IPSec-Passthrough geht nicht

sportfreund

Neuer User
Mitglied seit
17 Jun 2005
Beiträge
177
Punkte für Reaktionen
0
Punkte
16
Hallo,

habe bei einem Freund einen D-Link-Router durch eine Fritzbox 7050 ersetzt.

Er betreibt einen Windows 2003 Small Business Server mit IPSec-VPN. Dieses funktionierte bislang immer einwandfrei.

Auf dem Dlink waren an Ports nur 500 und 1701 (jeweils UDP) eingestellt.

Diese habe ich nun bei der Fritzbox konfiguriert, ebenso wie die Protokolle GRE und ESP (nur zur Sicherheit).

Folge: VPN geht immer noch nicht (komisch genug), aber die Krönung:

Nehme ich den Server in der Fritzbox als Exposed Host auf, und lösche ihn anschliessend gleich wieder als Exposed Host, funktioniert das VPN von außen! Jedoch nur einige Minuten lang (ca. 10-15), ab dann ist wieder keine Verbindung möglich.

Was kann das sein? So hat die Fritzbox wenig Sinn, VPN ist für ihn sehr wichtig :(
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,571
Punkte für Reaktionen
1
Punkte
36
Hallo,

als exposed Host funktioniert es? Das finde doch einfach anhand eines Etherreal Logs heraus, welche Ports wirklich benutzt werden und trage sie ein. Vielleicht fehlt nur der Port 4500 für NAT-T?

Viele Grüße

Frank
 

sportfreund

Neuer User
Mitglied seit
17 Jun 2005
Beiträge
177
Punkte für Reaktionen
0
Punkte
16
Das ist doch ein guter Tip - vielen Dank!

Fällt Dir ein gutes Tool ein, um das Logfile auszuwerten? Oder kann das Wireshark?
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,571
Punkte für Reaktionen
1
Punkte
36
Hallo,

das geht mit Wireshark am besten.

Viele Grüße

Frank
 

sportfreund

Neuer User
Mitglied seit
17 Jun 2005
Beiträge
177
Punkte für Reaktionen
0
Punkte
16
Tatsache, es lag an NAT-T, 4500 UDP. Danke!!

Komisch, dass es beim DLink so ging. Der Port 1701 ist dafür gänzlich ungenutzt, genau wie GRE.

Für (Microsoft) IPSec mit NAT sind demnach nur Port 500 und 4500 UDP, sowie Protokoll 50 (ESP) wichtig.

Andere Frage: Kann man das Ethereal-Webinterface irgendwie sperren oder zumindest mit einem Passwort versehen? Das scheint mir schon eine Sicherheitslücke zu sein, dass da jeder drauf kommt, auch wenn die Fritzbox ein Passwort braucht.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,571
Punkte für Reaktionen
1
Punkte
36
Hallo,

man muss das Passwort der Fritzbox Weboberfläche wissen, um einen Paketmitschnitt anfertigen zu können. Ist man nicht (mehr) eingeloggt auf der Fritz-Oberfläche, dann wird das Passwort abgefragt.

Viele Grüße

Frank
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
233,138
Beiträge
2,030,621
Mitglieder
351,506
Neuestes Mitglied
Arni66