Problem mit Netscreen-Remote

[High]

Hallo,

ich hatte vorher einen siemens se505 - router, jetzt auf die 7050 gewechselt. ich arbeite viel von zuhause und meine firma hat mir diesen vpn-client auf dem notebook installiert. über den bin ich solange ich den siemens genutzt habe problemlos in meine firma gekommen. gesagt wurde mir von meiner firma das der router nat traversal unterstützen muss. laut avm unterstützt die 7050 das auch, leider bekomme ich keine vpn-verbindung aufgebaut. habe schonmal das mit der dmz probiert, aber das bringt alles nichts.

mich wundert nur das ich den siemens-router damals nur angeschlossen habe und das vpn ging sofort ohne irgendeine konfigänderung nur die fritzbox bringst nicht.

hat jemand einen tipp ?

gruß
high

 

[zaphod.beeblebrox]

welcher VPN Client ist es denn?

CISCO?

 

[semilla]

es kann sein, dass der vpn-router in deiner firma für den aufbau der vpn-verbindung nur pakete mit dem absenderport x akzeptiert (bei IPSec z.B. UDP 500 für IKE). auch wenn dein client diesen port als absenderport verwendet, wird dieser von der box vor dem weiterleiten ins inet umgesetzt.

trick:
gib den betr. port in der portfreigabe der box für die IP des client frei. die portfreigabe dient eigentlich zwar nur eingehenden verbindungen aber wenn der port freigegeben ist, setzt die box diesen in ausgehenden paketen nicht mehr um - wahrscheinlich, da sie sich diesen für das zuordnen der antwortpakete nicht mehr merken muss - er steht ja in der portfreigabe....

 

[High]

der client ist netscreen-remote. portfreigaben habe ich auch schon probiert, was aber eigentlich nicht notwendig ist da ja der tunnel aufgebaut wird und dann nur über den tunnel kommuniziert wird (also keine weiteren eingangspakete an der fritzbox) und das alles funktioniert mit nat traversal was die box angeblich unterstützt.
warum muss ich hier überhaupt was konfigurieren, bei der se505 ging alles sofort ohne konfiguration ???
übrigens habe ich festgestellt das die verbindung aufgebaut wird, ich erhalte eine ip vom vpn-server doch dann bricht die verbindung sofort wieder zusammen.
die client-konfig kann ich nicht ändern, warum auch mit der siemens-kiste ging es auch ohne.

high

 

[semilla]

nunja, dann arbeitet die siemens-kiste wohl anders als die box... :wink:

wenn der VPN-server dem client eine IP-adresse zuweist, dann kommt die aushandlung zumindest zustande. u.U. (und das würde auch das fehlerbild erklären) versendet der VPN-server initial ESP-pakete (sofern IPSec-VPN verwendet wird) an deinen client. die box wird in diesem fall die ESP-pakete abweisen, da sie in ihrer NAT-tabelle keinen eintrag findet, an welche IP sie diese weiterleiten soll (da noch keine ESP-pakete über die box rausgingen). kannst du das problem denn lösen, wenn du über die portfreigabe der box ESP-pakete an die IP des rechners mit dem VPN-client weiterleitest?

 

[High]

nei auch die weiterleitung von esp an die ip des vpn-clients hat nicht geholfen. verdammt was macht die siemens se505 anders als die 7050 ?
eigentlich will ich die box nicht zur ata umprogrammieren und hinter die siemens hängen müssen, denn dann ist es wohl vorbei mit der voip-priorisierung (bzw. traffic-shapping) oder ?

high