natas78
Goto Top

Zugriff auf VPN Router (Draytek Vigor 2930) durch Fritzbox (7490)

Hallo,

habe folgendes Problem:

Meine bisherige Konfiguration war die folgende:
Im Draytek Router waren die Anmeldeinfos für den Provider eingetragen und dieser hat Internet, VPN SSL und WLAN ermöglicht.

Nun musste ich aber eine Fritzbox vorschalten.
Das heißt meine jetztige Konfiguration sieht so aus zuerst kommt die Fritzbox (Wan: XXX, LAN 192.168.0.253).
Dann kommt der Draytek Router (WAN 192.168.0.254, LAN 192.168.1.254).

Die Verbindung zwischen Fritzbox und Draytek sieht so aus: Fritz LAN-Port 1 -> Draytek WAN-Port 1

Im Draytek sind die Einstellungen folgende:

WAN:
IP-Adress 192.168.0.254
Gateway: 192.168.0.253
DNS: 192.168.0.253

LAN:
IP-Adress: 192.168.1.254
Gateway: 192.168.1.254
DNS: 192.168.1.254

Fritzbox hat folgende Einstellungen:
Statische IP Route:
Netzwerk: 192.168.1.0
Gateway: 192.168.0.254

DHCP (Draytek: 192.168.1.0, Fritzbox: 192.168.0.0) und WLAN ist bei beiden aktiviert.

So nun das, was ich nicht verstehe:
Wenn ich mich per WLAN von dem Draytek Router verbinde und dann eine VPN SSL Verbindung mit der externen WAN-Adresse von der Fritzbox aufbaue funktioniert alles wunderbar.

Wenn ich in das WLAN der Fritzbox bin und von dort aus die Verbindung versuche kommt keine zustande. Genauso verhält es sich mit allen anderen Verbindungen von extern, die eine VPN SSL aufbauen wollen.

Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP und GRE.

Beide Router sind von einem Computer über die Adressen 192.168.1.254 (Draytek) und 192.168.0.253 (Fritzbox) erreichbar.

Content-ID: 256310

Url: https://administrator.de/forum/zugriff-auf-vpn-router-draytek-vigor-2930-durch-fritzbox-7490-256310.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 30.11.2014 um 13:40:50 Uhr
Goto Top
Zitat von @natas78:

Nun musste ich aber eine Fritzbox vorschalten.

Warum?

So nun das, was ich nicht verstehe:
Wenn ich mich per WLAN von dem Draytek Router verbinde und dann eine VPN SSL Verbindung mit der externen WAN-Adresse von der
Fritzbox aufbaue funktioniert alles wunderbar.

Wenn ich in das WLAN der Fritzbox bin und von dort aus die Verbindung versuche kommt keine zustande. Genauso verhält es sich
mit allen anderen Verbindungen von extern, die eine VPN SSL aufbauen wollen.

Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP
und GRE.

Wenn Du von innen Dich auf den externen Port verbindest, kommen manche Router drucheinander. Insbesondere billige Plastikrouter. Wozu soll das überhaupt gut sein? Und warum verbindest Du Dich mit deinem SSl-VPn nicht direkt auf den draytek?

lks
natas78
natas78 30.11.2014 um 14:03:19 Uhr
Goto Top
Ich versuche mich ja mit dem Draytek zu verbinden.

Nur klappt das nicht. Ich habe eine feste IP.
Nun gehe ich über diese IP und lande im WAN-Port der Fritzbox. Von dort soll ich über die Portfreigabe mit den Ports 443, 1723 und den weitergeleiteten Protokollen GRE und ESP auf den Draytek Router, welcher dann als VPN-Server die VPNs aufbauen soll.

Nur klappt das von aussen nicht. Das funktioniert nur, wenn ich im WLAN des Draytek Routers bin.
colinardo
colinardo 30.11.2014 aktualisiert um 14:45:32 Uhr
Goto Top
Hallo natas78, Willkommen auf Administrator.de!
Du sprichst hier nur von einem SSL-VPN welches die Clients aufbauen sollen, nicht PPTP oder einem IPSec-Tunnel, sehe ich das richtig ?
Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP und GRE.
Wenn ja, dann benötigst du nur eine Weiterleitung von Port 443 auf der Fritzbox für die SSL-VPN Variante von Draytek !
ESP und GRE und Port 1723 haben mit dem SSL-VPN nun überhaupt nichts am Hut und werden nur für IPSec (ESP[50]) bzw. PPTP[1723,GRE] Verbindungen benötigt!!

Wichtig für das SSL-VPN: Das verwendete Server-Zertifikat auf dem Draytek sollte als Common-Name entweder die externe feste IP oder den Domain-Name enthalten unter dem du dich von extern verbindest! Bei selbst signierten Zertifikaten beachte auch folgende Seite:
http://www.draytek.com/index.php?option=com_k2&view=item&id=203 ...

Ob die VPN-Pakete erfolgreich am Draytek ankommen lässt sich schnell mit Wireshark und einem Paket-Mittschnitt auf der Fritzbox klären.

Bitte teile uns doch die Fehlermeldung deines VPN-Clients mit. "Geht nicht" ist keine aussagekräftige Fehlermeldung. Merci.

Grüße Uwe
natas78
natas78 30.11.2014 um 14:39:19 Uhr
Goto Top
Die Ports 1723 und die Protokolle ESP UND GRE hab ich benutzt, um das vor Ort zu überprüfen. D.h. ich versuche übers iPhone eine PPTP-Verbindung vom Mobilnetz aufzubauen. Das klappt auch nur, wenn ich WLAN am iPhone aktiviert habe und dann im WLAN des Drytek Routers bin.
Wäre natürlich schön, wenn VPN SSL und PPTP gehen würde.

Ich werde das mit dem Zertifikat mal ausprobieren und die Pakete mal mitschneiden.

VG

Martin
aqui
aqui 30.11.2014 um 18:33:57 Uhr
Goto Top
natas78
natas78 01.12.2014 um 11:36:01 Uhr
Goto Top
Also mit dem Smart VPN Client von Drytek bekomme ich eine VPN SSL Verbindung hin. Denke also, dass es nicht an den Routereinstellungen liegt, sondern am Browser.
Eine PPTP Verbindung geht allerdings immernoch nicht, auch nicht mit dem Smart VPN Client.
Brauche ich hierfür in der Fritzbox noch was anderes als die Freigabe von 1723 und GRE?
colinardo
colinardo 01.12.2014 aktualisiert um 17:18:06 Uhr
Goto Top
Zitat von @natas78:

Also mit dem Smart VPN Client von Drytek bekomme ich eine VPN SSL Verbindung hin. Denke also, dass es nicht an den
Routereinstellungen liegt, sondern am Browser.
Dito, sagte ich ja die Browser sind inzwischen sehr restriktiv bei falschen Zertifikatsinfos, besonders wenn Java im Spiel ist so wie das bei Draytek per Browser der Fall zu sein scheint. Siehe Link oben.
Eine PPTP Verbindung geht allerdings immernoch nicht, auch nicht mit dem Smart VPN Client.
Nochmal: "Geht nicht" ist keine Fehlermeldung !! Bitte sag und doch was der Client für einen Fehler meldet. Und was sagen die Paketmitschnitte ? Kommen die Pakete auf Port 1723 auf dem Draytek an oder nicht ?

Brauche ich hierfür in der Fritzbox noch was anderes als die Freigabe von 1723 und GRE?
Nein, das reicht in dem Fall aus. Trotzdem würde ich nicht mehr auf das unsichere PPTP setzen sondern es gleich via OpenVPN oder L2TP/IPSec einrichten.

Grüße Uwe
natas78
natas78 07.12.2014 aktualisiert um 18:40:43 Uhr
Goto Top
Also eine eine Verbindung mit dem VPN-Router kommt zustande. Es hapert aber an der Authentifizierung.

Hier mal ein Telnet-Mitschnitt der beiden Verbindungsversuche:

Zunächst der Verbindungsversuch, wenn ich mich im WLAN der Fritzbox befinde (= Fehlschlag).

0:11:24.010 PPP Start (VPN-0)
0:11:56.610 PPP Closed : LCP Time-out (VPN-0)

Danach ein Verbindungsversuch im WLAN des Draytek-VPN-Routers (hier funktioniert es)

0:12:36.050 PPP Start (VPN-0)
0:12:38.710 CHAP Login OK (VPN-0, (Benutzername))
0:12:38.730 IPCP Opening (VPN-0, (Benutzername))
Own IP Address : 192.168.1.254 Peer IP Address

Danach habe ich die Verbindung manuell getrennt.

0:12:41.890 PPP Closed : Remote Terminating (VPN-0, (Benutzername))

Ich habe echt keine Ahnung woran es noch liegen könnte. Bei beiden malen gehe ich über die externe Feste-IP.
colinardo
colinardo 07.12.2014 aktualisiert um 20:08:48 Uhr
Goto Top
Ich habe echt keine Ahnung woran es noch liegen könnte. Bei beiden malen gehe ich über die externe Feste-IP.
Stichwort Hairpin-NAT, bitte versuche die Verbindung von außerhalb deiner Netzwerk direkt aus dem Internet (z.B . via 3G), dann kannst du ein Hairpin-NAT Problem der Fritzbox ausschließen !! Normalerweise haben die Fritten aber keine Probleme mit Harpin NAT, aber überprüfen kann hier nicht schaden ...
Ansonsten helfen uns hier nur noch harte Fakten wie ein Wireshark-Mittschnitt, denn ein LCP Timeout kann mehrere Ursachen haben!