Ankündigung

Einklappen
Keine Ankündigung bisher.

- √ - Frage zu HS Zugriff über VPN

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    - √ - Frage zu HS Zugriff über VPN

    Moin

    Ich habe da mal eine Frage zum Fernzugriff über VPN und auch zu iETS:
    Ich habe schon zu der Fritzbox erfolgreich einen VPN Zugang eingerichtet (mit NCP) der auch verbunden wird. Muss ich nun für iETS trotzdem die 3 Ports weiterleiten oder entfällt das da ich ja quasi schon im internen Netz drin bin? Ich habe im Experten auch noch kein Gateway und eine dyndns eingestellt weil ich dachte das man über VPN das nicht machen muss. Leider bekomme ich über den QC keine Verbindung wenn ich im VPN bin und die ETS bekommt auch keine Kommunikation. Habe ich irgendwas übersehen, oder muss ich im Experten trotzdem alle Einstellungen machen als ob ich über das Portal gehe? Habt Ihr eure HS eigentlich auch einfach über DynDns im Netz hängen oder löst Ihr das über VPN? Irgendwie habe ich ein mulmiges Gefühl einfach den Port 80 aufzumachen und jeder Scriptkiddy kann sich mal an dem Passwort probieren......

    Thomas
    Stichworte: -
    #2
    Also das Gateway und den DNS Server (nicht zu verwechseln mit dyndns) must Du eintragen. Das ist im Normalfall deine Fritzbox. DYNDNS kannst Du im Experten nicht einstellen. Bei mir läuft alles über einen VPN allerdings mit einem Vigor Router. Die Ports brauchst Du natürlich nicht forwarden.

    Kommentar

      #3
      Hallo

      Ok. Das habe ich verstanden. Allerdings dachte ich das ich mit dem VPN ja zuszusagen schon im internen Netzwerk bin, also als ob ich direkt an der Fritzbox hänge. Da kann ich ohne Probleme über iETS programmieren. Warum geht das dann über das VPN nicht?

      THomas

      Kommentar

        #4
        Zitat von vento66 Beitrag anzeigen
        Also das Gateway und den DNS Server (nicht zu verwechseln mit dyndns) must Du eintragen.
        Gateway und DNS Einstellungen im HS spielen ueber VPN keine Rolle.

        @Thomas

        Kannst du den HS über VPN pingen ?

        Welche IP Adresse und Netwerk Maske hat der HS ?

        Kannst Du bitte ein "ipconfig /all" posten vom PC mit aufgebautem VPN

        Kommentar

          #5
          Hallo Gaston
          iETS geht jetzt. Der Experte kann auch connecten und QC geht auch.(ich hatte vergessen als IP die originale HS-IP einzugeben und nicht die vorher getestete dyndns-ip. ABER:
          Das VPN bricht immer nach ca. 1,5min zusammen. Hier mal das LOG vom NCP-CLient. Wenn ich das richtig deute, schickt der NCP ein Notify in erwartung auf Antwort. Nach 3x bricht er dann den Tunnel ab.
          Was kann da schief laufen?

