Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
schneidi

L2TP over IPSec über NAT-Router

Empfohlene Beiträge

Hallo! Ich versuche, von zu Hause (Windows-XP) auf einen VPN-Router mittels L2TP over IPSec zuzugreifen. Das funktioniert auch gut, solange ich meine Netzwerkkarte direkt mit dem DSL-Modem verbinde. Gehe ich über meinen DSL-Router, verhuntzt mir vermutlich das NAT die IPSec-Authentifizierung.

 

Angeblich soll mit NAT-T das Problem ja behoben sein, ich habe nun Win XP SP2 (wo angeblich NAT-T mit drin ist), aber es geht trotzdem nicht.

 

Ich habe am Router die NAT-Funktion für die Ports UDP 500, 1701, 4500 freigeschaltet (einfache Abbilung von diesen Ports auf diese Ports). Dann habe ich den "virtuellen Server" auf die gleichen Ports eingestellt. Leider kann der Router hier keine anderen Protokolle als TCP und UDP.

 

Gibt es *irgendeine* Möglichkeit, das trotzdem über den Router zu schicken?

Kann man vielleicht irgendwie in Windows "erzwingen", dass das VPN nur über TCP/UDP läuft?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi Alex, danke für die Antwort. Ich habe in anderen Foren Beiträge gefunden, wo Leuten geraten wird, verschiedene Ports aufzumachen; einige hatten angeblich damit auch erfolg. Ist das alles Humbug?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Danke, hatte ich schon versucht. Hatte alle 3 Werte mal in die Reg gehackt, leider ohne Erfolg.

VPN-Server ohne NAT 0

VPN-Server hinter NAT, Client ohne NAT 1

VPN-Server und -Client hinter NAT 2

 

Lustig ist auch: Meine Version (VPN-Server ohne NAT, Client hinter NAT) ist nicht aufgeführt/möglich...

 

Irgendwie kann mein VPN-Router (Draytek) wohl kein NAT-T, oder ich muß noch was anderes machen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hast du eine SUA/NAT regel die ein Portforwarding auf deine fixe (benötigt) IP adresse macht?

 

oder lieg ich da mir der vermutung falsch?

 

hab nicht viel erfahrung mit L2TP.. ich beschränkä mich auf IPsec..

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo und danke für die Hilfsbereitschaft!

 

Bin mir leider nicht ganz sicher, was Du meinst. Ich habe im Router das NAT auf den Ports fest gesetzt, die ich so zusammensuche konnte (UDP 500, 1701, 1723, 113, 4500). Dort kann ich nur einen Trigger Port angeben und einen Public Port. Die habe ich immer gleich gesetzt (1701/1701, UDP).

 

Sonst hat der Router noch einen "Virtuellen Server", der wohl für eingehende Verbindungen da ist. Auch hier habe ich mal getestet, die o.g. Ports auf die interne IP meines PCs zu mappen. Beides hat bisher nichts gebracht.

 

Ich habe den Client-PC auch schon mal als DMZ angegeben - auch nix.

 

*Added* Eine Verbindung L2TP OHNE IPSec geht übrigens. Scheint also ein IPSec-Problem zu sein. Also entweder die Protokolle, oder das NAT...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

bist du sicher, dass du bei deinem "funktionierenden" VPN auch von L2TP redest und nicht von PPTP?

 

Viele Router unterstützen PPTP tunneling aber IPSec (L2TP) sind schon weniger...

 

Mein alter Router z.B. konnte auch PPTP ohne probleme (Port 1723 und Protokoll 43 GRE)

Jedoch kein Verbindungsaufbau per L2TP möglich.

 

Die Ports die du angegeben hast sind eigentlich schon zu viele. Port 500 und 1701 wird für IPSec (L2TP) benötigt. die 1723 ist PPTP. Wie du auf 113 und 4500 kommst weiß ich nicht.

Der menüpunk "Virtueller Server" ist der richtige in deinem Router.

Das Porttriggering ausschalten. Und nochmal kontrollieren ob du auch keine firewallregeln die es verhindern im router hast (die meisten router haben ja filterregeln).

 

Wenn du den VPN-Server in die DMZ stellst MUSS es gehen. Wenn es dann nicht geht liegt es definitiv am router oder an einer filterregel.

Auf jeden Fall nicht mehr an den Ports da bei DMZ ALLE anfragen von aussen auf den jeweiligen PC gemapped wird.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
bist du sicher, dass du bei deinem "funktionierenden" VPN auch von L2TP redest und nicht von PPTP?

Ja, man kann prinzipiell zu dem VPN-Router eine unverschlüsselte L2TP-Verbindung aufbauen und eine verschlüsselte L2TP over IPSec. Letzteres scheitert, wenn der NAT-DSL-Router hinter dem Client hängt, geht aber, wenn ich den Rechner direkt ans DSL-Modem stöpsele.

 

Wenn du den VPN-Server in die DMZ stellst MUSS es gehen. Wenn es dann nicht geht liegt es definitiv am router oder an einer filterregel.

Auf jeden Fall nicht mehr an den Ports da bei DMZ ALLE anfragen von aussen auf den jeweiligen PC gemapped wird.

Nur, um sicher zu sein, dass wir vom gleichen reden :wink2: : Ich habe zu Hause ein Windows XP, davor ein NAT-DSL-Router, um ins Internet zu gehen. Das ist der Client, der die Verbindung aufbaut. Der Server selbst ist der VPN-Router auf der Gegenseite (Firmennetzwerk). Oder verwechsele ich da was?!

 

Bist Du sicher, dass ich dann "Virtueller Server" nehmen muß? Ich dachte, der sei für eingehende Verbindungen, die VPN-Verbindung ist aber "ausgehend".

 

Wie gesagt: Ich hatte die lokale IP des Client-PCs schon mal in die DMZ des NAT-DSL-Routers gepackt - ohne Erfolg. Könnte es sein, dass der NAT-DSL-Router generell das IPSec sperrt, weil da ja - ohne NAT-T - andere Protokolle gefahren werden?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Ja, man kann prinzipiell zu dem VPN-Router eine unverschlüsselte L2TP-Verbindung aufbauen und eine verschlüsselte L2TP over IPSec.

Ist mir neu :confused:

L2TP an sich bietet keine Verschlüsselung, das ist korrekt, aber es funktioniert nur in Verbindung mit IPSec als Verschlüsselungsprotokoll. "L2TP over IPsec" gibt es auch nicht, mir scheint da noch ein wenig die Grundlage zu fehlen, was da was ist.

 

Egal, XPSP2 macht definitiv! L2TP mit IPSec auch über NAT, allerdings mit Registry abändern:

http://support.microsoft.com/default.aspx?scid=kb;en-us;885407

 

 

grizzly999

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

also eine unverschlüsselte L2TP wüsste ich auch nix von! Daher die Frage mit PPTP.

 

Ich habe von der eingehenden Siete geredet. hatte ich falsch verstanden.

 

Dann kann es nur an Filterregeln liegen, oder das der Router es nicht unterstützt. Das Portmapping ist immer für eingehende verbindungen sowie die DMZ auch.

 

ast

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×