VPN mit Fritzbox7390 mit dahinter liegenden VPN Router Tp-link er6020 fuer ms-basierende mobile endgeräet
Hallo an die Gemeinde,
Ich möchte mein Heimnetzwerk via VPN erreichen. Dazu habe ich einen VPN Router ER6020 von TP-Link hinter meinen Fritzbox Router 7390 gehängt und per WAN verbunden.
Am VPN-Router hängt mein Heimnetzwerk. Im VPN-Router habe ich die Einstellungen für L2TP over IPsec. vorgenommen. In der Fritzbox habe ich die dyndns hinterlegt, und die UDP-Ports 500, 4500 und 1701 sowie ESP-Protokoll an den WAN des TP-Links freigegeben.
Als Tunnel für L2TP LAN to Client. Mode: Server für das Protokoll L2TP.
Ich habe nur Mobile Windows 8.1 Endgeräte wie Handy und Tablett. Leider unterstützt die Fritzbox die Protokolle von MS nicht (nur IPsec Auxh). Daher die Krücke über die VPN-Router. In den Endgräten habe ich eine VPN-Verbindung eingerichtet. Trotzdem bekomme ich immer den Fehler 809 d.h. „aushandeln des Protokolls nicht möglich“
Ich glaube, dass bei dem Versuch eine VPN Verbindung herzustellen die Verbindung an der Fritzbox hängen bleibt und nicht weitergeleitet wird.
Ich bin Neuling auf diesem Gebiet und brauche noch Gedankenanstoesse. Ich habe auch gegoogelt aber trotzdem komme ich nicht weiter. Daher ein paar Fragen, wo ich hoffe, dass diese in die richtige Richtung gehen
Weiß jemand, ob meine 4 Portweiterleitungen sinnvoll waren bzw. ob ich eine bestimmen Port vergessen habe?
Weiß jemand, ob ich in der VPN- Netzwerkverbindung der Endgeräte an irgendeiner Stelle noch einen Hinweis auf die Portweiterleitung geben muss?
In der VPN-Netzwerkverbindung der Endgeräte trage ich die dyndns Adresse ein. Weißt jemand, welchen Port ich ggf. hinter die dyndns Adresse schreiben muss (bsp.: meine.dyndns.org:1701)?
Ich weiß, dass es eine Krux ist ein VPN-Router hinter einen Internet-Router zu hängen. Geht aber leider nicht anders.
Katastrophal ist auch, dass genau diese Konstellation das Protokoll L2TP Probleme mit der NAT-T Verbindung hat und nur durch einen Eintrag in der Regstrie manuell übersetzt werden kann. Was sich MS dabei gedacht hat ist äußerst fragwürdig. Zumal diese Konstellation der Tod für jeden Versuch über ein Handy bedeutet.
Für Hilfe wäre ich sehr dankbar
Vielen Dank im Voraus
Ich möchte mein Heimnetzwerk via VPN erreichen. Dazu habe ich einen VPN Router ER6020 von TP-Link hinter meinen Fritzbox Router 7390 gehängt und per WAN verbunden.
Am VPN-Router hängt mein Heimnetzwerk. Im VPN-Router habe ich die Einstellungen für L2TP over IPsec. vorgenommen. In der Fritzbox habe ich die dyndns hinterlegt, und die UDP-Ports 500, 4500 und 1701 sowie ESP-Protokoll an den WAN des TP-Links freigegeben.
Als Tunnel für L2TP LAN to Client. Mode: Server für das Protokoll L2TP.
Ich habe nur Mobile Windows 8.1 Endgeräte wie Handy und Tablett. Leider unterstützt die Fritzbox die Protokolle von MS nicht (nur IPsec Auxh). Daher die Krücke über die VPN-Router. In den Endgräten habe ich eine VPN-Verbindung eingerichtet. Trotzdem bekomme ich immer den Fehler 809 d.h. „aushandeln des Protokolls nicht möglich“
Ich glaube, dass bei dem Versuch eine VPN Verbindung herzustellen die Verbindung an der Fritzbox hängen bleibt und nicht weitergeleitet wird.
Ich bin Neuling auf diesem Gebiet und brauche noch Gedankenanstoesse. Ich habe auch gegoogelt aber trotzdem komme ich nicht weiter. Daher ein paar Fragen, wo ich hoffe, dass diese in die richtige Richtung gehen
Weiß jemand, ob meine 4 Portweiterleitungen sinnvoll waren bzw. ob ich eine bestimmen Port vergessen habe?
Weiß jemand, ob ich in der VPN- Netzwerkverbindung der Endgeräte an irgendeiner Stelle noch einen Hinweis auf die Portweiterleitung geben muss?
In der VPN-Netzwerkverbindung der Endgeräte trage ich die dyndns Adresse ein. Weißt jemand, welchen Port ich ggf. hinter die dyndns Adresse schreiben muss (bsp.: meine.dyndns.org:1701)?
Ich weiß, dass es eine Krux ist ein VPN-Router hinter einen Internet-Router zu hängen. Geht aber leider nicht anders.
Katastrophal ist auch, dass genau diese Konstellation das Protokoll L2TP Probleme mit der NAT-T Verbindung hat und nur durch einen Eintrag in der Regstrie manuell übersetzt werden kann. Was sich MS dabei gedacht hat ist äußerst fragwürdig. Zumal diese Konstellation der Tod für jeden Versuch über ein Handy bedeutet.
Für Hilfe wäre ich sehr dankbar
Vielen Dank im Voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 262923
Url: https://administrator.de/contentid/262923
Ausgedruckt am: 20.11.2024 um 01:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo vpndepp, Willkommen auf Administrator.de!
Wurden auf der Fritzbox wirklich alle VPN-Profile gelöscht? Dies ist nötig, damit die Fritzbox nicht selber den IPSec Responder spielt !
Genau das selbe Thema wurde hier schon oft behandelt, siehe dazu bitte folgende Threads:
Grüße Uwe
Wurden auf der Fritzbox wirklich alle VPN-Profile gelöscht? Dies ist nötig, damit die Fritzbox nicht selber den IPSec Responder spielt !
Genau das selbe Thema wurde hier schon oft behandelt, siehe dazu bitte folgende Threads:
- TP-Link TL-ER6120 L2TP over IPsec hinter Fritzbox
- Zugriff auf VPN Router (Draytek Vigor 2930) durch Fritzbox (7490)
- VPN Zugriff in Router Kaskade
Weißt jemand, welchen Port ich ggf. hinter die dyndns Adresse schreiben muss (bsp.: meine.dyndns.org:1701)?
Da gehört kein Port dahinter!Grüße Uwe
Zitat von @vpndepp:
Ja es ist kein anderes VPN Profil aktiv. Wie ich in den links gelesen habe, würde die FB auch durch die Portfreigaben die anderen Profile deaktivieren.
Tut sie leider nicht. Alle Profile müssen gelöscht, nicht nur deaktiviert werden, so meine Erfahrung bei diversen Kunden. Ein Wireshark-Trace oder das Packet-Capturing der Fritte zeigt dir direkt wo's bei dir hängt Ja es ist kein anderes VPN Profil aktiv. Wie ich in den links gelesen habe, würde die FB auch durch die Portfreigaben die anderen Profile deaktivieren.
man ein Modem dahinter den Router und dann (wenn überhaupt) ein AVM.
Nein, das ist Quatsch ! Sorry aber ein "Modem" ist in die wichtigsten Router am Markt schon integriert. Einen AVM nimmt man schon deshalb nicht weil der nur eine einzige Art von VPN Protokoll nämlich IPsec native supportet.Für (fast) alle Endgeräte erzwingt das dann immer einen separaten Client.
Es ist also erheblich sinnvoller VPN Router zu verwenden die multiple VPN Protokolle supporten. Diverse Tutorials hier im Forum erklären dir das:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPNs einrichten mit PPTP
usw. usw.
Generell muss man eine Router Kaskade auch nicht verteufeln. Sicher ist sie technisch nicht die allerbeste Lösung, lässt sich aber häufig nicht verhindern wenn man bei der Auswahl der Provider unkundig ist oder kritiklos wie der deutsche Michel im Schnäppchenwahn den billigsten nimmt. Oder...manchmal keinen andere Chance hat weils der einzige am Ort ist.
Gerade bei den gebeutelten Usern die vom Provider einen Zwangsrouter aufgedrückt bekommen und schlimmer noch solch einen Router an dem man nich nicht einmal selber konfigurieren darf.
Das sowas höchst bedenklich ist auch im Hinblick auf die persönliche Datensicherheit steht außer Frage. Aber wie gesagt viele wissen es oft nicht das sie so ausgeliefert sind oder können es auch nicht ändern.
Folglich macht gearde in solchen Szenarien einen Router Kaskade mit einem "anständigen" Router der hinter dem oft billigen Schrott von Zwangsrouter kaskadiert sind schon Sinn.
Wenn man diesen Router dann sinnvollerweise noch als VPN Router auslegt oder beschafft für sich hat man eigentlich ein Lösung die recht offen ist. Mehr oder weniger ja auch was du hast.
Damit kannst du flexibel alles umsetzen was du willst....
Vergiss also den Schrott den die irgendwelche AVM Hotline ins Ohr säuselt. Das ist eh nicht AVM sondern ein externer Call Center der von denen bezahlt wird... Wes' Brot ich ess, des Lied ich sing !
Bleib also bei den nackten technischen Fakten und halte dich daran !
Bleibt dann wirklich die Frage warum du dich mit einer von sich aus VPN fähigen Fritzbox die (fast) alles an Bord hat, dann mit einer Kaskade quälst.
Und auch EWE rückt die Kennung raus wenn man mich Kündigung und Wechsel droht. Dazu sind sie gesetzlich verpflichtet. Müssen sie bei Business Kunden ja so oder so auch machen, denn die lassen sich ja nun nicht gängeln.
Habe so den Verdacht, dass ich bei Exposed Host zum Schlachtefest im Internet aufrufe. Nur das ich dabei das Festmahl bin
Wenn du die IP des TP-Link in der Fritzbox als Exposed Host konfigurierst, steht dieser direkt ohne Schutz der Fritzbox im Internet. Hier ist dann die die Firewall deines TP-Link für den Schutz deines Netzes zuständig - ist quasi nur eine Weitergabe der Schutz-Verantwortlichkeit.Dies ist auch eine Möglichkeit, jedoch muss die Variante mit Portweiterleitung eigentlich auch funktionieren da ich "leider" schon diverse Setups damit einrichten musste die problemlos funktionieren, zumindest wenn es ungebrandete Boxen sind. Ob der Provider da was gefummelt hat kann ich natürlich nicht beurteilen.
Essentiell ist hier eben das alle VPN-Profile der Fritte gelöscht sein müssen, damit sie Ihren IP-Sec Responder deaktiviert und die Pakete auf Port 500 weiterleitet.
Grüße Uwe
Das mit dem exposed Host ist natürlich Schwachsinn und zeugt wie zu erwarten war von deren Hotline Qualitäten....
Mit einem exposed Host öffnest du alle Schleusen der Firewall...macht ja nur einer der sich bewusst nackig machen will im öffentlichen Internet oder ein Volldummie.
Normal muss an der FB lediglich UDP 500, UDP 4500 und das ESP Protokoll forgewardet werden wenn du IPsec native VPN machst. Wenn du L2TP machst kommt zusätzlich noch UDP 1701 dazu.
http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ...
Der Knackpunkt hier ist das die FB selber ein VPN Router ist und also selber AKTIV auf diese Ports lauscht und sie deshalb auch nie forwardet solange du den VPN Dienst auf der FB nicht deaktivierst. Erst dann wird sie auch die VPN Ports an den TP-Link forwarden.
Genau das ist also das problem bei dir.
Du musst also in das Setup der FB und musst dort VPN global deaktivieren.
Du kannst das ja ganz einfach testen wenn du mal einen Wireshark Sniffer nimmst und den mal ins Netz hängst mit der TP-Link IP.
Wenn du jetzt von Remote zugreifst MUSST du auf dem Wireshark Sniffer Traffic bzw. Pakete der oben genannten Ports sehen ! (Siehe auch Sniffer Screenshots des URLs oben !)
Erst wenn dem so ist kannst du dir sicher sein das deine FB auch diesen VPN Traffic forwardet.
Alternative ist du nutzt ein VPN Protokoll was die FB gar nicht kann wie PPTP oder OpenVPN !!
VPNs einrichten mit PPTP
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ein 30 Euro Mikrotik 750er Router realisiert dir das im Handumdrehen.
Was natürlich auch sein kann und leider nicht unüblich ist, ist die Tatsache das dein Provider schlicht und einfach IPsec blockt in privaten DSL Anschlüssen und das nur gegen Aufpreis aktiviert (Business Account)
Sollte das der Fall sein bist du natürlich vollkommen chancenlos was IPsec und L2TP angeht ! Das solltest du sicher mit dem Provider klären !
Dann musst du so oder zwangsweise auf ein SSL basiertes VPN ausweichen wie OpenVPN oder das nicht mehr ganz so sichere PPTP, wobei auch letzteres geblockt sein kann.
Funktionieren wird dann meist nur ein SSL VPN.
Mit einem exposed Host öffnest du alle Schleusen der Firewall...macht ja nur einer der sich bewusst nackig machen will im öffentlichen Internet oder ein Volldummie.
Normal muss an der FB lediglich UDP 500, UDP 4500 und das ESP Protokoll forgewardet werden wenn du IPsec native VPN machst. Wenn du L2TP machst kommt zusätzlich noch UDP 1701 dazu.
http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ...
Der Knackpunkt hier ist das die FB selber ein VPN Router ist und also selber AKTIV auf diese Ports lauscht und sie deshalb auch nie forwardet solange du den VPN Dienst auf der FB nicht deaktivierst. Erst dann wird sie auch die VPN Ports an den TP-Link forwarden.
Genau das ist also das problem bei dir.
Du musst also in das Setup der FB und musst dort VPN global deaktivieren.
Du kannst das ja ganz einfach testen wenn du mal einen Wireshark Sniffer nimmst und den mal ins Netz hängst mit der TP-Link IP.
Wenn du jetzt von Remote zugreifst MUSST du auf dem Wireshark Sniffer Traffic bzw. Pakete der oben genannten Ports sehen ! (Siehe auch Sniffer Screenshots des URLs oben !)
Erst wenn dem so ist kannst du dir sicher sein das deine FB auch diesen VPN Traffic forwardet.
Alternative ist du nutzt ein VPN Protokoll was die FB gar nicht kann wie PPTP oder OpenVPN !!
VPNs einrichten mit PPTP
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ein 30 Euro Mikrotik 750er Router realisiert dir das im Handumdrehen.
Was natürlich auch sein kann und leider nicht unüblich ist, ist die Tatsache das dein Provider schlicht und einfach IPsec blockt in privaten DSL Anschlüssen und das nur gegen Aufpreis aktiviert (Business Account)
Sollte das der Fall sein bist du natürlich vollkommen chancenlos was IPsec und L2TP angeht ! Das solltest du sicher mit dem Provider klären !
Dann musst du so oder zwangsweise auf ein SSL basiertes VPN ausweichen wie OpenVPN oder das nicht mehr ganz so sichere PPTP, wobei auch letzteres geblockt sein kann.
Funktionieren wird dann meist nur ein SSL VPN.
Na ja so kompliziert ist das bei Winblows aber auch nicht wenn man das bordeigene PPTP benutzt oder L2TP.
AVM supportet kein L2TP !! Die können nur rein nativ IPsec und dafür benötigst du dann deren Client oder den allseits bekannten freien Shrew VPN Client. Immer ist aber 3rd Party Client Software erforderlich.
Wenn du L2TP machen willst ist das einfachste du nimmst einen kleinen 30 Euro Mikrotik. Der kann alle gängigen VPN Protokolle und natürlich auch L2TP.
Die Einrichtung ist über das GUI in ein paar Minuten erledigt und dieses Forumstutorial erklärt dir wie:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
AVM supportet kein L2TP !! Die können nur rein nativ IPsec und dafür benötigst du dann deren Client oder den allseits bekannten freien Shrew VPN Client. Immer ist aber 3rd Party Client Software erforderlich.
Wenn du L2TP machen willst ist das einfachste du nimmst einen kleinen 30 Euro Mikrotik. Der kann alle gängigen VPN Protokolle und natürlich auch L2TP.
Die Einrichtung ist über das GUI in ein paar Minuten erledigt und dieses Forumstutorial erklärt dir wie:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software