[Frage] Speedport Hybrid und IPsec-VPN

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
A

andiling

IPPF-Promi
Mitglied seit
19 Jun 2013
Beiträge
5,975
Punkte für Reaktionen
2
Punkte
0
Wer von Euch Spezialisten weiß zufällig ob VPN mit dem Speedport Hybrid funktioniert. Mit dem Speedports ist das ja so eine Sache, da sie zwar Portweiterleitungen unterstützen, dies aber nur auf TCP und UDP beschränken.

Das XAuth-VPN der Fritzbox benötigt ja genauso wie die bei Windows Servern gängige L2TP/IPSec-Variante daneben auch noch das ESP Protokoll (IPSec-Passthrough), die früheren PPTP-VPNs haben das GRE Protokoll benötigt, wofür man ja keine Weiterleitung einrichten kann. Zudem gibt es ja kein Exposed Host o.Ä.

openVPN ist natürlich eine Möglichkeit, fällt aber aus Performancegründen flach.

Kann man also z.B. eine Fritzbox dahinter sinnvoll betreiben?
 
Also mein IP Sec VPN muss täglich aus und wieder eingeschaltet werden, dann funktioniert er auch wieder.. aber momentan noch etwas verbuggt
 
Hab zwar keinen Speedport-Router, aber einen Hinweis zu IPSec (keine Ahnung, ob das Wappentier damit in die griechische Hauptstadt transportiert wird):

Die Kombination aus UDP 500 und ESP kann man - wenn das einstellbar ist im Client, da fehlt die Angabe, welcher bzw. selbst dann wüßte ich das nur bei ausgewählten Clients und das kriegst Du 100% selbst raus - durch UDP 4500 (IPSec mit NAT-T) problemlos bei der FRITZ!Box ersetzen bzw. sollte man sogar. Dann hat man auch keine Probleme, wenn sich beide Seiten hinter einem NAT-Device befinden, was ja selbst bei einem Handy o.ä. häufig der Fall sein dürfte (entweder beim Mobilfunk-Provider oder z.B. im WLAN abseits des Netzes der FRITZ!Box/des Speedports). Spätestens mit der Freigabe der UDP-Ports 500 und 4500 an die FRITZ!Box müßte eigentlich das VPN auch funktionieren, wenn bei der ersten Kontaktaufnahme auf Port 500 die NAT-T-Funktionalität auf beiden Seiten aktiviert wird und dann ohnehin auf Port 4500 umgeschaltet wird. Je nach Software (i.d.R. je nach Möglichkeit der expliziten Angabe eines Ports auf der Gegenseite) versuchen einige Varianten auch automatisch auf 4500 eine Verbindung, wenn für 500 eine Ablehnung (im ICMP-Paket) eintrifft, dann kann diese Portfreigabe auch entfallen.

NAT-T wurde ja gerade für die Fälle spezifiziert, wo eben kein Gateway mit IPSec-Passthrough existiert bzw. wo die implizite Beschränkung so einer IPSec-Lösung auf eine einzelne Verbindung (Ursache ist das Fehlen von Portnummern - mithin von Unterscheidungsmöglichkeiten - im ESP) nicht tragbar ist.

Die FRITZ!Box müßte ohnehin automatisch NAT-T wollen, wenn sie hinter einem Speedport hängt, auf der Gegenseite ist es eben eine Frage der Einstellungen (z.B. beim Shrewsoft-Client ist eine explizite Umschaltung möglich, die auch dann wirkt, wenn tatsächliche ESP verwendet werden könnte).
 
Erstmal vielen Dank @PeterPawn, NAT-T war das Zauberwort und das hat mich wirklich weitergebracht... (typisch Microsoft ist das nur über einen Registry Key einzustellen, aber habe das inzwischen hinbekommen).

Weil von Dir erwähnt erlaube ich mir noch eine Frage: gibt es einen Client abseits von Shrewsoft welcher für die Verbindung zur Fritzbox zu empfehlen ist? (Einsatz wäre auf einem Windows Server Core x64, sprich alles soll über CLI gehen)
 
andiling schrieb:
Einsatz wäre auf einem Windows Server Core x64, sprich alles soll über CLI gehen
Zum Vergrößern anklicken....
Da kann ich Dir leider nicht wirklich helfen ... kenne noch den Cisco- und den NCP-Client abseits von Shrewsoft und (eher suboptimal) dem FRITZ!Fernzugang. Alles nichts wirklich für Deinen Anwendungsfall, aber wenn der Speedport das kann und das VPN zwischen SP und Windows-Server laufen soll, würde ich gleich auf L2TP/IPSec setzen, das geht schon seit Server 2003, wenn ich mich recht erinnere. Das mit dem CLI auf dem Server würde ich so verstehen, daß die VPN-Verbindung tatsächlich nur bei Bedarf gestartet wird? Finde ich ungewöhnlich, wenn es so ist und dann sind natürlich solche Sachen wie L2TP/IPSec außen vor. Ansonsten braucht es da eben kein "start VPN" o.ä. ... wenn Daten für ein Ziel zu senden sind, zu dem derzeit kein sicherer Tunnel besteht, wird eben einer aufgemacht.
 
Die Verbindung ist dauerhaft aber kann eben nicht über eine GUI eingerichtet und verwaltet werden, geht alles über PowerShell und die alte Kommandozeile. Mit L2TP/IPSEC läuft es jetzt, das VPN auf die Fritzbox zu verlagern ist eher aus der Überlegung, den Zugang direkt am ersten Gerät zu haben. Dann komme ich im Fall der Fälle auch aufs KVM und ein funktionierender VPN Zugang wäre nur von der Fritzbox bzw. der Internetanbindung abhängig.

Zumindest Testen wollte ich es mal aber aufgrund der von Dir gestern analysierten VPN-Eigenheiten der Fritzbox hat sich das sowieso erledigt. Ich habe zwar einige Boxen auf die ich zugreife, dort ist es aber meistens, rein, Wartung und raus.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 692 (Mitglieder: 15, Gäste: 677)

Neueste Beiträge

Statistik des Forums

Themen
244,839
Beiträge
2,219,262
Mitglieder
371,543
Neuestes Mitglied
Brainbanger
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück