Vpn passthrought

Mitglied: d-fault

d-fault (Level 1) - Jetzt verbinden

23.11.2011, aktualisiert 18.10.2012, 5789 Aufrufe, 3 Kommentare

Hallo,
ich möchte einen VPN-Tunnel (IPSec-VPN mit PSK) zwischen zwei Routern über das Internet aufbauen (LAN-LAN). Allerdings ist auf der einen Seite der entsprechende Router (VPN-Partner) wiederum hinter einen Router welcher für die Internet-Verbindung zuständig ist.
Bei jedem der Router ist eine NAT eingerichtet.

Nun sollte das Szenario mit VPN-Passthrought und NAT-Traversal lösbar sein. Allerdings bekomme ich das einfach nicht hin.

Tunnelaufbau bricht schon bei Phase 1 ab und mit den Logs kann ich auch nicht so viel anfangen.

In meinem Szenario werden nur Bintec R1202 verwendet.

\|/ 10.1.3.254 (NAT: 10.1.3.0 255.255.255.0)
Router 3 (an DSL, mit NAT, IPSec-VPN-Partner 1, Standard-Route: WAN)
| 20.20.20.5
|
|
| Internet
|
|
| 20.20.20.2
Router 2 (an DSL, mit NAT, Standard-Route: WAN; Portweiterleitungen an Router 1: UDP 500; UDP 4500; ESP)
/|\ 10.1.2.254 (NAT: 10.1.2.0 255.255.255.0)
|
| LAN
|
| 10.1.2.253
Router 1 (an R2, mit NAT, IPSec-VPN-Partner 2, Standard-Route: Router 2)
/|\ 10.1.1.254 (NAT: 10.1.2.0 255.255.255.0)

Der Bintec R1202 (mit NAT) sitzt zwischen dem Internet und einem weiteren Router (auch wieder mit NAT), welcher einem IPSec-VPN-Tunnel mit einem im Internet befindlichen VPN-Partner herstellen soll. Jedoch kann dieser Tunnel nicht aufgebaut werden.

Die Frage ist welche Einstellungen müssen ab Bintec R1202 gemacht werden, damit der VPN-Tunnel durchgeleitet wird.

Protokolle:

Router 3:
1 2011-11-23 12:40:12 Debug INET NAT: new outgoing session on ifc 10001 prot 17 20.20.20.5:500/20.20.20.5:702 -> 20.20.20.2:500
2 2011-11-23 12:40:12 Debug IPSec P1: peer 1 (VPN-Name) sa 30 (I): identified ip 20.20.20.5 -> ip 20.20.20.2
3 2011-11-23 12:40:12 Debug IPSec P1: peer 1 (VPN-Name) sa 30 (I): notify id 500 -> id 20.20.20.2 (unencrypted): No proposal chosen proto 1 spi(16) = [b296e7e9 ecd3d41b : 0eb0a3d8 1cd4d49e]
4 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 30 (I): failed id fqdn(any:0,[0..5]=r1202b) -> ip 20.20.20.2 (No proposal chosen)
5 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 0 (-): blocked for 15 seconds
6 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (VPN-Name) sa 30 (I): delete ip 20.20.20.5 -> ip 20.20.20.2: Blocked

Router 2:
43 2011-11-23 12:43:56 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
44 2011-11-23 12:43:50 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
45 2011-11-23 12:43:49 Debug INET NAT: delete session on ifc 10001 prot 6 10.2.2.12:51377/20.20.20.2:42735 <-> 20.21.22.45:80
46 2011-11-23 12:43:49 Debug INET NAT: delete session on ifc 10001 prot 6 10.2.2.12:51376/20.20.20.2:41039 <-> 20.21.22.78:80
47 2011-11-23 12:43:47 Debug INET interface 10001: TCP SYN [20.20.20.2:55357] -> [10.2.1.12:8192] clamp MSS 1460 ==> 1452
48 2011-11-23 12:43:42 Debug INET NAT: new outgoing session on ifc 10001 prot 17 10.1.2.253:904/20.20.20.2:945 -> 20.20.20.5:500
49 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:53/20.20.20.2:865 <-> 169.254.100.100:53
50 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 10.1.2.253:889/20.20.20.2:970 <-> 169.254.100.100:53
51 2011-11-23 12:43:39 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:35302/20.20.20.2:37121 <->20.21.22.25:53
52 2011-11-23 12:43:38 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:55557/20.20.20.2:47338 <-> 20.21.22.25:53
53 2011-11-23 12:43:35 Debug INET NAT: delete session on ifc 10001 prot 17 20.20.20.2:50208/20.20.20.2:55229 <-> 20.21.22.25:53

Router 1:
1 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 32 (I): failed id fqdn(any:0,[0..5]=r1202a) -> ip 20.20.20.5 (Timeout)
2 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 0 (-): blocked for 30 seconds
3 2011-11-23 12:43:58 Informationen IPSec P1: peer 1 (VPN-Name) sa 32 (I): delete ip 10.1.2.253 -> ip 20.20.20.5: Blocked
4 2011-11-23 12:43:43 Debug INET NAT: new outgoing session on ifc 1000 prot 17 10.1.2.253:500/10.1.2.253:904 -> 20.20.20.5:500
5 2011-11-23 12:43:43 Debug IPSec P1: peer 1 (VPN-Name) sa 32 (I): identified ip 10.1.2.253 -> ip 20.20.20.5
6 2011-11-23 12:43:40 Debug INET NAT: delete session on ifc 1000 prot 17 10.1.2.253:53/10.1.2.253:889 <-> 169.254.100.100:53


Vielleicht haben Sie noch einen Lösungsansatz.
danke
Mitglied: mrtux
23.11.2011 um 14:52 Uhr
Hi !

Kannst Du mir mal erklären warum Du das so kompliziert machst und welche Vorteile Du in deiner Konstellation siehst? Ich sehe da eigentlich nur Nachteile....Setz den Bintec an die Front und betreibe den Router 2 über PPPoe Pass-through als reines DSL Modem, vor allem wenn es sich um einen popelige Homerouter vom Provider handelt (z.B. Speedport o.ä.). Und wenn Du ein zweites Netzwerksegment benötigst, dann kannst Du das über den Switch im Bintec genauso lösen.

mrtux
Bitte warten ..
Mitglied: Fluxkompensator
24.11.2011 um 17:16 Uhr
Router 3 Zeile 4:

4 2011-11-23 12:40:12 Informationen IPSec P1: peer 1 (PROCOS) sa 30 (I): failed id fqdn(any:0,[0..5]=r1202b) -> ip 20.20.20.2 (No proposal chosen)

Scheint so als würde bei Phase 1 die Sicherheitsaushandlung scheitern, überprüf das mal..
Bitte warten ..
Mitglied: aqui
30.11.2011, aktualisiert 18.10.2012
Und das ist sonnenklar warum die Phase 1 schon scheitert, denn der davorliegende NAT Router blockiert IPsec !!

Dort muss logischerweise zwingend ein Port Forwarding eingerichtet sein auf den VPN Zielrouter bzw. dessen IP der dahinter liegt mit folgenden Ports die IPsec nutzt:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, kein TCP/UDP ! ESP ist ein eigenes IP Protokoll !)
Wenn du das gemacht hast wird auch die VPN Verbindung problemlos laufen !!
Details dazu siehe auch hier:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ... (hier bezogen auf OVPN Ports !)
https://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...
Bitte warten ..
Heiß diskutierte Inhalte
Zusammenarbeit
Klimaschutz
NebellichtVor 1 TagTippZusammenarbeit52 Kommentare

Hallo friends, (friends in Anlehnung an die vielen Fs in dem englischen von FFF: fridays for future. Übrigens am 19.03.2021 gibts wieder einen globalen ...

Notebook & Zubehör
Tipp für festgefressene Scharniere bei Lenovo V120 Notebook?
gelöst LochkartenstanzerVor 1 TagFrageNotebook & Zubehör20 Kommentare

Moin Kollegen, Ich habe hier ein Lenovo V120 mit einem laut Internet üblichen Problem von "festgefressenen" Scharnieren. Ich könnte jetzt aufwendig das Notebook zerlegen ...

Microsoft Office
Microsoft365 und Outlook verbinden
ratzekahl1Vor 1 TagFrageMicrosoft Office31 Kommentare

Guten Morgen zusammen, ich habe einige Probleme / Fragen. Ich habe Office 365 auf den ersten Rechnern installiert. Admin angelegt, Benutzer usw. Da ich ...

Microsoft Office
Wechsel von Office - Exchange on premise zu Office 365 - Exchange Online
jann0rVor 2 TagenAllgemeinMicrosoft Office14 Kommentare

Moin, ich weiß nicht so richtig, unter welche Überschrift man dieses Thema hier am besten packen kann, daher mal als allg. Beitrag / Erfahrungsbericht. ...

Viren und Trojaner
Ryuk Ransomware Warnzeichen
SchlemihlVor 1 TagFrageViren und Trojaner8 Kommentare

Guten Abend, nachdem ich hier und hier erfahren habe, wie sich die Ransomware Ryuk verhält, musste ich feststellen, dass unser kleines Netzwerk für eine ...

Internet
Sichere Verbindung von zu Hause zu einem Firmenpc
haiflosseVor 1 TagFrageInternet6 Kommentare

Hallo! Ich suche eine Lösung mit der ich eine sichere Verbindung (ohne das ein Virus, Trojaner oder Ransom Virus den Computer bzw. Netzwerk zerstört) ...

Hyper-V
ESXi free oder Windows Hyper-V Server 2019
lukas0209Vor 15 StundenAllgemeinHyper-V12 Kommentare

Hallo, ich brauche ca. 2 oder 3 Windows 10 virtualisiert um Dinge zu testen. Ist es dafür sinnvoller ein Windows Hyper-V Server 2019 (kostenlos) ...

Firewall
Firewall Regeln Ping
gelöst Jannik2018Vor 1 TagFrageFirewall9 Kommentare

Hallo zusammen, ich habe folgende firewallregel erstellt aber irgendwie kann ich aus dem Roten Netz keine Pings ins Grüne Netz schicken ist dort etwas ...