VPN via UMTS-Karte
Hallo,
ich habe ein Problem mit einer UMTS-ExpressCard von Base/EPlus sowie meinem VPN Client für NetScreen Router.
Wenn ich mit meinem Laptop (Windows XP) die VPN Verbindung zum Firmen-Netzwerk herstellen will öffne ich meinen NetScreen Client und klicke auf Verbinden. Wenn ich mit Kabel oder WLAN am Flughafen Sitze funktioniert dies. Sobald ich aber über eine UMTS-Karte versuche mich in das VPN ein zu wählen komme kann ich mich zwar einloggen aber auf keine Rechner zugreifen (Ping’s gehen auch nicht). Woran kann das liegen?
Vielen Dank für eure Hilfe
Mit freundlichen Grüßen
piwiOSX
ich habe ein Problem mit einer UMTS-ExpressCard von Base/EPlus sowie meinem VPN Client für NetScreen Router.
Wenn ich mit meinem Laptop (Windows XP) die VPN Verbindung zum Firmen-Netzwerk herstellen will öffne ich meinen NetScreen Client und klicke auf Verbinden. Wenn ich mit Kabel oder WLAN am Flughafen Sitze funktioniert dies. Sobald ich aber über eine UMTS-Karte versuche mich in das VPN ein zu wählen komme kann ich mich zwar einloggen aber auf keine Rechner zugreifen (Ping’s gehen auch nicht). Woran kann das liegen?
Vielen Dank für eure Hilfe
Mit freundlichen Grüßen
piwiOSX
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 70642
Url: https://administrator.de/forum/vpn-via-umts-karte-70642.html
Ausgedruckt am: 23.12.2024 um 16:12 Uhr
3 Kommentare
Neuester Kommentar
Hast du dir mit ipconfig einmal angesehen welche IP Adresse du von Eplus auf dem Netz zum UMTS bekommst ??
Vermutlich nutzt Eplus wie andere auch im UMTS Funknetz interne IP Adressen nach RFC 1918 (sog. private-IPs, die dann zentral per NAT Gateway ins Internet geroutet werden.
VPN Verbindungen scheitern aber sofort an der NAT (Adress Translation) und kommen nicht zustande. Vermutlich ist das dein Problem, was dann nur der UMTS Provider selber lösen kann. Oder du nutzt das SSL Gateway von Netscreen das das VPN dann über SSL (Port TCP 443) tunnelt, das jede NAT Hürde problemlos übersteht...
Leider schreibst du nicht welches VPN Protokoll dein Netscreen Client für den VPN Zugang benutzt denn da gibt es viele (PPTP, L2TP, IPsec(AH), IPsec(ESP), SSL etc.) wie du sicher weisst. So kann man dir leider keine weiteren Details schreiben..
Vermutlich nutzt Eplus wie andere auch im UMTS Funknetz interne IP Adressen nach RFC 1918 (sog. private-IPs, die dann zentral per NAT Gateway ins Internet geroutet werden.
VPN Verbindungen scheitern aber sofort an der NAT (Adress Translation) und kommen nicht zustande. Vermutlich ist das dein Problem, was dann nur der UMTS Provider selber lösen kann. Oder du nutzt das SSL Gateway von Netscreen das das VPN dann über SSL (Port TCP 443) tunnelt, das jede NAT Hürde problemlos übersteht...
Leider schreibst du nicht welches VPN Protokoll dein Netscreen Client für den VPN Zugang benutzt denn da gibt es viele (PPTP, L2TP, IPsec(AH), IPsec(ESP), SSL etc.) wie du sicher weisst. So kann man dir leider keine weiteren Details schreiben..
Dann hast du keine Chance...leider. Der Provider macht dann zentral NAT denn wie du sicher weisst ist das 10er IP Netz eine RFC 1918 Adresse (Private IP) die im Internet nicht geroutet wird, also zwangsweise umgesetzt werden muss.
An dem NAT Gateway scheitert dann deine IPsec Session, wie bereits vermutet
Für IPsec ist die durch NAT erfolgte Änderung der Quell IP Adresse sowas wie eine man in the middle Attacke und IPsec verweigert daraufhin aus Sicherheitsgründen (wie sich das auch gehört..) den Sessionaufbau !
Da hast du nur eine Chance: Aktiviere auf dem Juniper Teil ein SSL Gateway, sofern deine HW und SW das supportet. Damit kannst du dann eine VPN Session mit einem Webbrowser aufmachen und der VPN Link wird über den Browser mit einer SSL Session (Port TCP 443) getunnelt. SSL überlebt einen NAT Prozess ohne Probleme !
Die andere Möglichkeit ist für UMTS Benutzer ein OpenVPN Server parallel zu betreiben, denn OpenVPN tunnelt auch SSL technisch über einen NAT fähigen TCP Port.
Die noch andere Möglichkeit ist den Provider zu wechseln. T-Mobile und Vodafone nutzen seit kurzem keine RFC 1918 Adressen mehr im internen UMTS Datenenetz sondern öffentliche IPs. Die werden dann transparent geroutet und dann gibts keine Probleme mehr mit NAT und IPsec.
Ggf. kann Eplus dir aber so eine Adresse mit deinem Account fest zuteilen. Ob das technisch möglich ist musst du mit deren Hotline klären.
In einen technisch nicht ansruchsvollem und meist immer überlasteten Mobilnetz (durch die ganzen Billigheimer die sich dort tummeln) wie Eplus es betreibt, darf das aber bezweifelt werden.
An dem NAT Gateway scheitert dann deine IPsec Session, wie bereits vermutet
Für IPsec ist die durch NAT erfolgte Änderung der Quell IP Adresse sowas wie eine man in the middle Attacke und IPsec verweigert daraufhin aus Sicherheitsgründen (wie sich das auch gehört..) den Sessionaufbau !
Da hast du nur eine Chance: Aktiviere auf dem Juniper Teil ein SSL Gateway, sofern deine HW und SW das supportet. Damit kannst du dann eine VPN Session mit einem Webbrowser aufmachen und der VPN Link wird über den Browser mit einer SSL Session (Port TCP 443) getunnelt. SSL überlebt einen NAT Prozess ohne Probleme !
Die andere Möglichkeit ist für UMTS Benutzer ein OpenVPN Server parallel zu betreiben, denn OpenVPN tunnelt auch SSL technisch über einen NAT fähigen TCP Port.
Die noch andere Möglichkeit ist den Provider zu wechseln. T-Mobile und Vodafone nutzen seit kurzem keine RFC 1918 Adressen mehr im internen UMTS Datenenetz sondern öffentliche IPs. Die werden dann transparent geroutet und dann gibts keine Probleme mehr mit NAT und IPsec.
Ggf. kann Eplus dir aber so eine Adresse mit deinem Account fest zuteilen. Ob das technisch möglich ist musst du mit deren Hotline klären.
In einen technisch nicht ansruchsvollem und meist immer überlasteten Mobilnetz (durch die ganzen Billigheimer die sich dort tummeln) wie Eplus es betreibt, darf das aber bezweifelt werden.