VPN mit Draytek
Guten Tag alle zusammen,
ich habe hier einen Draytek 2700VG, er ist auch soweit eingerichtet, Internet funktioniert! Nun habe ich das VPN aktiviert und mir Testweise einen Account angelegt. Versuche ich nun von außerhalb über den Testaccount mit anzumelden tritt der Fehler 800 auf: Die Remoteverbindung wurde aufgrund von VPN-Tunnelfehlern nicht hergestellt. Der VPN-Server ist möglicherweise nicht erreichbar. Wenn für die Verbindung ein L2TP/IPsec-Tunnel verwendet wird, werden die für die IPsec-Aushandlung erforderlichen Sicherheitsparameter möglicherweise nicht ordnungsgemäß konfiguriert. Ich eigentlich schon alles ausprobiert, jemand ne Idee was ich noch änder könnte?
MfG
ich habe hier einen Draytek 2700VG, er ist auch soweit eingerichtet, Internet funktioniert! Nun habe ich das VPN aktiviert und mir Testweise einen Account angelegt. Versuche ich nun von außerhalb über den Testaccount mit anzumelden tritt der Fehler 800 auf: Die Remoteverbindung wurde aufgrund von VPN-Tunnelfehlern nicht hergestellt. Der VPN-Server ist möglicherweise nicht erreichbar. Wenn für die Verbindung ein L2TP/IPsec-Tunnel verwendet wird, werden die für die IPsec-Aushandlung erforderlichen Sicherheitsparameter möglicherweise nicht ordnungsgemäß konfiguriert. Ich eigentlich schon alles ausprobiert, jemand ne Idee was ich noch änder könnte?
MfG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 148039
Url: https://administrator.de/forum/vpn-mit-draytek-148039.html
Ausgedruckt am: 23.12.2024 um 15:12 Uhr
8 Kommentare
Neuester Kommentar
Oben schreibst du aber das du L2TP machst ...oder auch IPsec. Du würfelst hier also alles wie wild durcheinander !! Weisst du also wirklich was du da machst ?? Oder klickst du nur hilflos alles an...?
Versuche bitte erstmal einen normalen PPTP VPN Zugang einzurichten, das ist für blutige Laien, wie du vermutlich bist, erstmal am einfachsten, denn da reichen ein paar Mausklicks.
Du richtest also erstmal ein PPTP VPN ein auf dem Draytek. Wie das geht steht ganz genau hier:
http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-PPTP.htm
Bedenke bitte unbedingt das hier und passe ggf. deine IP Netze an !!:
VPNs einrichten mit PPTP
Ist das erledigt gehts an den Client. Hier kannst du für PPTP den Windows bordeigenen Client nehmen. Halte dich bei der Einrichtung Schritt für Schritt an dies Tutorial:
VPNs einrichten mit PPTP
So, wenn das erledigt ist kannst du einen ersten Test wagen:
Gehe auf http://www.wieistmeineip.de oder installier dir das IP2_Tool oder sieh im Router Setup nach um die aktuelle IP Adresse auf dem Router DSL Interface zu ermitteln.
Diese IP Adresse ist die Ziel IP Adresse für deinen VPN Client auf die du von remote verbinden musst.
Bedenke das es von remote getestet werden MUSS. Ein Zugang vom internen LAN ist NICHT möglich wegen des DNS Hairpin Problems und durch die IP Adressgleichheit !! Nimm also einen Kollegen, Freund oder das iPhone usw. über externe Netze !
Trage die Router DSL IP im Client ein und verwende den von dir im Router konfigurierten Benutzernamen und das dazu korrespondierende Passwort für den VPN Account zum Login.
Hast du alles obige richtig gemacht bekommst du dann auf Anhieb eine funktionierende VPN Verbindung im Draytek.
Ist dem so macht es dann Sinn deinen DynDNS Account auf dem Router einzurichten. Damit kannst du den DynDNS Hostnamen im VPN Client statt der aktuellen IP Adresse angeben !
Falls es dennoch kneifen sollte nutzt du ganz einfach den Syslog Server im Draytek um den Fehler zu analysieren.
Du installierst auf einem PC im lokalen LAN einen Syslog Dienst wie z.B. das kostenfreie
http://www.kiwisyslog.com/kiwi-syslog-server-overview/
oder besser den Mikrotik Syslog
http://www.mikrotik.com/download/MT_Syslog.exe
und dessen Anleitung: http://www.mikrotik.com/documentation/SyslogManual.html
Auf dem Draytek aktivierst du dann den Syslog Dienst mit einem Haken und konfigurierst die IP Adresse dieses o.a. Syslog Dienste PCs...fertig.
Nun gehen alle Systemmeldungen des Draytek Routers an diesen Syslog Rechner und du kannst bequem sehen wo dein Problem ist um das zu troubleshooten.
