kwame501
Goto Top

VPN mit ASUS RT-N56U Router nicht möglich?

Obwohl man eine VPN-Verbindung aufbauen kann, sind Clients und Dienste nicht verwendbar

Wir verwenden ein Netzwerk mit einem SBS2003 Server. Der neue Router ASUS RT-N56U ist für das Internet und DHCP im Einsatz. Um unser Netzwerk von Aussen zu erreichen, nutzen wir den DynDNS-Service, um es per VPN zu erreichen. Wir haben nun das Problem, dass wir zwar eine VPN-Verbindung von Aussen aufbauen können, aber die Clients z. B. per Remote Desktop nicht erreichbar sind. Auch die Verbindung zu Exchange mit Outlook funktioniert wird.

Komisch ist, dass wir den Server per Remote Desktop erreichen können, aber die Clients nicht. Um auszuschliessen, dass es nicht an unserem Netzwerk liegt, haben wir wieder die AVM Fritz!Box 7270 wieder angeschlossen, und siehe da, es funktioniert alles einwandfrei. Nach mehreren Mails an den ASUS Support hiess es letztendlich, dass es nur an unserem Netzwerk liegen kann, da wenn die VPN-Verbindung doch aufgebaut wird, der Router mit diesem Problem aussen vor sei. Auch die Erklärung, dass andere Router diese Probleme nicht haben, brachte bisher keine Lösung.

Was könnte ich noch testen? Weiss jemand, woran das sonst liegen könnte?

Gruß

Hüseyin

Content-ID: 170661

Url: https://administrator.de/forum/vpn-mit-asus-rt-n56u-router-nicht-moeglich-170661.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

aqui
aqui 30.07.2011, aktualisiert am 18.10.2012 um 18:47:43 Uhr
Goto Top
Leider ist deine Beschreibung wie so oft hier recht oberflächlich und wir wissen nicht wie du dein VPN aufgebaut hast (Terminierung auf dem Router wie der FritzBox oder Server) bzw. welches VPN Protokoll (L2TP, IPsec, PPTP, SSL usw.) du verwendet hast. face-sad
So hilft uns nur die berühmte Kristallkugel und Raten im freien Fall was eine sinnvolle Hilfestellung für dich nicht wirklich einfach macht.
Raten wir also mal und nehmen ein simples VPN Standard Szeanrio an indem du das VPN nicht auf dem Router terminierst sondern auf dem 2003er Server und als VPN Protokoll den Klassiker PPTP verwendest.
Dazu musst du mehrere zwingend Vorgaben beachten:
  • PPTP muss auf dem Asus Router per Port Weiterleitung (Forwarding) an die lokale IP Adresse des Server geforwardet werden. PPTP besteht dabei immer aus 2 Protokollen nämlich einmal TCP 1723 und dem GRE Protokoll mit der eigenen IP Protokoll Nummer 47 (nicht UDP oder TCP 47 !!). Wie man das einstellt siehe hier: VPNs einrichten mit PPTP ! Das musst du zwingend so auch am ASUS eintragen !
  • Bedenke das Clients als Default Router immer den Internet Router im LAN eingetragen haben ! Wenn du nun bei dir den VPN Tunnel auf den Server ziehst, dann ist der Server als quasi der Router für das remote VPN Netz. Willst du nun von remote auf andere Geräte im Netz als den Server zugreifen klappt das erstmal problemlos. Antwortpakete aus dem remoten VPN Netz schicken diese Geräte aber nun an ihr default Gateway und das ist der ASUS Router. Der forwardet das dann ins Internet wo diese Pakete dann im Nirwana verschwinden...genau das also was du siehst ! Du musst also zwingend im ASUS enen statische Route auf das remote IP Netz eintragen mit dem 2003er Server als next Hop Gateway. Dann wird auch dein VPN mit der Asus Gurke problemlos laufen.
P.S.: Nutzt du als VPN Protokoll L2TP musst du UDP 500, UDP 4500, TCP 1701 und das ESP Protokoll mit der IP Protokoll Nummer 50 (nicht UDP oder TCP 50 !!) forwarden im Router statt der o.a. angegebenen PPTP Ports.
Besser ist es immer das VPN direkt auf dem Router zu terminieren, wie man das mit der FB ja machen kann und zig anderen VPN Routern wie Draytek usw.
Warum du auch von einer FB auf ein Router Billigstprodukt am untersten Ende gewechselt bist und dir damit selber diese Probleme eingebrockt hast ist ebenso rätselhaft. Vermutlich waren die letzten 10 Euro im Blödmarkt wieder mal zuviel oder Unkenntniss ?!
Niklaus
Niklaus 30.07.2011 um 14:22:31 Uhr
Goto Top
Versuch mal aussen einen Client zu verwenden, der mittels WIFI verbunden ist.

Hast Du die neueste Firmware auf dem Router?: http://ch.asus.com/de/Networks/WiFi_Networking/RTN56U/#download

Hier wird dieses Problem ebenfalls geschildert: http://www.dslreports.com/forum/r25566245-VPN-only-works-with-WIRELESS- ...

Gruss

Niklaus
Niklaus
Niklaus 30.07.2011 um 14:58:33 Uhr
Goto Top
Sorry, aqui, ich bin heute das erste Mal hier, aber Du solltest Dich im Ton ein wenig zurück halten. Niklaus.
aqui
aqui 30.07.2011 um 15:42:13 Uhr
Goto Top
@Nikolaus
Was bitte ist an dem "Ton" nicht zurückhaltend...sorry aber der Einwand ist unverständlich ? Gerade wenn man neu hier ist...
Niklaus
Niklaus 30.07.2011 um 19:10:10 Uhr
Goto Top
@aqui: Ich kann es nicht glauben, dass Du nicht verstehst, was ich meine, aber o.k. ich nehm es zur Kenntnis: „berühmte Kristallkugel“, Vorwurf des Wechsel auf ein „Billigstprodukt am untersten Ende“ (dieses Produkt hat beste Kritiken), „Probleme selber eingebrockt“, „Blödmarkt“ und jetzt auch noch, dass Neulinge bitte schön die Klappe halten sollen. Klingt alles, nochmals sorry, sehr überheblich.
kwame501
kwame501 09.08.2011 um 00:01:30 Uhr
Goto Top
Hallo aqui,

danke für deine Antwort, die tatsächlich etwas arrogant wirkt, auch wenn deine Einwände teilweise gerechtfertigt sind. Wie dem auch sei... Also, da ich ja kein Superprofi bin, konnte ich leider nicht viel mehr Informationen mitteilen. Unten sieht man die Portweiterleitungen, die im ASUS Router bereits eingerichtet waren. Diese wurden 1:1 vom AVM Router übernommen. Ich muss noch dazu sagen, dass es nicht an diesem "Biligstprodukt" liegen kann. Denn der AVM Router war nur einer von insgesamt 3 Routern, bei dem VPN vorher einwandfrei funktioniert hat. Und darunter waren ganz einfache Home-Router von z. B. Netgear dabei. Warum wir nun diesen ASUS Router im Einsatz haben, liegt daran, dass dieser vom Preis-/Leistungsverhältnis eine sehr gute Kritik hat und die 64 MBit/s Unitymedia-Leitung bei vielen anderen Routern nicht annähernd erreicht wurden. Falls du einen bezahlbaren (100-150 EUR) Gigabit-Router empfehlen kannst, der die 64 MBit/s ohne Abstriche schafft und VPN problemlos unterstützt, bin ich für deine Tipps sicher dankbar.

