6360 (UnityMedia) vor separater Firewall mit VPN-Server

Rene.N

Neuer User
Mitglied seit
26 Mrz 2012
Beiträge
11
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich habe das Problem, dass ich keine VPN-Verbindung von aussen mit meinem Server hinter der FB 6360 aufbauen kann.

Dazu ist folgendes zu sagen:
Bis letzte Woche war ich mit ADSL 6000 mit fester IP durch Vodafone versorgt. Dort hing ein DSL-Modem vor meiner m0n0-Firewall (die Router, Firewall und VPN-Server spielt)

Jetzt habe ich von UnityMedia einen Business DSL 64000 + Telefonanschluss mit fester IP bekommen.

Ich habe also das Modem entfernt, die WAN-Einstellungen in der m0n0-Wall von PPPoE auf Static IP geändert und die IP-Daten von UM eingegeben. Da das so noch nicht fruchtete, habe ich die IP der m0n0-Wall als Exposed Host in der 6360 angelegt.

Internet, Fernwartung der FB und Dienste wie ActiveSync & Outlook WebAccess funktionieren anstandslos. Nur die VPN-Verbindung (PPTP) lässt sich nicht mehr aufbauen. Der Prozess geht bis zu dem Schritt "Benutzername und Kennwort werden überprüft" gut und nach einer Weile kommt der Fehler 732:"Der Computer konnte sich mit dem Remotecomputer nicht über ein PPP-Steuerungsprotokoll einigen." (XP-Client) bzw. Fehler 628: "Die Verbindung wurde vom Remotecomputer beendet, bevor sie vollständig hergestellt werden konnte." (Win7)

Hat jemand eine Ahnung, woran das liegen könnte??? (Evtl. GRE-Protokoll-Problem?)

Gruß René
 
L

leo-rls

Guest
Hallo,

es kann doch dann eigentlich nur an der Portweiterleitung 1723 und GRE liegen? Was anderes kann es doch eigentlich nicht sein, da PPTP nur diese beiden Dinge benötigt. Denn wenn es vorher ging, dann kann der M0n0wall ja nur Port 1723 und Protokollnummer 47 fehlen? Würde ich sagen....

Viel Glück
leo
 

Rene.N

Neuer User
Mitglied seit
26 Mrz 2012
Beiträge
11
Punkte für Reaktionen
0
Punkte
0
Ja, so in die Richtung denke ich ja auch. Die Portweiterleitung sollte ja eigentlich durch die Option "Exposed Host" gegeben sein. Wie ich allerdings festlegen kann, ob GRE durchgereicht wird, weiss ich leider noch nicht..

Gibt's Ideen dazu???

Gruß

René
 

Rene.N

Neuer User
Mitglied seit
26 Mrz 2012
Beiträge
11
Punkte für Reaktionen
0
Punkte
0
Nein, ich hatte bis jetzt "nur" den VPN-Server als "Exposed Host" eingetragen, weil ich natürlich dachte, dass da alle Ports und Protkolle durchgereicht werden. Aber das sollte ich mal testen. Sind halt nur noch so "einige" Sachen, die dann auch noch eingerichtet werden müssten... Aber ich mach das mal und hoffe, die Mühe lohnt sich ;)
 

Rene.N

Neuer User
Mitglied seit
26 Mrz 2012
Beiträge
11
Punkte für Reaktionen
0
Punkte
0
so, habe jetzt den "exposed Host" rausgenommen und die einzelnen Port- und Protokollregeln an meinen VPN-Server/Firewall weitergleitet. Das Ergebnis ist leider das gleiche ;(
Also irgend was mag da nicht so, wich ich mir das vorstelle...
 
L

leo-rls

Guest
Also auf der Box muss man eigentlich nichts weiter einstellen. Wenn du Port 1723 und GRE auf die WAN-IP der M0n0wall umgeleitet hast, dann war es das eigentlich.
Was mich irritiert ist nur noch, weshalb du auf der m0n0wall Daten von Unity Media eingegeben hast.

Lies bitte man folgenden Link: http://www.administrator.de/index.php?content=116961

Und wenn du damit nicht klar kommst, dann stell dort mal die Frage. Der Ersteller dieser Anleitung liest dort eifrig mit und antwortet ganz sicher. Er kennt sich mit M0n0wall bestens aus.

Grüße
Leo
 

Rene.N

Neuer User
Mitglied seit
26 Mrz 2012
Beiträge
11
Punkte für Reaktionen
0
Punkte
0
Hallo Leo,

ja, auf der Box habe ich 1723 und GRE und für OWA (ohne VPN-Zugang) z.B. 443 (und noch ein paar andere Dienste) freigegeben.

Von der Netzwerkstruktur sieht es ja so aus, dass ich bei UM 4 feste IPs bekommen habe (Subnet, Gateway, Client, Broadcast).
Gateway ist die FB und Client meine m0n0. Auf der m0n0 wähle ich im WAN-Interface als Zugang "Static" aus, trage die Client-IP von UM mit /30 ein und gebe als Gateway die IP der FB an. So die Info von UM und so funktioniert ja auch (fast) alles - aber eben auch nur fast ;(

Ich schau morgen (komm ja gerade nicht drauf..) nochmal nach der m0n0-CFG, aber wenn ich's richtig im Kopf hab, ist die im Prinzip genau so eingerichtet wie beschrieben. Aber Kontrolle ist ja immer besser...

Wed mich dann leider erst morgen Nachmittag melden könne, was bei rausgekommen ist.

Bei AVM hatte ich übrigens auch nachgefragt und bekam nur eine ernüchternde Antwort:

"vielen Dank für Ihre Anfrage an den AVM-Support.
Leider kann ich Ihnen keine Lösung anbieten.
Unter folgendem Link haben wir Ihnen allgemeine Informationen zu Ihrer Anfrage bereitgestellt:

http://service.avm.de/support/de/SKB/FRITZ-Box-6360/169:VPN-Software-eines-anderen-Herstellers-ueber-Internetverbindung-der-FRITZ-Box-nutzen
http://service.avm.de/support/de/SKB/FRITZ-Box-6360/243:VPN-Loesung-eines-anderen-Herstellers-mit-FRITZ-Box-verbinden

Freundliche Grüße aus Berlin"

Aber die Hoffnung stirbt zuletzt ;)

Gruß René
 

Rene.N

Neuer User
Mitglied seit
26 Mrz 2012
Beiträge
11
Punkte für Reaktionen
0
Punkte
0
L

leo-rls

Guest
Hallo Rene,

aber es ist doch prima, dass die Verbindung zur m0n0wall wieder aufgebaut werden kann. Ich habe auch mal ein bisschen gegoogelt, weil ich den Fehler noch nie hatte. Vielleicht änderst du mal in den Eigenschaften der PPTP-Verbindung bei Windows 7 den VPN-Typ (von Automatisch auf PPTP)?

pptp.jpg

Viellleicht hilft das ja etwas.
leo
 
Zuletzt bearbeitet von einem Moderator:

Rene.N

Neuer User
Mitglied seit
26 Mrz 2012
Beiträge
11
Punkte für Reaktionen
0
Punkte
0
Hallo Leo,

muss leider die Erfolgsmeldung wieder korrigieren. Ich hatte nicht gemerkt, dass ich mit dem Smartphone bereits im Firmen-WLAN war. Nur deshalb hatte es funktioniert. Ausserhalb der Firma ging's dann auch nicht mehr.
XP hat übrigens Fehler 732 gemeldet.
Aber wenn ich mir die Fehler unter Win7 ansehe, hört es sich ja für mich an, al könnte er den Namen nicht auflösen und wenn ich die IP nehme, dass stimmt das Zertifikat vom Namen her nicht...
An sich wäre es wahrscheinlich ausreichen, ein reines Kabelmodem vor der m0n0 zu betreiben. So funktioniert es zumindest auch bei einem Bekannten (in BW)....

Gruß René
 

Rene.N

Neuer User
Mitglied seit
26 Mrz 2012
Beiträge
11
Punkte für Reaktionen
0
Punkte
0
... mit der falschen Sommerzeit der Fritz!Box hat das doch hoffentlich nichts zu tun (Zeitstempel für Anmeldung)?!
 
L

leo-rls

Guest
Also wenn du alles korrekt bei der M0n0wall und bei der FB eingestellt hast, dann kann es ja faktisch nur noch an den Einwahleinstellungen vom PC liegen. (bei den VPN-Einstellungen)
 
Zuletzt bearbeitet von einem Moderator:

Rene.N

Neuer User
Mitglied seit
26 Mrz 2012
Beiträge
11
Punkte für Reaktionen
0
Punkte
0
tja, ich glaub, das wäre zu einfach... Hab schon diverse Einstellungen ausprobiert - alles ohne Erfolg. Nur, wenn ich die CFG von vorherigen Provider in die m0n0 zurückspiele und die DSL-Leitung umklemme (läuft nämlich noch parallel) dan klappts auch wieder mit der VPN-Verbindung. Also macht die FB irgend einen Sch...!
 

Rene.N

Neuer User
Mitglied seit
26 Mrz 2012
Beiträge
11
Punkte für Reaktionen
0
Punkte
0
Halo Leo,er
ob du's glaubst oder nicht - das Problem ist gelöst!
Und der Witz dabei ist, dass es auf der FB KEINE geänderten Einstellungen geben darf. NIX exposed Host, nix Portforwarding...
Nach einem Hardwarereset (und nachträglichem Abschalten der WLAN-Funktion) läuft VPN !!!
Da hätte wohl der UM-Techniker gar nicht erst was einstellen sollen.... Den doch recht kompetenten MA der UM-Hotline zu folge ist die Firmware so extrem angepasst, dass wohl eine tatsächliche Kabelmodem-Nutzung (bei fester IP) nur in den Grundeinstellungen möglich ist.
Tja, manchmal ist die Lösung soo einfach. Aber die vielen anderen Hotline-MA wussten das auch nicht...
Na, dann kann ich ja nur hoffen, dass die Lösung von Dauer ist ;)

Gruß René
 
L

leo-rls

Guest
Hallo Rene,

das kann doch wohl nicht wahr sein. Da grübelt man....
Aber es ist gut zu wissen, dass es an so etwas liegen kann. Ich habe nämlich auch seit Januar einen Kabelanschluss.
Dann wünsche ich dir viel Glück.

Gruß Leo