5
VPN über Fritzbox auf Netgear VS336Gv2 (Routerkaskade)
Halle Zusamme,
ich brauche mal Eure Hilfe. Langsam weiß ich nicht mehr weiter.
Also Ziel soll es sein, dass ein Client (aus www) auf die Netgear FW per VPN sich einloggen kann. Dies ging früher einwandfrei, da wir SDSL hatten und die FW direkt mit unserem ISP verbunden war.
Jetzt sind wir auf VDSL 50 gewechselt und nun steht vor der Netgear eine FritzBox 7390. Diese konnte früher als "reines Modem" betrieben werden, jetzt aber leider nicht mehr mit dem neuen OS. Ein downgrade kommt erst einmal nicht in Frage.
Ich habe folgende Ports schon freigeschalten auf der Fritzbox:
UDP 500
UDP 4500
TCP 50 (müsste eigentlich nicht freigeschalten werden. Wurde in ein paar Foren empfohlen)
TCP 51 (müsste eigentlich nicht freigeschalten werden. Wurde in ein paar Foren empfohlen)
ESP
Leider kann ich über meinen Client, der als VPN Software Shrew Soft verwendet keine Sitzung aufbauen. In den Netgear VPN Logs findet man überhaupt keinen VPN-Connect Versuch. Noch nicht mal ein Deny oder sonstiges.
Jetzt stelle ich mir die Frage, was ich falsch gemacht habe? Ich habe auch einfach mal versucht bei der Fritzbox "exposed Host" zu verwenden. Hier müsste ja eigentlich alles einfach auf die Netgear weitergeleitet werden. Leider klappt dann auch kein VPN und es erscheint nichts in den Logs. Das ist sehr misteriös.
Ich hoffe ihr könnt mir hier hilfreiche Tipps oder direkt Verbesserungsvorschläge liefern.
Vielen Dank Euch schon Mal im Voraus!
ich brauche mal Eure Hilfe. Langsam weiß ich nicht mehr weiter.
Also Ziel soll es sein, dass ein Client (aus www) auf die Netgear FW per VPN sich einloggen kann. Dies ging früher einwandfrei, da wir SDSL hatten und die FW direkt mit unserem ISP verbunden war.
Jetzt sind wir auf VDSL 50 gewechselt und nun steht vor der Netgear eine FritzBox 7390. Diese konnte früher als "reines Modem" betrieben werden, jetzt aber leider nicht mehr mit dem neuen OS. Ein downgrade kommt erst einmal nicht in Frage.
Ich habe folgende Ports schon freigeschalten auf der Fritzbox:
UDP 500
UDP 4500
TCP 50 (müsste eigentlich nicht freigeschalten werden. Wurde in ein paar Foren empfohlen)
TCP 51 (müsste eigentlich nicht freigeschalten werden. Wurde in ein paar Foren empfohlen)
ESP
Leider kann ich über meinen Client, der als VPN Software Shrew Soft verwendet keine Sitzung aufbauen. In den Netgear VPN Logs findet man überhaupt keinen VPN-Connect Versuch. Noch nicht mal ein Deny oder sonstiges.
Jetzt stelle ich mir die Frage, was ich falsch gemacht habe? Ich habe auch einfach mal versucht bei der Fritzbox "exposed Host" zu verwenden. Hier müsste ja eigentlich alles einfach auf die Netgear weitergeleitet werden. Leider klappt dann auch kein VPN und es erscheint nichts in den Logs. Das ist sehr misteriös.
Ich hoffe ihr könnt mir hier hilfreiche Tipps oder direkt Verbesserungsvorschläge liefern.
Vielen Dank Euch schon Mal im Voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 236533
Url: https://administrator.de/contentid/236533
Ausgedruckt am: 25.11.2024 um 18:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
testest Du das aus dem eigenen Netz heraus?
Gruß
Uwe
testest Du das aus dem eigenen Netz heraus?
Gruß
Uwe
Hallo,
Gruß,
Peter
UDP 500
UDP 4500
TCP 50 (müsste eigentlich nicht freigeschalten werden. Wurde in ein paar Foren empfohlen)
TCP 51 (müsste eigentlich nicht freigeschalten werden. Wurde in ein paar Foren empfohlen)
ESP
Sicher das deine FritzBox diese Ports korrekt weiterleitet? Schließlich kann die FritzBox ja selbst VPN Server sein. Prüfe ob deine Portweiterleitung auch tatsächlich erfolgeich durchgeführt wird (Wireshark oder FritzBox mitschnitt http://fritz.box/html/capture.html). Siehe auch http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/12815.php3UDP 4500
TCP 50 (müsste eigentlich nicht freigeschalten werden. Wurde in ein paar Foren empfohlen)
TCP 51 (müsste eigentlich nicht freigeschalten werden. Wurde in ein paar Foren empfohlen)
ESP
Gruß,
Peter
1
Teste natürlich aus einem anderen Netz (www).
@Pjordorf: Genau das war auch meine Vermutung, da die Ports ja eigentlich alle offen sind. Ich habe schon mal ein Capture durchgeführt aber leider keine gedroppten Packete gefunden. Aber generell würde der Aufbau mit ISP->fritzbox->netgear fw klappen oder?
Da ich explizit für VPN die Netgear angeschafft habe vor 2 Jahren, möchte ich ungern jetzt auf eine Fritzbox umsteigen.
Welche Schnittstelle oder Punkt sollte ich capturen? eth0 würde das sein oder Schnittstelle 0? Ist sehr wahrscheinlich das selbe
1. Internetverbindung
Schnittstelle 0 ('internet')
Schnittstelle 1 ('voip+tr069')
Routing-Schnittstelle
eth0
lan
hotspot
vdsl
Also auf der Schnittstelle "1. Internetverbindung" sehe ich das ISAKM Protokoll. Heißt also der VPN Aufbau kommt schon mal sauber zur Fritzbox. Wenn ich aber nun "LAN" mitschneide, sehe ich überhaupt keine VPN Pakete mehr. Irgendwie blockt die Fritzbox VPN Pakete. Bei AVM steht, dass die normalerweise VPN Passthrough standardmäßig aktiviert hat. Ich denke ich muss mir mal die Fritzbox Konfig exportieren und mal naschauen, ob das wirklich der Fall ist.
Hat Jemand anders auch diese Probleme mal mit einer Fritzbox gehabt?
@Pjordorf: Genau das war auch meine Vermutung, da die Ports ja eigentlich alle offen sind. Ich habe schon mal ein Capture durchgeführt aber leider keine gedroppten Packete gefunden. Aber generell würde der Aufbau mit ISP->fritzbox->netgear fw klappen oder?
Da ich explizit für VPN die Netgear angeschafft habe vor 2 Jahren, möchte ich ungern jetzt auf eine Fritzbox umsteigen.
Welche Schnittstelle oder Punkt sollte ich capturen? eth0 würde das sein oder Schnittstelle 0? Ist sehr wahrscheinlich das selbe
1. Internetverbindung
Schnittstelle 0 ('internet')
Schnittstelle 1 ('voip+tr069')
Routing-Schnittstelle
eth0
lan
hotspot
vdsl
Also auf der Schnittstelle "1. Internetverbindung" sehe ich das ISAKM Protokoll. Heißt also der VPN Aufbau kommt schon mal sauber zur Fritzbox. Wenn ich aber nun "LAN" mitschneide, sehe ich überhaupt keine VPN Pakete mehr. Irgendwie blockt die Fritzbox VPN Pakete. Bei AVM steht, dass die normalerweise VPN Passthrough standardmäßig aktiviert hat. Ich denke ich muss mir mal die Fritzbox Konfig exportieren und mal naschauen, ob das wirklich der Fall ist.
Hat Jemand anders auch diese Probleme mal mit einer Fritzbox gehabt?
Ich habe meinen Fehler gefunden!
Als ich mir noch einmal die Übersicht auf der Fritzbox angeschaut hatte, sah ich, dass ein VPN Profil erstellt worden ist. Dieses wurde erstellt als ich myfritz aktiviert hatte. Durch das erstellen von dem VPN Profil auf der Fritzbox wurde auch ein Listener aktiviert. Dadurch ist natürlich auch klar, dass die Fritzbox dann auch kein VPN auf Port 500 weiterleitet, sondern selber verarbeiten möchte.
VPN Profil gelöscht und siehe da, direkt wurde eine VPN Verbindung aufgebaut
Ich danke Euch für die Unterstützung und wünsche Euch noch ein schönes Wochenende!
Als ich mir noch einmal die Übersicht auf der Fritzbox angeschaut hatte, sah ich, dass ein VPN Profil erstellt worden ist. Dieses wurde erstellt als ich myfritz aktiviert hatte. Durch das erstellen von dem VPN Profil auf der Fritzbox wurde auch ein Listener aktiviert. Dadurch ist natürlich auch klar, dass die Fritzbox dann auch kein VPN auf Port 500 weiterleitet, sondern selber verarbeiten möchte.
VPN Profil gelöscht und siehe da, direkt wurde eine VPN Verbindung aufgebaut
Ich danke Euch für die Unterstützung und wünsche Euch noch ein schönes Wochenende!
1
Und... TCP 50 und TCP 51 ist natürlich Blödsinn, das sind keine VPN Ports ! Die solltest du besser wieder löschen um da nicht einen Angriffspunkt zu bieten.
Wenn du ein IPsec VPN hast besteht das rein aus den Ports:
UDP 500 (IKE)
UDP 4500 (NAT Traversal)
ESP mit der IP Protokollnummer 50
ESP (Encapsulation Security Payload) ist ein eigenständiges IP protokoll mit einer separaten IP Protokollnummer die rein gar nichts mit Ports zu tun hat. Hier kannst du schon sehen das TCP 50 und 51 Blödsinn ist.
Für IPsec reciht es diese 3 Ports aus der Fritzbox per Port Forwarding auf die WAN IP der Netgear Gurke zu forwarden.
Hast du ja auch schon selber rausbekommen....
Wenn du ein IPsec VPN hast besteht das rein aus den Ports:
UDP 500 (IKE)
UDP 4500 (NAT Traversal)
ESP mit der IP Protokollnummer 50
ESP (Encapsulation Security Payload) ist ein eigenständiges IP protokoll mit einer separaten IP Protokollnummer die rein gar nichts mit Ports zu tun hat. Hier kannst du schon sehen das TCP 50 und 51 Blödsinn ist.
Für IPsec reciht es diese 3 Ports aus der Fritzbox per Port Forwarding auf die WAN IP der Netgear Gurke zu forwarden.
Hast du ja auch schon selber rausbekommen....
