Verbindung durch?

Meine Konfiguration:

Router: SMC Barricade SMC7004VBR mit VPN passthrough
IP: 192.168.9.1

Dort habe ich meine Rechner eingetragen.

Laptop IP 192.168.9.132

Ich habe den DHCP Server eingeschaltet, kann aber ehrlich gesagt nicht sagen, ob der Ordnungsgemäß funktioniert. Vermutlich nicht, da ich meinen Rechnern feste IP Adressen zugewiesen habe.

Ich habe im Router VPN passthrough eingeschaltet. Beide möglichkeiten ( IPsec und PPTP ) das bringt aber nichts.

Ich entschuldige mich im vorraus, für die knappen Angaben, weiß nicht welche noch relevant wären. Hab versucht einen entsprechenden Threat zu finden, war mir aber nicht möglich.

Danke im vorraus für die Hilfe
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 55204

Url: https://administrator.de/contentid/55204

Ausgedruckt am: 26.11.2024 um 00:11 Uhr

17 Kommentare
Neuester Kommentar
Goto Top
wave0303
wave0303 27.03.2007 um 18:10:16 Uhr
Goto Top
Hi,

ja schade, ist wirklich ein bisschen knapp.
Wo steht denn die Fritzbox? Und wie willst Du darauf zugreifen?

Ich gehe erst mal davon aus, dass der SMC als DSL-Router fungiert?

Bernd
andiaff1
andiaff1 27.03.2007 um 18:24:39 Uhr
Goto Top
War wohl wirklich schlecht formuliert:


Firmen-Server---FritzBox-------I-Net-------SMC-Router-----Laptop
Fritz-Fernzugang-Software

Ohne Router hat die Verbindung funktioniert. Also Laptop direkt übers Modem einwählen.

Hab versucht Ports 500 UDP und 4500 UDP auf meinen Laptop weiterzu routen, keine Verbindung.

Die Fritz-Software sagt: "Zeitüberschreitung: Die Gegenstelle konnte nicht erreicht werden" Also kommt die Antwort der FritzBox vermutlich einfach nicht durch zum Laptop.
Ich bekomm auf meinem Network Log des Routers Mitteilungen über alle möglichen geblockten Anfragen:

Dienstag, 27. März 2007 18:21:18 Unrecognized attempt blocked from 69.45.115.97:41718 to 62.214.192.119 UDP:57764
Dienstag, 27. März 2007 18:21:28 Unrecognized attempt blocked from 86.121.184.48:53314 to 62.214.192.119 UDP:57764
Dienstag, 27. März 2007 18:21:44 Unrecognized attempt blocked from 204.16.209.159:52143 to 62.214.192.119 UDP:1026
Dienstag, 27. März 2007 18:21:51 Unrecognized attempt blocked from 203.198.87.123:13315 to 62.214.192.119 TCP:57764
Dienstag, 27. März 2007 18:21:51 Unrecognized attempt blocked from 195.137.108.88:25668 to 62.214.192.119 UDP:57764
Dienstag, 27. März 2007 18:21:54 Unrecognized attempt blocked from 203.198.87.123:13315 to 62.214.192.119 TCP:57764
Dienstag, 27. März 2007 18:22:04 Unrecognized attempt blocked from 61.231.194.129:30621 to 62.214.192.119 UDP:57764
Dienstag, 27. März 2007 18:22:14 Unrecognized attempt blocked from 61.231.194.129:30621 to 62.214.192.119 UDP:57764
Dienstag, 27. März 2007 18:22:35 Unrecognized attempt blocked from 221.208.208.93:58892 to 62.214.192.119 UDP:1026
Dienstag, 27. März 2007 18:22:35 Unrecognized attempt blocked from 221.208.208.93:58892 to 62.214.192.119 UDP:1027
Dienstag, 27. März 2007 18:22:44 Unrecognized attempt blocked from 221.12.113.238:58686 to 62.214.192.119 UDP:1027
Dienstag, 27. März 2007 18:23:25 Unrecognized attempt blocked from 213.250.34.90:29370 to 62.214.192.119 UDP:57764


Ob das aber jetzt "normale" Angriffe sind, oder die Antwort meiner FritzBox vermag ich nicht zu sagen, da die Ports sich von Versuch zu Versuch ändern. Zu Beginn meiner Versuche waren es Anfragen auf Ports 445, 135 und 6346.

????
Finde auch nirgends Informationen, welche Ports die FritzSoftware genau benutzt.
Pjordorf
Pjordorf 27.03.2007 um 18:39:34 Uhr
Goto Top
Und wo ist das VPN?

Willst du NUR auf der AVM Kiste drauf oder auf den Firmenserver?

Welche Fritz-Fernzugang-Software?

Von welchen Router redest du bei "meinem Network Log des Routers"? Die FritzBox und der SMC sind auch beides Router.
wave0303
wave0303 27.03.2007 um 18:42:11 Uhr
Goto Top
Hi,
alles klar.
Ohne das ich jetzt mal die Ports prüfe, aber die gingen ja vorher auch.
Das Problem ist, dass beide Seiten - wenn ich das richtig sehe - über NAT arbeiten.

Das ist bei WinXP SP2 so nicht ohne weiteres möglich. Da MS diese vorgehensweise nicht empfielt. Das kannst Du aber mit folgendem Registry Eintrag wieder ausser Kraft setzten.

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\IPSec /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 2

bzw. eben dort den Registry Key als DWORD eintragen
AssumeUDPEncapsulationContextOnSendRule
Wert: 2

Leider habe ich den zugehörigen KB Artikel nicht parat.

Danach einen Neustart. Falls es dann noch nicht klappt. Sehen wir uns mal die Ports an.

Wenn vorher alles funktioniert hat, dann brauchst Du aber bei Deinem Router keine Portweiterleitung. Die Anfragen werden ja von Deinem System initiiert. Nur die 'angerufene' Gegenstelle benötigt die Portweiterletung bzw. ESP.

Ich hoffe natürlich, das ist alles entsprechend abgesichert.

Bernd
andiaff1
andiaff1 27.03.2007 um 18:45:46 Uhr
Goto Top
Fritz hat eine tolle Laborversion, die es "einfach" ermöglicht eine VPN Verbindung von außen ins Netz an der FritzBox einzurichten.
Ziel der Verbindung: Vom Laptop zur FritzBox ( Die leitet mich zum Server weiter )

Das Network Log ist vom SMC-Router. Der ist momentan das Problem in der Verbindung, weil wie schon erwähnt, lief die Verbindung ohne den SMC-Router.
Pjordorf
Pjordorf 27.03.2007 um 19:03:19 Uhr
Goto Top
Wie wave0303 schon sagte, es geht jetzt darum das BEIDE Seiten jetzt NAT machen. Da bekommst du mit deiner konstruktion probleme. Ausserdem musst du am SMC weder Portweiterleitung noch VPN oder so einstellen. Das ist ja nur ausgehend. Das Protokoll deines SMC zeigt aber nicht deine Verbindungsversuche zur Vritzbox auf, da das auch eine Ausgehende Verbindung ist. Das Protokoll zeichnet standardmässig nur Eingehende Verbindungen / Verbindungsversuche auf. Ist auch an den IP's zu sehen.

Was für ein VPN kannst du von der Software vom Fritz einrichten?
andiaff1
andiaff1 27.03.2007 um 19:04:30 Uhr
Goto Top
Hab den Registry-Schlüssel gesetzt. Keine Verbesserung...
Ich hab die Möglichkeit im SMC-Router unter dem Punkt NAT für Anfragen auf speziellen Ports eine Weiterleitung einzurichten, um eben dieses Problem zu umgehen. Hier hab ich für die Ports 500 und 4500 UDP auf die IP meines Laptops weitergeleitet. Bringt alles nix...

Gibt es noch weitere Lösungsvorschläge?
wave0303
wave0303 27.03.2007 um 19:16:24 Uhr
Goto Top
Vollkommen korrekt.
Also geht es jetzt um die Frage L2TP oder PPTP.
Und mit welchem Client realisierst Du die VPN-Verbindung.
Ist WinXP2 richtig? Und nimmst Du den MS-VPN-Client?
Und die 'eigenen' Portweiterleitungen unbedingt ausschalten.


Bernd
andiaff1
andiaff1 27.03.2007 um 19:22:09 Uhr
Goto Top
Ich benutze das Tool der Fritzbox (FRITZ! Fernzugang). Wie ich in anderen Foren inzwischen herausgefunden habe benutzt die FritzBox IPsec.
Laptop WIN XP Pro SP2.
wave0303
wave0303 27.03.2007 um 19:29:36 Uhr
Goto Top
Aha, jetzt kommen wir der Sache näher. AVM benutzt einen eigenen VPN Client.

Ich kann Dir nicht sagen ob das klappt mit dem Barricade oder einem anderen Router, aber:

Prüfe doch bitte, dass Du einen IP-Adressbereich hast, der nicht mit dem Firmennetz identisch ist!

Hast Du auch bei Dir die Weiterleitungen schon abgeschaltet. Dass könnte nämlich störend sein. Insbesondere bem Port 500.

