Workaholic4u 10 Geschrieben 13. September 2005 Melden Teilen Geschrieben 13. September 2005 Hi! Ich hab grad ein Problem. Ich suche mich grad dumm und dmlich habe jedes thema was mir due Suchfunktion zum thema NAT-T rausgeschmissen hat durch. Thema: NAT-T. Ich habe einen Client der sich über seinen DSL Router (NAT) in einen Vigor VPN Einwahlrouter einwählen will. Der DSL Router ist direkt mit dem Internet verbunden. Der Einwahlrouter auch. Client -> NAT Router -> Internet -> Vigor Einwahlrouter geht das ohne NAT-T? Ich dreh gleich durch wenn mir keiner hilft ich schmeiss die Konstellationen immer wieder durcheinander. Aber soweit ich das Richtig verstanden habe braucht ich NAT-T doch nur hier: Client -> NAT Router -> Internet -> NAT Router-> Vigor Einwahlrouter oder RAS/VPN Server Oder brauche ist es bei beiden? Habe leider keine möglichkeit es zu testen :( Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. September 2005 Melden Teilen Geschrieben 13. September 2005 NAT-Traversal (UDP 4500) benötigst Du immer dann, wenn zwischen den beiden Parteien einer IPSec-Verbindung ein NAT-Gerät steht, egal auf welcher Seite. Würdest Du Dich mit Deinem Client direkt ins Internet einwählen, bräuchtest Du kein NAT-T, da keiner der beiden Parteien seine IKE-Pakete (UDP 500) durch ein NAT-Gerät schicken muss. Diese Beschreibung ist nicht so laienhaft :D http://www.microsoft.com/technet/community/columns/cableguy/cg0802.mspx Zitieren Link zu diesem Kommentar
Workaholic4u 10 Geschrieben 13. September 2005 Autor Melden Teilen Geschrieben 13. September 2005 Tausend Dank! Hat es irgendwer schon mal geschafft eine IPSec Einwahl mit Hilfe von NAT-T zustande zu bekommen? Nur so ne Frage ich habe bisher nur Post von Probleme gefunden... keiner berichtetet ob es geklappt hat am Ende. :D Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. September 2005 Melden Teilen Geschrieben 13. September 2005 Ja, bei fast allen Installationen, die ich mache, unter anderem auch mit Vigor-Watchguard Kombinationen ... Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 13. September 2005 Melden Teilen Geschrieben 13. September 2005 hi also was ich annehme bei nat-t ist folgendes: nat-t wurde beim serive-pack 2 für xp standradmäsig wieder deaktiviert, weil es ein sicherheitsrisiko darstellte... nat-t macht meines erachtens nach nichts anderes, als in der phase 2 des tunnelaufbaues keine überprüfung der quell und der ziel ip´s ! Und somit ist dann nat egal ! ich hoffe das stimmt wenn nicht soll mich einer des besseren belehren ! lg rossi Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. September 2005 Melden Teilen Geschrieben 14. September 2005 Noch was zum Thema NAT-T und Windows ... http://www.windowsecurity.com/articles/NAT-Traversal-Security.html http://support.microsoft.com/default.aspx?scid=kb;en-us;818043 Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 14. September 2005 Melden Teilen Geschrieben 14. September 2005 Hi Workaholic, Deine Konstellation ist genau wie unsere hier in der Firma: WinXP Pro zu Hause -> NAT Router (Vigor2200W+) -> Internet -> Einwahl VPN Router Firma (Vigor 2900G) -> LAN Firma Die Vigors sind keine NAT-T Router. Deshalb funzt es mit IPSec nicht. L2TP habe ich lange versucht - habe aber keinen gemeinsamen Nenner gefunden. Das kleinste gemeinsame Vielfache lautet PPTP. Mit PPTP gehts aber gut. Um der Sicherheit wenigstens halbwegs gerecht zu werden läuft das Ganze mit MPPE 128bit (Micrososft Point to Point Encryption) sowie CHAP/MSCHAP (verschlüsseltes PW). Bei aufgebautem VPN Tunnel zeigt der VPN Vigor auch eine verschlüsselte Verbindung an. Zu Hause muss der Router (Firewall) PPTP Port 1723 in/out durchlassen sowie GRE Pakete. Der VPN Einwahlrouter hat nur den VPN Service PPTP aktiviert - damit ist Port 1723 u.s.w automatisch offen. Du musst also die FW Regeln hier nicht bearbeiten. Gruß Mülli Zitieren Link zu diesem Kommentar
Workaholic4u 10 Geschrieben 14. September 2005 Autor Melden Teilen Geschrieben 14. September 2005 Danke! Das der Vogor Router kein NAT-T macht, daran habe ich bisher überhaupt nicht gedacht... Ich habe es gestern mal mit einem 56 K Internert Anschluss probiert, d.h. ich habe mich bei einem bkannten an sein XP Rechner gesetzt und mich versucht per PPTP in meinen Vigor Router zuhause einzuwählen... mit Erfolg. PPTP geht Leider nur mit CHAP nicht MSCHAP oder MSCAP V2. Das macht mein Vigor V2200 series anscheindend nicht. Dann habe ich das ganze auf L2TP und IP Sec konfiguriert mit einem PreShared Key, den ich auf beiden Seiten eingegeben habe. Dann bekomme ich jedoch immer: Fehler 792: Der L2TP Verbindungsversuch ist fehlgeschlagen, da die Sicherheitsaushandelung das Zeitlimit überschritten hat Ich habe jede Einstellung durch und Stundelang probiert... ich hab es nicht hinbekommen eine L2TP IPSec Verbindung aufzubauen :( Hat jemand einen Tipp? Ich meine PPTP geht... und wie gesagt das war ein Rechner der über ein 56K Modem mit dem Internet verndunden war kein NAT oder so. Der Einwahlrouter ist ja auch direkt mit dem Internet verbunden auch kein NAT dazwischen... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. September 2005 Melden Teilen Geschrieben 14. September 2005 Ich verbinde mich mit meiner Maschine von zu Hause auch mit externen Firmen. Die Verbindung ist entweder PC --> Vigor 2900G --> Internet --> Watchguard Firebox --> Externe Firma oder PC --> Vigor 2900G --> Internet --> Vigor mit dyn. Adresse --> Firebox --> Externe Firma Ich benutze allerdings kein L2TP/IPSec sondern nur IPSec. Ich verbinde mich mit Hilfe eines Safenet-Clients mit der VPN-Appliance. Die Verbindung zu meinem Vigor von der Firma aus realisiere ich allerdings auch nur mit PPTP, da die L2TP-Verbindung auch nicht so recht klappen wollte. Eine Verbindung mit dem Safenet-Client zu Vigor wird zwar hergestellt, aber es fliessen keine Daten (weiss im Moment auch nicht, worauf ich dieses Verhalten zurückführen soll :suspect: ) edit: der 2200er beherrscht NAT-T, diese Geräte setzen wir als Zugangsrouter ein bei Firmen, die keine feste IP-Adresse bezahlen wollen. Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 14. September 2005 Melden Teilen Geschrieben 14. September 2005 Hi again, @IThome bist Du Dir sicher, dass Dein 2200er NAT-T kann? Ist das ein neueres Gerät? Mein alter 2200erW+ und auch unser neuer 2900er in der Firma können das definitiv nicht. Auch in den Vigor Spezial Foren ist nichts davon zu hören. @workoholic Aber erst mal egal. Wenn zu Hause ein Router steht, der VPN Client aber der Windows Rechner ist, muss der Router VPN Pass Through können oder aber ein NAT-T Router sein. VPN Pass through macht der Vigor mit einigen Umwegen bei den Firewall Regeln, da er das GRE Protokoll explizit nicht kennt. Alternativ könnte man versuchen, den Vigor Router als VPN Client arbeiten zu lassen, der dann quasi die beiden Netzwerke verbindet. Die Funktion hat er auf jeden Fall. Habe ich selber aber noch nicht getestet. Wenn man dagegen direkt am Netz hängt (ohne NAT Router) könnte man natürlich auch eine VPN IPSec Verbindung (sogar im Tunnel Mode) aufbauen. Dafür nutzt man am Besten einen anderen VPN Client als den Windows-eigenen. Auf der Vigor CD wird z.B. immer der Smart-VPN Client von DrayTek mitgeliefert. Wenn der Firmen Router, wie in diesem Fall, auch der VPN Server ist, muss dieser kein NAT-T oder pass through beherrschen, da er ja quasi nichts durchleiten muss. Gruß Mülli Zitieren Link zu diesem Kommentar
Workaholic4u 10 Geschrieben 14. September 2005 Autor Melden Teilen Geschrieben 14. September 2005 Hi again, @IThome bist Du Dir sicher, dass Dein 2200er NAT-T kann? Ist das ein neueres Gerät? Mein alter 2200erW+ und auch unser neuer 2900er in der Firma können das definitiv nicht. Auch in den Vigor Spezial Foren ist nichts davon zu hören. @workoholic Aber erst mal egal. Wenn zu Hause ein Router steht, der VPN Client aber der Windows Rechner ist, muss der Router VPN Pass Through können oder aber ein NAT-T Router sein. VPN Pass through macht der Vigor mit einigen Umwegen bei den Firewall Regeln, da er das GRE Protokoll explizit nicht kennt. Alternativ könnte man versuchen, den Vigor Router als VPN Client arbeiten zu lassen, der dann quasi die beiden Netzwerke verbindet. Die Funktion hat er auf jeden Fall. Habe ich selber aber noch nicht getestet. Dann bräuchte man ja aber zwei Vigor Router auf beiden seiten... dann könnten man diese LAN-to-LAN Dial IN Funktion benutzen. Bisher würde ich es gern über einen Vigor Router realisieren. Also ein Vigor Router an der anderen seite ein Client der Direkt über DSL mit dem Internet verbunden ist Wenn man dagegen direkt am Netz hängt (ohne NAT Router) könnte man natürlich auch eine VPN IPSec Verbindung (sogar im Tunnel Mode) aufbauen. Dafür nutzt man am Besten einen anderen VPN Client als den Windows-eigenen. Auf der Vigor CD wird z.B. immer der Smart-VPN Client von DrayTek mitgeliefert. Warum diesen Smart VPN Client macht der es besser als dier Standard Client von Windows? Habe von dem teil schon auf http://www.vigor-users.de gelesen. Wenn der Firmen Router, wie in diesem Fall, auch der VPN Server ist, muss dieser kein NAT-T oder pass through beherrschen, da er ja quasi nichts durchleiten muss. hm... dachte ich mir doch auch... warum ich dann keine L2TP IPSec Verbindung afbauen konnte gestern, keine ahung! Ich ziehe demnächst um und will mir einen Neuen Router mit WLAN zulegen, hat jemand einen tipp für ein gutes gerät welches nicht ganz so zickickig ist mit VPN usw. und welcher evtl. auch noch NAT-T macht? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. September 2005 Melden Teilen Geschrieben 14. September 2005 @Muelli Du hast recht, der 2200er unterstützt kein NAT-T,genauso wenig wie der 2900er, das war der 2500er, ich glaub der V. In der Konfiguration, die ich beschrieben habe, muss er das auch nicht, da er nur die Ports UDP 500 und UDP 4500 nach innen zur Watchguard leitet, die NAT-T beherrscht. Der Router zu Hause muss es auch nicht können, da er die Verbindung nicht herstellt, sondern nur durchleitet. Der Client ist derjenige, der diese Funktionalität liefern muss. Im Prinzip ist es so, wie bei Dir zwischen dem Heimrechner und Deiner Firma, mit der Ausnahme, dass unser Vigor die VPN-Verbindung nicht terminiert, sondern das dahinter befindliche Gerät, welches NAT-T beherrscht. Sorry, das