Ich habe hier auf einem Notebook einen VPN-Client, der übers Modem auch eine gesicherte VPN-Verbindung zum Zielrouter aufbauen kann.
Zuhause möchte ich das Ganze per DSL über einen FritzBox Fon WLAN-Router machen. Angeblich unterstützt der IPSec Pass-Through.
Allerdings funktionierts nicht, ich bekomme keine Verbindung zum Ziel-Router.
Habe gehört, daß dafür evtl. Ports auf dem Router freigegeben werden müssen. Kennt sich jemand damit aus?
googel nach deiner vpn soft und ports ;-)
wenn der router keinen vpn server hat mußt du einen auf dem ziel pc einrichten. vpn und nat machen oft schwierigkeiten.
Danke für die schnelle Antwort.
Gegoogelt hab ich danach schon, kam aber nix bei raus.
Der VPN-Client is'n Tool speziell für den Router der Firma...
Dieser Router kann als VPN-Server fungieren und ist auch so konfiguriert.
Lediglich mein Router daheim muß den VPN-Tunnel des Clients durchlassen.
Habe gestern mit der Hotline von AVM telefoniert, die Firtz!Box Fon WLAN unterstützt IPSec Pass-Through, lässt also wohl ungehindert 'nen VPN-Tunnel durch.
Allerdings müssen dafür bestimmte Ports freigegeben werden.
Der Service wollte mir 'ne Anleitung dafür schicken, es kamen aber nur Hinweise mit etwaigen Einschränkungen beim VPN-Betrieb. Hat mir leider net weitergeholfen, werd da nochmal anrufen....
Ich hab` ne Fritz!Box DSL ohne WLAN und ohne Fon. Gleiches Problem: Kein Tunneling, obwohl die Ports UDP 500, TCP 50 und 51 und ESP geforwarded werden. Nutze ich aber die Box als Modem funktioniert alles.
Für was hast Du TCP 50 und 51 freigegeben?
Wie sieht Deine Verbindung aus (Sicherheit / Verschlüsselung)?
Ich will eine Verbindung per L2TP/IPSec aufbauen, als Verschlüsselung benutze ich 3DES.
Habe dazu auf dem Fritz!-Spielzeug die Ports 500/UDP, 1701/TCP und 1723/TCP sowie ESP freigegeben. Ich bekomme eine Verbindung zum Router, allerdings überträgt er die Authentifizierung nicht oder nicht vollständig!
Es kommt dann die Meldung, daß Benutzername und/oder Passwort falsch sind.
Allerdings klappt das mit einer Modem-Verbindung, wenn ich mit dem Client NICHT über einen Router ins Internet gehe, problemlos.
Ich vermute daher, daß noch mehrere Ports freigegeben werden müssen...
Laut AVM, die ich mittlerweile schon 6 Mal angerufen habe, kann die Fritz!Box mit VPN-Verbindungen umgehen.
Über TCP 50 kommt das ESP-Protokoll und Port 51 soll lt. Microdoof für den Authentication Header (AH) freigeschaltet werden.
Meine Konfiguration läuft über IPSec X.509 Zertifikate - also ohne Passwortabfrage.
Meine Personal Firewall habe ich entsprechend konfiguriert, und wie bei Dir funktioniert die Verbindung bei Modem-Betrieb. Bei Router-Betrieb: Fehlanzeige. Ich komme über die Nachricht "IP-Sicherheit wird verhandelt" nicht hinaus. Die Gegenstelle verzeichnet keinen Konnekt.
Die Ports 1701 und 23 brauche ich nicht freigeben, da ich kein L2TP/LSF oder PPTP nutze.
Weiß jetzt net, wie's bei Dir im Fritz!Box-Webinterface aussieht, aber bei mir kann ich bei "Portfreigaben" als Protokoll "ESP" auswählen. Einen Port kann ich dabei net angeben.
Werde aber mal versuchen, zusätzlich noch 50/TCP freizugeben, vielleicht klappt's ja dann....
Mit X.509-Zertifikaten arbeite ich noch nicht, die Zeit drängt und die Zert-Sache scheint ja eine Geschichte für sich zu sein....
Den Auth Header (AH) braucht man ja nur, wenn man 'ne Verbindung über die sogen "mittlere Sicherheit" herstellt, oder? Weiß jemand, wie sicher die ist? Ich glaube, daß ich mit AH eher 'ne Chance hätte als über ESP...
Aber die Sicherheit spielt halt schon 'ne nicht unbedeutende Rolle....
Bei der Port-Freigabe habe ich auch ESP freigegeben; zusätzlich habe ich Port 50 geforwarded/wer weiss ... Ich glaub, wir haben nun alles, was helfen sollte ausprobiert.
Das mit den X.509-Zerts ist ne feine Sache und mit dem Büro-Router sehr einfach zu konfigurieren. Wir nutzen hierfür spam-out (www.spam-out.de).
hatte das gleiche Problem, das heißt kein VPN mit FritzFonBox.
Das Problem ließ lösen durch Vergabe fester IP-Adressen, d.h. am Client feste IP einstellen,
(192.168.178.2 - .20), als Ports habe ich 500 UDP und TCP freigegeben und natürlich ESP.
Bei XP und Win2000 sollte der microsoft Patch 818043IPSec installiert werden. Was definitiv nicht geht, ist AH.
Dazu müsste man auf NAT-Traversal umsteigen.
Das gibt mal wieder Hoffnung, Du sagst es geht mit statischen IPs im lokalen Netz?
Ich hab festgestellt, daß mein Client (SmartVPN -> Draytek) nur dann eine Verbindung aufbaut, wenn ich vorher die Befehle "ipconfig /release" und "ipconfig /renew" abgesetzt habe.
Weiß nicht, ob ich den Patch schon drauf habe, der Client knallt bei der Installation was drauf (ProhibitIPSec registry value), wobei er auch auf'n Dokument in der MS Knowledge-Base verweist.
Welche Ports hast Du denn jetzt definitiv freigegeben?
500/UDP + 500/TCP + ESP? Mehr nicht?
Und welche Sicherheit setzt Du bei Deiner Verbindung ein?
Ich krieg jetzt eine Verbindung über die Fritz!Box hin.
Der Router in der Firma (ein Draytek Vigor 2600) nimmt auch meine Anmeldedaten an und weist mir eine IP-Adresse zu.
Nur:
Als Standardgateway wurde ebenfalls die mir zugewiesene IP-Adresse eingetragen.
Das funktioniert so natürlich nicht, dort sollte ja dann die IP-Adresse des VPN-Servers stehen...
Wenn ich versuche, eine statische Route einzugeben, sagt er mir, daß das Gateway nicht im lokalen Netz zu finden sei....
Blick ich's jetzt grad net?? Über die Modem-Verbindung konnte ich mich "bewegen", als ob ich direkt im LAN angeschlossen wäre...
ich habe ein ähnliches Problem: ich habe auf der einen Seite (Server) eine Fritz!Box Fon und beim Client eine Fritz!Box WLAN.
Und nun möchte zwischen den beiden einen VPN Verbindung herstellen.
Bei Dyndns habe ich mich schon angemeldet und lass die IP über directupdate bereitstellen. Auf der Server Seite habe ich die Ports 1723 und 500 freigeschaltet, auf beiden Seiten habe ich den gleichen Benutzer eingerichtet. Bisher konnte ich keine Verbindung herstellen!
Jetzt weiß ich nicht mehr weiter.
Kann mir einer von Euch weiter helfen????? Hilfe!!
MfG
Jörg
ich habe eine Lösung zu dem problem mit den 2 FritzBoxen .
Da ich mehrere Bekannte habe auf deren Rechner ich ab und zu ein Auge werfen soll , habe ich einen Win 2003 Server (Ras/VPN PPTP) eingerichtet . In meiner Box TCP 1723 und Gre freigegeben . Verbindung baute auf aber die Rechner wurden nicht gefunden .
Habe meiner Box einen anderen IP bereich zugewiesen (z.B. 192.168.177.1) . Jetzt geht es einwandfrei .
Ich hoffe ich konnte jemandem damit helfen , auch wenn diese Lösung vieleicht ein paar Jahre zu spät kommt.
ich versuche auch 1 VPN Verbindung mit ähnlichem Szenario herzustellen, auf der Client-Seite habe ich 1 PC mit XP Home Edit. mit fester IP Adresse hinter einem Fritz Box WLAN FON Router und auf der Server Seite den gleichen Router und ebenfalls 1 XP Home PC mit fester IP-Adresse. Auf beiden Seiten habe ich folgende Ports freigegeben: 500 UDP/ + 500/TCP + ESP wie von AVM empfohlen, und dann noch 1723/TCP und GRE wie in einem Microsoft Artikel empfohlen. Damit kann ich mich zumindest einwandfrei mit dem Client am VPN Server anmelden. Jetzt habe ich allerdings das Problem, dass ich in der Netzwerkumgebung keinen PC sehe? Hat jemand eine Idee?
Versuch mal den gleichen DNS- und WINS-Server bei beiden Clients anzugeben, und gib dem Netzerk Zeit, den anderen Rechner zu erkennen.
Bei mir funktioniert die Verbindung offensichtlich durch die installation des virtuellen AVM-Device nicht. IPsec findet diesen Device nicht. Nur: Ausschließlich die IP des Device wird jedoch vom Router bei der Portfreigabe akzeptiert. Klingt verwirrend, ist es auch. Zumal über den AVM-Device überhaupt keine Datenpakete versendet werden.
Gebe ich in der IPSec.conf %any als IP-Adresse an, findet IPSec den Nicht-AVM Device.
Meine Geräte hatten bisher immer die gleiche IP.
D.h. egal, ob statisch oder dynamisch, das Notebook hatte immer die .21, der PC immer die .20.
Werde das mal tauschen, vielleicht klappt's dann.
Im übrigen ist mir aufgefallen, daß ich die Portfreigabe, z.B. 500/TCP nur für EINE IP-Adresse gleichzeitig machen kann. Muß mir das was sagen?
Spielte am WE mit dem Gedanken, das Notebook nochmal neu aufzusetzen, da ich die Securepoint-Firewall draufhatte. Dachte, es läge daran, daß ich nicht per VPN kommunizieren kann (hab die Fw schon lange deinstalliert..).
Der Client hat die IP, die die Fritz!Box als erstes vergeben würde, fest zugewiesen bekommen.
Die Ports sind natürlich auch für diese IP freigegeben.
Eine Firewall ist auf dem Client nicht installiert, auf meinem PC war ZA installiert, durch deaktivieren funktionierte es. Auf dem Notebook hatte ich vorher die Securepoint FW, damit hat's wohl net geklappt.
Eine VPN-Verbindung durch 2 Fritz-Boxen durch stell ich mir schwierig vor, wenn die aber beide IPSec-PassThrough unterstützen (sofern man das verwenden will), sollte es funktionieren.
danke für dein posting.
ich werd´s weiter versuchen.
woher weiss ich aber, dass die boxen IPSec-PassThrough unterstützen.
wo kann ich das einrichten? ist vielleicht ne blöde frage - ich frag´s trotzdem.
gruß
h.-jörg
Dass die IPSec-PassThrough unterstützen hat mir der Support von AVM gesagt.
Hab jetzt aber auch nur speziell nach der Fritz!Box Fon WLAN gefragt, bei den anderen weiß ich's nicht.
Wenn ich's richtig verstanden habe, aktivierst Du das eben nur durch die entsprechende Port-Freigabe.
jau habe ich gemacht - avm hat sich auch schon gemeldet, konnten mir aber nicht neues erzählen.
trotzdem vielen dank für deine hilfe.
ich werd´s weiter versuchen.
MfG
H.-Jörg
Habe mit großen Interesse euren thread gelesen. allerdings funktioniert alles nix... es will keine Verbindung entstehen und alle ports sind freigeben... wenn ihr noch einen weiteren rat habt. lasst es mich wissen!
Gruss
Hi!
Bei mir lag es nun an der F*ing Telekom EUMEX 724PC-Anlage, die zwischen die Fritz-Box und meinen PC geschaltet war. Diese musste *natürlich* ebenfalls die Protokolle IKE (Protokoll 51), ESP (Protokoll 50), UDP (Protokoll 17, Port 500) und TCP (Protokoll 6, Port 500 und 1723) routen. - Jetzt klappt die VPN-Verbindung auch mit der spam-out Box im Büro :)
Kann die Möglichkeit bestehen, daß manche (moderne) Netzwerkkarten nicht korrekt mit VPN zusammenarbeiten?
Mein privater PC zuhause kommt problemlos per VPN in die Firma.
Das Notebook einer Kollegin (weswegen ich das ganze Theater veranstaltet habe) kommt auch problemlos rein.
Das Notebook wurde, genau wie mein Firmen-NB, in der Firma, in der Domäne, eingerichtet und entsprechend konfiguriert. Sprich, das wurde auch im Firmen-LAN wie ein Arbeitsplatz-PC eingerichtet.
Nur mit meinem Firmen-NB erreiche ich keinen PC im LAN. Ich kann mich anmelden, die Authentifizierung ist ok, ich bekomme von dem Ziel-VPN-Server auch ein IP zugewiesen, die im Firmen-LAN liegt.
Aber ein Ping oder Zugriff auf irgendeinen PC ist unmöglich, die VPN-Verbindung wird auch nach 'ner knappen Minute automatisch getrennt. Hat jemand eine Idee?
Die FritzBox schliesse ich als Fehlerquelle aus, weil, wie gesagt, schon 2 Geräte darüber reingekommen sind....
Das hatte ich mir mal aus einem anderen Thrad kopiert. Vielleicht hilfts ja ein bisschen...
----------- Schnipp ----------
Eine andere Fehlerquelle sind oft Router, die VPN nicht nach Innen durchreichen können. Ich würde daher mal beide Router in die DMZ stellen (kann man im Router oft einstellen). Wenn das klappt, liegt es definitiv am Router. Vielleicht gibt es auch ein FirmewareUpdate.
Das Problem im Detail (Zitat aus CT, gekürzt)
Damit der Windows-Server hinter einem Router erreichbar ist, der das lokale Netz mit Network Address Translation (NAT) ans Internet koppelt, muss der Router das VPN-Protokoll PPTP an den Server-PC weiterleiten können.
Für den Datentransport verwendet PPTP jedoch nicht TCP oder UDP, sondern das exotischere IP-Protokoll GRE (Generic Routing Encapsulation). Nur wenige Geräte können dieses Protokoll für eintreffende PPTP-Verbindungen an den VPN-Server im lokalen Netz vermitteln (nach Innen!).
Die meisten Hersteller, die mit VPN- und PPTP-Fähigkeiten ihrer Router werben, meinen damit, dass sich PCs hinter dem Router mit einem im Internet erreichbaren VPN-Server verbinden können (nach Außen!). Das beherrschen fast alle aktuellen Geräte und auch Software-Router wie die in Windows enthaltene Internet-Verbindungsfreigabe ICS.
Im mittleren Preissegment für Heimanwender bilden die Vigor-Router der Firma Draytek eine erfreuliche Ausnahme: Draytek hat sogar einen PPTP-Server eingebaut, der es erspart, für diese Aufgabe einen ständig erreichbaren Windows-PC zu konfigurieren.
Zusätzlich können diese Geräte auch eintreffende PPTP-Verbindungen weiterleiten: Dazu schaltet man den eingebauten VPN-Server ab und konfiguriert das Port-Forwarding für den von PPTP zusätzlich verwendeten TCP-Port 1723. Dann erreichen automatisch auch die GRE-Pakete ihr Ziel. Bei anderen Herstellern hilft nur Ausprobieren: Eventuell lässt sich das GRE-Protokoll unter Angabe seiner IP-Protokollnummer 47 zum VPN-Server weiterleiten.
Danke für den Hinweis, in meinem Fall bringts mich jetzt leider net weiter.
Ich gehe ja nicht über PPTP rein, sondern mittels IPSEC over L2TP.
Weiterhin benutze ich als Ziel-VPN-Server einen Draytek Vigor und der stellt auch eine VPN-Verbindung bereit. Mit einem anderen Notebook und meinem Privat-PC klappt das.
Nur mit meinem Firmen-Notebokk ist nach der Anmeldung und IP-Adresszuweisung schluss.
Das ist das komische: Mein Notebook wird noch angemeldet und bekommt eine korrekte IP des Ziel-Netzwerks zugewiesen, aber mit dem Routing klappts wohl net. Ich kann nicht mal den Vigor anpingen, was allerdings mit den anderen Geräten, die über VPN reingehen, möglich ist.
Ich hatte vor ein paar Tagen eine Support-Anfrage an AVM gestellt.
Die FRITZ!Box unterstützt VPN-Passthrough, aber nicht, wenn die VPN-Verbindung Protokoll Nummer 51 (AH, Authentication Header) benötigt.
Auch bei meiner Lösung (3com 3cr860) ist das eine klare Einschränkung (-> geht nicht)...
Laut den mit zugesendeten Dokumenten muss Port 500 UDP (für IKE) zum Client weitergeleitet werden, das war's schon.
Wenn die eingesetzte VPN-Lösung NAT-T (IPSec-NAT-Traversal) unterstützt, besteht das Problem angeblich nicht.
Bei den hier genannten Ports 50 und 51 gehe ich davon aus, dass eine Verwechslung mit den Protokollen 50 (ESP) und 51 (AH) vorliegt, die bei einer Großzahl VPN-Lösungen gebraucht werden. (So ist z.B. TCP Protokoll Nr. 6 und UDP Protokoll Nr. 17)
Nach der Antwort von AVM habe ich dann ein Feature-Request gestellt und um Unterstützung des AH gebeten, weil es öfter gebraucht wird. Mal schauen, was wird...
Eine Vermutung meinerseits: Die bei Microsoft dokumentierten Ports 1701 und 1723 habe ich (bisher) nur für Microsofts VPN-Server gefunden, sind also scheinbar kein Standard... Oder?
Man kann IPSec/AH nicht NATen(*). Das liegt daran dass dabei eine Prüfsumme über den IP-Header gemacht wird, und die stimmt nicht wenn man die IP-Addressen darin ändert. Allerdings verwendet auch kein vernünftiger Mensch mahe IPSec/AH, von daher ist das kein Problem.
Port TCP/1701 und TCP/1723 sind für L2TP und PPTP. Letzteres macht bei Microsofot in der Regel IPSec (ich glaube ohne IKE). IPSec/ESP (ohne AH) macht dann wie du geschrieben hast Protokoll 50 und Key Exchange über UDP 500.
IPSec NAT-T braucht eigentlich keine Port Weiterleitung, benutzt oft UDP/4500.
Gruss
Bernd
(*) man könnte schon wenn das NAT Gateway den privaten Schluessel kennt, aber das ist nicht so einfach und vor allem sehr unsicher.
"Eine Vermutung meinerseits: Die bei Microsoft dokumentierten Ports 1701 und 1723 habe ich (bisher) nur für Microsofts VPN-Server gefunden, sind also scheinbar kein Standard... Oder?"