Wie bereits gesagt. Wenn du dich sauber an die o.a. Anleitungen hälst und nicht wild diverse VPN Protokolle laienhaft durcheinanderwürfelst, funktioniert das auf Anhieb !
Versuche bitte erstmal einen normalen PPTP VPN Zugang einzurichten, das ist für blutige Laien, wie du vermutlich bist, erstmal am einfachsten, denn da reichen ein paar Mausklicks.
Du richtest also erstmal ein PPTP VPN ein auf dem Draytek. Wie das geht steht ganz genau hier:
http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-PPTP.htm
Bedenke bitte unbedingt das hier und passe ggf. deine IP Netze an !!:
VPNs einrichten mit PPTP
Ist das erledigt gehts an den Client. Hier kannst du für PPTP den Windows bordeigenen Client nehmen. Halte dich bei der Einrichtung Schritt für Schritt an dies Tutorial:
VPNs einrichten mit PPTP
So, wenn das erledigt ist kannst du einen ersten Test wagen:
Gehe auf http://www.wieistmeineip.de oder installier dir das IP2_Tool oder sieh im Router Setup nach um die aktuelle IP Adresse auf dem Router DSL Interface zu ermitteln.
Diese IP Adresse ist die Ziel IP Adresse für deinen VPN Client auf die du von remote verbinden musst.
Bedenke das es von remote getestet werden MUSS. Ein Zugang vom internen LAN ist NICHT möglich wegen des DNS Hairpin Problems und durch die IP Adressgleichheit !! Nimm also einen Kollegen, Freund oder das iPhone usw. über externe Netze !
Trage die Router DSL IP im Client ein und verwende den von dir im Router konfigurierten Benutzernamen und das dazu korrespondierende Passwort für den VPN Account zum Login.
Hast du alles obige richtig gemacht bekommst du dann auf Anhieb eine funktionierende VPN Verbindung im Draytek.
Ist dem so macht es dann Sinn deinen DynDNS Account auf dem Router einzurichten. Damit kannst du den DynDNS Hostnamen im VPN Client statt der aktuellen IP Adresse angeben !
Falls es dennoch kneifen sollte nutzt du ganz einfach den Syslog Server im Draytek um den Fehler zu analysieren.
Du installierst auf einem PC im lokalen LAN einen Syslog Dienst wie z.B. das kostenfreie
http://www.kiwisyslog.com/kiwi-syslog-server-overview/
oder besser den Mikrotik Syslog
http://www.mikrotik.com/download/MT_Syslog.exe
und dessen Anleitung: http://www.mikrotik.com/documentation/SyslogManual.html
Auf dem Draytek aktivierst du dann den Syslog Dienst mit einem Haken und konfigurierst die IP Adresse dieses o.a. Syslog Dienste PCs...fertig.
Nun gehen alle Systemmeldungen des Draytek Routers an diesen Syslog Rechner und du kannst bequem sehen wo dein Problem ist um das zu troubleshooten.
Wie bereits gesagt. Wenn du dich sauber an die o.a. Anleitungen hälst und nicht wild diverse VPN Protokolle laienhaft durcheinanderwürfelst, funktioniert das auf Anhieb !
Punkt 2.:
Die IP Adressen der einzuwählenden User MÜSSEN im IP Bereich des lokalen Netzes am LAN Port 192.168.38.0 liegen !! Auch muss deren Adressrange AUßERHALB der DHCP Range für den LAN Port liegen !! (Siehe Draytek Anleitung !!)
Punkt 3:
Wenn du im Router ein PPTP VPN konfiguriert hast MUSST du den Windows Client auch auf PPTP stellen. (Siehe o.a. PPTP Tutorial in der Client Beschreibung !!)
Fragen:
1.) Wenn der Server im internen Netz 192.168.38.0 liegt funktiioniert das wegen des DNS Hairpin Problems nicht. Ein Client im lokalen LAN kann nicht auf sich selbst referenzieren. Das supporten nur sehr sehr wenige Hersteller. Du musst also den Pingtest IMMER von extern machen.
Wenn du noch einen Laptop hast mit einem Analog Modem wähle dich auf einen der freien Internet Dialin Nummern bei Arcor o.ä. ein und teste das selber von extern oder frage einen Freund ob er diese Ip anpingen kann !
2.) Die Frage ist unlogisch und auch unverständlich ?? Was meinst du mit intern und extern ?? Sowas gibt es nicht. Die exteren DSL IP vom Provider ist nur wichtig für den VPN Client. Er baut dahin (der Router) deinen VPN Tunnel auf. Innerhalb des Tunnel benutzt er aber IP Adressen aus dem lokalen LAN.
In dem Sinne gibt es also kein intern oder extern.
Der VPN Client verhält sich dann über den VPN Tunnel genau so wie ein am lokalen LAN angeschlossener Client.
Genau DAS ist doch der tiefere Sinn eines VPNs oder hast du das noch nicht durchschaut ??
3.) Wieder so eine komische Frage Ja, tut es. Es würde auch mit 2 oder 3 netzwerkkarten im Server funktionieren.
Der Server hat doch rein gar nichts mit dem VPN zu tun !!! Der ist doch ein Gerät im lokalen LAN wie jeder PC dort auch. Es funkltioniert also auch mit den PCs dort mit nur einer Netzwerkkarte !!
Was soll der tiefere Sinn dieser Frage sein ???
Die IP Adressen der einzuwählenden User MÜSSEN im IP Bereich des lokalen Netzes am LAN Port 192.168.38.0 liegen !! Auch muss deren Adressrange AUßERHALB der DHCP Range für den LAN Port liegen !! (Siehe Draytek Anleitung !!)
Punkt 3:
Wenn du im Router ein PPTP VPN konfiguriert hast MUSST du den Windows Client auch auf PPTP stellen. (Siehe o.a. PPTP Tutorial in der Client Beschreibung !!)
Fragen:
1.) Wenn der Server im internen Netz 192.168.38.0 liegt funktiioniert das wegen des DNS Hairpin Problems nicht. Ein Client im lokalen LAN kann nicht auf sich selbst referenzieren. Das supporten nur sehr sehr wenige Hersteller. Du musst also den Pingtest IMMER von extern machen.
Wenn du noch einen Laptop hast mit einem Analog Modem wähle dich auf einen der freien Internet Dialin Nummern bei Arcor o.ä. ein und teste das selber von extern oder frage einen Freund ob er diese Ip anpingen kann !
2.) Die Frage ist unlogisch und auch unverständlich ?? Was meinst du mit intern und extern ?? Sowas gibt es nicht. Die exteren DSL IP vom Provider ist nur wichtig für den VPN Client. Er baut dahin (der Router) deinen VPN Tunnel auf. Innerhalb des Tunnel benutzt er aber IP Adressen aus dem lokalen LAN.
In dem Sinne gibt es also kein intern oder extern.
Der VPN Client verhält sich dann über den VPN Tunnel genau so wie ein am lokalen LAN angeschlossener Client.
Genau DAS ist doch der tiefere Sinn eines VPNs oder hast du das noch nicht durchschaut ??
3.) Wieder so eine komische Frage Ja, tut es. Es würde auch mit 2 oder 3 netzwerkkarten im Server funktionieren.
Der Server hat doch rein gar nichts mit dem VPN zu tun !!! Der ist doch ein Gerät im lokalen LAN wie jeder PC dort auch. Es funkltioniert also auch mit den PCs dort mit nur einer Netzwerkkarte !!
Was soll der tiefere Sinn dieser Frage sein ???
PPPoE Passthrough einzuschalten ist kompletter Unsinn ! Erstens hat das mit dem VPN gar nichts zu tun, zweitens machst du mit dieser Option den SP zu einem dummen Modem. Vergiss das also ganz schnell wieder und lass das ausgeschaltet !
Vorweg nochwas zu deinem Unverständnis der IP Adressproblematik. Die unterschiedlichen IP Netze beziehen sich auf das lokale IP Netz des VPN Clients und das lokale Netz am VPN Router. Diese dürfen niemals gleich sein !! Logisch denn ein VPN Client hätte dann am VPN Client Adapter das gleiche IP netzwerk wie am lokalen Netzwerk Adapter. Damit wäre ein VPN Zugriff nicht mehr möglich !
Also Finger weg von solchen "Banalnetzen" wie 192.168.0.0, 192.168.1.0, 192.168.2.0 usw. denn die hat jeder Dödelrouter auf der Welt als Default und keiner ändert das. Die Gefahr also das ein VPN Client lokal in diesen "Allerwelts" Netzen liegt ist sehr groß !
Sinnvoll ist es also dem VPN Router auf dem LAN etwas "krummes" zu vergeben wie 192.168.38.0 oder 192.168.147.0 oder noch besser Adressen im 172.16-32er Bereich. Ist ja alles bei VPNs einrichten mit PPTP genau beschrieben !!
Die remote IP Adresse oder derbereich auf dem Router ist der IP Adressbereich aus dem lokalen LAN den der VPN Router an den remoten VPN Client vergibt. Das ist damit gemeint !! Der sollte natürlich gleich sein dem lokalen IP Netz am VPN Router.
Wenn du einmal ipconfig in der Eingabeaufforderung eingibst bei aktivem VPN Client kannst du diese IP Adressvergabe auf den Netzwerk Interfaces auch genau sehen !!
Nun zu deiner VPN Verbindung: Dadurch das du einen VPN Tunnel erforlgreich aufbauen kannst und auch alle Endgeräte anpingen kannst kannst du sehen das dein VPN Tunnel sauber funktioniert.
