6
VPN mit Cisco Client aus Domäne über Draytek Router zum Uni Netz
Moin,
ich hab da ein kleines Verbindungsproblem. Woran kanns liegen?
Ich möchte mich mit dem von der Uni gelieferten Cisco VPN Client zum Uni Netzwerk verbinden. Bin aber in einer Win2003SBS Domäne drin und muss über einen Draytek 2910 Router rauskommen. Eigentlich sollten doch VPN durchgeschleift werden?! Aber ich bekomme keine Verbindung. Dann habe ich im Router auch noch Port 500, 4500 und sicherheitshalber auch 10000 UDP freigeschaltet und in der Domäne Testhalber die Firewall deaktiviert über GPO. Trotzdem kein Durchkommen.
Kann da jemand einen Tipp geben?
mfg
Tobias
Kann da jemand einen Tipp geben?
mfg
Tobias
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 123468
Url: https://administrator.de/contentid/123468
Printed on: April 28, 2024 at 01:04 o'clock
6 Comments
Latest comment
Nein, eigentlich wird ein IPsec VPN niemals durch einen Router durchgeschleift sondern erzwingt in der Regel IMMER einen Eintrag für die Port Weiterleitung.
Bei dir ist es abhängig ob dein Cisco VPN Client mit NAT Traversal konfiguriert ist oder nicht ! Das kann dir nur dein Netzwerkadmin an der Uni sagen, denn es wird am VPN Server selber aktiviert.
Netzwerkadmins aktivieren in der Regel NAT Traversal, denn wie der Name dieses Features schon sagt kann so ein IPsec Paket (Cisco benutzt IPsec im ESP Modus !) dann ohne Probleme eine NAT Firewall in einem DSL Router ohne jegliche Einstellungen passieren.
Ist allerdings KEIN NAT Traversal aktiviert musst du zwingend für IPsec die folgenden Ports auf die lokale IP Adresse des Clients forwarden im Draytek:
UDP 500 (IKE)
ESP Protokoll (IP Protokoll Nummer 50, Achtung: NICHT TCP oder UDP 50 !)
Generell passiert ein Cisco VPN Client ohne jegliches Port Forwarding einen Draytek Router wenn NAT Traversal aktiviert ist und keine weiteren Filter konfiguriert sind.
Hast du eine aktuelle Firmware auf dem 2910 ??
http://www.draytek.de/Firmware_2910.htm
Bei dir ist es abhängig ob dein Cisco VPN Client mit NAT Traversal konfiguriert ist oder nicht ! Das kann dir nur dein Netzwerkadmin an der Uni sagen, denn es wird am VPN Server selber aktiviert.
Netzwerkadmins aktivieren in der Regel NAT Traversal, denn wie der Name dieses Features schon sagt kann so ein IPsec Paket (Cisco benutzt IPsec im ESP Modus !) dann ohne Probleme eine NAT Firewall in einem DSL Router ohne jegliche Einstellungen passieren.
Ist allerdings KEIN NAT Traversal aktiviert musst du zwingend für IPsec die folgenden Ports auf die lokale IP Adresse des Clients forwarden im Draytek:
UDP 500 (IKE)
ESP Protokoll (IP Protokoll Nummer 50, Achtung: NICHT TCP oder UDP 50 !)
Generell passiert ein Cisco VPN Client ohne jegliches Port Forwarding einen Draytek Router wenn NAT Traversal aktiviert ist und keine weiteren Filter konfiguriert sind.
Hast du eine aktuelle Firmware auf dem 2910 ??
http://www.draytek.de/Firmware_2910.htm
Ich könnte mir auch vorstellen, das der Admin der Uni NAT-T benutzt, da es für Studenten ja gerne einfach gehalten werden sollte, aber das werde ich nochmal in Erfahrung bringen.
Die FW des Drayteks ist nicht die aktuellste. Ist es unbedingt erforderlich, diese upzugrade? Denn ansonsten läuft der Router sehr gut und ich ändere ungern Sachen, die nicht unbedingt geändert werden müssen (never change...).
Ich habe bis jetzt leider noch nicht rausbekommen, wie ich ein anderes Protokoll als TCP oder UDP im Draytek freischalten kann. Auf der Draytek Seite gibt es dafür keine Infos. Weiss jemand, wie man z.b. im Draytek das ESP Protokoll als freien Port schalten kann?
mfg
Die FW des Drayteks ist nicht die aktuellste. Ist es unbedingt erforderlich, diese upzugrade? Denn ansonsten läuft der Router sehr gut und ich ändere ungern Sachen, die nicht unbedingt geändert werden müssen (never change...).
Ich habe bis jetzt leider noch nicht rausbekommen, wie ich ein anderes Protokoll als TCP oder UDP im Draytek freischalten kann. Auf der Draytek Seite gibt es dafür keine Infos. Weiss jemand, wie man z.b. im Draytek das ESP Protokoll als freien Port schalten kann?
mfg
Port Weiterleitung ist oft ein Thema von Fehlern...in der Beziehung solltest du den Draytek ruhig updaten.
Keine Angst Draytek hat sehr gut gepflegte Firmware Images und du gehst keine Gefahr das etwas nicht mehr klappen sollte wenn du vorher deine Konfig sicherst.
Was sagt denn überhaupt das Log im Cisco VPN Client wenn du dort die Log Level einmal auf 3 (high) setzt für IKE und die Connection relevanten Protokolle ???
Das wäre ja mal ein sinnvoller und hilfreicher Post den du uns bis dato ja noch vorenthälst und die ein Troubleshooting erheblich erleichtert !!
Keine Angst Draytek hat sehr gut gepflegte Firmware Images und du gehst keine Gefahr das etwas nicht mehr klappen sollte wenn du vorher deine Konfig sicherst.
Was sagt denn überhaupt das Log im Cisco VPN Client wenn du dort die Log Level einmal auf 3 (high) setzt für IKE und die Connection relevanten Protokolle ???
Das wäre ja mal ein sinnvoller und hilfreicher Post den du uns bis dato ja noch vorenthälst und die ein Troubleshooting erheblich erleichtert !!
Ok, dann werd ich den Router demnächst mal updaten. Leider ist mein Netzwerk woanders und ich komme da die nächsten Tage nicht hin. Werde aber das Log dann mal posten.
Soweit erstmal vielen Dank.
mfg
Soweit erstmal vielen Dank.
mfg
Nein, ist ja noch nicht gelöst. Leider hat sich mein Termin verschoben. Ich komme erst nächste Woche wieder dazu, die Router Firmware zu updaten. Dazu werde ich mir dann auch noch die Cisco Logs anschauen. Dann werde ich berichten...
mfg
mfg
