yoyoba
Goto Top

VPN mit Draytek

Guten Tag alle zusammen,

ich habe hier einen Draytek 2700VG, er ist auch soweit eingerichtet, Internet funktioniert! Nun habe ich das VPN aktiviert und mir Testweise einen Account angelegt. Versuche ich nun von außerhalb über den Testaccount mit anzumelden tritt der Fehler 800 auf: Die Remoteverbindung wurde aufgrund von VPN-Tunnelfehlern nicht hergestellt. Der VPN-Server ist möglicherweise nicht erreichbar. Wenn für die Verbindung ein L2TP/IPsec-Tunnel verwendet wird, werden die für die IPsec-Aushandlung erforderlichen Sicherheitsparameter möglicherweise nicht ordnungsgemäß konfiguriert. Ich eigentlich schon alles ausprobiert, jemand ne Idee was ich noch änder könnte?

MfG

Content-ID: 148039

Url: https://administrator.de/forum/vpn-mit-draytek-148039.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

brammer
brammer 31.07.2010 um 12:24:24 Uhr
Goto Top
Hallo,

Von wo versuchst du wie reinzukommen?
Was fuer einen Tunnel hast konfiguriert?
Welchen VPN Client nutzt du?

Brammer
Yoyoba
Yoyoba 31.07.2010 um 12:50:34 Uhr
Goto Top
Ich nutze den Client über Windows, welchen Tunnel? Einen PPTP, von wo ich versuche reinzukommen? Ich habe gerade wohl bei google die antwort gefunden, ich bin im selben Netzwerk, aus dem Grund scheint es nicht zu gehen.

MfG
aqui
aqui 31.07.2010, aktualisiert am 18.10.2012 um 18:43:00 Uhr
Goto Top
Oben schreibst du aber das du L2TP machst face-sad ...oder auch IPsec. Du würfelst hier also alles wie wild durcheinander !! Weisst du also wirklich was du da machst ?? Oder klickst du nur hilflos alles an...?
Versuche bitte erstmal einen normalen PPTP VPN Zugang einzurichten, das ist für blutige Laien, wie du vermutlich bist, erstmal am einfachsten, denn da reichen ein paar Mausklicks.
Du richtest also erstmal ein PPTP VPN ein auf dem Draytek. Wie das geht steht ganz genau hier:
http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-PPTP.htm
Bedenke bitte unbedingt das hier und passe ggf. deine IP Netze an !!:
VPNs einrichten mit PPTP

Ist das erledigt gehts an den Client. Hier kannst du für PPTP den Windows bordeigenen Client nehmen. Halte dich bei der Einrichtung Schritt für Schritt an dies Tutorial:
VPNs einrichten mit PPTP

So, wenn das erledigt ist kannst du einen ersten Test wagen:
Gehe auf http://www.wieistmeineip.de oder installier dir das IP2_Tool oder sieh im Router Setup nach um die aktuelle IP Adresse auf dem Router DSL Interface zu ermitteln.
Diese IP Adresse ist die Ziel IP Adresse für deinen VPN Client auf die du von remote verbinden musst.
Bedenke das es von remote getestet werden MUSS. Ein Zugang vom internen LAN ist NICHT möglich wegen des DNS Hairpin Problems und durch die IP Adressgleichheit !! Nimm also einen Kollegen, Freund oder das iPhone usw. über externe Netze !
Trage die Router DSL IP im Client ein und verwende den von dir im Router konfigurierten Benutzernamen und das dazu korrespondierende Passwort für den VPN Account zum Login.
Hast du alles obige richtig gemacht bekommst du dann auf Anhieb eine funktionierende VPN Verbindung im Draytek.
Ist dem so macht es dann Sinn deinen DynDNS Account auf dem Router einzurichten. Damit kannst du den DynDNS Hostnamen im VPN Client statt der aktuellen IP Adresse angeben !

Falls es dennoch kneifen sollte nutzt du ganz einfach den Syslog Server im Draytek um den Fehler zu analysieren.
Du installierst auf einem PC im lokalen LAN einen Syslog Dienst wie z.B. das kostenfreie
http://www.kiwisyslog.com/kiwi-syslog-server-overview/
oder besser den Mikrotik Syslog
http://www.mikrotik.com/download/MT_Syslog.exe
und dessen Anleitung: http://www.mikrotik.com/documentation/SyslogManual.html
Auf dem Draytek aktivierst du dann den Syslog Dienst mit einem Haken und konfigurierst die IP Adresse dieses o.a. Syslog Dienste PCs...fertig.
Nun gehen alle Systemmeldungen des Draytek Routers an diesen Syslog Rechner und du kannst bequem sehen wo dein Problem ist um das zu troubleshooten.
Wie bereits gesagt. Wenn du dich sauber an die o.a. Anleitungen hälst und nicht wild diverse VPN Protokolle laienhaft durcheinanderwürfelst, funktioniert das auf Anhieb !
Yoyoba
Yoyoba 31.07.2010 um 13:56:47 Uhr
Goto Top
Gut Problem behoben, ich kann drauf zugreifen, lag ganz einfach daran, dass ich über die Internetverbindung des Router auch gleichzeitig eine VPN-Verbindung dahin machen wollte, aber im gleichen Netzwerk gehts halt nicht, habe nun noch 2 Fragen:

1) Wenn ich nun 2 IP-Adressen habe, für Internes und Externes Netzwerk, wie kann ich dann die einen Daten nur Intern Freigeben, die anderen nur Extern und ein paar Dateien für Beide Parteien?
2) Das ganze funktioniert mit nur einer Netzwerkkarte im Server oder?

Danke im Voraus!
MfG
aqui
aqui 31.07.2010 um 14:15:41 Uhr
Goto Top
Punkt 2.:
Die IP Adressen der einzuwählenden User MÜSSEN im IP Bereich des lokalen Netzes am LAN Port 192.168.38.0 liegen !! Auch muss deren Adressrange AUßERHALB der DHCP Range für den LAN Port liegen !! (Siehe Draytek Anleitung !!)
Punkt 3:
Wenn du im Router ein PPTP VPN konfiguriert hast MUSST du den Windows Client auch auf PPTP stellen. (Siehe o.a. PPTP Tutorial in der Client Beschreibung !!)

Fragen:
1.) Wenn der Server im internen Netz 192.168.38.0 liegt funktiioniert das wegen des DNS Hairpin Problems nicht. Ein Client im lokalen LAN kann nicht auf sich selbst referenzieren. Das supporten nur sehr sehr wenige Hersteller. Du musst also den Pingtest IMMER von extern machen.
Wenn du noch einen Laptop hast mit einem Analog Modem wähle dich auf einen der freien Internet Dialin Nummern bei Arcor o.ä. ein und teste das selber von extern oder frage einen Freund ob er diese Ip anpingen kann !

2.) Die Frage ist unlogisch und auch unverständlich ?? Was meinst du mit intern und extern ?? Sowas gibt es nicht. Die exteren DSL IP vom Provider ist nur wichtig für den VPN Client. Er baut dahin (der Router) deinen VPN Tunnel auf. Innerhalb des Tunnel benutzt er aber IP Adressen aus dem lokalen LAN.
In dem Sinne gibt es also kein intern oder extern.
Der VPN Client verhält sich dann über den VPN Tunnel genau so wie ein am lokalen LAN angeschlossener Client.
Genau DAS ist doch der tiefere Sinn eines VPNs oder hast du das noch nicht durchschaut ??

3.) Wieder so eine komische Frage face-sad Ja, tut es. Es würde auch mit 2 oder 3 netzwerkkarten im Server funktionieren.
Der Server hat doch rein gar nichts mit dem VPN zu tun !!! Der ist doch ein Gerät im lokalen LAN wie jeder PC dort auch. Es funkltioniert also auch mit den PCs dort mit nur einer Netzwerkkarte !!
Was soll der tiefere Sinn dieser Frage sein ???
Yoyoba
Yoyoba 31.07.2010, aktualisiert am 18.10.2012 um 18:43:00 Uhr
Goto Top
Also: Du hast mir den Link geschickt "VPNs einrichten mit PPTP" Das Lokales und Remotes Netzwerk nie eins sein dürfen, also sehe ich es doch nicht falsch, dass das Lokale Netzwerk der Firma als Bsp. 192.168.0.X haben und die einwählenden Clienten die IP 192.168.1.X .
Durchschaut habe ich das ganze eigentlich schon, nur verstehe ich es nicht, was es dann mit den 2 IP-Adressen aufsich hat, ich habe mir das ganze durchgelesen, deswegen habe ich die Lokale IP z.B. auf 192.168.0.X und die andere auf 192.168.1.X aber dann sagst du mir wieder das sei falsch?! face-sad *verzweifel*

Letzter Punkt von dir ist praktisch mit dem ersten inbegriffen, es ging einfach um die 2 IP-Adressen bzw um das LAN was hier in der Firma ist und um das LAN was über VPN hier mit eingebracht wird.

Falls ich das falsch sehe, kann man mir ja evtl erklären was es mit dem Remote-Netzwerk auf sich hat.
Yoyoba
Yoyoba 31.07.2010 um 16:32:50 Uhr
Goto Top
Mittlerweile ergibt sich das nächste Problem *grauel* Ich sitze Zuhause, habe die Internetverbindung via PPTP mit dem Windowsclienten erstellt, super! Anpingen der anderen PC's im Lan funktioniert! Zugreifen auf den VPN-Router auch möglich. Doch Zugreifen auf die anderen Rechner vergebens... Firewalls sind soweit eingerichtet bzw auch Testweise deaktiviert. Zuhause sitze ich hinter einem Speedport W501V, dort habe ich PPPoE-Pass-Through eingeschaltet, den Port 1723 habe ich an beiden Routern freigegeben... Aber es Funktioniert einfach nicht, es ist langsam zum Haare ausreißen face-sad

MfG
aqui
aqui 01.08.2010, aktualisiert am 18.10.2012 um 18:43:01 Uhr
Goto Top
PPPoE Passthrough einzuschalten ist kompletter Unsinn ! Erstens hat das mit dem VPN gar nichts zu tun, zweitens machst du mit dieser Option den SP zu einem dummen Modem. Vergiss das also ganz schnell wieder und lass das ausgeschaltet !

Vorweg nochwas zu deinem Unverständnis der IP Adressproblematik. Die unterschiedlichen IP Netze beziehen sich auf das lokale IP Netz des VPN Clients und das lokale Netz am VPN Router. Diese dürfen niemals gleich sein !! Logisch denn ein VPN Client hätte dann am VPN Client Adapter das gleiche IP netzwerk wie am lokalen Netzwerk Adapter. Damit wäre ein VPN Zugriff nicht mehr möglich !
Also Finger weg von solchen "Banalnetzen" wie 192.168.0.0, 192.168.1.0, 192.168.2.0 usw. denn die hat jeder Dödelrouter auf der Welt als Default und keiner ändert das. Die Gefahr also das ein VPN Client lokal in diesen "Allerwelts" Netzen liegt ist sehr groß !
Sinnvoll ist es also dem VPN Router auf dem LAN etwas "krummes" zu vergeben wie 192.168.38.0 oder 192.168.147.0 oder noch besser Adressen im 172.16-32er Bereich. Ist ja alles bei VPNs einrichten mit PPTP genau beschrieben !!
Die remote IP Adresse oder derbereich auf dem Router ist der IP Adressbereich aus dem lokalen LAN den der VPN Router an den remoten VPN Client vergibt. Das ist damit gemeint !! Der sollte natürlich gleich sein dem lokalen IP Netz am VPN Router.
Wenn du einmal ipconfig in der Eingabeaufforderung eingibst bei aktivem VPN Client kannst du diese IP Adressvergabe auf den Netzwerk Interfaces auch genau sehen !!

Nun zu deiner VPN Verbindung: Dadurch das du einen VPN Tunnel erforlgreich aufbauen kannst und auch alle Endgeräte anpingen kannst kannst du sehen das dein VPN Tunnel sauber funktioniert.
Bei dir Dinge am Router zu verschlimmbessern ist also vollkommen überflüssig und sinnlos, denn das VPN funktioniert ja wie der Ping der remoten Maschinen ungleich aufzeigt !!.
Dein Problem ist einzig und allein ein Firewall Problem oder du hast schlicht und einfach vergessen an diesen Rechnern auf die du zugreifen willst das Default Gateway auf den VPN Router einzustellen.
Denk immer dran das du aus einem Fremdnetz zugreifst und die lokale Firewall diese Pakete blockt.
Du musst also in die erweiterten Eigenschaften der Firewall bei "Ausnahmen" alle Dienste auf die du remote zugreifen willst angrauen und dann auf "Port" klicken und dann auf "Bereich ändern" !!!
Hier trägst du nun ein "alle Computer" oder das remote IP Netz.
Oder...du schaltest die FW komplett aus !
Wenn du per Datei- oder Druckersharng zugreifen willst bedenke das die remoten Rechner nicht in der Netzumgebung auftauchen, da keine Naming Broadcasts übertragen werden.
Wenn du auf einen remoten Rechner mit Freigaben zugreifen willst musst du das mit Start -> Ausführen \\<Ziel_ip_adresse> machen, also immer die IP Adresse des remoten Rechners angeben.
Sinnvoller ist es dann die Namen lokal in die Datei lmhosts einzutragen. Wie das geht kannst du hier nachlesen:
XP-Home mit 2 Kabelgebundenen und WLAN PCs

Damit klappt der Zugriff dann auf Anhieb !!