Bei dir Dinge am Router zu verschlimmbessern ist also vollkommen überflüssig und sinnlos, denn das VPN funktioniert ja wie der Ping der remoten Maschinen ungleich aufzeigt !!.
Dein Problem ist einzig und allein ein Firewall Problem oder du hast schlicht und einfach vergessen an diesen Rechnern auf die du zugreifen willst das Default Gateway auf den VPN Router einzustellen.
Denk immer dran das du aus einem Fremdnetz zugreifst und die lokale Firewall diese Pakete blockt.
Du musst also in die erweiterten Eigenschaften der Firewall bei "Ausnahmen" alle Dienste auf die du remote zugreifen willst angrauen und dann auf "Port" klicken und dann auf "Bereich ändern" !!!
Hier trägst du nun ein "alle Computer" oder das remote IP Netz.
Oder...du schaltest die FW komplett aus !
Wenn du per Datei- oder Druckersharng zugreifen willst bedenke das die remoten Rechner nicht in der Netzumgebung auftauchen, da keine Naming Broadcasts übertragen werden.
Wenn du auf einen remoten Rechner mit Freigaben zugreifen willst musst du das mit Start -> Ausführen \\<Ziel_ip_adresse> machen, also immer die IP Adresse des remoten Rechners angeben.
Sinnvoller ist es dann die Namen lokal in die Datei lmhosts einzutragen. Wie das geht kannst du hier nachlesen:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Damit klappt der Zugriff dann auf Anhieb !!
Vorweg nochwas zu deinem Unverständnis der IP Adressproblematik. Die unterschiedlichen IP Netze beziehen sich auf das lokale IP Netz des VPN Clients und das lokale Netz am VPN Router. Diese dürfen niemals gleich sein !! Logisch denn ein VPN Client hätte dann am VPN Client Adapter das gleiche IP netzwerk wie am lokalen Netzwerk Adapter. Damit wäre ein VPN Zugriff nicht mehr möglich !
Also Finger weg von solchen "Banalnetzen" wie 192.168.0.0, 192.168.1.0, 192.168.2.0 usw. denn die hat jeder Dödelrouter auf der Welt als Default und keiner ändert das. Die Gefahr also das ein VPN Client lokal in diesen "Allerwelts" Netzen liegt ist sehr groß !
Sinnvoll ist es also dem VPN Router auf dem LAN etwas "krummes" zu vergeben wie 192.168.38.0 oder 192.168.147.0 oder noch besser Adressen im 172.16-32er Bereich. Ist ja alles bei VPNs einrichten mit PPTP genau beschrieben !!
Die remote IP Adresse oder derbereich auf dem Router ist der IP Adressbereich aus dem lokalen LAN den der VPN Router an den remoten VPN Client vergibt. Das ist damit gemeint !! Der sollte natürlich gleich sein dem lokalen IP Netz am VPN Router.
Wenn du einmal ipconfig in der Eingabeaufforderung eingibst bei aktivem VPN Client kannst du diese IP Adressvergabe auf den Netzwerk Interfaces auch genau sehen !!
Nun zu deiner VPN Verbindung: Dadurch das du einen VPN Tunnel erforlgreich aufbauen kannst und auch alle Endgeräte anpingen kannst kannst du sehen das dein VPN Tunnel sauber funktioniert.
Bei dir Dinge am Router zu verschlimmbessern ist also vollkommen überflüssig und sinnlos, denn das VPN funktioniert ja wie der Ping der remoten Maschinen ungleich aufzeigt !!.
Dein Problem ist einzig und allein ein Firewall Problem oder du hast schlicht und einfach vergessen an diesen Rechnern auf die du zugreifen willst das Default Gateway auf den VPN Router einzustellen.
Denk immer dran das du aus einem Fremdnetz zugreifst und die lokale Firewall diese Pakete blockt.
Du musst also in die erweiterten Eigenschaften der Firewall bei "Ausnahmen" alle Dienste auf die du remote zugreifen willst angrauen und dann auf "Port" klicken und dann auf "Bereich ändern" !!!
Hier trägst du nun ein "alle Computer" oder das remote IP Netz.
Oder...du schaltest die FW komplett aus !
Wenn du per Datei- oder Druckersharng zugreifen willst bedenke das die remoten Rechner nicht in der Netzumgebung auftauchen, da keine Naming Broadcasts übertragen werden.
Wenn du auf einen remoten Rechner mit Freigaben zugreifen willst musst du das mit Start -> Ausführen \\<Ziel_ip_adresse> machen, also immer die IP Adresse des remoten Rechners angeben.
Sinnvoller ist es dann die Namen lokal in die Datei lmhosts einzutragen. Wie das geht kannst du hier nachlesen:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Damit klappt der Zugriff dann auf Anhieb !!