11
VPN-Verbindung über virtuellen private Server umleiten
Sehr geehrte Community von Administrator.de
Ich möchte mich heute an euch wenden da ich von anderer Seite keine Hilfe erhalte.
Mein Problem ist folgendes.
Ich bin wie so viele Andere Arbeitnehmer ebenfalls im Homeoffice und muss auf das Firmennetzwerk über VPN zugreifen. Ich habe von meiner Fa. ein Notebook zur Verfügung gestellt bekommen mit Windows 10 und einer vorkonfigurierten VPN-Verbindung. Leider kann ich über meinen Internetzugang(RFT Kabel) keine Verbindung ins Firmennetzwerk aufbauen.
Es gelingt mir lediglich dann Verbindung zum Firmennetzwerk herzustellen, wenn ich mit meinem Mobiltelefon einen persönlichen Hotspot einrichte und mich mit dem Notebook über WLAN damit verbinde.
Ich habe mich in den letzten Wochen intensiv mit dem Thema beschäftigt und konnte auch schon einige Erkenntnisse gewinnen. Leider konnte ich das Problem noch nicht lösen und die IT-Abteilung lehnt jeglichen Support dazu ab.
Ich kann nur soviel sagen dass es an meinem Internetzugang liegt, denn bei einem Kollegen funktioniert es ohne Probleme. Ich habe nur DS-Lite und demzufolge keine öffentliche IPv4-Adresse. Der VPN-Server unserer Firma arbeitet noch mit IPv4 und daran wird sich in absehbarer Zukunft auch nichts ändern.
Ich hatte dann eine Idee die ich kurz skizzieren möchte.
Ich habe bei IONOS einen virtuellen Server angemietet, dieser hat ja eine öffentliche IPv4-Adresse und ebenfalls eine öffentliche IPv6-Adresse. Ich wollte diesen mit Hilfe von socat als Relais benutzen. Leider funktioniert es nicht so wie erhofft. Ich bekomme beim Verbindungsaufbau eine Fehlermeldung.
"Verbindung mit VPN nicht möglich.
IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel."
Die Authentifizierung läuft über Benutzername und Password.
Ich habe in meinem Router(Fritz!Box 6660 Cable) eine Freigabe auf die IPv6-Adresse des Notebooks eingerichtet und bei der VPN-Verbindung die öffentliche IPv6-Adresse des vServers eingetragen. Auf dem vServer lausche ich dann auf den UDP-Ports 500 und 4500 und leite diese auf die IPv4-Adresse des VPN-Servers der Firma weiter.
Beispiel:
Vielleicht konnte ich euer Interesse wecken und erfahre durch euer Expertenwissen Erleuchtung.
Mit freundlichen Grüßen
janosh22i
Ich möchte mich heute an euch wenden da ich von anderer Seite keine Hilfe erhalte.
Mein Problem ist folgendes.
Ich bin wie so viele Andere Arbeitnehmer ebenfalls im Homeoffice und muss auf das Firmennetzwerk über VPN zugreifen. Ich habe von meiner Fa. ein Notebook zur Verfügung gestellt bekommen mit Windows 10 und einer vorkonfigurierten VPN-Verbindung. Leider kann ich über meinen Internetzugang(RFT Kabel) keine Verbindung ins Firmennetzwerk aufbauen.
Es gelingt mir lediglich dann Verbindung zum Firmennetzwerk herzustellen, wenn ich mit meinem Mobiltelefon einen persönlichen Hotspot einrichte und mich mit dem Notebook über WLAN damit verbinde.
Ich habe mich in den letzten Wochen intensiv mit dem Thema beschäftigt und konnte auch schon einige Erkenntnisse gewinnen. Leider konnte ich das Problem noch nicht lösen und die IT-Abteilung lehnt jeglichen Support dazu ab.
Ich kann nur soviel sagen dass es an meinem Internetzugang liegt, denn bei einem Kollegen funktioniert es ohne Probleme. Ich habe nur DS-Lite und demzufolge keine öffentliche IPv4-Adresse. Der VPN-Server unserer Firma arbeitet noch mit IPv4 und daran wird sich in absehbarer Zukunft auch nichts ändern.
Ich hatte dann eine Idee die ich kurz skizzieren möchte.
Ich habe bei IONOS einen virtuellen Server angemietet, dieser hat ja eine öffentliche IPv4-Adresse und ebenfalls eine öffentliche IPv6-Adresse. Ich wollte diesen mit Hilfe von socat als Relais benutzen. Leider funktioniert es nicht so wie erhofft. Ich bekomme beim Verbindungsaufbau eine Fehlermeldung.