ServicenamePortbereichLokale IPLokaler PortProtokoll
HTTP Server 80 192.168.0.10 80 TCP
FTP Server 21 192.168.0.10 21 TCP
HTTPS-TCP 443 192.168.0.10 443 TCP
HTTPS-UDP443192.168.0.10443UDP
L2TP1701192.168.0.101701UDP
PPTP1723192.168.0.101723TCP
POP3 Server110192.168.0.10110TCP
DNS Server53192.168.0.1053UDP
SMTP Server 25192.168.0.1025TCP
TELNET Server23192.168.0.1023TCP
TELNET UDP23192.168.0.1023UDP
MS RDP 3389192.168.0.103389TCP

Das GRE Protokoll konnte ich so nicht einrichten. Es sind lediglich die Protokolle TCP, UDP, BOTH und OTHER wählbar.

ASUS schreibt mir zuletzt folgendes:
...
wenn Ihr Server auf die Gegebenheiten des AVM Routers konfiguriert ist, ist klar das es funktioniert, das bezweifelt ja auch keiner.

Eine VPN Verbindung ist eine durch den Router getunnelte Verbindung - die ja nach Ihren Angaben ( wie auch bei unseren Tests) zu einem Server hinter dem Router besteht. Diese Verbindung kann nicht vom Router beeinflusst werden. Sobald diese Verbindung besteht laufen alle Pakete direkt zum Server der dann die Verbindungen zu den Clienten aufbaut (sofern er richtig konfiguriert ist ).

Da Fritzboxen standardmässig ein anderes Subnet benutzen gehen wir davon aus das Ihr Problem an diesem anderen Subnet liegt. Ihr VPN Server sowie sonstigen Einstellungen sich auf dieses Subnet beziehen und somit logischerweise die AVM problemlos funktioniert.

Wurden die Einstellungen auf dem Server daraufhin angepasst ?
Ist die VPN Software des Server so konfiguriert das Verbindungen zu anderen Klienten möglich sind ?

Wie verhält es sich, wenn das gleiche Subnet wie auf der Fritzbox genutzt wird oder wenn statt des RT-N56U Ihr Server DHCP übernimmt ?

Also wir haben den Server nie speziell für irgendeinen der bisher eingesetzten Router angepasst.

Das DHCP hat der ASUS Router verwaltet, so auch die anderen Router. Ich habe es nun auf den Server umgestellt und werde es morgen mal probieren. Aber was ASUS da oben sonst meint, verstehe ich nicht.

Gruß

Hüseyin
kwame501
kwame501 09.08.2011 um 00:22:29 Uhr
Goto Top
Hallo Niklaus,

danke für deine Recherchen und Mühen, mir helfen zu wollen. Die Firmware ist die Aktuellste. ASUS hat mir sogar eine Firmware zugeschickt, die noch nicht offiziell ist, da die offizielle Firmware nicht einmal eine VPN-Verbindung aufbauen konnte, da der DynDNS-Dienst gar nicht angesprochen wurde.

Den anderen Link und auch viele weitere kenne ich bereits. Bei diesem Link handelt es sich um ein Problem, bei dem VPN nur bei Wireless Verbindungen funktioniert. Das ist bei mir nicht der Fall.

Gruß

Hüseyin
Fluxkompensator
Fluxkompensator 24.11.2011 um 13:24:07 Uhr
Goto Top
Überprüfe mal ob IPSEC- und L2TP- Passthrough aktiviert ist:

Erweiterte Einstellungen --> WAN --> DMZ --> VPN PPTP Passthrough und VPN L2TP Passthrough

Danach gings bei mir. Habe die Firmware 1.0.1.7c

MfG
aqui
aqui 24.11.2011 um 16:13:58 Uhr
Goto Top
Die Frage die sich stellt ist WAS für ein VPN Protokoll kwame501 denn verwendet ?? Dazu äußert er sich ja nicht.
OK, raten wir mal das es IPsec ist, das ist insofern vermutlich der Fall da vorher ein FritzBox Router aktiv war.
Bei IPsec und auch L2TP müsste aber auch UDP 4500 und UDP 500 mit in der Port Forwarding Tabelle stehen. Tut es aber nicht !
Zudem fehlt noch das ESP Protokoll für den Tunnel der die Produktivdaten transportiert. Auch das fehlt....
Ebenso GRE sofern er als VPN protokoll PPTP statt L2TP oder IPsec nutzt was wir aber alle nicht wissen und weiter hier raten müssen face-sad
Am fehlenden Feedback ist auch ersichtlich das ihm das problem vermutlich nun völlig egal ist und ihn eine Lösung nicht mehr interessiert.
Vielleicht reichts dann noch für ein:
Wie kann ich einen Beitrag als gelöst markieren?
oder war das jetzt wieder zu arrogant ?!
Fluxkompensator
Fluxkompensator 24.11.2011 um 17:06:45 Uhr
Goto Top
"Bei IPsec und auch L2TP müsste aber auch UDP 4500 und UDP 500 mit in der Port Forwarding Tabelle stehen."

Nein, muss es nicht.
Ich nutze IPsec over L2TP und es geht ohne Regelwerk.

Zur Qualität vom Asus Router kann ich noch sagen das ich sehr zufrieden bin. Bei den wenigen verfügbaren Gigabit-Routern (Speziell auf WAN-Seite) gibt es im Moment nur eine Hand voll, die bezahlbar sind. Ich habe jahrelang nur Draytek eingesetzt, aber der Vigor2130n ist fast doppelt so teuer und lohnt sich meiner Meinung nach nur wenn man Side-toSide Tunnel bauen will/muss.

Vertragt Euch! :D

MfG
aqui
aqui 24.11.2011 um 18:14:04 Uhr
Goto Top
Nein, diese Aussage ist technisch falsch ! L2TP basiert auf IPsec bzw. ist (fast) natives IPsec.
Was du machst ist NAT Traversal über UDP 4500 so das IPsec Pakete problemlos auch ganz ohne Port Forwarding über NAT Firewals kommen.
http://en.wikipedia.org/wiki/NAT_traversal
Das kann aber (leider) nicht jeder IPsec Client. Die meisten aber schon, nur eingerichtet muss es auch sein.
Ob ASUS oder Draytek letztlich sind das alles billige Consumer Systeme wobei Draytek do noch auf der etwas gehobeneren Schiene dieser Anbieter steht.
Draytek macht in so fern immer Sinn als das er alle 3 gängigen VPN Protokolle parallel supportet (IPsec, PPTP, L2TP) und die neueren Geräte sogar SSL. Das ist ein gravierender Unterschied, denn das können die anderen Consumer VPN Router nicht. Gerade das populäre PPTP das alle Rechner wie Winblows, Apple, Mac, Linux und so gut wie alle Smartphones von Haus aus an Bord haben.
Die anderen Consumer VPN Router können meist nur IPsec und das erzwingt dann immer zusätzliche Client Software. Ok, mit dem freien Shrew Client ist das dann auch kein Thema aber die meisten Laien hier legen sich die Karten bei IPsec und der teils komplexen Protokoll Materie.
Das tägliche Leiden hier beim Einrichten von IPsec Verbindungen spricht endlose Bände....
Wieso vertragen...wir waren nie zerstritten face-wink
Fluxkompensator
Fluxkompensator 24.11.2011 um 23:31:51 Uhr
Goto Top
Hä? Erst sagst du man müsse "aber auch UDP 4500 und UDP 500" eintragen und als ich sage es geht ohne sagst du das "Was du machst ist NAT Traversal über UDP 4500 so das IPsec Pakete problemlos auch ganz ohne Port Forwarding über NAT Firewals kommen."
In deinem Link von wikipedia steht doch:

... in case of NAT-T:

IKE - UDP port 500
IPsec NAT-T - UDP port 4500

Often this is accomplished on home routers by enabling "IPsec Passthrough".


<------------------------- UND GENAU DAS: (IPsec Passthrough) wird doch komfortablerweise im Router mit einem Klick aktiviert!!!!!! Sprich: Mit dieser Option lässt der Router Port 4500 und 500 durch

Flasch ist: IPsec über L2TP. Es müsste heissen: IPsec MIT L2TP.
aqui
aqui 25.11.2011, aktualisiert am 18.10.2012 um 18:49:12 Uhr
Goto Top
Nein, auch das ist falsch !
Der Hauptteil von IPsec ist ein ESP Tunnel (Encapsulation Security Payload) oder ein AH Tunnel. Beide Protokolle ESP und AH transportieren encapsuliert die Produktivdaten zw. Client und Server. AH wird wenig verwendet, denn es ist überhaupt nicht über NAT übertragbar, da der IPsec Header in NAT verändert wird. AH vermutet dann einen man in the Middel und droppt die Session.
Wenn NAT dann geht nur ESP !
IPsec Passthrough bedeutet das das ESP Protokoll ! (ESP ist eine eigenes IP Protokoll) durch den Router geforwardet wird nicht aber die Ports 500 und 4500 UDP das wäre Unsinn.
Du hast nur in so fern ein klein bischen Recht das man den UDP Port 4500 nicht unbedingt eintragen muss, denn der wird automatisch benutzt. Das aber nur wenn der Router selber VPN Server ist als VPN Router. Nicht aber wenn der VPN Server hinter der NAT Firewall des Routers liegt logischerweise !
Lies dir am besten das IPsec Tutorial von spacyfreak hier durch...das erklärt (fast) alles:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Speziell den Part zur ESP Encapsulierung in UDP 4500.
Passthrough bedeutet lediglich das diese Router ESP und GRE als Protokolle forwarden sofern eine native Encapsulierung (IPsec) gemacht wirt. GRE (PPTP) ist immer nativ. Eben NICHT die Ports 500 und 4500 (ipsec) zur Verwaltung. PPTP benutzt übrigens TCP 1723 und L2TP zusätzlich noch 1701. Das konterkariert also schon mal per se deine Behauptung das diese Ports einfach durchgereicht werden bei VPN Passthrough.
VPN Protokolle bestehen nämliche eben nicht nur aus den bischen UDP und TCP drumrum die nur das Handshaking und Passwort Austausch handeln !! Relevant ist nur ESP und GRE.
Unprofi
Unprofi 01.01.2012 um 12:41:52 Uhr
Goto Top
Zitat von @Fluxkompensator:
Überprüfe mal ob IPSEC- und L2TP- Passthrough aktiviert ist:

Erweiterte Einstellungen --> WAN --> DMZ --> VPN PPTP Passthrough und VPN L2TP Passthrough

Danach gings bei mir. Habe die Firmware 1.0.1.7c

MfG

Hallo @Fluxkompensator,

vielen Dank für den entscheidenden Hinweis. Ich hatte genau das gleiche Problem mit diesem Router, und dein einfacher Hinweis hat es gelöst.

Es scheint manchmal gar nicht nötig zu sein, jedes Detail anzugeben, um kompetente Hilfe zu bekommen. Zumal dem Laien oft nicht klar sein kann, welcher Detailgrad für ein Problem angemessen ist. Deshalb meine Bitte an Helfende: Wenn jemand eine Frage äussert, für deren Beantwortung ihr mehr Informationen benötigt, dann fragt einfach nach. Kostet nicht viel und hilft allen. Dann muss man sich auch nicht durch endlose Polemiken lesen, um schnell eine Lösung zu finden.

Vielen Dank trotzdem, dass es dieses Forum gibt, das mir schnell zu einer Lösung meines Problems verholfen hat.

Beste Grüsse,
Ein Unprofi
aqui
aqui 10.01.2012 um 12:47:21 Uhr
Goto Top
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !