barton
Goto Top

VPN über Digitalisierungsbox Basic der Telekom

Hallo,

ich beschäftige mich schon einige Tage mit dem Problem und komme einfach nicht mehr weiter.

Wie im schnell gezeichnetem Bild zu sehen ist, ist das VPN Gateway vom Telekom Router aus erreichbar. Wenn ich ein Laptop in das Netz hänge funktioniert es.
Von ausserhalb leider nicht. Eigentlich doch eine einfache Aufgabe die mittels Port Forwarding zu lösen sein sollte? Es sind alle Ports weitergleitet auf die 192.168.1.10 . Viele Einstellungsmöglichkeiten hat der Telekom Router leider nicht. Habe auch schon überlegt eine FritzBox zu kaufen um hier mehr Möglichkeiten zu haben.
Interessant ist auf jeden Fall, dass die externe feste IP von innen aufgerufen werden kann. Anscheinend weiß der Router schon was zu tun ist.

Hat jemand noch eine Idee. Ich hoffe das Bild hilft weiter.

Vielen Dank und Grüße
gp_zensiert

Content-ID: 562348

Url: https://administrator.de/forum/vpn-ueber-digitalisierungsbox-basic-der-telekom-562348.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

aqui
aqui 01.04.2020 aktualisiert um 13:00:12 Uhr
Goto Top
Deine Zeichnung ist leider etwas verwirrend ! face-sad
  • Arbeitet die PA Firewall in einer Kaskade mit dem Router ?
  • Der PC 192.168.1.150 ist verwirrend ?? Wo ist der genau angeschlossen ? Im Koppelnetz der Kaskade Router Firewall ?? Kann eigentlich nicht sein, denn dann hätte er eine .20.x IP haben müssen. Wo also ?? Lokales LAN an der Firewall ?
Alles etwas undurchsichtig...

Gehen wir aber mal von einer Kaskade aus ala
(Internet)===(Router)---192.168.20.0 /24---(Firewall)---192.168.1.0 /24---(PC)
Ist das so richtig ?
Welches VPN Protolokk nutzt der VPN Server auf der PA Firewall ?? IPsec ??
Wenn das der Fall ist musst du auf dem Router die folgenden Protokoll Komponenten an die WAN Port IP .20.10 der FW forwarden:
  • UDP 500 (IKE)
  • UDP 4500 (NAT Traversal)
  • ESP Protokoll (IP Numemr 50, Achtrung nicht TCP oder UPD Port 50 ! ESP ist ein eigenes IP Protokoll !)
Alles weitere erklärt dir dieses Tutorial im Detail:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Dort ist alles beschrieben was du zu dem Thema wissen musst und wie du es umsetzt.
Folge den dort beschriebenen Schritten und dann wird das auch auf Anhieb funktionieren !
Man kann also nur bei dem Fehlerbild von dir vermuten das du das Port Forwarding auf dem Telekom Router falsch oder fehlerhaft konfiguriert hast und Teile des IPsec Protokolls fehlen.
Fatal ist auch wenn der Telekom Router selber ein aktiver IPsec Router ist, denn dann kann er nicht wissen das er diese Pakete weiterleiten soll, da die Ziel IP der VPN Clients ja immer seine öffentliche WAN Port IP Adresse ist.
All das musst du entsprechend sicherstellen und customizen !

Zwei Punkte noch zum Schluß:
  • Es ist immer ein schlechtes Design mit einem Router in Kaskade vor der FW. Damit hast du doppeltes NAT, doppelte Firewalls was immer zu schlimmen Performance Verlusten und Problemen gerade bei VPNs führt. Viel sinnvoller wäre es hier ein reines NUR Modem (keinen Router) an der FW zu verwenden wie auch HIER beschrieben. Das Internet terminiert also direkt an der FW.
  • Mit der Wahl des 192.168.1.0er IP Netzes fürs lokale LAN hast du so ziemlich die unintelligenteste IP Adressierung gewählt in einem VPN Umfeld. Damit wirst du langfristig massiv Probleme bekommen weil kein Client der sich in einem remoten 192.168.1.0er Netz befindet mehr arbeiten kann. Das sind nicht allzu wenige, denn alle Telekom Router und fast alle Chinesen Billigrouter nutzen weltweit dieses dümmliche Standard RFC 1918 Netz. Besser also du überdenkst dringenst nochmal dein IP Adresskonzept und liest dir DAS_HIER dazu durch und konfigurierst das entsprechend um.
NordicMike
NordicMike 01.04.2020 um 13:02:29 Uhr
Goto Top
Ist das eine Hybrid Leitung?
Barton
Barton 01.04.2020 um 13:25:55 Uhr
Goto Top
Vielen Dank für die ausfürliche Antwort soweit.

In dem Bild hat sich tatsächlich ein Fehler eingeschlichen. Das habe ich hier nochmal korriegiert.

Der Laptop mit der IP 192.168.1.50 hängt an einem Port des Telekom Routers und sollte nur verdeutlichen, dass von dort alles funktioniert. Selbst über die öffentliche IP kann ich von dort das VPN Portal öffnen.

Die Kaskade hätte ich liebend gern verhindert und die PPPOE Einwahl direkt auf der Firewall gemacht, so dass die IP dann auch direkt dort ist. Leider unterstützt PaloAlto die Einwahl nicht auf einem bestimmten VLAN und die Telekom besteht auf VLAN7 für die VDSL Einwahl. Habe mich dann doch für die zu sehende Lösung mit dem vorhandenen Router entschlossen.

Es handelt sich auch nicht um eine Hybride Leitung wenn damit LTE gemeint ist. Es ist ein reiner VDSL Anschluss mit fester IP.
gp_zensiert
Barton
Barton 02.04.2020 um 15:22:24 Uhr
Goto Top
Vielleich hilft es ja dem nächsten. Es lag daran, dass die Rückroute auf der Firewall nicht korrekt eingerichtet war. Es musste ein neuer virtueller Router mit dem korrektem Defaultgateway eingerichtet werden.
Dies erklärt auch warum das VPN Gateway vom Laptop mit der 192.168.20.50 erreichbar war aber nicht von extern.
aqui
aqui 03.04.2020 aktualisiert um 08:41:28 Uhr
Goto Top
Es lag daran, dass die Rückroute auf der Firewall nicht korrekt eingerichtet war.
Das wird zu gefühlten 98% immer vergessen weil häufig immer nur Einbahnstraßen artig gedacht wird, deshalb predigen wir das ja immer und immer wieder hier in den Threads das es Hin- und auch Rückroute gibt. Kommunikation ist immer ein 2seitiges Ding ! face-wink
Aber gut wenn es nun rennt wie es soll...
Case closed !