Fritz 7390: Problem mit VPN Pass-through

[aub]

Hallo!

Habe einen Mac Mini/OS X server hinter meiner Fritzbox 7390. Nutze diesen u.a. für VPN. Bisher hatte ich ein Speedport 721W, welches durch das weiterleiten der folgenden Ports, eine VPN Verbindung über L2TP von ausser zugelassen hat:
UDP 500, UDP 1701, UDP 4500, UDP 50, UDP 51. Leider kann ich, seit ich das die neue Fritzbox 7390 habe, keine VPN Verbindung mehr durchbekommen.
Selbst das Einrichten vom Mini als Exposed Host hat nichts gebracht.
Alle anderen Port Weiterleitungen, wie z.B. port 80, 443, 22, kommen alle an. Nur die VPN Ports scheinen geblockt zu sein.

Kann das mit dem auf der Fritzbox laufenden VPN Server zu tun haben? Ich habe keine Option gefunden diesen zu deaktivieren. Und zu alldem steht auf vielen Seiten, dass der 7390 VPN Pass-Through unterstützt.

Ich habe noch eine Woche Zeit, bevor das Ding nach Fernabsatz zurück geht. Hat hier jemand relevante Erfahrung gemacht? Vielen Dank für Hinweise und Vorschläge!

Aub

 

[frank_m24]

Hallo,

Portweiterleitungen allein reichen ja nicht für VPN, du musst auch noch Protokolle weiterleiten, z.B. ESP (für IPSEC) oder GRE (für PPTP).

 

[aub]

Hallo Frank!
Danke für die schnelle Antwort.
Ja, GRE und ESP sind auch weitergeleitet. Diese Möglichkeit hatte ich bei meinem Speedport vorher nicht. Nach etwas googlen habe ich dann auch diese beiden Protokolle weitergeleitet.
Intern kann ich mich verbinden, indem ich die local IP vom Mini direkt eingebe. Extern aber auch mit GRE und ESP Weiterleitung nicht.

 

[aub]

Erstaunlich finde ich, dass es nicht funktioniert, obwohl der Mini als Exposed Host eingetragen ist.

 

[frank_m24]

Hallo,

sind die eingesetzten VPN Server und Client NAT-T fähig? Und ist es auch aktiviert?

 

[aub]

Das ist eine sehr gute Frage. Ob der Server mit OS 10.5 Server und der MBP als VPN Client NAT-T fähig sind, weiss ich nicht. Aber da es vorher mit dem Speedport funktioniert hat, ging is bisher davon aus, dass alles passt. Auf dem Speedport und anderen Routern, die ich vorher benutzt habe, wie z.B. Airport Express&Extreme, war NAT-traversal eigentlich immer aktiviert.

Beitrag 2:
Ich lese gerade in deiner Signature, dass du Erfahrung mit Freetz hast. Auch mit Freetz auf dem 7390? Eigentlich hatte ich ja gedacht, dass mein 7390 mit VPN überhaupt gar keine Probleme machen würde. Das kam hier etwas unverhofft.

 

[frank_m24]

Halo,

ich habe eine Box in meinem Bekanntenkreis, da wird auch ein VPN Server per Portweiterleitung bedient. Das Setup macht keine Schwierigkeiten. Aber NAT-T muss an sein.

Freetz auf der 7390 ist mittlerweile kein Problem mehr. Es gibt einen Branch on olistudent, mit dem lässt sich Freetz für die 7390 genau so komfortabel bauen, wie für andere Boxen. In der Stabilität kann ich keinen Unterschied feststellen. Dazu gibt es einen Thread im Freetz Bereich.

Die 7390 kann allerdings auch ohne Freetz VPN, und zwar IPSEC VPN. Das sollte auch von MAC Client aus funktionieren.

 

[aub]

Hi,
+ Nat-T -- Wenn ich das richtig verstehe ist NAT eine Option, die man in einem Router aktiviert. Oder kann diese auch auf dem VPN Server bzw. VPN Client "aktiviert" sein?
+ Ja, ich würde eigentlich gerne das eingebaute VPN benutzen. Sehr gerne sogar. Dabei ergeben sich für mich zwei Probleme:
1. Anscheinend braucht man als VPN Client auf dem Mac "VPN Tracker" von Equinux, der geschlagene 99 EUR kostet, 50% der Kosten für das 7390.
2. Das Hinzufügen, Editieren und Löschen von VPN Benutzern scheint mir sehr benutzerunfreundlich. Mir fehlt eine schöne VPN Benutzeroberfläche in der fritz.box Benutzeroberfläche.
Wenn man das Fritz VPN auch ohne Equinux's VPN Tracker hinbekommen könnte, vielleicht ist das eingebaute VPN dann noch eine Option.

 

[frank_m24]

+ Nat-T -- Wenn ich das richtig verstehe ist NAT eine Option, die man in einem Router aktiviert. Oder kann diese auch auf dem VPN Server bzw. VPN Client "aktiviert" sein?

NAT-T gibts nur im VPN Server und Client. Im Router richtet man nur eine Portweiterleitung dafür ein, nämlich UDP 4500.

Wenn man das Fritz VPN auch ohne Equinux's VPN Tracker hinbekommen könnte, vielleicht ist das eingebaute VPN dann noch eine Option.

Gibts kein Shrew für MAC?

 

[aub]

Habe eine Diskussion gefunden, die womöglich auf einige Probleme eingeht, die ausser NAT-T noch existieren.

Also NAT-T sollte eigentlich aktiviert sein, da die bekannten Ports, die in Apple Produkten verwenden werden hier aufgelistet sind.

Vielleicht sollte ich einfach mal OpenVPN auf meinem MBP und einem meiner virtuellen Ubuntu server installieren.

Beitrag 2:
Ok, also ich denke ich werde mir OpenVPN auf einen meiner Server ziehen und dort NAT-T aktivieren. OpenVPN gibts fuer praktische alle OS. Das Hacken vom 7390 scheint mir aufwendiger. Oder wie lange und komplex ist es openVPN mit freetz auf die 7390 zu bringen?

 

[frank_m24]

Hallo,

für OpenVPN brauchst du kein NAT-T. Das ist ein reiner IPSEC Machanismus. OpenVPN ist prinzipiell NAT-aware.

Wenn man sich in Freetz einarbeiten muss, dauert es natürlich ein wenig. Wenn man freetz kennt, ca. 1 Stunde, bis man OpenVPN am fliegen hat.

 

[aub]

Hallo Frank,

Ich werde gleich mal mit OpenVPN experimentieren. Vielen Dank für deine Hilfe! Ich werde versuchen das allem mal zu dokumentieren und dann zu bloggen.

Viele Grüße!

 

[vz70]

Hallo,

ich weiss ja nicht, ob Dein Problem noch aktuell ist ... aber mit der Anleitung hat es bei mir geklappt
http://blog.netplanet.org/2010/09/19/die-avm-fritzbox-als-vpn-secure-gateway-fuer-das-iphone/