Zum Inhalt wechseln


Foto

L2TP over IPSec über NAT-Router


  • Bitte melde dich an um zu Antworten
11 Antworten in diesem Thema

#1 schneidi

schneidi

    Newbie

  • 14 Beiträge

 

Geschrieben 21. April 2005 - 08:07

Hallo! Ich versuche, von zu Hause (Windows-XP) auf einen VPN-Router mittels L2TP over IPSec zuzugreifen. Das funktioniert auch gut, solange ich meine Netzwerkkarte direkt mit dem DSL-Modem verbinde. Gehe ich über meinen DSL-Router, verhuntzt mir vermutlich das NAT die IPSec-Authentifizierung.

Angeblich soll mit NAT-T das Problem ja behoben sein, ich habe nun Win XP SP2 (wo angeblich NAT-T mit drin ist), aber es geht trotzdem nicht.

Ich habe am Router die NAT-Funktion für die Ports UDP 500, 1701, 4500 freigeschaltet (einfache Abbilung von diesen Ports auf diese Ports). Dann habe ich den "virtuellen Server" auf die gleichen Ports eingestellt. Leider kann der Router hier keine anderen Protokolle als TCP und UDP.

Gibt es *irgendeine* Möglichkeit, das trotzdem über den Router zu schicken?
Kann man vielleicht irgendwie in Windows "erzwingen", dass das VPN nur über TCP/UDP läuft?

#2 alexstarke

alexstarke

    Board Veteran

  • 570 Beiträge

 

Geschrieben 21. April 2005 - 08:54

Nein. Du brauchst für VPN weitere Protokolle. Wenn dein Router kein IPSEC Tiunneling unterstützt brauchst du nen anderen.
Alex

__________________________
Actual Certs: Microsoft Licensing Specialist
Informatik-Student

#3 schneidi

schneidi

    Newbie

  • 14 Beiträge

 

Geschrieben 21. April 2005 - 14:20

Hi Alex, danke für die Antwort. Ich habe in anderen Foren Beiträge gefunden, wo Leuten geraten wird, verschiedene Ports aufzumachen; einige hatten angeblich damit auch erfolg. Ist das alles Humbug?

#4 tschoschua

tschoschua

    Junior Member

  • 76 Beiträge

 

Geschrieben 21. April 2005 - 15:01

Vielleicht hilft das:

http://www.nwtraders...ice Pack 2.aspx

gruzz

#5 schneidi

schneidi

    Newbie

  • 14 Beiträge

 

Geschrieben 21. April 2005 - 15:11

Danke, hatte ich schon versucht. Hatte alle 3 Werte mal in die Reg gehackt, leider ohne Erfolg.
VPN-Server ohne NAT 0
VPN-Server hinter NAT, Client ohne NAT 1
VPN-Server und -Client hinter NAT 2

Lustig ist auch: Meine Version (VPN-Server ohne NAT, Client hinter NAT) ist nicht aufgeführt/möglich...

Irgendwie kann mein VPN-Router (Draytek) wohl kein NAT-T, oder ich muß noch was anderes machen.

#6 tschoschua

tschoschua

    Junior Member

  • 76 Beiträge

 

Geschrieben 21. April 2005 - 17:09

Hast du eine SUA/NAT regel die ein Portforwarding auf deine fixe (benötigt) IP adresse macht?

oder lieg ich da mir der vermutung falsch?

hab nicht viel erfahrung mit L2TP.. ich beschränkä mich auf IPsec..

#7 schneidi

schneidi

    Newbie

  • 14 Beiträge

 

Geschrieben 21. April 2005 - 17:59

Hallo und danke für die Hilfsbereitschaft!

Bin mir leider nicht ganz sicher, was Du meinst. Ich habe im Router das NAT auf den Ports fest gesetzt, die ich so zusammensuche konnte (UDP 500, 1701, 1723, 113, 4500). Dort kann ich nur einen Trigger Port angeben und einen Public Port. Die habe ich immer gleich gesetzt (1701/1701, UDP).

Sonst hat der Router noch einen "Virtuellen Server", der wohl für eingehende Verbindungen da ist. Auch hier habe ich mal getestet, die o.g. Ports auf die interne IP meines PCs zu mappen. Beides hat bisher nichts gebracht.

Ich habe den Client-PC auch schon mal als DMZ angegeben - auch nix.

*Added* Eine Verbindung L2TP OHNE IPSec geht übrigens. Scheint also ein IPSec-Problem zu sein. Also entweder die Protokolle, oder das NAT...

#8 alexstarke

alexstarke

    Board Veteran

  • 570 Beiträge

 

Geschrieben 22. April 2005 - 05:49

bist du sicher, dass du bei deinem "funktionierenden" VPN auch von L2TP redest und nicht von PPTP?

Viele Router unterstützen PPTP tunneling aber IPSec (L2TP) sind schon weniger...

Mein alter Router z.B. konnte auch PPTP ohne probleme (Port 1723 und Protokoll 43 GRE)
Jedoch kein Verbindungsaufbau per L2TP möglich.

Die Ports die du angegeben hast sind eigentlich schon zu viele. Port 500 und 1701 wird für IPSec (L2TP) benötigt. die 1723 ist PPTP. Wie du auf 113 und 4500 kommst weiß ich nicht.
Der menüpunk "Virtueller Server" ist der richtige in deinem Router.
Das Porttriggering ausschalten. Und nochmal kontrollieren ob du auch keine firewallregeln die es verhindern im router hast (die meisten router haben ja filterregeln).

Wenn du den VPN-Server in die DMZ stellst MUSS es gehen. Wenn es dann nicht geht liegt es definitiv am router oder an einer filterregel.
Auf jeden Fall nicht mehr an den Ports da bei DMZ ALLE anfragen von aussen auf den jeweiligen PC gemapped wird.
Alex

__________________________
Actual Certs: Microsoft Licensing Specialist
Informatik-Student

#9 schneidi

schneidi

    Newbie

  • 14 Beiträge

 

Geschrieben 22. April 2005 - 06:37

bist du sicher, dass du bei deinem "funktionierenden" VPN auch von L2TP redest und nicht von PPTP?

Ja, man kann prinzipiell zu dem VPN-Router eine unverschlüsselte L2TP-Verbindung aufbauen und eine verschlüsselte L2TP over IPSec. Letzteres scheitert, wenn der NAT-DSL-Router hinter dem Client hängt, geht aber, wenn ich den Rechner direkt ans DSL-Modem stöpsele.

Wenn du den VPN-Server in die DMZ stellst MUSS es gehen. Wenn es dann nicht geht liegt es definitiv am router oder an einer filterregel.
Auf jeden Fall nicht mehr an den Ports da bei DMZ ALLE anfragen von aussen auf den jeweiligen PC gemapped wird.

Nur, um sicher zu sein, dass wir vom gleichen reden :wink2: : Ich habe zu Hause ein Windows XP, davor ein NAT-DSL-Router, um ins Internet zu gehen. Das ist der Client, der die Verbindung aufbaut. Der Server selbst ist der VPN-Router auf der Gegenseite (Firmennetzwerk). Oder verwechsele ich da was?!

Bist Du sicher, dass ich dann "Virtueller Server" nehmen muß? Ich dachte, der sei für eingehende Verbindungen, die VPN-Verbindung ist aber "ausgehend".

Wie gesagt: Ich hatte die lokale IP des Client-PCs schon mal in die DMZ des NAT-DSL-Routers gepackt - ohne Erfolg. Könnte es sein, dass der NAT-DSL-Router generell das IPSec sperrt, weil da ja - ohne NAT-T - andere Protokolle gefahren werden?

#10 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 22. April 2005 - 06:43

Ja, man kann prinzipiell zu dem VPN-Router eine unverschlüsselte L2TP-Verbindung aufbauen und eine verschlüsselte L2TP over IPSec.

Ist mir neu :confused:
L2TP an sich bietet keine Verschlüsselung, das ist korrekt, aber es funktioniert nur in Verbindung mit IPSec als Verschlüsselungsprotokoll. "L2TP over IPsec" gibt es auch nicht, mir scheint da noch ein wenig die Grundlage zu fehlen, was da was ist.

Egal, XPSP2 macht definitiv! L2TP mit IPSec auch über NAT, allerdings mit Registry abändern:
http://support.micro...kb;en-us;885407


grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#11 alexstarke

alexstarke

    Board Veteran

  • 570 Beiträge

 

Geschrieben 22. April 2005 - 08:48

also eine unverschlüsselte L2TP wüsste ich auch nix von! Daher die Frage mit PPTP.

Ich habe von der eingehenden Siete geredet. hatte ich falsch verstanden.

Dann kann es nur an Filterregeln liegen, oder das der Router es nicht unterstützt. Das Portmapping ist immer für eingehende verbindungen sowie die DMZ auch.

ast
Alex

__________________________
Actual Certs: Microsoft Licensing Specialist
Informatik-Student

#12 schneidi

schneidi

    Newbie

  • 14 Beiträge

 

Geschrieben 22. April 2005 - 08:55

Ok, Filterregeln sind definitiv aus, also neuer Router :rolleyes:

Danke für die Hilfe!! :thumb1: