9
Zugriff auf VPN Router (Draytek Vigor 2930) durch Fritzbox (7490)
Hallo,
habe folgendes Problem:
Meine bisherige Konfiguration war die folgende:
Im Draytek Router waren die Anmeldeinfos für den Provider eingetragen und dieser hat Internet, VPN SSL und WLAN ermöglicht.
Nun musste ich aber eine Fritzbox vorschalten.
Das heißt meine jetztige Konfiguration sieht so aus zuerst kommt die Fritzbox (Wan: XXX, LAN 192.168.0.253).
Dann kommt der Draytek Router (WAN 192.168.0.254, LAN 192.168.1.254).
Die Verbindung zwischen Fritzbox und Draytek sieht so aus: Fritz LAN-Port 1 -> Draytek WAN-Port 1
Im Draytek sind die Einstellungen folgende:
WAN:
IP-Adress 192.168.0.254
Gateway: 192.168.0.253
DNS: 192.168.0.253
LAN:
IP-Adress: 192.168.1.254
Gateway: 192.168.1.254
DNS: 192.168.1.254
Fritzbox hat folgende Einstellungen:
Statische IP Route:
Netzwerk: 192.168.1.0
Gateway: 192.168.0.254
DHCP (Draytek: 192.168.1.0, Fritzbox: 192.168.0.0) und WLAN ist bei beiden aktiviert.
So nun das, was ich nicht verstehe:
Wenn ich mich per WLAN von dem Draytek Router verbinde und dann eine VPN SSL Verbindung mit der externen WAN-Adresse von der Fritzbox aufbaue funktioniert alles wunderbar.
Wenn ich in das WLAN der Fritzbox bin und von dort aus die Verbindung versuche kommt keine zustande. Genauso verhält es sich mit allen anderen Verbindungen von extern, die eine VPN SSL aufbauen wollen.
Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP und GRE.
Beide Router sind von einem Computer über die Adressen 192.168.1.254 (Draytek) und 192.168.0.253 (Fritzbox) erreichbar.
habe folgendes Problem:
Meine bisherige Konfiguration war die folgende:
Im Draytek Router waren die Anmeldeinfos für den Provider eingetragen und dieser hat Internet, VPN SSL und WLAN ermöglicht.
Nun musste ich aber eine Fritzbox vorschalten.
Das heißt meine jetztige Konfiguration sieht so aus zuerst kommt die Fritzbox (Wan: XXX, LAN 192.168.0.253).
Dann kommt der Draytek Router (WAN 192.168.0.254, LAN 192.168.1.254).
Die Verbindung zwischen Fritzbox und Draytek sieht so aus: Fritz LAN-Port 1 -> Draytek WAN-Port 1
Im Draytek sind die Einstellungen folgende:
WAN:
IP-Adress 192.168.0.254
Gateway: 192.168.0.253
DNS: 192.168.0.253
LAN:
IP-Adress: 192.168.1.254
Gateway: 192.168.1.254
DNS: 192.168.1.254
Fritzbox hat folgende Einstellungen:
Statische IP Route:
Netzwerk: 192.168.1.0
Gateway: 192.168.0.254
DHCP (Draytek: 192.168.1.0, Fritzbox: 192.168.0.0) und WLAN ist bei beiden aktiviert.
So nun das, was ich nicht verstehe:
Wenn ich mich per WLAN von dem Draytek Router verbinde und dann eine VPN SSL Verbindung mit der externen WAN-Adresse von der Fritzbox aufbaue funktioniert alles wunderbar.
Wenn ich in das WLAN der Fritzbox bin und von dort aus die Verbindung versuche kommt keine zustande. Genauso verhält es sich mit allen anderen Verbindungen von extern, die eine VPN SSL aufbauen wollen.
Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP und GRE.
Beide Router sind von einem Computer über die Adressen 192.168.1.254 (Draytek) und 192.168.0.253 (Fritzbox) erreichbar.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 256310
Url: https://administrator.de/contentid/256310
Ausgedruckt am: 20.11.2024 um 03:11 Uhr
9 Kommentare
Neuester Kommentar
Warum?
So nun das, was ich nicht verstehe:
Wenn ich mich per WLAN von dem Draytek Router verbinde und dann eine VPN SSL Verbindung mit der externen WAN-Adresse von der
Fritzbox aufbaue funktioniert alles wunderbar.
Wenn ich in das WLAN der Fritzbox bin und von dort aus die Verbindung versuche kommt keine zustande. Genauso verhält es sich
mit allen anderen Verbindungen von extern, die eine VPN SSL aufbauen wollen.
Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP
und GRE.
Wenn ich mich per WLAN von dem Draytek Router verbinde und dann eine VPN SSL Verbindung mit der externen WAN-Adresse von der
Fritzbox aufbaue funktioniert alles wunderbar.
Wenn ich in das WLAN der Fritzbox bin und von dort aus die Verbindung versuche kommt keine zustande. Genauso verhält es sich
mit allen anderen Verbindungen von extern, die eine VPN SSL aufbauen wollen.
Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP
und GRE.
Wenn Du von innen Dich auf den externen Port verbindest, kommen manche Router drucheinander. Insbesondere billige Plastikrouter. Wozu soll das überhaupt gut sein? Und warum verbindest Du Dich mit deinem SSl-VPn nicht direkt auf den draytek?
lks
Ich versuche mich ja mit dem Draytek zu verbinden.
Nur klappt das nicht. Ich habe eine feste IP.
Nun gehe ich über diese IP und lande im WAN-Port der Fritzbox. Von dort soll ich über die Portfreigabe mit den Ports 443, 1723 und den weitergeleiteten Protokollen GRE und ESP auf den Draytek Router, welcher dann als VPN-Server die VPNs aufbauen soll.
Nur klappt das von aussen nicht. Das funktioniert nur, wenn ich im WLAN des Draytek Routers bin.
Nur klappt das nicht. Ich habe eine feste IP.
Nun gehe ich über diese IP und lande im WAN-Port der Fritzbox. Von dort soll ich über die Portfreigabe mit den Ports 443, 1723 und den weitergeleiteten Protokollen GRE und ESP auf den Draytek Router, welcher dann als VPN-Server die VPNs aufbauen soll.
Nur klappt das von aussen nicht. Das funktioniert nur, wenn ich im WLAN des Draytek Routers bin.
Hallo natas78, Willkommen auf Administrator.de!
Du sprichst hier nur von einem SSL-VPN welches die Clients aufbauen sollen, nicht PPTP oder einem IPSec-Tunnel, sehe ich das richtig ?
ESP und GRE und Port 1723 haben mit dem SSL-VPN nun überhaupt nichts am Hut und werden nur für IPSec (ESP[50]) bzw. PPTP[1723,GRE] Verbindungen benötigt!!
Wichtig für das SSL-VPN: Das verwendete Server-Zertifikat auf dem Draytek sollte als Common-Name entweder die externe feste IP oder den Domain-Name enthalten unter dem du dich von extern verbindest! Bei selbst signierten Zertifikaten beachte auch folgende Seite:
http://www.draytek.com/index.php?option=com_k2&view=item&id=203 ...
Ob die VPN-Pakete erfolgreich am Draytek ankommen lässt sich schnell mit Wireshark und einem Paket-Mittschnitt auf der Fritzbox klären.
Bitte teile uns doch die Fehlermeldung deines VPN-Clients mit. "Geht nicht" ist keine aussagekräftige Fehlermeldung. Merci.
Grüße Uwe
Du sprichst hier nur von einem SSL-VPN welches die Clients aufbauen sollen, nicht PPTP oder einem IPSec-Tunnel, sehe ich das richtig ?
Die TCP-Ports 443, 1723 werden von der Fritzbox an den Draytek Router (192.168.0.254) weitergeleitet. Ebenso die Protokolle ESP und GRE.
Wenn ja, dann benötigst du nur eine Weiterleitung von Port 443 auf der Fritzbox für die SSL-VPN Variante von Draytek !ESP und GRE und Port 1723 haben mit dem SSL-VPN nun überhaupt nichts am Hut und werden nur für IPSec (ESP[50]) bzw. PPTP[1723,GRE] Verbindungen benötigt!!
Wichtig für das SSL-VPN: Das verwendete Server-Zertifikat auf dem Draytek sollte als Common-Name entweder die externe feste IP oder den Domain-Name enthalten unter dem du dich von extern verbindest! Bei selbst signierten Zertifikaten beachte auch folgende Seite:
http://www.draytek.com/index.php?option=com_k2&view=item&id=203 ...
Ob die VPN-Pakete erfolgreich am Draytek ankommen lässt sich schnell mit Wireshark und einem Paket-Mittschnitt auf der Fritzbox klären.
Bitte teile uns doch die Fehlermeldung deines VPN-Clients mit. "Geht nicht" ist keine aussagekräftige Fehlermeldung. Merci.
Grüße Uwe
Die Ports 1723 und die Protokolle ESP UND GRE hab ich benutzt, um das vor Ort zu überprüfen. D.h. ich versuche übers iPhone eine PPTP-Verbindung vom Mobilnetz aufzubauen. Das klappt auch nur, wenn ich WLAN am iPhone aktiviert habe und dann im WLAN des Drytek Routers bin.
Wäre natürlich schön, wenn VPN SSL und PPTP gehen würde.
Ich werde das mit dem Zertifikat mal ausprobieren und die Pakete mal mitschneiden.
VG
Martin
Wäre natürlich schön, wenn VPN SSL und PPTP gehen würde.
Ich werde das mit dem Zertifikat mal ausprobieren und die Pakete mal mitschneiden.
