Jump to content

L2TP over IPSec über NAT-Router


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo! Ich versuche, von zu Hause (Windows-XP) auf einen VPN-Router mittels L2TP over IPSec zuzugreifen. Das funktioniert auch gut, solange ich meine Netzwerkkarte direkt mit dem DSL-Modem verbinde. Gehe ich über meinen DSL-Router, verhuntzt mir vermutlich das NAT die IPSec-Authentifizierung.

 

Angeblich soll mit NAT-T das Problem ja behoben sein, ich habe nun Win XP SP2 (wo angeblich NAT-T mit drin ist), aber es geht trotzdem nicht.

 

Ich habe am Router die NAT-Funktion für die Ports UDP 500, 1701, 4500 freigeschaltet (einfache Abbilung von diesen Ports auf diese Ports). Dann habe ich den "virtuellen Server" auf die gleichen Ports eingestellt. Leider kann der Router hier keine anderen Protokolle als TCP und UDP.

 

Gibt es *irgendeine* Möglichkeit, das trotzdem über den Router zu schicken?

Kann man vielleicht irgendwie in Windows "erzwingen", dass das VPN nur über TCP/UDP läuft?

Link zu diesem Kommentar

Danke, hatte ich schon versucht. Hatte alle 3 Werte mal in die Reg gehackt, leider ohne Erfolg.

VPN-Server ohne NAT 0

VPN-Server hinter NAT, Client ohne NAT 1

VPN-Server und -Client hinter NAT 2

 

Lustig ist auch: Meine Version (VPN-Server ohne NAT, Client hinter NAT) ist nicht aufgeführt/möglich...

 

Irgendwie kann mein VPN-Router (Draytek) wohl kein NAT-T, oder ich muß noch was anderes machen.

Link zu diesem Kommentar

Hallo und danke für die Hilfsbereitschaft!

 

Bin mir leider nicht ganz sicher, was Du meinst. Ich habe im Router das NAT auf den Ports fest gesetzt, die ich so zusammensuche konnte (UDP 500, 1701, 1723, 113, 4500). Dort kann ich nur einen Trigger Port angeben und einen Public Port. Die habe ich immer gleich gesetzt (1701/1701, UDP).

 

Sonst hat der Router noch einen "Virtuellen Server", der wohl für eingehende Verbindungen da ist. Auch hier habe ich mal getestet, die o.g. Ports auf die interne IP meines PCs zu mappen. Beides hat bisher nichts gebracht.

 

Ich habe den Client-PC auch schon mal als DMZ angegeben - auch nix.

 

*Added* Eine Verbindung L2TP OHNE IPSec geht übrigens. Scheint also ein IPSec-Problem zu sein. Also entweder die Protokolle, oder das NAT...

Link zu diesem Kommentar

bist du sicher, dass du bei deinem "funktionierenden" VPN auch von L2TP redest und nicht von PPTP?

 

Viele Router unterstützen PPTP tunneling aber IPSec (L2TP) sind schon weniger...

 

Mein alter Router z.B. konnte auch PPTP ohne probleme (Port 1723 und Protokoll 43 GRE)

Jedoch kein Verbindungsaufbau per L2TP möglich.

 

Die Ports die du angegeben hast sind eigentlich schon zu viele. Port 500 und 1701 wird für IPSec (L2TP) benötigt. die 1723 ist PPTP. Wie du auf 113 und 4500 kommst weiß ich nicht.

Der menüpunk "Virtueller Server" ist der richtige in deinem Router.

Das Porttriggering ausschalten. Und nochmal kontrollieren ob du auch keine firewallregeln die es verhindern im router hast (die meisten router haben ja filterregeln).

 

Wenn du den VPN-Server in die DMZ stellst MUSS es gehen. Wenn es dann nicht geht liegt es definitiv am router oder an einer filterregel.

Auf jeden Fall nicht mehr an den Ports da bei DMZ ALLE anfragen von aussen auf den jeweiligen PC gemapped wird.

Link zu diesem Kommentar
bist du sicher, dass du bei deinem "funktionierenden" VPN auch von L2TP redest und nicht von PPTP?

Ja, man kann prinzipiell zu dem VPN-Router eine unverschlüsselte L2TP-Verbindung aufbauen und eine verschlüsselte L2TP over IPSec. Letzteres scheitert, wenn der NAT-DSL-Router hinter dem Client hängt, geht aber, wenn ich den Rechner direkt ans DSL-Modem stöpsele.

 

Wenn du den VPN-Server in die DMZ stellst MUSS es gehen. Wenn es dann nicht geht liegt es definitiv am router oder an einer filterregel.

Auf jeden Fall nicht mehr an den Ports da bei DMZ ALLE anfragen von aussen auf den jeweiligen PC gemapped wird.

Nur, um sicher zu sein, dass wir vom gleichen reden :wink2: : Ich habe zu Hause ein Windows XP, davor ein NAT-DSL-Router, um ins Internet zu gehen. Das ist der Client, der die Verbindung aufbaut. Der Server selbst ist der VPN-Router auf der Gegenseite (Firmennetzwerk). Oder verwechsele ich da was?!

 

Bist Du sicher, dass ich dann "Virtueller Server" nehmen muß? Ich dachte, der sei für eingehende Verbindungen, die VPN-Verbindung ist aber "ausgehend".

 

Wie gesagt: Ich hatte die lokale IP des Client-PCs schon mal in die DMZ des NAT-DSL-Routers gepackt - ohne Erfolg. Könnte es sein, dass der NAT-DSL-Router generell das IPSec sperrt, weil da ja - ohne NAT-T - andere Protokolle gefahren werden?

Link zu diesem Kommentar
Ja, man kann prinzipiell zu dem VPN-Router eine unverschlüsselte L2TP-Verbindung aufbauen und eine verschlüsselte L2TP over IPSec.

Ist mir neu :confused:

L2TP an sich bietet keine Verschlüsselung, das ist korrekt, aber es funktioniert nur in Verbindung mit IPSec als Verschlüsselungsprotokoll. "L2TP over IPsec" gibt es auch nicht, mir scheint da noch ein wenig die Grundlage zu fehlen, was da was ist.

 

Egal, XPSP2 macht definitiv! L2TP mit IPSec auch über NAT, allerdings mit Registry abändern:

http://support.microsoft.com/default.aspx?scid=kb;en-us;885407

 

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...