VPN mit ASUS RT-N56U Router nicht möglich?
Obwohl man eine VPN-Verbindung aufbauen kann, sind Clients und Dienste nicht verwendbar
Wir verwenden ein Netzwerk mit einem SBS2003 Server. Der neue Router ASUS RT-N56U ist für das Internet und DHCP im Einsatz. Um unser Netzwerk von Aussen zu erreichen, nutzen wir den DynDNS-Service, um es per VPN zu erreichen. Wir haben nun das Problem, dass wir zwar eine VPN-Verbindung von Aussen aufbauen können, aber die Clients z. B. per Remote Desktop nicht erreichbar sind. Auch die Verbindung zu Exchange mit Outlook funktioniert wird.
Komisch ist, dass wir den Server per Remote Desktop erreichen können, aber die Clients nicht. Um auszuschliessen, dass es nicht an unserem Netzwerk liegt, haben wir wieder die AVM Fritz!Box 7270 wieder angeschlossen, und siehe da, es funktioniert alles einwandfrei. Nach mehreren Mails an den ASUS Support hiess es letztendlich, dass es nur an unserem Netzwerk liegen kann, da wenn die VPN-Verbindung doch aufgebaut wird, der Router mit diesem Problem aussen vor sei. Auch die Erklärung, dass andere Router diese Probleme nicht haben, brachte bisher keine Lösung.
Was könnte ich noch testen? Weiss jemand, woran das sonst liegen könnte?
Gruß
Hüseyin
Wir verwenden ein Netzwerk mit einem SBS2003 Server. Der neue Router ASUS RT-N56U ist für das Internet und DHCP im Einsatz. Um unser Netzwerk von Aussen zu erreichen, nutzen wir den DynDNS-Service, um es per VPN zu erreichen. Wir haben nun das Problem, dass wir zwar eine VPN-Verbindung von Aussen aufbauen können, aber die Clients z. B. per Remote Desktop nicht erreichbar sind. Auch die Verbindung zu Exchange mit Outlook funktioniert wird.
Komisch ist, dass wir den Server per Remote Desktop erreichen können, aber die Clients nicht. Um auszuschliessen, dass es nicht an unserem Netzwerk liegt, haben wir wieder die AVM Fritz!Box 7270 wieder angeschlossen, und siehe da, es funktioniert alles einwandfrei. Nach mehreren Mails an den ASUS Support hiess es letztendlich, dass es nur an unserem Netzwerk liegen kann, da wenn die VPN-Verbindung doch aufgebaut wird, der Router mit diesem Problem aussen vor sei. Auch die Erklärung, dass andere Router diese Probleme nicht haben, brachte bisher keine Lösung.
Was könnte ich noch testen? Weiss jemand, woran das sonst liegen könnte?
Gruß
Hüseyin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 170661
Url: https://administrator.de/forum/vpn-mit-asus-rt-n56u-router-nicht-moeglich-170661.html
Ausgedruckt am: 23.12.2024 um 19:12 Uhr
15 Kommentare
Neuester Kommentar
Leider ist deine Beschreibung wie so oft hier recht oberflächlich und wir wissen nicht wie du dein VPN aufgebaut hast (Terminierung auf dem Router wie der FritzBox oder Server) bzw. welches VPN Protokoll (L2TP, IPsec, PPTP, SSL usw.) du verwendet hast.
So hilft uns nur die berühmte Kristallkugel und Raten im freien Fall was eine sinnvolle Hilfestellung für dich nicht wirklich einfach macht.
Raten wir also mal und nehmen ein simples VPN Standard Szeanrio an indem du das VPN nicht auf dem Router terminierst sondern auf dem 2003er Server und als VPN Protokoll den Klassiker PPTP verwendest.
Dazu musst du mehrere zwingend Vorgaben beachten:
Besser ist es immer das VPN direkt auf dem Router zu terminieren, wie man das mit der FB ja machen kann und zig anderen VPN Routern wie Draytek usw.
Warum du auch von einer FB auf ein Router Billigstprodukt am untersten Ende gewechselt bist und dir damit selber diese Probleme eingebrockt hast ist ebenso rätselhaft. Vermutlich waren die letzten 10 Euro im Blödmarkt wieder mal zuviel oder Unkenntniss ?!
