Meine 7390 blockt L2TP / IKEv2 ?

drnicolas

Neuer User
Mitglied seit
28 Mai 2011
Beiträge
104
Punkte für Reaktionen
1
Punkte
18
Ich bastele schon seit längerem daran herum, meinem Netzwerk einen VPN-Zugang zu verpassen.

Der Router/Modem ist eine Fritzbox 7390, im Netzwerk selbst ist der VPN-Server ein W2008R2

Die Fritzbox soll also eigentlich nichts mit dem VPN-Zugang zu tun haben.

VPN von einem externen Windows 7Rechner über PPTP funktioniert seit jeher ordentlich.

Es hapert aber mit allen anderen Protokollen (L2TP/IPSEC, IKEv2 und SSTP)

L2TP:
Wenn ich versuchsweise eine VPN-Verbindung aus dem internen Netz zum VPN-Server aufbaue (auch mit dessen INTERNEN Namen!), dann funktioniert L2TP korrekt

Unter Benutzung des EXTERNEN Namens schlägt es dann fehl.

Ich vermute also, dass die Fritzbox irgendwas blockt und den Datenverkehr nicht durchlässt.

Auf der Fritzbox sind folgende Ports/Protokolle jeweils zum VPN-Server "durchgeschaltet":

TCP 1723, 1701,113
UDP 500, 4500
ausserdem GRE und ESP


Hat jemand eine Idee was fehlt ?
 
Okay, habe ich jetzt gelesen.
Sieht so aus, dass L2TP und IKE wegen des allgegenwärtigen Routers - wahrscheinlich sogar auf jeder Seite einer fehlschlägt.
NAT-T ist mir kein begriff und es stellt isch die Frage ob Win2008 so was unterstützt.

Erstmal danke
 
In einem anderen Thread habe ich die Einstellungen für den Server und den Client-PC gepostet, damit er für Server und/oder Client NAT-Traversal überhaupt zulässt. Ja, es ist MS-Security "by Design". ;-)
 
Zuletzt bearbeitet von einem Moderator:
Hmm
"Das muss dann in der Server-Registry geändert werden:

Schlüssel: HKLM\System\CurrentControlSet\Services\IPSec
Wert: AssumeUDPEncapsulationContextOnSendRule
Datentyp: REG_DWORD
Daten: 2
;0 VPN-Server ohne NAT
;1 VPN-Server hinter NAT, Client ohne NAT
;2 VPN-Server und -Client hinter NAT"

Aber was nehme ich ?
Wahrscheinlich dürfte Option 2 am besten geeignet sein.
Der VPN-Server steht in jedem Fall und IMMER hinter einem NAT.
Ein Client komment per UMTS rein (haben die dann NAT ?)
meist dürfte der Client aber ebenfalls über NAT kommen (Stichwort Hotelzimmer; Hotspot am Flughafen)

Schliesst die Auswahl der einen oder anderen Option dann automatisch die anderen Varianten aus ?
 
Daten: 2 <<<<<<<
;0 Weder Server noch Client dürfen NAT
;1 Server darf, Client nicht
;2 alle dürfen
Es ist keine Frage von "muss hinter NAT" sondern "darf".
 
VPN und Mobilfunk ist von vorneherein tendenziell problematisch, nur als Beispiel diese Diskussion
http://www.telefon-treff.de/showthread/t-284903
Ein Freund bekam es mit seinem Vodafone-Privatkundentarif meist nicht hin,wohingegen es mit meinem Vodafone-Businesstarif geklappt hat.
 
UMTS hat dann NAT, wenn man eine private IP vom Mobilfunkprovider erhalten hat. Private UMTS-IPs sind (oder waren?) z.B. für den AVM-Client meist problematisch bis unlösbar, bei ShrewSoft hatte ich nie ein Problem, wenn das AVM-IPSec-VPN als off-topic-Beispiel genehm ist, denn hier geht es ja um L2TP/IPSec.
 
@andilao:
Die private IP im Privatkundentarif ist in der Tat der Hintergrund der Probleme meines Freundes. Ich erinnere mich nicht mehr, ob wir L2TP/IPsec wirklich probiert hatten, Endpunkt war auf jeden Fall keine Fritzbox sondern ein spezieller VPN-Router als Zugang zu eineim Firmennetz.
Ist Deiner Erfahrung nach eine mobilfunkbedingte Problematik für L2TP/IPsec auszuschließen (Mobilfunk ist halt die einfache Variante daheim "von außen" auf das heimische Netz zu kommen)?
 
Für L2TP/IPsec, das ist neben PPTP das "eingebaute" Standard-VPN für Windows ab XP und Windows Server ab 2003, ist mein Halbwissen nur angelesen. Bei IPSec, also beim von AVM verwendeten VPN, ist der AVMs Client meist das Problem gewesen und ich habe bisher über ShrewSoft mit jeder SIM eine Verbindung bekommen, wenn er sich denn installieren ließ.
 
So, die Registry-Änderungen am VPN-Server habe ich umgesetzt und den Server komplett neu gestartet

Irgendwie klappt es aber noch immer nicht mit L2TP

Der Netzwerkmonitor liefert immer wieder 4 Einträge des Protokolls IKE obwohl ich L2TP eingestellt habe.

31679 20:59:40 17.02.2012 1669.9689035 ***.ath.cx 192.168.1.5 IKE IKE:version 1.0, Informational, Payloads = HDR*, HASH, Flags = ..E, Length = 124 {IKE:1103, UDP:1065, IPv4:48}
31680 20:59:40 17.02.2012 1669.9694728 192.168.1.5 ***.ath.cx IKE IKE:version 1.0, Informational, Payloads = HDR*, HASH, Flags = ..E, Length = 124 {IKE:1103, UDP:1065, IPv4:48}
31681 20:59:40 17.02.2012 1669.9705520 ***.ath.cx 192.168.1.5 IKE IKE:version 1.0, Informational, Payloads = HDR*, HASH, Flags = ..E, Length = 140 {IKE:1103, UDP:1065, IPv4:48}
31682 20:59:40 17.02.2012 1669.9707311 192.168.1.5 ***.ath.cx IKE IKE:version 1.0, Informational, Payloads = HDR*, HASH, Flags = ..E, Length = 140 {IKE:1103, UDP:1065, IPv4:48}

In den Details ist sichtbar, dass wohl jetzt NAT-Transversal benutzt wird an Port 4500
, einmal von aussen nach innen dann wieder von innen nach aussen


Ich sehe allerdings nie Versuche über Por 1701 zu kommunizieren.
Der Fehler ist wie immer 809. Einige Postings führen den Fehler auf einen geblockten Port 1701 zurück.

Die Firewall ist sowohl auf dem VPN wie auf dem Client probehalber deaktiviert

Ideen ?
 
Ich misstraue mittlerweile Firewalls - ich hatte es schon ein paarmal, dass die Firewall deaktiviert war - allerdings der beabsichtigte Dienst erst dann lief, als sie deinstalliert war.
 
Es kommt darauf an, die Windows-Firewalls tun es nach meinen Erfahrungen immer exakt wie angewiesen. Kontrolliere mal bitte die Registry des VPN-Client-PCs, denn er benötigt diesen Eintrag auch. Sorry, ich hatte nicht genug für Dich gegooglt. ;-)
 
VPN mit L2TP/IPSEC funktioniert immer noch nicht ...

Ich plage mich seit langem mit einem VPN-Zugang über L2TP/IPSEC. PPTP funktioniert seit jeher unproblematisch.

Auf der Seite des VPN-Zuganges sitzt eine FB7390 mit aktueller Firmware. Dahinter wird im lokalen Netzwerk über W2008 das RAS/Routing gemacht. Wie bereits beschrieben PPTP geht, alles andere L2TP/IPSec oder gar IKEv2 klemmt.
Ich brauche kaum zu erwähnen, dass das lokale Netzwerk hinter der FB wohl nur über NAT erreichbar ist und die Clients ebenso erstmal über NAT rausmüssen.

Typischer Anwendunsgfall soll der VPN-Zugriff eines Notebooks in einem Hotel irgendwo auf das hiesige Netzwerk sein.

Die weitergeleiteten Ports sind (hoffentlich) aus der Grafik erkennbar.

Ich habe auch die Registry-Änderung für NAT-Transversal eingebaut; sowohl am Server wie am Client.

Nun stelle nach langem Probieren fest, dass lt. Microsoft Network Monitor 3.4 anscheinend trotz der freigeschalteten Ports und Protokolle ESP und GRE am VPN NUR IKE-Pakete ankommen. Ist das erklärbar ?
Hier zur Verdeutlichung mal die Filterregel: "protocol.ESP or protocol.GRE or protocol.L2TP or protocol.IKE"

Die Firewall am W2008 listet übrigens explizit eine eingehende Regel "Routing und Remotezugriff (GRE engehend)" auf.
Watt nu ?
Falls es immer noch an NAT liegt - gibt es bei der FB eine Möglichkeit den VPN-Server so anzubinden, dass NAT umgangen wird ?

FB7390.png
 
Zuletzt bearbeitet von einem Moderator:
Hallo,

hatte das gleiche Problem bei einer Fritz!Box 7320: Alle Ports frei geschaltet und kein Durchkommen.
Erst wenn ich hiervor zusätzlich ein Häckchen setze:
Internetzugriff auf die FRITZ!Box über HTTPS aktiviert
kann ich über L2PT zugreifen.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.