          THomas


          19.06.2011 21:14:20 IPSec: Start building connection
          19.06.2011 21:14:20 IPSec: DNSREQ: resolving dnserver over lan: xxxxxxx.dyndns.org
          19.06.2011 21:14:20 IPSec: DNSREQ: resolved ipadr: xxx.xxx.xxx.xxx
          19.06.2011 21:14:20 Ike: Outgoing connect request AGGRESSIVE mode - gateway=xxx.xxx.xxx.xxx: VPN-HS
          19.06.2011 21:14:20 Ike: XMIT_MSG1_AGGRESSIVE - VPN-HS
          19.06.2011 21:14:20 Ike: NOTIFY : VPN-HS : RECEIVED : NOTIFY_MSG_S_RESPONDER_LIFETIME : 24576
          19.06.2011 21:14:20 Ike: RECV_MSG2_AGGRESSIVE - VPN-HS
          19.06.2011 21:14:20 Ike: IKE phase I: Setting LifeTime to 3600 seconds
          19.06.2011 21:14:20 Ike: IkeSa negotiated with the following properties -
          19.06.2011 21:14:20 IPSec: Final Tunnel EndPoint is:xxx.xxx.xxx.xxx
          19.06.2011 21:14:20 Authentication=PRE_SHARED_KEY,Encryption=AES,Hash= SHA,DHGroup=2,KeyLen=256
          19.06.2011 21:14:20 Ike: VPN-HS ->Support for NAT-T version - 3
          19.06.2011 21:14:20 Ike: Turning on NATD mode - VPN-HS - 3
          19.06.2011 21:14:20 Ike: XMIT_MSG3_AGGRESSIVE - VPN-HS
          19.06.2011 21:14:20 Ike: IkeSa negotiated with the following properties -
          19.06.2011 21:14:20 Authentication=PRE_SHARED_KEY,Encryption=AES,Hash= SHA,DHGroup=2,KeyLen=256
          19.06.2011 21:14:20 Ike: Turning on DPD mode - VPN-HS
          19.06.2011 21:14:20 Ike: phase1:name(VPN-HS) - connected
          19.06.2011 21:14:20 SUCCESS: IKE phase 1 ready
          19.06.2011 21:14:20 IPSec: Phase1 is Ready - IkeIndex=4,AltRekey=0
          19.06.2011 21:14:20 IPSec: Quick Mode is Ready: IkeIndex = 00000004 , VpnSrcPort = 4500
          19.06.2011 21:14:20 IPSec: Assigned IP Address: 192.168.1.222
          19.06.2011 21:14:21 IkeQuick: XMIT_MSG1_QUICK - VPN-HS
          19.06.2011 21:14:21 IkeQuick: Received Notify(VPN-HS) -> remote is reducing LifeTime to 3600
          19.06.2011 21:14:21 IkeQuick: RECV_MSG2_QUICK - VPN-HS
          19.06.2011 21:14:21 IkeQuick: Turning on PFS mode(VPN-HS) with group 2
          19.06.2011 21:14:21 IkeQuick: XMIT_MSG3_QUICK - VPN-HS
          19.06.2011 21:14:21 IkeQuick: phase2:name(VPN-HS) - connected
          19.06.2011 21:14:21 SUCCESS: Ike phase 2 (quick mode) ready
          19.06.2011 21:14:21 IPSec: Created an IPSEC SA with the following characteristics -
          19.06.2011 21:14:21 IpSrcRange=[192.168.1.222-192.168.1.222],IpDstRange=[192.168.1.0-192.168.1.255],IpProt=0,SrcPort=0,DstPort=0
          19.06.2011 21:14:21 IPSec: connected: LifeDuration in Seconds = 2520 and in KiloBytes = 0
          19.06.2011 21:14:21 IPSec: Connected to VPN-HS on channel 1.
          19.06.2011 21:14:21 PPP(Ipcp): connected to VPN-HS with IP Address: 192.168.001.222. : 192.168.001.223.
          19.06.2011 21:14:21 SUCCESS: IpSec connection ready
          19.06.2011 21:14:24 SUCCESS: Link -> <VPN-HS> IP address assigned to IP stack - link is operational.
          19.06.2011 21:14:45 Ike: NOTIFY : VPN-HS : SENT : NOTIFY_MSG_R_U_HERE : 36136
          19.06.2011 21:14:55 Ike: NOTIFY : VPN-HS : SENT : NOTIFY_MSG_R_U_HERE : 36136
          19.06.2011 21:15:05 Ike: NOTIFY : VPN-HS : SENT : NOTIFY_MSG_R_U_HERE : 36136
          19.06.2011 21:15:15 ERROR - 4035: IKE(phase1)isconnect due to no DPD response.
          19.06.2011 21:15:15 Ike: phase1:name(VPN-HS) - error - DPD timer response expired
          19.06.2011 21:15:15 IPSec: Disconnected from VPN-HS on channel 1.

          Kommentar

            #6
            Zitat von shaolinmaster Beitrag anzeigen
            Wenn ich das richtig deute, schickt der NCP ein Notify in erwartung auf Antwort. Nach 3x bricht er dann den Tunnel ab.
            Was kann da schief laufen?
            Das duetest Du richtig. DPD bedeutet "Dead Peer Detection". Da die "andere Seite" nicht mehr antwortet müsste man sich das Log von dor mal ansehen.

            Kommentar

              #7
              Hi

              In der Fritzbox 7390 steht nur im Systemprotokoll:

              VPN-Verbindung zu xxxxxxxxx wurde getrennt. Ursache: 3 IKE server

              Vielleicht muss ich mal den NCP neu aufsetzen und die Verbindung neu erstellen....