So hilft uns nur die berühmte Kristallkugel und Raten im freien Fall was eine sinnvolle Hilfestellung für dich nicht wirklich einfach macht.
Raten wir also mal und nehmen ein simples VPN Standard Szeanrio an indem du das VPN nicht auf dem Router terminierst sondern auf dem 2003er Server und als VPN Protokoll den Klassiker PPTP verwendest.
Dazu musst du mehrere zwingend Vorgaben beachten:
- PPTP muss auf dem Asus Router per Port Weiterleitung (Forwarding) an die lokale IP Adresse des Server geforwardet werden. PPTP besteht dabei immer aus 2 Protokollen nämlich einmal TCP 1723 und dem GRE Protokoll mit der eigenen IP Protokoll Nummer 47 (nicht UDP oder TCP 47 !!). Wie man das einstellt siehe hier: VPNs einrichten mit PPTP ! Das musst du zwingend so auch am ASUS eintragen !
- Bedenke das Clients als Default Router immer den Internet Router im LAN eingetragen haben ! Wenn du nun bei dir den VPN Tunnel auf den Server ziehst, dann ist der Server als quasi der Router für das remote VPN Netz. Willst du nun von remote auf andere Geräte im Netz als den Server zugreifen klappt das erstmal problemlos. Antwortpakete aus dem remoten VPN Netz schicken diese Geräte aber nun an ihr default Gateway und das ist der ASUS Router. Der forwardet das dann ins Internet wo diese Pakete dann im Nirwana verschwinden...genau das also was du siehst ! Du musst also zwingend im ASUS enen statische Route auf das remote IP Netz eintragen mit dem 2003er Server als next Hop Gateway. Dann wird auch dein VPN mit der Asus Gurke problemlos laufen.
Besser ist es immer das VPN direkt auf dem Router zu terminieren, wie man das mit der FB ja machen kann und zig anderen VPN Routern wie Draytek usw.
Warum du auch von einer FB auf ein Router Billigstprodukt am untersten Ende gewechselt bist und dir damit selber diese Probleme eingebrockt hast ist ebenso rätselhaft. Vermutlich waren die letzten 10 Euro im Blödmarkt wieder mal zuviel oder Unkenntniss ?!
Versuch mal aussen einen Client zu verwenden, der mittels WIFI verbunden ist.
Hast Du die neueste Firmware auf dem Router?: http://ch.asus.com/de/Networks/WiFi_Networking/RTN56U/#download
Hier wird dieses Problem ebenfalls geschildert: http://www.dslreports.com/forum/r25566245-VPN-only-works-with-WIRELESS- ...
Gruss
Niklaus
Hast Du die neueste Firmware auf dem Router?: http://ch.asus.com/de/Networks/WiFi_Networking/RTN56U/#download
Hier wird dieses Problem ebenfalls geschildert: http://www.dslreports.com/forum/r25566245-VPN-only-works-with-WIRELESS- ...
Gruss
Niklaus
@Nikolaus
Was bitte ist an dem "Ton" nicht zurückhaltend...sorry aber der Einwand ist unverständlich ? Gerade wenn man neu hier ist...
Was bitte ist an dem "Ton" nicht zurückhaltend...sorry aber der Einwand ist unverständlich ? Gerade wenn man neu hier ist...
@aqui: Ich kann es nicht glauben, dass Du nicht verstehst, was ich meine, aber o.k. ich nehm es zur Kenntnis: „berühmte Kristallkugel“, Vorwurf des Wechsel auf ein „Billigstprodukt am untersten Ende“ (dieses Produkt hat beste Kritiken), „Probleme selber eingebrockt“, „Blödmarkt“ und jetzt auch noch, dass Neulinge bitte schön die Klappe halten sollen. Klingt alles, nochmals sorry, sehr überheblich.
Die Frage die sich stellt ist WAS für ein VPN Protokoll kwame501 denn verwendet ?? Dazu äußert er sich ja nicht.
OK, raten wir mal das es IPsec ist, das ist insofern vermutlich der Fall da vorher ein FritzBox Router aktiv war.
Bei IPsec und auch L2TP müsste aber auch UDP 4500 und UDP 500 mit in der Port Forwarding Tabelle stehen. Tut es aber nicht !
Zudem fehlt noch das ESP Protokoll für den Tunnel der die Produktivdaten transportiert. Auch das fehlt....
Ebenso GRE sofern er als VPN protokoll PPTP statt L2TP oder IPsec nutzt was wir aber alle nicht wissen und weiter hier raten müssen
Am fehlenden Feedback ist auch ersichtlich das ihm das problem vermutlich nun völlig egal ist und ihn eine Lösung nicht mehr interessiert.
Vielleicht reichts dann noch für ein:
Wie kann ich einen Beitrag als gelöst markieren?
oder war das jetzt wieder zu arrogant ?!
OK, raten wir mal das es IPsec ist, das ist insofern vermutlich der Fall da vorher ein FritzBox Router aktiv war.
Bei IPsec und auch L2TP müsste aber auch UDP 4500 und UDP 500 mit in der Port Forwarding Tabelle stehen. Tut es aber nicht !
Zudem fehlt noch das ESP Protokoll für den Tunnel der die Produktivdaten transportiert. Auch das fehlt....
Ebenso GRE sofern er als VPN protokoll PPTP statt L2TP oder IPsec nutzt was wir aber alle nicht wissen und weiter hier raten müssen
Am fehlenden Feedback ist auch ersichtlich das ihm das problem vermutlich nun völlig egal ist und ihn eine Lösung nicht mehr interessiert.
Vielleicht reichts dann noch für ein:
Wie kann ich einen Beitrag als gelöst markieren?
oder war das jetzt wieder zu arrogant ?!
"Bei IPsec und auch L2TP müsste aber auch UDP 4500 und UDP 500 mit in der Port Forwarding Tabelle stehen."
Nein, muss es nicht.
Ich nutze IPsec over L2TP und es geht ohne Regelwerk.
Zur Qualität vom Asus Router kann ich noch sagen das ich sehr zufrieden bin. Bei den wenigen verfügbaren Gigabit-Routern (Speziell auf WAN-Seite) gibt es im Moment nur eine Hand voll, die bezahlbar sind. Ich habe jahrelang nur Draytek eingesetzt, aber der Vigor2130n ist fast doppelt so teuer und lohnt sich meiner Meinung nach nur wenn man Side-toSide Tunnel bauen will/muss.
Vertragt Euch! :D
MfG
Nein, muss es nicht.
Ich nutze IPsec over L2TP und es geht ohne Regelwerk.
Zur Qualität vom Asus Router kann ich noch sagen das ich sehr zufrieden bin. Bei den wenigen verfügbaren Gigabit-Routern (Speziell auf WAN-Seite) gibt es im Moment nur eine Hand voll, die bezahlbar sind. Ich habe jahrelang nur Draytek eingesetzt, aber der Vigor2130n ist fast doppelt so teuer und lohnt sich meiner Meinung nach nur wenn man Side-toSide Tunnel bauen will/muss.
Vertragt Euch! :D
MfG
Nein, diese Aussage ist technisch falsch ! L2TP basiert auf IPsec bzw. ist (fast) natives IPsec.
Was du machst ist NAT Traversal über UDP 4500 so das IPsec Pakete problemlos auch ganz ohne Port Forwarding über NAT Firewals kommen.
http://en.wikipedia.org/wiki/NAT_traversal
Das kann aber (leider) nicht jeder IPsec Client. Die meisten aber schon, nur eingerichtet muss es auch sein.
Ob ASUS oder Draytek letztlich sind das alles billige Consumer Systeme wobei Draytek do noch auf der etwas gehobeneren Schiene dieser Anbieter steht.
Draytek macht in so fern immer Sinn als das er alle 3 gängigen VPN Protokolle parallel supportet (IPsec, PPTP, L2TP) und die neueren Geräte sogar SSL. Das ist ein gravierender Unterschied, denn das können die anderen Consumer VPN Router nicht. Gerade das populäre PPTP das alle Rechner wie Winblows, Apple, Mac, Linux und so gut wie alle Smartphones von Haus aus an Bord haben.
Die anderen Consumer VPN Router können meist nur IPsec und das erzwingt dann immer zusätzliche Client Software. Ok, mit dem freien Shrew Client ist das dann auch kein Thema aber die meisten Laien hier legen sich die Karten bei IPsec und der teils komplexen Protokoll Materie.
Das tägliche Leiden hier beim Einrichten von IPsec Verbindungen spricht endlose Bände....
Wieso vertragen...wir waren nie zerstritten
Was du machst ist NAT Traversal über UDP 4500 so das IPsec Pakete problemlos auch ganz ohne Port Forwarding über NAT Firewals kommen.
http://en.wikipedia.org/wiki/NAT_traversal
Das kann aber (leider) nicht jeder IPsec Client. Die meisten aber schon, nur eingerichtet muss es auch sein.
Ob ASUS oder Draytek letztlich sind das alles billige Consumer Systeme wobei Draytek do noch auf der etwas gehobeneren Schiene dieser Anbieter steht.
Draytek macht in so fern immer Sinn als das er alle 3 gängigen VPN Protokolle parallel supportet (IPsec, PPTP, L2TP) und die neueren Geräte sogar SSL. Das ist ein gravierender Unterschied, denn das können die anderen Consumer VPN Router nicht. Gerade das populäre PPTP das alle Rechner wie Winblows, Apple, Mac, Linux und so gut wie alle Smartphones von Haus aus an Bord haben.
Die anderen Consumer VPN Router können meist nur IPsec und das erzwingt dann immer zusätzliche Client Software. Ok, mit dem freien Shrew Client ist das dann auch kein Thema aber die meisten Laien hier legen sich die Karten bei IPsec und der teils komplexen Protokoll Materie.
Das tägliche Leiden hier beim Einrichten von IPsec Verbindungen spricht endlose Bände....
Wieso vertragen...wir waren nie zerstritten
Hä? Erst sagst du man müsse "aber auch UDP 4500 und UDP 500" eintragen und als ich sage es geht ohne sagst du das "Was du machst ist NAT Traversal über UDP 4500 so das IPsec Pakete problemlos auch ganz ohne Port Forwarding über NAT Firewals kommen."
In deinem Link von wikipedia steht doch:
... in case of NAT-T:
IKE - UDP port 500
IPsec NAT-T - UDP port 4500
Often this is accomplished on home routers by enabling "IPsec Passthrough".
<------------------------- UND GENAU DAS: (IPsec Passthrough) wird doch komfortablerweise im Router mit einem Klick aktiviert!!!!!! Sprich: Mit dieser Option lässt der Router Port 4500 und 500 durch
Flasch ist: IPsec über L2TP. Es müsste heissen: IPsec MIT L2TP.
In deinem Link von wikipedia steht doch:
... in case of NAT-T:
IKE - UDP port 500
IPsec NAT-T - UDP port 4500
Often this is accomplished on home routers by enabling "IPsec Passthrough".
<------------------------- UND GENAU DAS: (IPsec Passthrough) wird doch komfortablerweise im Router mit einem Klick aktiviert!!!!!! Sprich: Mit dieser Option lässt der Router Port 4500 und 500 durch
Flasch ist: IPsec über L2TP. Es müsste heissen: IPsec MIT L2TP.
Nein, auch das ist falsch !
Der Hauptteil von IPsec ist ein ESP Tunnel (Encapsulation Security Payload) oder ein AH Tunnel. Beide Protokolle ESP und AH transportieren encapsuliert die Produktivdaten zw. Client und Server. AH wird wenig verwendet, denn es ist überhaupt nicht über NAT übertragbar, da der IPsec Header in NAT verändert wird. AH vermutet dann einen man in the Middel und droppt die Session.
Wenn NAT dann geht nur ESP !
IPsec Passthrough bedeutet das das ESP Protokoll ! (ESP ist eine eigenes IP Protokoll) durch den Router geforwardet wird nicht aber die Ports 500 und 4500 UDP das wäre Unsinn.
Du hast nur in so fern ein klein bischen Recht das man den UDP Port 4500 nicht unbedingt eintragen muss, denn der wird automatisch benutzt. Das aber nur wenn der Router selber VPN Server ist als VPN Router. Nicht aber wenn der VPN Server hinter der NAT Firewall des Routers liegt logischerweise !
Lies dir am besten das IPsec Tutorial von spacyfreak hier durch...das erklärt (fast) alles:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Speziell den Part zur ESP Encapsulierung in UDP 4500.
Passthrough bedeutet lediglich das diese Router ESP und GRE als Protokolle forwarden sofern eine native Encapsulierung (IPsec) gemacht wirt. GRE (PPTP) ist immer nativ. Eben NICHT die Ports 500 und 4500 (ipsec) zur Verwaltung. PPTP benutzt übrigens TCP 1723 und L2TP zusätzlich noch 1701. Das konterkariert also schon mal per se deine Behauptung das diese Ports einfach durchgereicht werden bei VPN Passthrough.
VPN Protokolle bestehen nämliche eben nicht nur aus den bischen UDP und TCP drumrum die nur das Handshaking und Passwort Austausch handeln !! Relevant ist nur ESP und GRE.
Der Hauptteil von IPsec ist ein ESP Tunnel (Encapsulation Security Payload) oder ein AH Tunnel. Beide Protokolle ESP und AH transportieren encapsuliert die Produktivdaten zw. Client und Server. AH wird wenig verwendet, denn es ist überhaupt nicht über NAT übertragbar, da der IPsec Header in NAT verändert wird. AH vermutet dann einen man in the Middel und droppt die Session.
Wenn NAT dann geht nur ESP !
IPsec Passthrough bedeutet das das ESP Protokoll ! (ESP ist eine eigenes IP Protokoll) durch den Router geforwardet wird nicht aber die Ports 500 und 4500 UDP das wäre Unsinn.
Du hast nur in so fern ein klein bischen Recht das man den UDP Port 4500 nicht unbedingt eintragen muss, denn der wird automatisch benutzt. Das aber nur wenn der Router selber VPN Server ist als VPN Router. Nicht aber wenn der VPN Server hinter der NAT Firewall des Routers liegt logischerweise !
Lies dir am besten das IPsec Tutorial von spacyfreak hier durch...das erklärt (fast) alles:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Speziell den Part zur ESP Encapsulierung in UDP 4500.
Passthrough bedeutet lediglich das diese Router ESP und GRE als Protokolle forwarden sofern eine native Encapsulierung (IPsec) gemacht wirt. GRE (PPTP) ist immer nativ. Eben NICHT die Ports 500 und 4500 (ipsec) zur Verwaltung. PPTP benutzt übrigens TCP 1723 und L2TP zusätzlich noch 1701. Das konterkariert also schon mal per se deine Behauptung das diese Ports einfach durchgereicht werden bei VPN Passthrough.
VPN Protokolle bestehen nämliche eben nicht nur aus den bischen UDP und TCP drumrum die nur das Handshaking und Passwort Austausch handeln !! Relevant ist nur ESP und GRE.
Zitat von @Fluxkompensator:
Überprüfe mal ob IPSEC- und L2TP- Passthrough aktiviert ist:
Erweiterte Einstellungen --> WAN --> DMZ --> VPN PPTP Passthrough und VPN L2TP Passthrough
Danach gings bei mir. Habe die Firmware 1.0.1.7c
MfG
Überprüfe mal ob IPSEC- und L2TP- Passthrough aktiviert ist:
Erweiterte Einstellungen --> WAN --> DMZ --> VPN PPTP Passthrough und VPN L2TP Passthrough
Danach gings bei mir. Habe die Firmware 1.0.1.7c
MfG
Hallo @Fluxkompensator,
vielen Dank für den entscheidenden Hinweis. Ich hatte genau das gleiche Problem mit diesem Router, und dein einfacher Hinweis hat es gelöst.
Es scheint manchmal gar nicht nötig zu sein, jedes Detail anzugeben, um kompetente Hilfe zu bekommen. Zumal dem Laien oft nicht klar sein kann, welcher Detailgrad für ein Problem angemessen ist. Deshalb meine Bitte an Helfende: Wenn jemand eine Frage äussert, für deren Beantwortung ihr mehr Informationen benötigt, dann fragt einfach nach. Kostet nicht viel und hilft allen. Dann muss man sich auch nicht durch endlose Polemiken lesen, um schnell eine Lösung zu finden.
Vielen Dank trotzdem, dass es dieses Forum gibt, das mir schnell zu einer Lösung meines Problems verholfen hat.
Beste Grüsse,
Ein Unprofi