vpndepp
Goto Top

VPN mit Fritzbox7390 mit dahinter liegenden VPN Router Tp-link er6020 fuer ms-basierende mobile endgeräet

Hallo an die Gemeinde,

Ich möchte mein Heimnetzwerk via VPN erreichen. Dazu habe ich einen VPN Router ER6020 von TP-Link hinter meinen Fritzbox Router 7390 gehängt und per WAN verbunden.

Am VPN-Router hängt mein Heimnetzwerk. Im VPN-Router habe ich die Einstellungen für L2TP over IPsec. vorgenommen. In der Fritzbox habe ich die dyndns hinterlegt, und die UDP-Ports 500, 4500 und 1701 sowie ESP-Protokoll an den WAN des TP-Links freigegeben.
Als Tunnel für L2TP LAN to Client. Mode: Server für das Protokoll L2TP.
Ich habe nur Mobile Windows 8.1 Endgeräte wie Handy und Tablett. Leider unterstützt die Fritzbox die Protokolle von MS nicht (nur IPsec Auxh). Daher die Krücke über die VPN-Router. In den Endgräten habe ich eine VPN-Verbindung eingerichtet. Trotzdem bekomme ich immer den Fehler 809 d.h. „aushandeln des Protokolls nicht möglich“
Ich glaube, dass bei dem Versuch eine VPN Verbindung herzustellen die Verbindung an der Fritzbox hängen bleibt und nicht weitergeleitet wird.

Ich bin Neuling auf diesem Gebiet und brauche noch Gedankenanstoesse. Ich habe auch gegoogelt aber trotzdem komme ich nicht weiter. Daher ein paar Fragen, wo ich hoffe, dass diese in die richtige Richtung gehen

Weiß jemand, ob meine 4 Portweiterleitungen sinnvoll waren bzw. ob ich eine bestimmen Port vergessen habe?

Weiß jemand, ob ich in der VPN- Netzwerkverbindung der Endgeräte an irgendeiner Stelle noch einen Hinweis auf die Portweiterleitung geben muss?

In der VPN-Netzwerkverbindung der Endgeräte trage ich die dyndns Adresse ein. Weißt jemand, welchen Port ich ggf. hinter die dyndns Adresse schreiben muss (bsp.: meine.dyndns.org:1701)?


Ich weiß, dass es eine Krux ist ein VPN-Router hinter einen Internet-Router zu hängen. Geht aber leider nicht anders.

Katastrophal ist auch, dass genau diese Konstellation das Protokoll L2TP Probleme mit der NAT-T Verbindung hat und nur durch einen Eintrag in der Regstrie manuell übersetzt werden kann. Was sich MS dabei gedacht hat ist äußerst fragwürdig. Zumal diese Konstellation der Tod für jeden Versuch über ein Handy bedeutet.
Für Hilfe wäre ich sehr dankbar
Vielen Dank im Voraus

Content-ID: 262923

Url: https://administrator.de/contentid/262923

Ausgedruckt am: 20.11.2024 um 01:11 Uhr

colinardo
colinardo 10.02.2015 aktualisiert um 13:03:32 Uhr
Goto Top
Hallo vpndepp, Willkommen auf Administrator.de!
Wurden auf der Fritzbox wirklich alle VPN-Profile gelöscht? Dies ist nötig, damit die Fritzbox nicht selber den IPSec Responder spielt !
Genau das selbe Thema wurde hier schon oft behandelt, siehe dazu bitte folgende Threads:

Weißt jemand, welchen Port ich ggf. hinter die dyndns Adresse schreiben muss (bsp.: meine.dyndns.org:1701)?
Da gehört kein Port dahinter!

Grüße Uwe
vpndepp
vpndepp 10.02.2015 um 13:06:02 Uhr
Goto Top
Hallo und vielen Dank,
Ja es ist kein anderes VPN Profil aktiv. Wie ich in den links gelesen habe, würde die FB auch durch die Portfreigaben die anderen Profile deaktivieren. Wenn ich es richtig verstanden habe. Ich werde morgen von mal die weiteren Einzellheiten der Einstellungen als Bild posten. Ggf. hängt der Teufel im Detail.
Gruss
Stefan
colinardo
colinardo 10.02.2015 aktualisiert um 13:13:25 Uhr
Goto Top
Zitat von @vpndepp:
Ja es ist kein anderes VPN Profil aktiv. Wie ich in den links gelesen habe, würde die FB auch durch die Portfreigaben die anderen Profile deaktivieren.
Tut sie leider nicht. Alle Profile müssen gelöscht, nicht nur deaktiviert werden, so meine Erfahrung bei diversen Kunden. Ein Wireshark-Trace oder das Packet-Capturing der Fritte zeigt dir direkt wo's bei dir hängt face-wink
aqui
aqui 10.02.2015, aktualisiert am 11.02.2015 um 09:51:55 Uhr
Goto Top
Im Port Forwarding fehlt zudem das ESP Protokoll ! Das ist das IP Protokoll NUmmer 50 (Achtung: Nicht TCP oder UDP Port 50 !)
Ohne das geht so oder os gar nix !
Ansonsren gilt das was der Kollege colinardo schon geschrieben hat !
colinardo
Lösung colinardo 10.02.2015, aktualisiert am 11.02.2015 um 09:41:58 Uhr
Goto Top
Zitat von @aqui:

Im Port Forwarding fehlt zudem das ESP Protokoll !
Hi @aqui, hier muss ich den TO jetzt aber doch verteidigen face-smile

Zitat:
In der Fritzbox habe ich die dyndns hinterlegt, und die UDP-Ports 500, 4500 und 1701 sowie ESP-Protokoll an den WAN des TP-Links freigegeben.

Grüße Uwe
aqui
aqui 11.02.2015 um 09:51:17 Uhr
Goto Top
Oh shit....sorry, Tomaten auf den Augen face-wink
vpndepp
vpndepp 11.02.2015 um 09:58:43 Uhr
Goto Top
Hallo,
Ich werde erst heute Abend dazu kommen Wireshark zu installieren. Dazu eine Laienfrage. Reicht es aus, dass ich dieses Programm auf einen Rechner im Netzwerk installiere den ich per Vpn von aussen erreichen will?

Grundsätzlich weiss ich, dass eine VPN Verbindung mit einem Internetrouter und dahinterliegenden VPN Router quatsch ist. Normalerweise nimmt man ein Modem dahinter den Router und dann (wenn überhaupt) ein AVM.
Diesen ganzen Blödsinn mache ich nur, weil ich Kunde der Ewe bin und diese nur mit 4 Routern von AVM zusammenarbeitet. Die Anschlusskennung rückt EWE nich heraus. Ansonsten hätte ich AVM schon längst in die Tonne gedrückt. AVM wiederum weigert sich mit den VPN Typen von MS zusammen zu Arbeiten bzw. Für MS VPN Typen zu entwickeln. Ich bleibe gespannt, ob es überhaupt möglich sein wird, ein solches VPN Netzwek in dieser Konstellation einzurichten. Ich habe da so langsam meine Zweifel. AVM sagt, nimm Appel oder Android, ansonsten lass es.das ist der Hammer.
Gruss
Stefan
aqui
aqui 11.02.2015 aktualisiert um 10:37:07 Uhr
Goto Top
man ein Modem dahinter den Router und dann (wenn überhaupt) ein AVM.
Nein, das ist Quatsch ! Sorry aber ein "Modem" ist in die wichtigsten Router am Markt schon integriert. Einen AVM nimmt man schon deshalb nicht weil der nur eine einzige Art von VPN Protokoll nämlich IPsec native supportet.
Für (fast) alle Endgeräte erzwingt das dann immer einen separaten Client.
Es ist also erheblich sinnvoller VPN Router zu verwenden die multiple VPN Protokolle supporten. Diverse Tutorials hier im Forum erklären dir das:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPNs einrichten mit PPTP
usw. usw.

Generell muss man eine Router Kaskade auch nicht verteufeln. Sicher ist sie technisch nicht die allerbeste Lösung, lässt sich aber häufig nicht verhindern wenn man bei der Auswahl der Provider unkundig ist oder kritiklos wie der deutsche Michel im Schnäppchenwahn den billigsten nimmt. Oder...manchmal keinen andere Chance hat weils der einzige am Ort ist.
Gerade bei den gebeutelten Usern die vom Provider einen Zwangsrouter aufgedrückt bekommen und schlimmer noch solch einen Router an dem man nich nicht einmal selber konfigurieren darf.
Das sowas höchst bedenklich ist auch im Hinblick auf die persönliche Datensicherheit steht außer Frage. Aber wie gesagt viele wissen es oft nicht das sie so ausgeliefert sind oder können es auch nicht ändern.
Folglich macht gearde in solchen Szenarien einen Router Kaskade mit einem "anständigen" Router der hinter dem oft billigen Schrott von Zwangsrouter kaskadiert sind schon Sinn.
Wenn man diesen Router dann sinnvollerweise noch als VPN Router auslegt oder beschafft für sich hat man eigentlich ein Lösung die recht offen ist. Mehr oder weniger ja auch was du hast.
Damit kannst du flexibel alles umsetzen was du willst....
Vergiss also den Schrott den die irgendwelche AVM Hotline ins Ohr säuselt. Das ist eh nicht AVM sondern ein externer Call Center der von denen bezahlt wird... Wes' Brot ich ess, des Lied ich sing !
Bleib also bei den nackten technischen Fakten und halte dich daran !
Bleibt dann wirklich die Frage warum du dich mit einer von sich aus VPN fähigen Fritzbox die (fast) alles an Bord hat, dann mit einer Kaskade quälst.
Und auch EWE rückt die Kennung raus wenn man mich Kündigung und Wechsel droht. Dazu sind sie gesetzlich verpflichtet. Müssen sie bei Business Kunden ja so oder so auch machen, denn die lassen sich ja nun nicht gängeln.
vpndepp
vpndepp 11.02.2015 um 18:31:55 Uhr
Goto Top
Erst einmal vielen Dank.
Ich stimme dir zu. Als Endverbrecher bin ich leider auf die örtlichen Provider angewiesen. Die da bei mir sind: Telekom und EWE. Bei Telekom 3000 Leitung und EWE 16.000 Leitung.
Warum ich mich quäle? Weil ich ausschließlich MS-Endgeräte habe. Eine Frage des Prinzips und Kosten.
Über das Thema Kennung rausrücken. Da streiten sich auch die Geister. Der Verbraucherschutz hat dieses bezüglich auch schon sein Eisen im Feuer. Ein Ergebnis ist aber immer noch offen. Und leider noch mal Ja: Ich war unkundig aber nicht kritiklos. Ich habe einfach nicht an diese Hürde gedacht oder konnte sie mir vorstellen.
Daher der Kopfstand mit der Kaskade.