              Thomas

              Kommentar

                #8
                Das VPN-Profil im NCP neu einrichten hat leider das gleiche Resultat gebracht. Jetzt weiss ich nicht weiter :-(

                Thomas

                Kommentar

                  #9
                  Zitat von shaolinmaster Beitrag anzeigen
                  Hi

                  In der Fritzbox 7390 steht nur im Systemprotokoll:

                  VPN-Verbindung zu xxxxxxxxx wurde getrennt. Ursache: 3 IKE server
                  Also ich kenn mich mit der Fritzbox nicht aus, aber steht da kein anderer IKE Fehler davor ?
                  Sieht so aus als würde es beim erneuern der Schlüssel zu Problemen kommen.

                  Gruss,
                  Gaston

                  Kommentar

                    #10
                    Kennst Du die Anleitung ? AVM - VPN-Verbindung mit NCP Secure Entry Client zur FRITZ!Box (Client-LAN-Kopplung)

                    Kannst Du mal deine FritzBox VPN config posten ?

                    Kommentar

                      #11
                      Moin

                      Hier mal das cfg das ich auf die Fritzbox geschobenhabe. Alles genau so gemacht wie in der Anleitung von AVM zum NCP einrichten.

                      /*
                      * C:\Users\thomas\AppData\Roaming\AVM\FRITZ!Fernzuga ng\xxxxxxx_dyndns_org\fritzbox_xxxxxxx_dyndns_org. cfg
                      * Mon Jun 20 11:59:12 2011
                      */
                      vpncfg {
                      connections {
                      enabled = yes;
                      conn_type = conntype_user;
                      name = "xxxxxxx@xxxx.de";
                      always_renew = no;
                      reject_not_encrypted = no;
                      dont_filter_netbios = yes;
                      localip = 0.0.0.0;
                      local_virtualip = 0.0.0.0;
                      remoteip = 0.0.0.0;
                      remote_virtualip = 192.168.1.222;
                      remoteid {
                      user_fqdn = "xxxxx@xxxxxx.de";
                      }
                      mode = phase1_mode_aggressive;
                      phase1ss = "all/all/all";
                      keytype = connkeytype_pre_shared;
                      key = "xxxxxxxxxxxxxxxxxx";
                      cert_do_server_auth = no;
                      use_nat_t = yes;
                      use_xauth = no;
                      use_cfgmode = no;
                      phase2localid {
                      ipnet {
                      ipaddr = 192.168.1.0;
                      mask = 255.255.255.0;
                      }
                      }
                      phase2remoteid {
                      ipaddr = 192.168.1.222;
                      }
                      phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                      accesslist =
                      "permit ip 192.168.1.0 255.255.255.0 192.168.1.222 255.255.255.255";
                      }
                      ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                      "udp 0.0.0.0:4500 0.0.0.0:4500";
                      }

                      // EOF

                      Kommentar

                        #12
                        Hier...

                        Collax User Forum &bull; Thema anzeigen - [Gelöst] CSG und Fritz!Box 7270 VPN Netz zu Netz

                        steht , das AVM keine Dead Peer Detection kann... wenn´s tatsächlich so ist wäre das eine Erklärung. Bei NCP mal checken ob man das deaktivieren kann???

                        Gruß.

                        Der Noob.

                        Kommentar

                          #13
                          Zitat von EIB1NOOB Beitrag anzeigen
                          das AVM keine Dead Peer Detection kann... wenn´s tatsächlich so ist wäre das eine Erklärung. Bei NCP mal checken ob man das deaktivieren kann???


                          Jo, ist zwar der Hammer dass die FB das nicht kann, aber Ich denke der "Noob" hats getroffen.

                          Gruss,
                          Gaston

                          Kommentar

                            #14
                            Gelöst!!

                            Hi

                            Mann.... da muss man erstmal drauf kommen. Aber stand ja eigentlich im LOG drin. Manchmal ist man eben blind!
                            Nachdem ich im NCP das Dead Peer ausgeschaltet habe, funktioniert alles wie es sein soll. 1000 Dank für die Hilfe!

                            THomas

                            Kommentar

                            Vorherige template Weiter
                            Lädt...
                            X

                            Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                            Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                            Ich stimme zu