"Verbindung mit VPN nicht möglich.
IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel."
Die Authentifizierung läuft über Benutzername und Password.
Ich habe in meinem Router(Fritz!Box 6660 Cable) eine Freigabe auf die IPv6-Adresse des Notebooks eingerichtet und bei der VPN-Verbindung die öffentliche IPv6-Adresse des vServers eingetragen. Auf dem vServer lausche ich dann auf den UDP-Ports 500 und 4500 und leite diese auf die IPv4-Adresse des VPN-Servers der Firma weiter.
Beispiel:
socat UDP6-Listen:500,fork UDP4:xxx.xxx.xxx:500|socat UDP6-Listen:4500,fork UDP4:xxx.xxx.xxx:4500Vielleicht konnte ich euer Interesse wecken und erfahre durch euer Expertenwissen Erleuchtung.
Mit freundlichen Grüßen
janosh22i
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 662330
Url: https://administrator.de/forum/vpn-verbindung-ueber-virtuellen-private-server-umleiten-662330.html
Ausgedruckt am: 22.04.2025 um 01:04 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
Was ist ein RFT Kabel ( Radio freies Berlin?)
Gruß,
Peter
Was ist ein RFT Kabel ( Radio freies Berlin?)
Ich bin wie so viele Andere Arbeitnehmer ebenfalls im Homeoffice und muss auf das Firmennetzwerk über VPN zugreifen.
Du hast daheim schlichtweg nicht die nötige vorraussetzung um ein VPN zu deiner Firma herzustellen. Ist so als wenn dein AG dir ein Super Ferarri hinstellt, du aber im Sumpfgebiet mit viel Wasser wohnst. Sag deiner IT du hast nur IPv6, wenn dein AG will das du HomeOffice machst, wird sich was finden lassen.Ich habe nur DS-Lite
BINGO!Gruß,
Peter
Normalerweise sollte es aber klappen, denn sein VPN Laptop ist ja der VPN Initiator also der der die VPN Verbindung aufbaut und das rennt auch über DS-Lite. Jedenfalls wenn die IT Abteilung so intelligent war NAT Traversal (UDP 4500) auf dem Client zu aktivieren. Damit klappt es auch über einen CGN Provider.
Billige Mobilfung Accounts nutzen auch häufig CGN. Ob das beim TO auch so ist teilt er uns ja leider nicht mit.
Sehr wahrscheinlich ist aber das der RFT Provider IPsec in seinem Netzwerk filtert. Kommt oft vor wenn das nur teureren Business Verträgen vorbehalten ist.
Das ist ein Punkt den du zuallererst checken solltest über die Provider Hotline ansonsten suchtst du dir einen Wolf (und wir auch).
Was die vServer Konfig anbetrifft kann das klappen allerdings wenn du nur UDP 500 und UDP 4500 weiterreichst wirst du natürlich Schiffbruch erleiden, denn der eigentliche Tunnel der die Produktivdaten überträgt wird bei IPsec über das ESP Protokoll (Encapsulation Security Payload) realisiert. ESP ist ein eigenständiges IP Protokoll mit der Nummer 50. Nur UDP 500 und 4500 reicht also keinesfalls.
Guckst du auch hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Billige Mobilfung Accounts nutzen auch häufig CGN. Ob das beim TO auch so ist teilt er uns ja leider nicht mit.
Sehr wahrscheinlich ist aber das der RFT Provider IPsec in seinem Netzwerk filtert. Kommt oft vor wenn das nur teureren Business Verträgen vorbehalten ist.
Das ist ein Punkt den du zuallererst checken solltest über die Provider Hotline ansonsten suchtst du dir einen Wolf (und wir auch).
Was die vServer Konfig anbetrifft kann das klappen allerdings wenn du nur UDP 500 und UDP 4500 weiterreichst wirst du natürlich Schiffbruch erleiden, denn der eigentliche Tunnel der die Produktivdaten überträgt wird bei IPsec über das ESP Protokoll (Encapsulation Security Payload) realisiert. ESP ist ein eigenständiges IP Protokoll mit der Nummer 50. Nur UDP 500 und 4500 reicht also keinesfalls.
Guckst du auch hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Hallo Peter.
RFT Kabel ist mein ISP.