VG
Martin
Weitere Hilfen für heterogenen IPsec VPN Betrieb findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Also mit dem Smart VPN Client von Drytek bekomme ich eine VPN SSL Verbindung hin. Denke also, dass es nicht an den Routereinstellungen liegt, sondern am Browser.
Eine PPTP Verbindung geht allerdings immernoch nicht, auch nicht mit dem Smart VPN Client.
Brauche ich hierfür in der Fritzbox noch was anderes als die Freigabe von 1723 und GRE?
Eine PPTP Verbindung geht allerdings immernoch nicht, auch nicht mit dem Smart VPN Client.
Brauche ich hierfür in der Fritzbox noch was anderes als die Freigabe von 1723 und GRE?
Zitat von @natas78:
Also mit dem Smart VPN Client von Drytek bekomme ich eine VPN SSL Verbindung hin. Denke also, dass es nicht an den
Routereinstellungen liegt, sondern am Browser.
Dito, sagte ich ja die Browser sind inzwischen sehr restriktiv bei falschen Zertifikatsinfos, besonders wenn Java im Spiel ist so wie das bei Draytek per Browser der Fall zu sein scheint. Siehe Link oben.Also mit dem Smart VPN Client von Drytek bekomme ich eine VPN SSL Verbindung hin. Denke also, dass es nicht an den
Routereinstellungen liegt, sondern am Browser.
Eine PPTP Verbindung geht allerdings immernoch nicht, auch nicht mit dem Smart VPN Client.
Nochmal: "Geht nicht" ist keine Fehlermeldung !! Bitte sag und doch was der Client für einen Fehler meldet. Und was sagen die Paketmitschnitte ? Kommen die Pakete auf Port 1723 auf dem Draytek an oder nicht ?Brauche ich hierfür in der Fritzbox noch was anderes als die Freigabe von 1723 und GRE?
Nein, das reicht in dem Fall aus. Trotzdem würde ich nicht mehr auf das unsichere PPTP setzen sondern es gleich via OpenVPN oder L2TP/IPSec einrichten.Grüße Uwe
Also eine eine Verbindung mit dem VPN-Router kommt zustande. Es hapert aber an der Authentifizierung.
Hier mal ein Telnet-Mitschnitt der beiden Verbindungsversuche:
Zunächst der Verbindungsversuch, wenn ich mich im WLAN der Fritzbox befinde (= Fehlschlag).
0:11:24.010 PPP Start (VPN-0)
0:11:56.610 PPP Closed : LCP Time-out (VPN-0)
Danach ein Verbindungsversuch im WLAN des Draytek-VPN-Routers (hier funktioniert es)
0:12:36.050 PPP Start (VPN-0)
0:12:38.710 CHAP Login OK (VPN-0, (Benutzername))
0:12:38.730 IPCP Opening (VPN-0, (Benutzername))
Own IP Address : 192.168.1.254 Peer IP Address
Danach habe ich die Verbindung manuell getrennt.
0:12:41.890 PPP Closed : Remote Terminating (VPN-0, (Benutzername))
Ich habe echt keine Ahnung woran es noch liegen könnte. Bei beiden malen gehe ich über die externe Feste-IP.
Hier mal ein Telnet-Mitschnitt der beiden Verbindungsversuche:
Zunächst der Verbindungsversuch, wenn ich mich im WLAN der Fritzbox befinde (= Fehlschlag).
0:11:24.010 PPP Start (VPN-0)
0:11:56.610 PPP Closed : LCP Time-out (VPN-0)
Danach ein Verbindungsversuch im WLAN des Draytek-VPN-Routers (hier funktioniert es)
0:12:36.050 PPP Start (VPN-0)
0:12:38.710 CHAP Login OK (VPN-0, (Benutzername))
0:12:38.730 IPCP Opening (VPN-0, (Benutzername))
Own IP Address : 192.168.1.254 Peer IP Address
Danach habe ich die Verbindung manuell getrennt.
0:12:41.890 PPP Closed : Remote Terminating (VPN-0, (Benutzername))
Ich habe echt keine Ahnung woran es noch liegen könnte. Bei beiden malen gehe ich über die externe Feste-IP.
Ich habe echt keine Ahnung woran es noch liegen könnte. Bei beiden malen gehe ich über die externe Feste-IP.
Stichwort Hairpin-NAT, bitte versuche die Verbindung von außerhalb deiner Netzwerk direkt aus dem Internet (z.B . via 3G), dann kannst du ein Hairpin-NAT Problem der Fritzbox ausschließen !! Normalerweise haben die Fritten aber keine Probleme mit Harpin NAT, aber überprüfen kann hier nicht schaden ...Ansonsten helfen uns hier nur noch harte Fakten wie ein Wireshark-Mittschnitt, denn ein LCP Timeout kann mehrere Ursachen haben!
