.titleBar { margin-bottom: 5px!important; }

IPSec-Passthrough geht nicht

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von sportfreund, 10 Nov. 2006.

  1. sportfreund

    sportfreund Neuer User

    Registriert seit:
    17 Juni 2005
    Beiträge:
    177
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,

    habe bei einem Freund einen D-Link-Router durch eine Fritzbox 7050 ersetzt.

    Er betreibt einen Windows 2003 Small Business Server mit IPSec-VPN. Dieses funktionierte bislang immer einwandfrei.

    Auf dem Dlink waren an Ports nur 500 und 1701 (jeweils UDP) eingestellt.

    Diese habe ich nun bei der Fritzbox konfiguriert, ebenso wie die Protokolle GRE und ESP (nur zur Sicherheit).

    Folge: VPN geht immer noch nicht (komisch genug), aber die Krönung:

    Nehme ich den Server in der Fritzbox als Exposed Host auf, und lösche ihn anschliessend gleich wieder als Exposed Host, funktioniert das VPN von außen! Jedoch nur einige Minuten lang (ca. 10-15), ab dann ist wieder keine Verbindung möglich.

    Was kann das sein? So hat die Fritzbox wenig Sinn, VPN ist für ihn sehr wichtig :(
     
  2. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    als exposed Host funktioniert es? Das finde doch einfach anhand eines Etherreal Logs heraus, welche Ports wirklich benutzt werden und trage sie ein. Vielleicht fehlt nur der Port 4500 für NAT-T?

    Viele Grüße

    Frank
     
  3. sportfreund

    sportfreund Neuer User

    Registriert seit:
    17 Juni 2005
    Beiträge:
    177
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Das ist doch ein guter Tip - vielen Dank!

    Fällt Dir ein gutes Tool ein, um das Logfile auszuwerten? Oder kann das Wireshark?
     
  4. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    das geht mit Wireshark am besten.

    Viele Grüße

    Frank
     
  5. sportfreund

    sportfreund Neuer User

    Registriert seit:
    17 Juni 2005
    Beiträge:
    177
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Tatsache, es lag an NAT-T, 4500 UDP. Danke!!

    Komisch, dass es beim DLink so ging. Der Port 1701 ist dafür gänzlich ungenutzt, genau wie GRE.

    Für (Microsoft) IPSec mit NAT sind demnach nur Port 500 und 4500 UDP, sowie Protokoll 50 (ESP) wichtig.

    Andere Frage: Kann man das Ethereal-Webinterface irgendwie sperren oder zumindest mit einem Passwort versehen? Das scheint mir schon eine Sicherheitslücke zu sein, dass da jeder drauf kommt, auch wenn die Fritzbox ein Passwort braucht.
     
  6. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    man muss das Passwort der Fritzbox Weboberfläche wissen, um einen Paketmitschnitt anfertigen zu können. Ist man nicht (mehr) eingeloggt auf der Fritz-Oberfläche, dann wird das Passwort abgefragt.

    Viele Grüße

    Frank