RFC 2637 => [...] The TCP session for the control connection is established by initiating a TCP connection to port 1723 [...]
die Unterstützung von AH mit normalem NAT nicht möglich.Das liegt an der Tatsache, dass der Hashwert zur Sicherstellung der Authentizität unter AH auch den IP - Header mit einschließt. Dieser wird jedoch beim NAT verändert, weshalb die Prüfsumme des Pakets beim Empfänger nicht mehr stimmt. Das Paket wird dann verworfen.Bei ESP ist der Header nicht in der Prüfsumme inbegriffen, weshalb dort das NAT funktioniert.
die Unterstützung von AH mit normalem NAT nicht möglich.Das liegt an der Tatsache, dass der Hashwert zur Sicherstellung der Authentizität unter AH auch den IP - Header mit einschließt. Dieser wird jedoch beim NAT verändert, weshalb die Prüfsumme des Pakets beim Empfänger nicht mehr stimmt. Das Paket wird dann verworfen.Bei ESP ist der Header nicht in der Prüfsumme inbegriffen, weshalb dort das NAT funktioniert.
die Unterstützung von AH mit normalem NAT nicht möglich.Das liegt an der Tatsache, dass der Hashwert zur Sicherstellung der Authentizität unter AH auch den IP - Header mit einschließt. Dieser wird jedoch beim NAT verändert, weshalb die Prüfsumme des Pakets beim Empfänger nicht mehr stimmt. Das Paket wird dann verworfen.Bei ESP ist der Header nicht in der Prüfsumme inbegriffen, weshalb dort das NAT funktioniert.
Kann jetzt gar net sagen, ob ich's auch mit AH probiert habe.
Tatsache ist, daß mein PC zuhause damit funktionierte, mein Notebook nicht.
Wobei mein PC nix mit der Firmen-Domain zu tun hat.
Gibt es evt. hardwaretchnische Beschränkungen der Netzwerkkarte?
Weiß jemand, wie auf der Fritz!Box Fon WLAN die Zuordnungen DNS-Name zu IP-Adresse ändern kann?
Die Box hat nämlich immer noch meinen PC mit der IP .20 drinstehen, die gilt aber schon lange nicht mehr. Hab die IPs statisch zugewiesen. Habe irgendwo gelesen, daß es mit der ersten von der Box vergebenen IP funktionieren sollte....
Servus
also ich wollt mal nachhaken
ob mittlerweile jemand das ganze realisier hat
und zwar mit der fritz box fon wlan
ich möchte nen windows vpn aufbauen
ein rechner, win2000 steht permanent im netz
dyndns hab ich eingerichtet und auch im router rso eingetragen
geht auch wunderbar (ping .. immer aktuele ip vom provider)
portforwarding 1723 tcp auf den win2000 rechner
laptop mit xp
vpn client eingerichtet (windows std)
dieser hat ne verwaltungssoftware installiert, die ein netzlaufwerk vom win2000 rechner benötigt
also dem vpn benutzer auch volle rechte auf die freigabe einegrichtet
innerhalb des lans funzt alles bestens, kann den vpn aufbauen,netzlaufwerk ist da und ich kann mit arbeiten
aber vom wan aus kein zugrioff möglich
immer fehler 721
alles erdenklich durchexerziert, kein erfolg
und mann kann ja auch nur in portforwarding pro ip durchführen in der fritz box
Also ich hab's einer Kollegin eingerichtet.
Die hat'n Notebook mit Win2K drauf, der Router ist (glaube ich) ein Zyxel und sie benutzt den SmartVPN-Client von Draytek.
Der Zielrouter ist ein Vigor 2600 von Draytek - damit hat's funktioniert.
Unter WinXP hab ich's noch net getestet, auch habe ich andere VPN-Clients noch nicht probiert...
hab noch GRE, ESP und port 50 auf dn vpn-server weitergeleitet
und siehe da, es geht
vpn-verbindung entsteht
netzlaufwerk zugriff natürlich auch kein ding
prima
Ist zwar scon erwähnt worden, aber es müssen ebeb au beiden Seiten ALLE Firewalls richtig konfiguriert sind oder erstmal ganz ausgeschltet sind. Ich hatte auch zuerst Probleme obwohl ich dacht alles sei aus.
Bist ich draufkam, dass der aktuelle Norton Antivirus 2005 (nicht Norton Internet Security, das ja eine Firewall beinhaltet) nun auch(!) eine Firewallfunktion hat, die sich aber als Feature "Wurmschutz" tarnt.
Nachdem ich neben allen Firewalls nun auch noch den NAV2005 Wurmschutz abgeschaltet hatte, ging das VPN problemlos!
Ist zwar schon erwähnt worden, aber es müssen eben auf beiden Seiten ALLE Firewalls richtig konfiguriert sein oder erstmal ganz ausgeschaltet werden. Ich hatte zuerst auch Probleme, obwohl ich dachte, alles sei aus.
Bist ich draufkam, dass der aktuelle Norton Antivirus 2005 (nicht Norton Internet Security, das ja eine Firewall beinhaltet) nun auch(!) eine Firewallfunktion hat, die sich aber als Feature "Wurmschutz" tarnt.
Nachdem ich neben allen Firewalls nun auch noch den NAV2005 Wurmschutz abgeschaltet hatte, ging das VPN problemlos!
Ist zwar schon erwähnt worden, aber es müssen eben auf beiden Seiten ALLE Firewalls richtig konfiguriert sein oder erstmal ganz ausgeschaltet werden. Ich hatte zuerst auch Probleme, obwohl ich dachte, alles sei aus.
Bist ich draufkam, dass der aktuelle Norton Antivirus 2005 (nicht Norton Internet Security, das ja eine Firewall beinhaltet) nun auch(!) eine Firewallfunktion hat, die sich aber als Feature "Wurmschutz" tarnt.
Nachdem ich neben allen Firewalls nun auch noch den NAV2005 Wurmschutz abgeschaltet hatte, ging das VPN problemlos!
Ist zwar schon erwähnt worden, aber es müssen eben auf beiden Seiten ALLE Firewalls richtig konfiguriert sein oder erstmal ganz ausgeschaltet werden. Ich hatte zuerst auch Probleme, obwohl ich dachte, alles sei aus.
Bist ich draufkam, dass der aktuelle Norton Antivirus 2005 (nicht Norton Internet Security, das ja eine Firewall beinhaltet) nun auch(!) eine Firewallfunktion hat, die sich aber als Feature "Wurmschutz" tarnt.
Nachdem ich neben allen Firewalls nun auch noch den NAV2005 Wurmschutz abgeschaltet hatte, ging das VPN problemlos!
Ist zwar schon erwähnt worden, aber es müssen eben auf beiden Seiten ALLE Firewalls richtig konfiguriert sein oder erstmal ganz ausgeschaltet werden. Ich hatte zuerst auch Probleme, obwohl ich dachte, alles sei aus.
Bist ich draufkam, dass der aktuelle Norton Antivirus 2005 (nicht Norton Internet Security, das ja eine Firewall beinhaltet) nun auch(!) eine Firewallfunktion hat, die sich aber als Feature "Wurmschutz" tarnt.
Nachdem ich neben allen Firewalls nun auch noch den NAV2005 Wurmschutz abgeschaltet hatte, ging das VPN problemlos!
Ist zwar schon erwähnt worden, aber es müssen eben auf beiden Seiten ALLE Firewalls richtig konfiguriert sein oder erstmal ganz ausgeschaltet werden. Ich hatte zuerst auch Probleme, obwohl ich dachte, alles sei aus.
Bist ich draufkam, dass der aktuelle Norton Antivirus 2005 (nicht Norton Internet Security, das ja eine Firewall beinhaltet) nun auch(!) eine Firewallfunktion hat, die sich aber als Feature "Wurmschutz" tarnt.
Nachdem ich neben allen Firewalls nun auch noch den NAV2005 Wurmschutz abgeschaltet hatte, ging das VPN problemlos!
Hallo,
probier seit ca 1 woche herum um den vpn server per internet zugriff zu bekommen. Habe schon (fast) alles ausprobiert mit Portfreischaltungen usw. ESP, GRE ist freigeschalten.
Folgende Ports sind frei:
ESP
GRE
500 UDP,
1701 UDP & TCP
1723 UDP & TCP
4500 UDP
des wars so ziemlich. Wenn ich per netzwerk auf den server eine vpn verbindung erstelle via PPTP-VPN oder IP-SEC hauts wunderbar hin nur nicht über internet über dyndns.
Die AVM - Hotline sagt immer nur die Fritz box fon kann nur ipsec naja gut wär für mich kein problem aber irgendwie gibt es wohl keinen lösungsvorschlag.
Das einzige was ich jetzt noch probieren kann ist die ip adresse des servers in eine ganz andere umzuändern.
Mein Netzwerk läuft von 192.168.0.1 - 255
dann setzt ich jetzt den server einfach mal unter ip 193.168.0.1
mal guggn was dann passiert.
über Hilfe zu diesem Thema oder jeder andere wäre ich sehr dankbar!!
Das ganze muss doch irgendwie realisierbar sein.
Hallo zusammen
hatte all die Probleme auch die hier beschrieben werden, allerdings verwende ich zwei ZyWalls die die VPN Verbindung aufbaut. nachdem ich sämtliche Ports geöffnet hatte, lief immer noch nichts.
500 TCP/UDP
1723 TCP/UDP
1701 TCP/UDP
ESP und
GRE
nach dem ich den Local ID Type von IP auf Email umgestellt hatte lief alles einwandfrei. Ich weis allerdings nicht ob bei der Sonicwall und Softwaren die auch noch erwähnt wurden eine solche Einstellung vorgenommen werden kann.
Hi!
ich will mich von Zuhause in das Uninetz einklinken, dazu hab ich auf meinem Rechner den VPN Client installiert. Aber obwohl ich meinen Rechner in eine DMZ (für evt. nötige Ports) gestellt habe UND die lokale IP-Adresse meines Rechners in die aktuelle IP-Adresse von aussen (wg IPSec/AH) geändert habe, keine Chance. Die FBF 7050 lässt nichts durch.
Vielleicht kann mir noch jemand weiterhelfen, worans liegen könnte. An Ports bzw an IPSec/AH auf jeden Fall nicht - vor allem da es ein Client ist und der via "Transparent Tunneling" IPSec/UDP (für NAT/PAT) connectet.
Achja, mit der FBF nur als Modem und Direkteinwahl gehts. Hab aktuelle Firmware, Patches und 2000 drauf.
mfg
Ingo
Vielen Dank für die vielen interessanten Beiträge in diesem Thread. Ich habe nach den Anleitungen vor einiger Zeit auch den PPTP-Login übers Internet über die AVM Fritz!Box auf einen lokalen Server geschafft.
Nach einem Update (des Servers, des PPTP-Daemons?) erhalte ich jedoch wieder Fehler beim Login.
Von intern klappt alles ohne Probleme, nur von extern erhalte ich:
-->
Jan 6 11:19:18 gate pptpd[25632]: GRE: read(fd=7,buffer=80565c0,len=8260) from
network failed: status = -1 error = Protocol not available
Jan 6 11:19:18 gate pptpd[25632]: CTRL: GRE read or PTY write failed (gre,pty)=
(7,6)
Antworten auf ähnliche Anfragen im Netz deuten auf Fehler mit der Firewall/dem Port-Forwarding hin.
Ich habe mittlerweile alle in diesem Thread erwähnten Ports weitergeleitet:
In den LOGs des Netgear Routers sehe ich das was ankommt, aber er kann den Key wohl nicht austauschen.
Im VPN Client sehe ich, dass 3x der Key gesendet wurde.
Woran liegt es?
Ich vermute mal, das ich in der FritzBox bestimmte Ports an die Client weiterleiten muss.
Die FritzBox ist eine "FRITZ!Box Fon WLAN 7141" leider habe ich hier nichts mit VPN-Pass-Through" gefunden.
Die blöde Fritz hat eben die neueste Firmware bekomme, jedoch keine Änderung.
Lemon13