Nunmehr habe ich eine Antwort von TP-Link erhalten zu meinen Problem. Wie immer verstehe ich nichts und schon gar nicht von DMZ und muss erst einmal wieder durch die Forums düsen. Hört sich aber sehr ungesund an, was ich da machen soll. Habe so den Verdacht, dass ich bei Exposed Host zum Schlachtefest im Internet aufrufe. Nur das ich dabei das Festmahl bin face-smile


Sehr geehrter Herr .....,

Kurzfassung:

In Ihrem Szenario müssen Sie die Fritzbox 7390 als Exposed Host konfigurieren(Stichwort DMZ für alle Internetnutzer) und auf den 6020 richten. Vom Tl-ER6020 aus muss nur ein Portforwarding für den Port der Nas eingeben werden. Danach lässt es sich mit Standards(Schema ist
"IP:Port") öffnen auch via DynDNS. Der Port muss aber beim DDNS dazu!

Bei weiteren Fragen helfen wir Ihnen gern.

Mit freundlichen Grüßen
Technical Support Engineer
colinardo
colinardo 11.02.2015 aktualisiert um 18:49:07 Uhr
Goto Top
Habe so den Verdacht, dass ich bei Exposed Host zum Schlachtefest im Internet aufrufe. Nur das ich dabei das Festmahl bin
Wenn du die IP des TP-Link in der Fritzbox als Exposed Host konfigurierst, steht dieser direkt ohne Schutz der Fritzbox im Internet. Hier ist dann die die Firewall deines TP-Link für den Schutz deines Netzes zuständig - ist quasi nur eine Weitergabe der Schutz-Verantwortlichkeit.
Dies ist auch eine Möglichkeit, jedoch muss die Variante mit Portweiterleitung eigentlich auch funktionieren da ich "leider" schon diverse Setups damit einrichten musste die problemlos funktionieren, zumindest wenn es ungebrandete Boxen sind. Ob der Provider da was gefummelt hat kann ich natürlich nicht beurteilen.

Essentiell ist hier eben das alle VPN-Profile der Fritte gelöscht sein müssen, damit sie Ihren IP-Sec Responder deaktiviert und die Pakete auf Port 500 weiterleitet.

Grüße Uwe
vpndepp
vpndepp 11.02.2015 um 19:16:44 Uhr
Goto Top
Hallo Uwe,
vielen Dank.
Mir fällt es schwer zu beurteilen, ob ich alles richtig mache wie im Artikel von Heise beschrieben.
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html

Meine Verdrahtung: FB/LAN an TP-Link WAN Freigabe Exposed Host. Dann DMZ-Anschluss TP-LINK an HP-Switch. Am Switch hängen meine PC´s und die NAS.

VPN-Profile sind wirklich alle gelöscht. Zu finden unter: Internet-Freigaben-VPN. Alles weg.

Gruß
Stefan
aqui
Lösung aqui 11.02.2015, aktualisiert am 13.02.2015 um 20:40:40 Uhr
Goto Top
Das mit dem exposed Host ist natürlich Schwachsinn und zeugt wie zu erwarten war von deren Hotline Qualitäten.... face-sad
Mit einem exposed Host öffnest du alle Schleusen der Firewall...macht ja nur einer der sich bewusst nackig machen will im öffentlichen Internet oder ein Volldummie.
Normal muss an der FB lediglich UDP 500, UDP 4500 und das ESP Protokoll forgewardet werden wenn du IPsec native VPN machst. Wenn du L2TP machst kommt zusätzlich noch UDP 1701 dazu.
http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ...