Bin mal gespannt.

Bernd
Pjordorf
Pjordorf 27.03.2007 um 19:34:36 Uhr
Goto Top
@wave0303: AVM hat dafür einen eigenen VPN Client.

@andiaff1: Was sagt deine Fritzbox im Protokoll? Kommen die anfragen von deinem SMC auch an? Wie sind denn die IP's für das VPN definiert worden (NAT auf beiden Seiten)?
andiaff1
andiaff1 27.03.2007 um 19:37:50 Uhr
Goto Top
Ich habe wieder alle Weiterleitungen ausgeschaltet.

Meine IP´s zuhause:

192.168.9.XXX

Im Geschäft (Zielnetzwerk):

192.168.100.XXX

DSL mit DynDNS


Die Software ist so eingestellt, daß ich im Zielnetzwerk die IP 192.168.100.240
zugeteilt bekomme.
Pjordorf
Pjordorf 27.03.2007 um 19:48:23 Uhr
Goto Top
Warum machst du kein VPN auf den Firmenserver?
andiaff1
andiaff1 27.03.2007 um 19:50:56 Uhr
Goto Top
Diese Konfiguration ist nicht von mir erstellt worden.
Ich muß mich jetzt mit den Gegebenheiten rumschlagen...
andiaff1
andiaff1 27.03.2007 um 19:54:48 Uhr
Goto Top
Ich komm momentan leider nicht mehr an die Logdateien aus der Fritzbox heran. Da ist Feierabend somit keiner mehr da, und die 50 km kann ich nicht schnell hin...
wave0303
wave0303 27.03.2007 um 20:05:49 Uhr
Goto Top
Hi,

hm, ich kann Dir momentan leider nicht weiterhelfen. Ich werd' nochmal drüber schlafen.
Aber du könntest jedenfalls mit der alten Methode die Logs einsehen, oder?

Na gut, bis dann
Bernd

P.S.: Ok, es hängt davon ab, ob der Fritz-VPN-Client NAT-T beherrscht. Das konnte ich nirgendwo in Erfahrung bringen.
Es gibt lediglich einen Hinweis. Es ist jedoch unklar, ob damit eine LAN-LAN-Kopplung über VPN gemeint ist, oder Dein Problem, bei dem es nicht um eine Netzwerkkopplung geht.
Hier jedenfalls der Link:


Verbindungen zwischen zwei FRITZ!Box-Netzwerken lassen sich jetzt mit Hilfe des Assistenten einrichten

http://www.avm.de/de/Service/Service-Portale/Service-Portal/Labor/labor ...


Bernd
aqui
aqui 30.03.2007 um 14:12:50 Uhr
Goto Top
Warum du den DHCP Server eingeschaltet hast wenn du denn statische Adressen benutzt ist mehr als unverständlich und auch gefährlich, wenn deine statischen Adressen innerhalb der DHCP Range liegen !!
Das solltest du unbedingt kontrollieren und anpassen, damit es nicht zu einer IP Adress- Doppelvergabe kommt, denn dann geht nichts mehr in deinem Netz !
Das wird aber nicht primär dein VPN Problem sein !
Leider schreibst du nichts über die Art der VPN Verbindung bzw. was für ein Protokoll diese benutzt ??? Ohne diese Auskunft ist es schier unmöglich dir zu helfen denn es gibt eine Unzahl von Protokollen die für VPN Verbindungen genutzt werden (PPTP, IPsec(AH), IPsec(ESP), L2TP, SSL, etc. etc.) Jedes einzelne Protokoll nutzt andere TCP/UDP Ports und manche sind gar nicht über NAT Router zu übertragen.
Generell ist die Vorgehensweise richtig die VPN Verbindung auf dem Router enden zu lassen. Dies hat erhebliche Vorteile gegenüber der Lösung auf einem internen Server, also lass dich da nicht beirren !
Ohne Angabe der Protokolls oder welche Mechanismen dein VPN Client nutzt müsste man hier endlose Seiten beschreiben mit "was wäre wenn..."
Es würde also ein Troubleshooting vereinfachen wenn du das hier nochmal posten könntest !!! So oder so ist das ein NAT Problem was du hast, was sich aber in der Regel sehr einfach mit den richtigen IP Forwarding Einträgen im Router lösen lässt !
FrageNetzwerkeRouter, Routing
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareEnrixkHilfe bei Netzwerkinfrastruktur für AbschlussprojektEnrixk - 12 KommentareDaniSIP Zugangsdaten von Vodafone erhaltenDani - 12 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare