.titleBar { margin-bottom: 5px!important; }

RDP mit IPSec über Zertifikat 7141

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von Sheder, 23 Dez. 2006.

  1. Sheder

    Sheder Neuer User

    Registriert seit:
    23 Dez. 2006
    Beiträge:
    39
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    ich habe die 7141 und komme zur Zeit nicht recht weiter.
    Ich habe einen Internetserver, welcher über eine IPSec Policyregel
    über ein Zertifikat eine RDP Verbindung ermöglicht.
    Nun geht das ganze scheinbar aber nicht über die Fritz Box.
    500 UDP und ESP sind freigegeben. Ne Idee?

    Danke.
     
  2. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Hallo, willkommen im Forum!

    Forwarding Setup IKE/ISAKMP Port UDP 500 und ESP (Protokoll 50)
    Gib dann auch noch GRE frei.
     
  3. Sheder

    Sheder Neuer User

    Registriert seit:
    23 Dez. 2006
    Beiträge:
    39
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke für die Antwort.
    Ich habe wie gesagt bereits 500 UDP und ESP freigegeben. Nun auch GRE. Ohne Erfolg. Mit "Forwarding Setup IKE/ISAKMP" kann ich so recht wenig anfangen. Was meinst Du damit in diesem Zusammenhang?
     
  4. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Hallo,
    ich meinte nur die Einstellungsseite in der Box.

    Hast du mal PPTP versucht, geht das?
    Du solltest auf alle Fälle für den VPN-Client den "Aggressive Mode" einsetzen hinter einem NAT.



    AVM sagt dazu folgendes:
    Zitat
    ID Related Document Nr. 5511 1
    VPN-Verbindungen über die Internetverbindung der FRITZ !Box herstellen
    Ist Ihre FRITZ!Box als DSL-Router eingerichtet, kann sich über die Internetverbindung der FRITZ!Box ein VPN-Klient in Ihrem Netzwerk mit einem VPN-Server im Internet verbinden.
    Die Firewall der FRITZ!Box unterstützt dafür "VPN-Passthrough" für die VPN-Protokolle IPSec und PPTP.
    Um eine VPN-Verbindung zwischen dem Klienten und dem VPN-Server aufzubauen, führen Sie bitte die hier beschriebenen Maßnahmen nacheinander durch.
    1 Vorbereitungen
    1. Erkundigen Sie sich beim Hersteller oder Administrator des VPN-Servers, ob beim Aufbau der VPN-Verbindung das Protokoll PPTP oder das Protokoll IPSec
    verwendet wird.
    Wenn das Protokoll IPSec verwendet wird, fragen Sie außerdem nach, ob die
    VPN-Lösung IPSec NAT-Traversal unterstützt, und ob der VPN-Server
    ausschließlich IKE-Pakete (Internet Key Exchange Protocol) vom Quell-Port UDP 500 entgegennimmt oder auch von anderen Quell-Ports.

    Das Standardprotokoll des VPN-Servers von Windows XP und Windows 2003 ist PPTP.

    2. Wird das Protokoll IPSec verwendet und unterstützt die VPN-Lösung IPSec
    NAT-Traversal, können Sie ohne weitere Maßnahmen eine VPN-Verbindung
    zwischen dem Klienten und dem VPN-Server aufbauen.
    Wird das Protokoll IPSec verwendet und unterstützt die VPN-Lösung nicht IPSec NAT-Traversal, fahren Sie mit Abschnitt 2 fort und beachten Sie die Hinweise in Abschnitt 3.
    Wird das Protokoll PPTP verwendet, können Sie ohne weitere Maßnahmen eine
    VPN-Verbindung aufbauen. Beachten Sie jedoch die Hinweise in Abschnitt 3.

    2 FRITZ!Box einrichten
    Richten Sie die FRITZ!Box wie hier beschrieben ein, wenn die VPN-Verbindung über das Protokoll IPSec aufgebaut wird, die VPN-Lösung nicht IPSec NAT-Traversal unterstützt und der VPN-Server ausschließlich IKE-Pakete vom Quell-Port UDP 500 entgegennimmt.

    ID Related Document Nr. 5511
    ...
    Den IPSec-Betriebsmodus "Authentification Header" (AH) können Sie nicht
    nutzen.
    Den automatischen Auf- und Abbau von Internetverbindungen
    ("Short-Hold-Mode") durch die FRITZ!Box können Sie nur eingeschränkt nutzen.
    Da der VPN-Klient den Abbau einer Internetverbindung nicht mitbekommt,
    handelt er nach dem erneuten Aufbau einer Internetverbindung nicht automatisch eine neue VPN-Verbindung mit dem VPN-Server im Internet aus. Dies ist aber in der Regel notwendig, da die FRITZ!Box üblicherweise bei Aufbau einer neuen Internetverbindung vom Internetanbieter auch eine neue IP-Adresse erhält.
    Zitat Ende

    EDIT: IKE/ISAKMP wird in Phase 1 und 2 der Anmeldung verwendet.
     
  5. Sheder

    Sheder Neuer User

    Registriert seit:
    23 Dez. 2006
    Beiträge:
    39
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    PPTP geht. Aber ich möchte ja eine Remote Session aufmachen. Ist nur eine IPSec Authentifizierung die da verwendet wird um den Port für mich zu öffnen.
    Also offensichtlich reicht die Box das Zertifikat nicht durch. Die nötigen Ports sind ja alle offen, und eigentlich geht ja eh mehr raus als rein.
    Wenn ich die Box als Modem konfiguriere gehts natürlich. Aber als Router nicht.
     
  6. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Komisch, bei meiner Fortinet (Server/Client) brauch ich z.B. nichts freigeben.
    Es läuft von meinem Client alles so durch die Box und zurück, hat aber auch IPSec NAT-Traversal.
     
  7. Sheder

    Sheder Neuer User

    Registriert seit:
    23 Dez. 2006
    Beiträge:
    39
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Jo, das ist ja das seltsame. Eigentlich sollte es. Tuts aber net^^
    Mhhhh.
     
  8. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    #8 doc456, 26 Dez. 2006
    Zuletzt bearbeitet: 26 Dez. 2006
    Was hast du denn für einen Client, vielleicht hat der ein Schuß.

    EDIT: Setzt deinen PC doch mal als Exposed Host (DMZ) in der Box, mal sehen was geht!
     
  9. Sheder

    Sheder Neuer User

    Registriert seit:
    23 Dez. 2006
    Beiträge:
    39
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Bereits probiert als Exposed host. Nix.
     
  10. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Du hast meine Frage nach dem VPN-Client noch nicht beantwortet.
     
  11. Sheder

    Sheder Neuer User

    Registriert seit:
    23 Dez. 2006
    Beiträge:
    39
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Jo nix VPN Client. Ich habe lediglich ein Zertifikat als Authentifizierung in einer IPSec Regel aktiv und dann baue ich eine RDP Verbindung auf. Mehr nicht.
     
  12. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    RDP ist aber 3389, oder?
    Was du angegeben hast ist VPN.
     
  13. Sheder

    Sheder Neuer User

    Registriert seit:
    23 Dez. 2006
    Beiträge:
    39
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Jo. Als exposed host müsste es sonst ja eh gehen.
     
  14. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Stimmt, sollte so sein. Schon etwas seltsam. :confused:
     
  15. Sheder

    Sheder Neuer User

    Registriert seit:
    23 Dez. 2006
    Beiträge:
    39
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Naja hab als Workaround nun die Option "Angeschlossene Netzwerkgeräte dürfen zusätzlich ihre eigene Internetverbindung aufbauen (PPPoE-Passthrough)" aktiv. Dann wähle ich mich halt immer noch extra ein bevor ich auf den Server gehe. Das passt. Danke.
     
  16. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Wie, dann funzt es? :rolleyes:
     
  17. Sheder

    Sheder Neuer User

    Registriert seit:
    23 Dez. 2006
    Beiträge:
    39
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Öhm, jo. Der übergeht dann ja den Rooter. Und dann funzt das.