Der Knackpunkt hier ist das die FB selber ein VPN Router ist und also selber AKTIV auf diese Ports lauscht und sie deshalb auch nie forwardet solange du den VPN Dienst auf der FB nicht deaktivierst. Erst dann wird sie auch die VPN Ports an den TP-Link forwarden.
Genau das ist also das problem bei dir.
Du musst also in das Setup der FB und musst dort VPN global deaktivieren.
Du kannst das ja ganz einfach testen wenn du mal einen Wireshark Sniffer nimmst und den mal ins Netz hängst mit der TP-Link IP.
Wenn du jetzt von Remote zugreifst MUSST du auf dem Wireshark Sniffer Traffic bzw. Pakete der oben genannten Ports sehen ! (Siehe auch Sniffer Screenshots des URLs oben !)
Erst wenn dem so ist kannst du dir sicher sein das deine FB auch diesen VPN Traffic forwardet.
Alternative ist du nutzt ein VPN Protokoll was die FB gar nicht kann wie PPTP oder OpenVPN !!
VPNs einrichten mit PPTP
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ein 30 Euro Mikrotik 750er Router realisiert dir das im Handumdrehen.

Was natürlich auch sein kann und leider nicht unüblich ist, ist die Tatsache das dein Provider schlicht und einfach IPsec blockt in privaten DSL Anschlüssen und das nur gegen Aufpreis aktiviert (Business Account)
Sollte das der Fall sein bist du natürlich vollkommen chancenlos was IPsec und L2TP angeht ! Das solltest du sicher mit dem Provider klären !
Dann musst du so oder zwangsweise auf ein SSL basiertes VPN ausweichen wie OpenVPN oder das nicht mehr ganz so sichere PPTP, wobei auch letzteres geblockt sein kann.
Funktionieren wird dann meist nur ein SSL VPN.
vpndepp
vpndepp 13.02.2015 um 20:58:46 Uhr
Goto Top
Hallo,
vielen Dank noch mal an Alle.
Ich habe eine Lösung gefunden. Nicht die beste aber immerhin. Ich habe es geschafft per PPTP eine Verbindung aufzubauen (Win. RT).
Soll mir erst einmal reichen.
Viel habe ich hier und durch stundenlanges Surfen gelernt. Insbesondere die vielen Beiträge von aqui war sehr aufschlussreich. Was für mich grundsätzlich falsch läuft, ist die Tatsache, dass Firmen bzw. Provider wie EWE private Haushalte Ihre Hardwaretopologie aufzwingen und Chance auszuweichen. Die Alternative heißt dann immer Router-Kaskade. Hätte nicht sein müssen! Android und Appel User können sich freuen. Für diese hat AVM ein Herz. Für die restliche einfache Anwendergemeinde im privaten Heimnetzwerk mit MS-Endgeräten ohne Erfahrung wird VPN ein Buch mit 7 Siegel bleiben. Schade, da ich VPN als Alternative z.B. für Clouds aller Google und Co. für sehr sinnvoll erachte. Mal von den ganzen anderen Vorteilen wie Telefonieren über dem Heimrouter, nicht benötige Auslandsroming etc, abgesehen.

Ich werde aber noch nicht aufgeben.
1.) Ich habe mich bei EWE beschwert. Es kann nicht sein, dass man von seinen Kunden verlangt AVM zu akzeptieren obwohl es schwerwiegende Gründe dagegen sprechen.
2.) Ich werde weiter versuchen ein L2TP mit IPsec. Tunnel einzurichten. Zumal ich es auch für mein Handy will. Leider scheint es aber daran zu scheitern, dass AVM-Router der Betriebsmodus AH nicht abgewöhnen zu können.

Naja,
schaue wir mal. Man darf gespannt bleiben.
Gruß
Stefan
aqui
aqui 13.02.2015 um 22:35:22 Uhr
Goto Top
Na ja so kompliziert ist das bei Winblows aber auch nicht wenn man das bordeigene PPTP benutzt oder L2TP.
AVM supportet kein L2TP !! Die können nur rein nativ IPsec und dafür benötigst du dann deren Client oder den allseits bekannten freien Shrew VPN Client. Immer ist aber 3rd Party Client Software erforderlich.

Wenn du L2TP machen willst ist das einfachste du nimmst einen kleinen 30 Euro Mikrotik. Der kann alle gängigen VPN Protokolle und natürlich auch L2TP.
Die Einrichtung ist über das GUI in ein paar Minuten erledigt und dieses Forumstutorial erklärt dir wie:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software