jimbow
Goto Top

VPN über Fritzbox auf Netgear VS336Gv2 (Routerkaskade)

Halle Zusamme,

ich brauche mal Eure Hilfe. Langsam weiß ich nicht mehr weiter.

Also Ziel soll es sein, dass ein Client (aus www) auf die Netgear FW per VPN sich einloggen kann. Dies ging früher einwandfrei, da wir SDSL hatten und die FW direkt mit unserem ISP verbunden war.

Jetzt sind wir auf VDSL 50 gewechselt und nun steht vor der Netgear eine FritzBox 7390. Diese konnte früher als "reines Modem" betrieben werden, jetzt aber leider nicht mehr mit dem neuen OS. Ein downgrade kommt erst einmal nicht in Frage.

Ich habe folgende Ports schon freigeschalten auf der Fritzbox:

UDP 500
UDP 4500
TCP 50 (müsste eigentlich nicht freigeschalten werden. Wurde in ein paar Foren empfohlen)
TCP 51 (müsste eigentlich nicht freigeschalten werden. Wurde in ein paar Foren empfohlen)
ESP

Leider kann ich über meinen Client, der als VPN Software Shrew Soft verwendet keine Sitzung aufbauen. In den Netgear VPN Logs findet man überhaupt keinen VPN-Connect Versuch. Noch nicht mal ein Deny oder sonstiges.

Jetzt stelle ich mir die Frage, was ich falsch gemacht habe? Ich habe auch einfach mal versucht bei der Fritzbox "exposed Host" zu verwenden. Hier müsste ja eigentlich alles einfach auf die Netgear weitergeleitet werden. Leider klappt dann auch kein VPN und es erscheint nichts in den Logs. Das ist sehr misteriös.

Ich hoffe ihr könnt mir hier hilfreiche Tipps oder direkt Verbesserungsvorschläge liefern.

Vielen Dank Euch schon Mal im Voraus!

Content-Key: 236533

Url: https://administrator.de/contentid/236533

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: transocean
transocean 26.04.2014 um 19:41:49 Uhr
Goto Top
Moin,

testest Du das aus dem eigenen Netz heraus?

Gruß

Uwe
Mitglied: Pjordorf
Pjordorf 26.04.2014 aktualisiert um 19:59:25 Uhr
Goto Top
Hallo,

Zitat von @Jimbow:
nun steht vor der Netgear eine FritzBox 7390

UDP 500
UDP 4500
TCP 50 (müsste eigentlich nicht freigeschalten werden. Wurde in ein paar Foren empfohlen)
TCP 51 (müsste eigentlich nicht freigeschalten werden. Wurde in ein paar Foren empfohlen)
ESP
Sicher das deine FritzBox diese Ports korrekt weiterleitet? Schließlich kann die FritzBox ja selbst VPN Server sein. Prüfe ob deine Portweiterleitung auch tatsächlich erfolgeich durchgeführt wird (Wireshark oder FritzBox mitschnitt http://fritz.box/html/capture.html). Siehe auch http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/12815.php3

Gruß,
Peter
Mitglied: Jimbow
Jimbow 26.04.2014 aktualisiert um 21:19:34 Uhr
Goto Top
Teste natürlich aus einem anderen Netz (www).

@Pjordorf: Genau das war auch meine Vermutung, da die Ports ja eigentlich alle offen sind. Ich habe schon mal ein Capture durchgeführt aber leider keine gedroppten Packete gefunden. Aber generell würde der Aufbau mit ISP->fritzbox->netgear fw klappen oder?

Da ich explizit für VPN die Netgear angeschafft habe vor 2 Jahren, möchte ich ungern jetzt auf eine Fritzbox umsteigen.

Welche Schnittstelle oder Punkt sollte ich capturen? eth0 würde das sein oder Schnittstelle 0? Ist sehr wahrscheinlich das selbe face-smile

1. Internetverbindung
Schnittstelle 0 ('internet')
Schnittstelle 1 ('voip+tr069')
Routing-Schnittstelle
eth0
lan
hotspot
vdsl

Also auf der Schnittstelle "1. Internetverbindung" sehe ich das ISAKM Protokoll. Heißt also der VPN Aufbau kommt schon mal sauber zur Fritzbox. Wenn ich aber nun "LAN" mitschneide, sehe ich überhaupt keine VPN Pakete mehr. Irgendwie blockt die Fritzbox VPN Pakete. Bei AVM steht, dass die normalerweise VPN Passthrough standardmäßig aktiviert hat. Ich denke ich muss mir mal die Fritzbox Konfig exportieren und mal naschauen, ob das wirklich der Fall ist.

Hat Jemand anders auch diese Probleme mal mit einer Fritzbox gehabt?
Mitglied: Jimbow
Jimbow 26.04.2014 um 22:05:27 Uhr
Goto Top
Ich habe meinen Fehler gefunden!

Als ich mir noch einmal die Übersicht auf der Fritzbox angeschaut hatte, sah ich, dass ein VPN Profil erstellt worden ist. Dieses wurde erstellt als ich myfritz aktiviert hatte. Durch das erstellen von dem VPN Profil auf der Fritzbox wurde auch ein Listener aktiviert. Dadurch ist natürlich auch klar, dass die Fritzbox dann auch kein VPN auf Port 500 weiterleitet, sondern selber verarbeiten möchte.

VPN Profil gelöscht und siehe da, direkt wurde eine VPN Verbindung aufgebaut face-smile

Ich danke Euch für die Unterstützung und wünsche Euch noch ein schönes Wochenende!
Mitglied: aqui
aqui 27.04.2014 um 15:45:55 Uhr
Goto Top
Und... TCP 50 und TCP 51 ist natürlich Blödsinn, das sind keine VPN Ports ! Die solltest du besser wieder löschen um da nicht einen Angriffspunkt zu bieten.
Wenn du ein IPsec VPN hast besteht das rein aus den Ports:
UDP 500 (IKE)
UDP 4500 (NAT Traversal)
ESP mit der IP Protokollnummer 50

ESP (Encapsulation Security Payload) ist ein eigenständiges IP protokoll mit einer separaten IP Protokollnummer die rein gar nichts mit Ports zu tun hat. Hier kannst du schon sehen das TCP 50 und 51 Blödsinn ist.
Für IPsec reciht es diese 3 Ports aus der Fritzbox per Port Forwarding auf die WAN IP der Netgear Gurke zu forwarden.
Hast du ja auch schon selber rausbekommen....