IPSec-Passthrough geht nicht

sportfreund

Neuer User
Mitglied seit
17 Jun 2005
Beiträge
188
Punkte für Reaktionen
3
Punkte
18
Hallo,

habe bei einem Freund einen D-Link-Router durch eine Fritzbox 7050 ersetzt.

Er betreibt einen Windows 2003 Small Business Server mit IPSec-VPN. Dieses funktionierte bislang immer einwandfrei.

Auf dem Dlink waren an Ports nur 500 und 1701 (jeweils UDP) eingestellt.

Diese habe ich nun bei der Fritzbox konfiguriert, ebenso wie die Protokolle GRE und ESP (nur zur Sicherheit).

Folge: VPN geht immer noch nicht (komisch genug), aber die Krönung:

Nehme ich den Server in der Fritzbox als Exposed Host auf, und lösche ihn anschliessend gleich wieder als Exposed Host, funktioniert das VPN von außen! Jedoch nur einige Minuten lang (ca. 10-15), ab dann ist wieder keine Verbindung möglich.

Was kann das sein? So hat die Fritzbox wenig Sinn, VPN ist für ihn sehr wichtig :(
 
Hallo,

als exposed Host funktioniert es? Das finde doch einfach anhand eines Etherreal Logs heraus, welche Ports wirklich benutzt werden und trage sie ein. Vielleicht fehlt nur der Port 4500 für NAT-T?

Viele Grüße

Frank
 
Das ist doch ein guter Tip - vielen Dank!

Fällt Dir ein gutes Tool ein, um das Logfile auszuwerten? Oder kann das Wireshark?
 
Hallo,

das geht mit Wireshark am besten.

Viele Grüße

Frank
 
Tatsache, es lag an NAT-T, 4500 UDP. Danke!!

Komisch, dass es beim DLink so ging. Der Port 1701 ist dafür gänzlich ungenutzt, genau wie GRE.

Für (Microsoft) IPSec mit NAT sind demnach nur Port 500 und 4500 UDP, sowie Protokoll 50 (ESP) wichtig.

Andere Frage: Kann man das Ethereal-Webinterface irgendwie sperren oder zumindest mit einem Passwort versehen? Das scheint mir schon eine Sicherheitslücke zu sein, dass da jeder drauf kommt, auch wenn die Fritzbox ein Passwort braucht.
 
Hallo,

man muss das Passwort der Fritzbox Weboberfläche wissen, um einen Paketmitschnitt anfertigen zu können. Ist man nicht (mehr) eingeloggt auf der Fritz-Oberfläche, dann wird das Passwort abgefragt.

Viele Grüße

Frank
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.