.titleBar { margin-bottom: 5px!important; }

FritzBox 7050 Hinter Checkpoint VPN Router

Dieses Thema im Forum "FRITZ!Box Fon als ATA" wurde erstellt von tjestr, 16 Okt. 2006.

  1. tjestr

    tjestr Neuer User

    Registriert seit:
    13 Feb. 2006
    Beiträge:
    31
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 tjestr, 16 Okt. 2006
    Zuletzt bearbeitet: 16 Okt. 2006
    Hallo,
    ich betreibe die Fritzbox hinter einem Checkpoint VPN Router.

    Die Fritzbox nutzt die Internetverbindung über LAN A (Checkpoint VPN Router)

    Fritzbox:
    DHCP: OFF
    IP: 192.168.10.2
    Gateway: 192.168.10.1

    Router:
    DHCP: OFF
    IP: 192.168.10.1

    Die Fritzbox ist zudem im DMZ des Routers. Des Weiteren ist der Port 5060 (UDP) an die Fritzbox geforwarded.

    Nun funktioniert VOIP leider nicht mehr. Als Fehlermeldung bekomme ich folgendes:

    "Anmeldung der Internetrufnummer (<Rufnummer>) war nicht erfolgreich. Ursache: Gegenstelle antwortet nicht. Zeitüberschreitung."

    Im log meines Routers finde ich geblockte Requests von 10000er destinations Ports. Als Source Ports ist der 5060er angegeben.

    Bitte um Hilfestellung.

    Mfg
     
  2. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    Da fehlen die DNS Server. Du könntest einfach auch 192.168.10.1 als DNS Server angeben, wenn der Checkpoint VPN Router als DNS Proxy arbeitet (wahrscheinlich).

    Ist die Fritz in der DMZ, musst du wahrscheinlich keine Ports mehr extra forwarden.

    Viele Grüße

    Frank
     
  3. tjestr

    tjestr Neuer User

    Registriert seit:
    13 Feb. 2006
    Beiträge:
    31
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #3 tjestr, 16 Okt. 2006
    Zuletzt bearbeitet: 16 Okt. 2006
    In der Fritzbox ist der VPN Router als DNS eingetragen (192.168.0.1)

    Des Weiteren wird NAT gehided.

    Noch zur Info. Mein VOIP Anbieter ist Freenet.

    Im Web-Interface wird angezeigt, dass Internettelefonie nicht registriert sei.

    Verbindungslog meines Routers:

    Source:UDP 194.97.54.97:5060 Destination:192.168.10.2:10221 (fritzbox)
    Source:UDP 194.97.54.97:5060 Destination:192.168.10.2:10219 (fritzbox)
    Source:UDP 192.168.10.2:5060 (fritzbox) Destination:194.97.4.42:3478
    Source:UDP 192.168.0.1:1029 Destination:194.97.173.124:53 (DNS)
    Source:UDP 192.168.0.1:7077 Destination:194.97.173.124:53 (DNS)
    Source:UDP 192.168.10.2:5060 (fritzbox) Destination:194.97.54.97:5060 (SIP)
     
  4. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    Wieso hat die Fritz eine IP aus dem Subnetz 192.168.10.0/24, aber als DNS Server 192.168.0.1 eingetragen? Das kann nicht funktionieren.

    Was ist denn 192.168.0.0/24 für ein Subnetz? Aus dem Subnetz tauchen ja auch Log Einträge auf. Hast du möglicherweise zwei Subnetze konfiguriert? Warum? Und vor allem: wie? Nicht, das es da Mischmasch gibt ...

    Viele Grüße

    Frank
     
  5. tjestr

    tjestr Neuer User

    Registriert seit:
    13 Feb. 2006
    Beiträge:
    31
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich habe die nun wieder in ein Netz gehängt.
    Das Subnetz war nur eine zusätzliche Sicherungsmaßnahme.
    Das zusätzliche Subnetz konnte ich über eine zusätzliche DMZ Ethernet-Schnittstelle an meine Router einrichten.

    Nun ist aber auch die Fritzbox unter 192.168.0.2 und der Router unter 192.168.0.1 zu erreichen. Funktionieren tut es trotzdem nicht.
     
  6. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    klinke dich mal per telnet auf die Box und überprüfe per pings und traceroutes, ob sie sauber ins Netz kommt.

    Viele Grüße

    Frank
     
  7. Joe_57

    Joe_57 IPPF-Promi

    Registriert seit:
    5 März 2006
    Beiträge:
    4,803
    Zustimmungen:
    35
    Punkte für Erfolge:
    48
    Sorry, vielleicht verstehe ich da was falsch, aber

    ich hab irgendwann mal gelernt, dass Adressen aus 192.168.x.x, die sich im Subnetz 255.255.255.0 (Class C) befinden, von jedem öffentlichen DNS-Server sofort ins Computer-Nirwana befördert werden (Privater Adressbereich).

    Wozu da also noch eine DMZ aufbauen, die ja eh schon existiert?

    Trag doch einfach bei den Clients den entsprechenden DNS-Server und das Gateway ein, wo sie physikalisch auch angeschlossen sind, und gut is.

    Joe
     
  8. tjestr

    tjestr Neuer User

    Registriert seit:
    13 Feb. 2006
    Beiträge:
    31
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    So sieht der Traceroute aus:

    --------------------------------------------------------------------------
    traceroute to google.de (66.102.9.104), 30 hops max, 40 byte packets
    1 my.firewall (192.168.0.1) 0 ms 0 ms 0 ms
    2 * * *
    3 G5-0.hmb2-g.mcbone.net (62.104.195.133) 30 ms 40 ms 30 ms
    4 L0.hmb2-g2.mcbone.net (62.104.191.144) 40 ms 30 ms 40 ms
    5 lo0-0.hnv2-j2.mcbone.net (62.104.191.206) 40 ms 40 ms 40 ms
    6 ge-2-0-0-0.dus2-j2.mcbone.net (62.104.191.195) 40 ms 40 ms 40 ms
    7 ge-3-0-0-0.ffm4-j2.mcbone.net (62.104.191.191) 40 ms 50 ms 40 ms
    8 de-cix10.net.google.com (80.81.192.108) 40 ms 50 ms 50 ms
    9 72.14.232.208 (72.14.232.208) 50 ms 50 ms 50 ms
    10 216.239.48.146 (216.239.48.146) 80 ms 80 ms 80 ms
    11 72.14.232.239 (72.14.232.239) 90 ms 90 ms 80 ms
    12 64.233.174.18 (64.233.174.18) 90 ms 90 ms 90 ms
    13 66.102.9.104 (66.102.9.104) 90 ms 80 ms 90 ms

    --------------------------------------------------------------------------
     
  9. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    tja, merkwürdig. Vielleicht hat es tatsächlich was mit der DMZ Konfiguration zu tun :noidea: . Das traceroute sieht jedenfalls ok aus.

    Viele Grüße

    Frank
     
  10. tjestr

    tjestr Neuer User

    Registriert seit:
    13 Feb. 2006
    Beiträge:
    31
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Müssen denn noch irgendwelche Ports geforwarded werden?
     
  11. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    das liegt dran.
    Normalerweise sollte die Box hinter einem NAT Router problemlos funktionieren, da sie STUN beherrscht. In deinem Log in Beitrag #3 sieht man sogar schon Pakete an den Freenet STUN Server.

    Das Problem ist: STUN funktioniert nicht hinter Router mit symmetrischen NAT. In dem Fall müssen Ports freigegeben werden, und zwar die Ports:
    5060 - 5069 UDP
    7077 - 7087 UDP
    an die IP der Fritz.

    Viele Grüße

    Frank
     
  12. tjestr

    tjestr Neuer User

    Registriert seit:
    13 Feb. 2006
    Beiträge:
    31
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #12 tjestr, 16 Okt. 2006
    Zuletzt bearbeitet: 16 Okt. 2006
    Sind die Ports bei Freenet nicht anders?
    Bzw. funktioniert das so nicht.
     
  13. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    die Ports werden nicht von Freenet bestimmt, sondern von der Fritzbox.

    Gibt es Port- oder Protokollsperren nach außen? Vielleicht dürfen Clients nur mit bestimmten Protokollen oder auf bestimmten Ports nach draußen kommunizieren? Dann geht vielleicht traceroute, aber SIP und RTP geht nicht.

    Viele Grüße

    Frank
     
  14. tjestr

    tjestr Neuer User

    Registriert seit:
    13 Feb. 2006
    Beiträge:
    31
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Habe noch eine Einstellung namens HIDE NAT gefunden.
    Kann dieses nicht auch auswirkungen haben?
     
  15. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    klar. Keine Ahnung, was die macht.

    Viele Grüße

    Frank
     
  16. tjestr

    tjestr Neuer User

    Registriert seit:
    13 Feb. 2006
    Beiträge:
    31
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #16 tjestr, 17 Okt. 2006
    Zuletzt bearbeitet: 17 Okt. 2006
    Hier noch mal ein Log aus den Aktiven Verbindungen meines Routers:

    UDP 194.97.54.97 5060 192.168.0.2 (fritzbox) 10000
    UDP 192.168.0.2 (fritzbox) 7078 194.97.4.42 3478
    UDP 192.168.0.2 (fritzbox) 7079 194.97.4.42 3478
    UDP 192.168.0.2 (fritzbox) 5060 194.97.4.42 3478
    UDP 192.168.0.1 1065 194.97.173.124 53 (DNS)
    UDP 192.168.0.2 (fritzbox) 5060 194.97.54.97 5060 (SIP)
     
  17. tjestr

    tjestr Neuer User

    Registriert seit:
    13 Feb. 2006
    Beiträge:
    31
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hat jemand noch eine Idee,
    oder ist es langsam nicht eventuell einfacher, die Fritzbox vor den anderen router zu hängen, bei der Fritzbox den Router als Exposed Host einzutragen und somit die Firewall des Routers zu nutzen? (Natürlich werden die Clients hinter den Router geschaltet.)
     
  18. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    aus VoIP Sicht ist die Lösung natürlich ideal. Folgende Punkte solltest du aber bedenken:
    - Welches DSL Modem benutzt zur Zeit? Die Modems der Box sind nicht die besten; sie sind zwar nicht wirklich schlecht, aber es gibt bessere. Vor allem an DSL Anschlüssen syncen einige andere Modems mit höherer Geschwindigkeit. Du kannst aber auch die Fritzbox mit dem anderen Modem gemeinsam betreiben.
    - Wenn du die VPN Funktionalität des Checkpoint VPN Routers nutzen willst, dann musst du bedenken, dass diese jetzt über eine NAT Verbindung aufgebaut werden müssen. Vor allem bei IPSec Verbindungen kann das Ärger machen, Stichwort NAT-T. PPTP ist kein Problem. Mache dich bei IPSec Verbindungen vorher schlau, ob alle beteiligten Clients und Server das unterstützen.

    Viele Grüße

    Frank