Ich bin schon etwas älter und kenne diese Abkürzung noch aus einer anderen Zeit in einem anderen Land. Es stand mal für Rundfunk und Fernsehen.
Meiner IT-Abteilung kann ich leider gar nichts sagen, die haben die Ansage von oben, dass sie sich um solche Probleme nicht kümmern sollen.
Die Tatsache dass ich über meine Mobilfunkverbindung ins Firmennetzwerk komme reicht denen völlig aus.
mfg Jan
RFT Kabel ist mein ISP.
Ich bin schon etwas älter und kenne diese Abkürzung noch aus einer anderen Zeit in einem anderen Land. Es stand mal für Rundfunk und Fernsehen.
Meiner IT-Abteilung kann ich leider gar nichts sagen, die haben die Ansage von oben, dass sie sich um solche Probleme nicht kümmern sollen.
Die Tatsache dass ich über meine Mobilfunkverbindung ins Firmennetzwerk komme reicht denen völlig aus.
mfg Jan
Hallo aqui.
Ich hatte schon mal bei meinem ISP gefragt ob sie Ports filtern. Die Antwort lautete Nein.
Was meinst du damit?
Bin noch dabei es auszuprobieren.
mfg Jan
Update: Fehlermeldung bleibt gleich.
Firewall auf dem Server ist wie folgt eingestellt:
Aktion Erlaubte IP Protokoll Port(s)
Welche Möglichkeiten habe ich noch den Fehler einzugrenzen?
MfG Jan
Ich hatte schon mal bei meinem ISP gefragt ob sie Ports filtern. Die Antwort lautete Nein.
Was meinst du damit?
Ob das beim TO auch so ist teilt er uns ja leider nicht mit.
Ich habe die Befehlssequenz jetzt erweitert.sudo socat UDP6-LISTEN:500,fork UDP4:Ziel-IP:500|sudo socat UDP6-LISTEN:4500,fork UDP4:Ziel-IP:4500|sudo socat IP6-RECVFROM:50,fork IP4-SENDTO:Ziel-IP:50|sudo socat IP4-RECVFROM:50,fork IP6-SENDTO:[IPv6 vom Laptop]:50mfg Jan
Update: Fehlermeldung bleibt gleich.
Firewall auf dem Server ist wie folgt eingestellt:
Aktion Erlaubte IP Protokoll Port(s)
- Zulassen Alle ICMP Alle
- Zulassen Alle IPSEC Alle
- Zulassen Alle TCP 22
- Zulassen Alle TCP 80
- Zulassen Alle TCP 443
- Zulassen Alle TCP 8080
- Zulassen Alle TCP 10000
- Zulassen Alle UDP 500
- Zulassen Alle UDP 4500
Welche Möglichkeiten habe ich noch den Fehler einzugrenzen?
MfG Jan
Moin,
dass eure IT nicht soll, kann ich grundlegend nachvollziehen:
Die würden sonst bei 100 MAs im HomeOffice vermutlich zu 50 hinfahren dürfen, und vor Ort die Voraussetzungen prüfen und etablieren müssen - Sprich Support für Private-Themen ableisten.
Andersherum sollte der Homeoffice-Zugang jedoch von überall möglich sein - egal welcher Anbieter (Regionen mit VPN-Restriktionen mal ausgenommen).
Um das abzukürzen würde ich deinem Chef fünf Dinge vorschlagen:
Fernab:
wenn du IONOS (oder wen auch immer) involvierst, werden die eigentlich zu schützenden Daten bei IONOS aufgebrochen - ob das von deinem AG so gewollt ist...
Gruß
em-pie
dass eure IT nicht soll, kann ich grundlegend nachvollziehen:
Die würden sonst bei 100 MAs im HomeOffice vermutlich zu 50 hinfahren dürfen, und vor Ort die Voraussetzungen prüfen und etablieren müssen - Sprich Support für Private-Themen ableisten.
Andersherum sollte der Homeoffice-Zugang jedoch von überall möglich sein - egal welcher Anbieter (Regionen mit VPN-Restriktionen mal ausgenommen).
Um das abzukürzen würde ich deinem Chef fünf Dinge vorschlagen:
- Homeoffice ist nicht möglich, da du deinen Provider nicht wechseln wirst (ist ja deine private Angelegenheit) und kommst daher wieder ins Büro
- Du erhältst deine dedizierte Datenkarte für dein Laptop - Firma zahlt
- Dein Arbeitgeber lässt dir (zusätzlich) einen eigenen xDSL-Anschluss schalten
- Die IT stellt einen anderen VPN-Zugang bereit; SSL VPN geht eigentlich immer...
- dein Arbeitgeber übernimmt die Kosten deiner selbst entwickelten Lösung zur Nutzung des VPNs
Fernab:
wenn du IONOS (oder wen auch immer) involvierst, werden die eigentlich zu schützenden Daten bei IONOS aufgebrochen - ob das von deinem AG so gewollt ist...
Gruß
em-pie
Firewall auf dem Server ist wie folgt eingestellt:
Fehlt auch wieder, wie oben schon mehrfach gesagt, das ESP Protokoll !!!Damit ist dann klar das IPsec per se scheitern muss !
Wie gesagt, es sollte auch immer direkt klappen.
Dein generelles Problem ist sehr wahrscheinlich die FritzBox selber. Diese ist ja selber auch aktiver VPN IPsec Router, sprich kann selber als VPN Server agieren.
Wenn du hier nur ansatzweise etwas mit VPN oder nur einen Usernamen usw. definiert hast leitet die FritzBox keine IPsec Frames an deinen Laptop intern weiter weil sie "denkt" all dieser IPsec Traffic ist für sie selber.
Damit kommt dann IPsec technisch nichts durch sie durch.
Du musst also ganz sicher stellen das die VPN Funktion auf der FB sicher deaktiviert ist.
Helfen würde einen Wireshark Sniffer auf dem laptop laufen zu lassen wenn du den VPN Client aktivierst. Dann kannst du den IPsec VPN Aufbau ganz genau mitverfolgen und siehst sofort wo der fehler ist.
Hallo aqui.
Die Firewall habe ich über das Cloud-Panel konfiguriert.
Dort sind nur die Protokolle TCP,UDP,ICMP,IPSEC,GRE und ANY auswählbar. Das Protokoll ESP ist nicht aufgeführt.
Werde mal den User in der FRITZ!Box löschen und dann Wireshark ausprobieren. Ich kenne das Tool nur vom Namen her, verwendet habe ich es noch nie.
Mit freundlichen Grüßen Jan
Die Firewall habe ich über das Cloud-Panel konfiguriert.
Dort sind nur die Protokolle TCP,UDP,ICMP,IPSEC,GRE und ANY auswählbar. Das Protokoll ESP ist nicht aufgeführt.
Werde mal den User in der FRITZ!Box löschen und dann Wireshark ausprobieren. Ich kenne das Tool nur vom Namen her, verwendet habe ich es noch nie.
Mit freundlichen Grüßen Jan
Das Protokoll ESP ist nicht aufgeführt.
Das ist schlecht ! Bedeutet dann das IPsec vermutlich dann nicht funktioniert.Immerhin hat das Panel ja auch GRE aufgelistet. GRE ist Bestandteil des PPTP VPN Protokolls und auch ein eigenständiges IP Protokoll mit der Nummer 47.
Warum dann die Numemr 50 (ESP) nicht aufgelistet ist lässt Böses vermuten....
Aber der Wireshark wird dir da klar sagen was Sache ist....
Hier kannst du mal sehen wie das im Wireshark dann live auszusehen hat:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Hallo aqui.
Zum Thema IPsec hat IONOS hier eine Erklärung gegeben. Anscheinend wird das ESP-Protokoll mit IPSEC zur Verfügung gestellt.
IONOS IPsec Sicherheitsarchitektur
Ich habe ein bisschen weiter geforscht und konnte einen Wireshark-Mitschnitt anfertigen. Würdest du den Mittschnitt einmal anschauen?
mfg Jan
Zum Thema IPsec hat IONOS hier eine Erklärung gegeben. Anscheinend wird das ESP-Protokoll mit IPSEC zur Verfügung gestellt.
IONOS IPsec Sicherheitsarchitektur
Ich habe ein bisschen weiter geforscht und konnte einen Wireshark-Mitschnitt anfertigen. Würdest du den Mittschnitt einmal anschauen?
mfg Jan
Anscheinend wird das ESP-Protokoll mit IPSEC zur Verfügung gestellt.
Anscheinend haben Autos 4 Räder.... Eine mehr als evidente Feststellung zu IPsec die jeder Netzwerker schon seit Jahrzehnten kennt... 😉https://de.wikipedia.org/wiki/IPsec
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Würdest du den Mittschnitt einmal anschauen?
Immer gerne...
Wie kann ich dir den Mittschnitt zukommen lassen?
