NAT-T Verständnis Frage

[Muelli 10]

also so viel ich weiß, müssen die jeweiligen Tunnelenden NAT-T unterstützen. Bei folgender Konfiguration:

 

Rechner zu Hause -> NAT Router -> Internet -> NAT Router Firma (VPN Server) -> LAN Firma

 

muss also sowohl der VPN Client auf dem Rechner zu Hause als auch der NAT Router der Firma NAT-T fähig sein, weil zwischendurch ein anderes NAT Gerät, nämlich der Router zu Hause, genutzt wird. Deinen Windows Client kannst Du hier

 

http://support.microsoft.com/default.aspx?scid=kb;de;818043

 

updaten und NAT-T fähig machen. Dann fehlt Dir aber immer noch der Tunnel Terminator. Oder Du machst einen Rechner im Firmen LAN zum VPN Server. Dann muss dieser NAT-T fähig sein und der Tunnel läuft über zwei NAT Geräte (Router zu Hause und Router der Firma)

 

Der Hintergrund ist der, das beim Natten unter anderem IP Adressen ausgetauscht werden. Doch das genau möchte L2TP over IPSec bzw. IPSec TunnelMode nicht. NAT-T packt das Ganze nun noch mal in zusätzliche UDP Header und schiebt sie so über die NAT Geräte - mal ganz simpel gesprochen. Für genauere Definitionen musst Du mal googeln , z.B. hier:

 

http://www.different-thinking.de/ipsec_nat_traversal.php

 

Gruß

Mülli

 

edit: jetzt war IThome wieder schneller und hat gepostet während ich noch schrieb :(

[IThome 10]

Aus der Sicht meines Clients, PC -> NAT -> Internet -> NAT -> Firebox

 

9-14: 12:50:59.968 My Connections\New Connection - Peer is NAT-T draft-02 capable

9-14: 12:50:59.968 My Connections\New Connection - Peer supports Keepalive processing

9-14: 12:50:59.968 My Connections\New Connection - Keepalive processing enabled

9-14: 12:50:59.978 My Connections\New Connection - NAT is detected for Client and Peer <--

9-14: 12:50:59.978 My Connections\New Connection - Floating to IKE non-500 port <--

9-14: 12:51:00.088 My Connections\New Connection - SENDING>>>> ISAKMP OAK AG

 

Aus der Sicht des Clients, PC -> NAT -> Internet -> Firebox (feste IP)

 

9-14: 12:56:42.370 My Connections\New Connection - Peer is NAT-T draft-02 capable

9-14: 12:56:42.380 My Connections\New Connection - Peer supports Keepalive processing

9-14: 12:56:42.380 My Connections\New Connection - Keepalive processing enabled

9-14: 12:56:42.380 My Connections\New Connection - NAT is detected for Client <--

9-14: 12:56:42.380 My Connections\New Connection - Floating to IKE non-500 port <--

 

Das ist das Log meines IPSec-Clients (Ausschnitte), die Pfeile auf der rechten Seite zeigen auf die interessanten Teile :)

[Workaholic4u 10]

also so viel ich weiß, müssen die jeweiligen Tunnelenden NAT-T unterstützen. Bei folgender Konfiguration:

 

Rechner zu Hause -> NAT Router -> Internet -> NAT Router Firma (VPN Server) -> LAN Firma

 

muss also sowohl der VPN Client auf dem Rechner zu Hause als auch der NAT Router der Firma NAT-T fähig sein, weil zwischendurch ein anderes NAT Gerät, nämlich der Router zu Hause, genutzt wird. Deinen Windows Client kannst Du hier

 

http://support.microsoft.com/default.aspx?scid=kb;de;818043

 

Danke!

 

Kann ich die Einwahl eigentlich in meinem LAN testen? ohne das ich mich aus dem Internet einwähle?

 

Ich habe quasi mein Vigor, der mit dem I-Net verbunden ist und mein XP Rechner der mit dem Vigor verbunden ist und über den ins I-Net geht.

 

Kann ich die einwahl nun von dem XP Rechner testen. Ich denke das geht nicht, oder? Oder reicht es wenn ich den XP Rechner in ein anderes Subnetz wie den Router lege?

 

Oder muss ich echt zum testen wieder an die 56 K Krück von meinem Kumpel? :( :D

 

Der hat aber wieder kein NAT Router sondern nur ein 56K Modem, d.h. ganz andere konstellation als bei mir zuhause bzw. bei dem ich das demnächst machen will.

updaten und NAT-T fähig machen. Dann fehlt Dir aber immer noch der Tunnel Terminator. Oder Du machst einen Rechner im Firmen LAN zum VPN Server. Dann muss dieser NAT-T fähig sein und der Tunnel läuft über zwei NAT Geräte (Router zu Hause und Router der Firma)

 

Der Hintergrund ist der, das beim Natten unter anderem IP Adressen ausgetauscht werden. Doch das genau möchte L2TP over IPSec bzw. IPSec TunnelMode nicht. NAT-T packt das Ganze nun noch mal in zusätzliche UDP Header und schiebt sie so über die NAT Geräte - mal ganz simpel gesprochen. Für genauere Definitionen musst Du mal googeln , z.B. hier:

 

http://www.different-thinking.de/ipsec_nat_traversal.php

 

Gruß

Mülli

 

edit: jetzt war IThome wieder schneller und hat gepostet während ich noch schrieb :(

 

Jo, Danke ich habe es nun denke ich Verstanden!

 

Ich frage mich nur warum ich bisher keine IPSEC verschlüsselte Verbindung mit dem 56K Client von meinem Kumpel zustande bekommen habe sondern nur eine PPTP Verbindung hin bekommen habe, immer wenn ich Versuche L2TP/UPSec Versuche zu benutzen. Kriege Ich Fehler 792 beim Einwahl Versuch.

 

PPTP geht aber wie gesagt.

 

Bin ich zu doof das Einzustellen?

 

Ich gehe folgendermaßen vor:

 

1. Ich aktiviere unter > Advanced Setup> Remote Access Control Setup

Enable IPSec VPN Service

Enable L2TP VPN Service

 

2. In > Advanced Setup> PPP General Setup wähle ich PAP oder CHAP aus. Es geht nur "PAP oder CHAP" oder "PAP Only"

 

3. In Advanced Setup > VPN IKE / IPSec Setup gebe ich den Pre-Shared Key zweimal ein (einmal zur bestätigung) Fürs erste wähle ich nur IPSEC AH aus.

 

4. In > Advanced Setup> Remote Dial-In User Setup aktiviere ich den Benutzer gebe Benutzername und Kennwort ein und aktiviere L2TP with IPSEC und wähle bei IPSec Policy "None" aus (hatte auch schon Nice to Have oder Must zum testen, ohne erfolg)

 

Nun erstelle ich auf dem 56 K Client die VPN Einwahl Neue Verbindung ... blabla VPN Verbindung...

 

Als Hostname gebe ich die Dyndns Adresse meines Vigors ein.

 

In Registerkarte "Sicherheit" unter IPSec Einstellungen gebe ich den PreShared Key ein.

 

Und in der Registerkarte "Netzwerk" wähle ich bei VPN-Typ: "L2TP-IPSEC-VPN"

 

Dann gebe ich Benutzername und Kennwort ein und warte ab.

 

Jetzt nochmal für doofe... Habe ich was Vergessen?

 

Danke!

[lepfa 10]

PPTP geht Leider nur mit CHAP nicht MSCHAP oder MSCAP V2

nur bei diesem Typ Router meinst Du! Mit EAP funzt es auch bei PPTP. Und über das LAN kannst Du doch die L2TP/IPSec Verbindung zwischen PC und VPN Einwahlserver testen. Wenn diese Verbindung funktioniert kannst Du weiter die VPN Verbindung via Internet debuggen. gruß lepfa (Ich hoffe ich habe Deinen Thread aufmerksam gelesen :) )

[IThome 10]

Wenn Du tatsächlich nur AH auswählst, wird es auf jeden Fall scheitern, AH funktioniert auf keinen Fall über NAT-Geräte. Du musst also, wenn Du verschlüsseln willst, High(ESP) auswählen.

Du kannst Deine Verbindung testen, indem Du der externen Schnittstelle des Routers eine feste IP gibst und dem Client eine im selben Bereich. Der Client wird dann über Crossover oder ähnlich an die externe Schnittstelle angeschlossen. Benutze keine Adresse aus dem privaten Bereich (ich habe sowas auch mal mit einem 2200X probiert, habe eine private Adresse auf die externe Schnittstelle gebunden und keine Verbindung trotz korrekter Konfiguration bekommen).

[Workaholic4u 10]

Wenn Du tatsächlich nur AH auswählst, wird es auf jeden Fall scheitern, AH funktioniert auf keinen Fall über NAT-Geräte. Du musst also, wenn Du verschlüsseln willst, High(ESP) auswählen.

 

Der Rechner ist direkt über ein 56 K Modem mit dem Internet verbunden mit dem ich es getestet habe... kein NAT dazwischen... :(

 

Du kannst Deine Verbindung testen, indem Du der externen Schnittstelle des Routers eine feste IP gibst und dem Client eine im selben Bereich. Der Client wird dann über Crossover oder ähnlich an die externe Schnittstelle angeschlossen. Benutze keine Adresse aus dem privaten Bereich (ich habe sowas auch mal mit einem 2200X probiert, habe eine private Adresse auf die externe Schnittstelle gebunden und keine Verbindung trotz korrekter Konfiguration bekommen).

 

Da hab ich ja noch garnich gedacht... da an der externen Schnittsatelle ja das DSL Modem hängt... LOL das kann ich ja einfach mal kurz abnehmen und dann den Rechner und den Router verbinden... Lol warum bin ich da nich drauf gekommen :)

 

Danke!

[IThome 10]

:D Manchmal hilft ein Wink mit dem Zaunpfahl ;)

[Workaholic4u 10]

nur bei diesem Typ Router meinst Du! Mit EAP funzt es auch bei PPTP.

 

habe leider nirgendwo in der Konfig meines Routers etwas über EAP gefunden... :(

 

EAP benutzt man doch nur mit Smartcard oder mit Zertifikaten...

 

und MD5-Challenge kann der Router glaube ich auch nicht... hab jedenfalls nichts gefunden...

 

Wie gesagt kann mir jemand einen Neuen Router mit WLAN Schnittstelle und dem üblichen kram den wir hier grad bequatsch kann empfehlen? :D

[Muelli 10]

Moinsen,

 

Bei Routerempfehlungen kommt es immer auf Deinen Etat an. Im mittleren Preissegment sind die Draytek Vigor Router schon nicht schlecht, außer dass sie halt noch nicht NAT-T können. Wenn Du ihn aber als VPN Server betreibst und der VPN Client sich direkt im Internet einwählt müssten auch IPSec Transport Mode und IPSec Tunnel Mode klappen.

Wir haben hier den Vigor 2900G.

Dieser dient bei uns als:

DHCP, Firewall, NAT Router, VPN Server, WLAN Access Point

 

Lass Dich ansonsten nicht von den vielen Abkürzungen irre machen, die im Zusammenhang mit VPN so kursieren. Können schon ganz schön verwirrend sein. Zum besseren Verständnis hatte ich mir damals das Buch: "Virtuelle Private Netze - Sichere Kommunikation in IP-Netzen" ISBN3-931959-34-1 vom Fossil Verlag (40 €) gekauft. Dort werden erst mal alle Abkürzungen sowie alle Spielarten von VPN genau beschrieben.

 

Gruß

Mülli

[IThome 10]

Da kann ich nur zustimmen, ich hab den 2900G zu Hause und der ist wirklich gut, auch mit den von Muelli beschriebenen Nachteilen ...