L2TP funzt ohne udp forwarding, ist das normal?

[goofimon]

IPSec (mit Zertifikaten) läuft auf folgender fritz.box ohne dass ich irgendeinen udp port weiterleiten musste.

FRITZ!Box Fon WLAN 7141 (UI), Firmware-Version 40.04.30

es sind auch beide UPnP einstellungen abgeschaltet wobei der zweite eintrag bei netzwerk-einstellungen vom ersten abhängt. also, kein UPnP.

es kann gut sein dass es IPSec ist (auf jeden Fall ist es nicht PPTP). auf jeden fall wurde mir gesagt dass ich port 500 und/oder 4500 forwarden müsste aber es ging ohne.

aufbau: [VPN-Client] <-> [fritz.box] <-> [DSL]

software:
ist ein proprietärer Windows-Client der die Verbindungs-Einrichtung verbirgt und nur die notwendigsten Parameter abfragt.

zum Verständnis: sobald ich geklärt habe dass alles gut läuft werde ich die Verbindung auch von meinem haupt-system aus, welches Linux ist, aufbauen. ich habe mir das erst einmal gespart um zu sehen dass alles mit dem Windows Client läuft bevor ich die manuelle Konfiguration angehe.

ist es normal dass es automatisch funktioniert? macht die avm firmware etwas eine automatische erkennung und schaltet connection tracking ein?

 

[frank_m24]

Hallo,

da kann man so nichts zu sagen. Mann weiß ja nicht mal, ob sich der Server oder der Client hinter der Box befindet. :?
Des weiteren gibt es meines Wissens L2TP mit Zertifikaten gar nicht, da L2TP CHAP/PAP für die Authentifizierung vorsieht und keine Verschlüsselung bietet. Da scheint also noch sowas wie IPSec im Spiel zu sein. L2TP allein wäre auch sehr ungewöhnlich.
Mit derartig lückenhaften Informationen kann man also keine qualifizierte Aussage treffen. Beschreibe mal exakt, was du machst, und wie alles eingerichtet ist, vor allem auch, welche Software du benutzt. Dann kann man auch sagen, ob das Verhalten normal ist.

Viele Grüße

Frank

 

[goofimon]

Hallo,

da kann man so nichts zu sagen. Mann weiß ja nicht mal, ob sich der Server oder der Client hinter der Box befindet. :?
Des weiteren gibt es meines Wissens L2TP mit Zertifikaten gar nicht, da L2TP CHAP/PAP für die Authentifizierung vorsieht und keine Verschlüsselung bietet. Da scheint also noch sowas wie IPSec im Spiel zu sein. L2TP allein wäre auch sehr ungewöhnlich.
Mit derartig lückenhaften Informationen kann man also keine qualifizierte Aussage treffen. Beschreibe mal exakt, was du machst, und wie alles eingerichtet ist, vor allem auch, welche Software du benutzt. Dann kann man auch sagen, ob das Verhalten normal ist.

Viele Grüße

Frank

es kann gut sein dass es IPSec ist (auf jeden Fall ist es nicht PPTP). auf jeden fall wurde mir gesagt dass ich port 500 und/oder 4500 forwarden müsste aber es ging ohne.

aufbau: [VPN-Client] <-> [fritz.box] <-> [DSL]

software:
ist ein proprietärer Windows-Client der die Verbindungs-Einrichtung verbirgt und nur die notwendigsten Parameter abfragt.

zum Verständnis: sobald ich geklärt habe dass alles gut läuft werde ich die Verbindung auch von meinem haupt-system aus, welches Linux ist, aufbauen. ich habe mir das erst einmal gespart um zu sehen dass alles mit dem Windows Client läuft bevor ich die manuelle Konfiguration angehe.

 

[doc456]

Hallo,

bei meiner Fortinet, bzw. dem Win-Client hab ich bis heute kein Portforwarding machen müssen.

PS: Bitte keine Vollzitate -> siehe Forenregeln.

 

[goofimon]

ich will halt nur sicher sein dass es da nicht ein dickes verstecktes loch gibt, ala "automatic exposed host" wenn bestimmte bedingen erfüllt sind.

dass es läuft find ich gut, wollte halt nur sicher sein dass die fritz.box sich um das forwarding kümmert ohne dass ich da je was einstellen musste.

ich hatte ja genug einträge dazu gelesen dass einige leute GRE forwardings einrichten mussten obwohl PPTP bei mir auch einfach so läuft.

 

[doc456]

Das hat mit der Box nichts zu tun, sondern liegt am Client. (siehe Skype)

 

[goofimon]

Ich denke nicht dass da NAT Traversal oder ähnliches gemacht wird. Dafür ist die Verbindung zu direkt 1:1. Ich denke einfach dass die box erkennt dass es entweder ESP, AH, oder UDP mit bestimmtem dest-port und dann connection tracking inklusive forwarding macht. Sonst wüsste ich nicht warum in der Anleitung zu dem Client irgendjemand was vom Weiterleiten zweier UDP ports schreiben sollte.

 

[frank_m24]

Hallo,

auf jeden fall wurde mir gesagt dass ich port 500 und/oder 4500 forwarden müsste

Damit ist es IPSec.

Sonst wüsste ich nicht warum in der Anleitung zu dem Client irgendjemand was vom Weiterleiten zweier UDP ports schreiben sollte.

Vielleicht, weil er keine Ahnung hat?

[VPN-Client] <-> [fritz.box] <-> [DSL]

Dafür braucht man definitiv keine Portweiterleitungen, und zwar in allen Szenarien und in allen Kombinationen aus Server und Client, die ich kenne. Selbst theoretisch braucht man die nicht. Ich hab keine Ahnung, wie man darauf kommt, dass man für einen VPN Client eine Portweiterleitung benötigt.
Für einen VPN Server sieht das natürlich anders aus. Dort benötigt man genau die Ports, die du beschrieben hast. Port 500 UDP ist für IPSec, und Port 4500 UDP ist für NAT-T.

Du brauchst also kein massives Sicherheitsleck zu befürchten. Es bedeutet einfach nur, dass die Box ein gescheites VPN Passthrough implementiert hat.

Übrigens: Ein Connection Tracking machen mittlerweile nahezu alle NAT Router die ich kenne, teilweise sogar mit Stateful Traffic Inspection. Weil sonst z.B. auch kein Active FTP funktionieren würde.

Viele Grüße

Frank