edit: hätte ich mir sparen können, NAT-T ist natürlich was anderes als Passthrough :( Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 14. September 2005 Melden Teilen Geschrieben 14. September 2005 Hi workoholic, Dann bräuchte man ja aber zwei Vigor Router auf beiden seiten ich dachte Du hast zwei Router? Egal, ... bei Direkteinwahl ist es um so einfacher ;) Der Smart VPN Client von Draytek ist ja quasi auf den Router abgestimmt - sollte man meinen. Ich habe es zwar damit fertig gebracht einen L2TP Tunnel aufzubauen, dieser war allerdings sehr langsam. Eine Datenübertragung kam quasi nicht wirklich zustande (nur über Modem und ISDN getestet). Am Ende gehe ich zu Hause über einen Router rein und mein Chef auch. Also blieb eh nur PPTP übrig (da beide keine NAT-T Router). Gruß Mülli Zitieren Link zu diesem Kommentar
Workaholic4u 10 Geschrieben 14. September 2005 Autor Melden Teilen Geschrieben 14. September 2005 @MuelliDu hast recht, der 2200er unterstützt kein NAT-T,genauso wenig wie der 2900er, das war der 2500er, ich glaub der V. In der Konfiguration, die ich beschrieben habe, muss er das auch nicht, da er nur die Ports UDP 500 und UDP 4500 nach innen zur Watchguard leitet, die NAT-T beherrscht.Der Router zu Hause muss es auch nicht können, da er die Verbindung nicht herstellt, sondern nur durchleitet. Der Client ist derjenige, der diese Funktionalität liefern muss. :suspect: Bumms und schon wieder komme ich durcheinander genau dieser Gedanke hat mich immer ins Schleudern gebracht... Wenn wir uns nochmal deine Konfiguration ansehen: PC --> Vigor 2900G --> Internet --> Watchguard Firebox --> Externe Firma Habe ich gerade richtig verastanden das du gesagt hasst: Du baust die Verbindung von dem PC zur Watchguard Firebox auf? und brauchst dazu kein NAT-T? Oder wie jetzt... ???? Die Frage ist glaube ich baust du mit dem PC die Verbindung auf oder mit dem Vigor 2900? Oder meintest du damit nun folgende Konfig? PC --> Vigor 2900G --> Internet --> Vigor mit dyn. Adresse --> Firebox --> Externe Firma Im Prinzip ist es so, wie bei Dir zwischen dem Heimrechner und Deiner Firma, mit der Ausnahme, dass unser Vigor die VPN-Verbindung nicht terminiert, sondern das dahinter befindliche Gerät, welches NAT-T beherrscht. Sorry, das edit: hätte ich mir sparen können, NAT-T ist natürlich was anderes als Passthrough :( ? d.h. Ihr habt den Vigor mit dyn. Adresse beigebracht die entsprechnden Ports durchzulassen? Oder wie jetzt? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. September 2005 Melden Teilen Geschrieben 14. September 2005 Bei beiden Konfigurationen müssen die Partner NAT-T beherrschen, in der ersten ist das NAT-Gerät auf der Client-Seite, in der zweiten sind auf beiden Seiten NAT-Geräte. In der ersten Konfiguration hat die Firebox eine feste IP-Adresse und mein Vigor zu Hause hat eine dynamische. Ich verbinde mich mit dem PC, auf dem der Safenet-Client installiert ist, mit der Firebox. In der zweiten Konfiguration leitet der Zugangsrouter auf der Firmenseite UDP 500 und UDP 4500 an die interne Firebox weiter (auf diesem Router ist der IPSec-Zugang deaktiviert, er selbst kann also keine IPSec-Verbindungen mehr annehmen). Die Firebox und mein Client unterstützen NAT-T, der Router zu Hause leitet die entsprechenden Pakete durch und der Zugangsrouter in der Firma macht ein Port-Forwarding der entsprechenden Ports zur Firebox. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.