d-fault
Goto Top

Vpn passthrought

Hallo,
ich möchte einen VPN-Tunnel (IPSec-VPN mit PSK) zwischen zwei Routern über das Internet aufbauen (LAN-LAN). Allerdings ist auf der einen Seite der entsprechende Router (VPN-Partner) wiederum hinter einen Router welcher für die Internet-Verbindung zuständig ist.
Bei jedem der Router ist eine NAT eingerichtet.

Nun sollte das Szenario mit VPN-Passthrought und NAT-Traversal lösbar sein. Allerdings bekomme ich das einfach nicht hin.

Tunnelaufbau bricht schon bei Phase 1 ab und mit den Logs kann ich auch nicht so viel anfangen.

In meinem Szenario werden nur Bintec R1202 verwendet.

\|/ 10.1.3.254 (NAT: 10.1.3.0 255.255.255.0)
Router 3 (an DSL, mit NAT, IPSec-VPN-Partner 1, Standard-Route: WAN)
| 20.20.20.5
|
|
| Internet
|
|
| 20.20.20.2
Router 2 (an DSL, mit NAT, Standard-Route: WAN; Portweiterleitungen an Router 1: UDP 500; UDP 4500; ESP)
/|\ 10.1.2.254 (NAT: 10.1.2.0 255.255.255.0)
|
| LAN
|
| 10.1.2.253
Router 1 (an R2, mit NAT, IPSec-VPN-Partner 2, Standard-Route: Router 2)
/|\ 10.1.1.254 (NAT: 10.1.2.0 255.255.255.0)

Der Bintec R1202 (mit NAT) sitzt zwischen dem Internet und einem weiteren Router (auch wieder mit NAT), welcher einem IPSec-VPN-Tunnel mit einem im Internet befindlichen VPN-Partner herstellen soll. Jedoch kann dieser Tunnel nicht aufgebaut werden.

Die Frage ist welche Einstellungen müssen ab Bintec R1202 gemacht werden, damit der VPN-Tunnel durchgeleitet wird.

Protokolle:

Router 3:
1 2011-11-23 12:40:12 Debug INET NAT: new outgoing session on ifc 10001 prot 17 20.20.20.5:500/20.20.20.5:702 -> 20.20.20.2:500
2 2011-11-23 12:40:12 Debug IPSec P1: peer 1 (VPN-Name) sa 30 (I): identified ip 20.20.20.5 -> ip 20.20.20.2
3 2011-11-23 12:40:12 Debug IPSec P1: peer 1 (VPN-Name) sa 30 (I): notify id 500 -> id 20.20.20.2 (unencrypted): No proposal chosen proto 1 spi(16) = [b296e7e9 ecd3d41b : 0eb0a3d8 1cd4d49e]
4 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 30 (I): failed id fqdn(any:0,[0..5]=r1202b) -> ip 20.20.20.2 (No proposal chosen)
5 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 0 (-): blocked for 15 seconds
6 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 30 (I): delete ip 20.20.20.5 -> ip 20.20.20.2: Blocked

Router 2:
43 2011-11-23 12:43:56 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
44 2011-11-23 12:43:50 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
45 2011-11-23 12:43:49 Debug INET NAT: delete session on ifc 10001 prot 6 10.2.2.12:51377/20.20.20.2:42735 <-> 20.21.22.45:80
46 2011-11-23 12:43:49 Debug INET NAT: delete session on ifc 10001 prot 6 10.2.2.12:51376/20.20.20.2:41039 <-> 20.21.22.78:80
47 2011-11-23 12:43:47 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
48 2011-11-23 12:43:42 Debug INET NAT: new outgoing session on ifc 10001 prot 17 10.1.2.253:904/20.20.20.2:945 -> 20.20.20.5:500
49 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:53/20.20.20.2:865 <-> 169.254.100.100:53
50 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 10.1.2.253:889/20.20.20.2:970 <-> 169.254.100.100:53
51 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:35302/20.20.20.2:37121 <->20.21.22.25:53
52 2011-11-23 12:43:38 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:55557/20.20.20.2:47338 <-> 20.21.22.25:53
53 2011-11-23 12:43:35 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:50208/20.20.20.2:55229 <-> 20.21.22.25:53

Router 1:
1 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 32 (I): failed id fqdn(any:0,[0..5]=r1202a) -> ip 20.20.20.5 (Timeout)
2 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 0 (-): blocked for 30 seconds
3 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 32 (I): delete ip 10.1.2.253 -> ip 20.20.20.5: Blocked
4 2011-11-23 12:43:43 Debug INET NAT: new outgoing session on ifc 1000 prot 17 10.1.2.253:500/10.1.2.253:904 -> 20.20.20.5:500
5 2011-11-23 12:43:43 Debug IPSec P1: peer 1 (VPN-Name) sa 32 (I): identified ip 10.1.2.253 -> ip 20.20.20.5
6 2011-11-23 12:43:40 Debug INET NAT: delete session on ifc 1000 prot 17 10.1.2.253:53/10.1.2.253:889 <-> 169.254.100.100:53


Vielleicht haben Sie noch einen Lösungsansatz.
danke

Content-ID: 176706

Url: https://administrator.de/forum/vpn-passthrought-176706.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

mrtux
mrtux 23.11.2011 um 14:52:15 Uhr
Goto Top
Hi !

Kannst Du mir mal erklären warum Du das so kompliziert machst und welche Vorteile Du in deiner Konstellation siehst? Ich sehe da eigentlich nur Nachteile....Setz den Bintec an die Front und betreibe den Router 2 über PPPoe Pass-through als reines DSL Modem, vor allem wenn es sich um einen popelige Homerouter vom Provider handelt (z.B. Speedport o.ä.). Und wenn Du ein zweites Netzwerksegment benötigst, dann kannst Du das über den Switch im Bintec genauso lösen.

mrtux
Fluxkompensator
Fluxkompensator 24.11.2011 um 17:16:59 Uhr
Goto Top
Router 3 Zeile 4:

4 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (PROCOS) sa 30 (I): failed id fqdn(any:0,[0..5]=r1202b) -> ip 20.20.20.2 (No proposal chosen)

Scheint so als würde bei Phase 1 die Sicherheitsaushandlung scheitern, überprüf das mal..
aqui
aqui 30.11.2011, aktualisiert am 18.10.2012 um 18:49:15 Uhr
Goto Top
Und das ist sonnenklar warum die Phase 1 schon scheitert, denn der davorliegende NAT Router blockiert IPsec !!

Dort muss logischerweise zwingend ein Port Forwarding eingerichtet sein auf den VPN Zielrouter bzw. dessen IP der dahinter liegt mit folgenden Ports die IPsec nutzt:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, kein TCP/UDP ! ESP ist ein eigenes IP Protokoll !)
Wenn du das gemacht hast wird auch die VPN Verbindung problemlos laufen !!
Details dazu siehe auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router (hier bezogen auf OVPN Ports !)
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen