schneidi 10 Geschrieben 21. April 2005 Melden Teilen Geschrieben 21. April 2005 Hallo! Ich versuche, von zu Hause (Windows-XP) auf einen VPN-Router mittels L2TP over IPSec zuzugreifen. Das funktioniert auch gut, solange ich meine Netzwerkkarte direkt mit dem DSL-Modem verbinde. Gehe ich über meinen DSL-Router, verhuntzt mir vermutlich das NAT die IPSec-Authentifizierung. Angeblich soll mit NAT-T das Problem ja behoben sein, ich habe nun Win XP SP2 (wo angeblich NAT-T mit drin ist), aber es geht trotzdem nicht. Ich habe am Router die NAT-Funktion für die Ports UDP 500, 1701, 4500 freigeschaltet (einfache Abbilung von diesen Ports auf diese Ports). Dann habe ich den "virtuellen Server" auf die gleichen Ports eingestellt. Leider kann der Router hier keine anderen Protokolle als TCP und UDP. Gibt es *irgendeine* Möglichkeit, das trotzdem über den Router zu schicken? Kann man vielleicht irgendwie in Windows "erzwingen", dass das VPN nur über TCP/UDP läuft? Zitieren Link zu diesem Kommentar
alexstarke 10 Geschrieben 21. April 2005 Melden Teilen Geschrieben 21. April 2005 Nein. Du brauchst für VPN weitere Protokolle. Wenn dein Router kein IPSEC Tiunneling unterstützt brauchst du nen anderen. Zitieren Link zu diesem Kommentar
schneidi 10 Geschrieben 21. April 2005 Autor Melden Teilen Geschrieben 21. April 2005 Hi Alex, danke für die Antwort. Ich habe in anderen Foren Beiträge gefunden, wo Leuten geraten wird, verschiedene Ports aufzumachen; einige hatten angeblich damit auch erfolg. Ist das alles Humbug? Zitieren Link zu diesem Kommentar
tschoschua 10 Geschrieben 21. April 2005 Melden Teilen Geschrieben 21. April 2005 Vielleicht hilft das: http://www.nwtraders.at/Dokumente/L2TP%20und%20NAT-T%20in%20Windows%20XP%20Service%20Pack%202.aspx gruzz Zitieren Link zu diesem Kommentar
schneidi 10 Geschrieben 21. April 2005 Autor Melden Teilen Geschrieben 21. April 2005 Danke, hatte ich schon versucht. Hatte alle 3 Werte mal in die Reg gehackt, leider ohne Erfolg. VPN-Server ohne NAT 0 VPN-Server hinter NAT, Client ohne NAT 1 VPN-Server und -Client hinter NAT 2 Lustig ist auch: Meine Version (VPN-Server ohne NAT, Client hinter NAT) ist nicht aufgeführt/möglich... Irgendwie kann mein VPN-Router (Draytek) wohl kein NAT-T, oder ich muß noch was anderes machen. Zitieren Link zu diesem Kommentar
tschoschua 10 Geschrieben 21. April 2005 Melden Teilen Geschrieben 21. April 2005 Hast du eine SUA/NAT regel die ein Portforwarding auf deine fixe (benötigt) IP adresse macht? oder lieg ich da mir der vermutung falsch? hab nicht viel erfahrung mit L2TP.. ich beschränkä mich auf IPsec.. Zitieren Link zu diesem Kommentar
schneidi 10 Geschrieben 21. April 2005 Autor Melden Teilen Geschrieben 21. April 2005 Hallo und danke für die Hilfsbereitschaft! Bin mir leider nicht ganz sicher, was Du meinst. Ich habe im Router das NAT auf den Ports fest gesetzt, die ich so zusammensuche konnte (UDP 500, 1701, 1723, 113, 4500). Dort kann ich nur einen Trigger Port angeben und einen Public Port. Die habe ich immer gleich gesetzt (1701/1701, UDP). Sonst hat der Router noch einen "Virtuellen Server", der wohl für eingehende Verbindungen da ist. Auch hier habe ich mal getestet, die o.g. Ports auf die interne IP meines PCs zu mappen. Beides hat bisher nichts gebracht. Ich habe den Client-PC auch schon mal als DMZ angegeben - auch nix. *Added* Eine Verbindung L2TP OHNE IPSec geht übrigens. Scheint also ein IPSec-Problem zu sein. Also entweder die Protokolle, oder das NAT... Zitieren Link zu diesem Kommentar
alexstarke 10 Geschrieben 22. April 2005 Melden Teilen Geschrieben 22. April 2005 bist du sicher, dass du bei deinem "funktionierenden" VPN auch von L2TP redest und nicht von PPTP? Viele Router unterstützen PPTP tunneling aber IPSec (L2TP) sind schon weniger... Mein alter Router z.B. konnte auch PPTP ohne probleme (Port 1723 und Protokoll 43 GRE) Jedoch kein Verbindungsaufbau per L2TP möglich. Die Ports die du angegeben hast sind eigentlich schon zu viele. Port 500 und 1701 wird für IPSec (L2TP) benötigt. die 1723 ist PPTP. Wie du auf 113 und 4500 kommst weiß ich nicht. Der menüpunk "Virtueller Server" ist der richtige in deinem Router. Das Porttriggering ausschalten. Und nochmal kontrollieren ob du auch keine firewallregeln die es verhindern im router hast (die meisten router haben ja filterregeln). Wenn du den VPN-Server in die DMZ stellst MUSS es gehen. Wenn es dann nicht geht liegt es definitiv am router oder an einer filterregel. Auf jeden Fall nicht mehr an den Ports da bei DMZ ALLE anfragen von aussen auf den jeweiligen PC gemapped wird. Zitieren Link zu diesem Kommentar
schneidi 10 Geschrieben 22. April 2005 Autor Melden Teilen Geschrieben 22. April 2005 bist du sicher, dass du bei deinem "funktionierenden" VPN auch von L2TP redest und nicht von PPTP? Ja, man kann prinzipiell zu dem VPN-Router eine unverschlüsselte L2TP-Verbindung aufbauen und eine verschlüsselte L2TP over IPSec. Letzteres scheitert, wenn der NAT-DSL-Router hinter dem Client hängt, geht aber, wenn ich den Rechner direkt ans DSL-Modem stöpsele. Wenn du den VPN-Server in die DMZ stellst MUSS es gehen. Wenn es dann nicht geht liegt es definitiv am router oder an einer filterregel.Auf jeden Fall nicht mehr an den Ports da bei DMZ ALLE anfragen von aussen auf den jeweiligen PC gemapped wird. Nur, um sicher zu sein, dass wir vom gleichen reden :wink2: : Ich habe zu Hause ein Windows XP, davor ein NAT-DSL-Router, um ins Internet zu gehen. Das ist der Client, der die Verbindung aufbaut. Der Server selbst ist der VPN-Router auf der Gegenseite (Firmennetzwerk). Oder verwechsele ich da was?! Bist Du sicher, dass ich dann "Virtueller Server" nehmen muß? Ich dachte, der sei für eingehende Verbindungen, die VPN-Verbindung ist aber "ausgehend". Wie gesagt: Ich hatte die lokale IP des Client-PCs schon mal in die DMZ des NAT-DSL-Routers gepackt - ohne Erfolg. Könnte es sein, dass der NAT-DSL-Router generell das IPSec sperrt, weil da ja - ohne NAT-T - andere Protokolle gefahren werden? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 22. April 2005 Melden Teilen Geschrieben 22. April 2005 Ja, man kann prinzipiell zu dem VPN-Router eine unverschlüsselte L2TP-Verbindung aufbauen und eine verschlüsselte L2TP over IPSec. Ist mir neu L2TP an sich bietet keine Verschlüsselung, das ist korrekt, aber es funktioniert nur in Verbindung mit IPSec als Verschlüsselungsprotokoll. "L2TP over IPsec" gibt es auch nicht, mir scheint da noch ein wenig die Grundlage zu fehlen, was da was ist. Egal, XPSP2 macht definitiv! L2TP mit IPSec auch über NAT, allerdings mit Registry abändern: http://support.microsoft.com/default.aspx?scid=kb;en-us;885407 grizzly999 Zitieren Link zu diesem Kommentar
alexstarke 10 Geschrieben 22. April 2005 Melden Teilen Geschrieben 22. April 2005 also eine unverschlüsselte L2TP wüsste ich auch nix von! Daher die Frage mit PPTP. Ich habe von der eingehenden Siete geredet. hatte ich falsch verstanden. Dann kann es nur an Filterregeln liegen, oder das der Router es nicht unterstützt. Das Portmapping ist immer für eingehende verbindungen sowie die DMZ auch. ast Zitieren Link zu diesem Kommentar
schneidi 10 Geschrieben 22. April 2005 Autor Melden Teilen Geschrieben 22. April 2005 Ok, Filterregeln sind definitiv aus, also neuer Router :rolleyes: Danke für die Hilfe!! :thumb1: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.