AVM Fritz!Box Fon WLAN: Firewall ausschalten

[matthias03]

Hallo,
wie kann ich die Firewall an der Fritz Box ausschalten? Reicht es wenn ich diese im Admin-Tool einfach disable?
Ist eine Softwaremässige Firewall gleich gut, wie die eingebaute?

Das Problem ist so, dass ich über RJ45 eine Gerät anschliessen möchte und mit diesem ins Internet, bzw. in der Firma einloggen. Da dieses Gerät bereits eine Firewall hat, muss die bestehende ausgeschaltet werden. Ev. hat jemand einen Tipp, welche Möglichkeiten es gibt, herauszufinden welche Ports oder sonstige Einstellungen notwendig sind. Leider habe ich auf diesem Gerät (Laptop) nur beschränkte Benutzerrechte. Die Firewall die dort eingesetzt wird, ist Checkpoint.

Gruss
Matthias

 

[KuniGunther]

Hallo Matthias,

bitte vor dem Fragen erst einmal suchen, z.B. nach Fritz, Firewall und abschalten. Funktioniert prima

Für den Anfang schau mal da:
http://www.ip-phone-forum.de/showthread.php?t=81769

Volker

 

[matthias03]

besten Dank für diesen Tipp.

Das gibt eine gute Übersicht. Trotzdem läuft mein Geschäfts-Laptop (noch) nicht mit diesem Router. NAT sollte denke ich kein Problem sein, da man entsprechende Parameter konfigurieren kann und dieser Laptop mit anderen Routern läuft (die auch NAT haben).

Parameter die konfiguriert werden können: NAT traversal tunneling (IKE over TCP oder Force UDP encapsulation)/visitor mode. Wie soll ich das konfigurieren?

Info: Habe anstatt Fritzprotect jetzt eine andere Software auf meinem privaten PC installiert.

Gruss
Matthias

 

[KuniGunther]

Hallo Matthias,

FritzProtekt habe ich nie benutzt und das hat auch keinen Einfluß auf die Einstellungen der FritzBox.

Was willst Du denn mit dem Laptop machen? Ohne nähere Informationen wird Dir hier wahrscheinlich keiner helfen können. Wenn Du nur eine VPN Verbindung über IPSec mit einem Client von Deinem Laptop ins Firmennetz brauchst, dann sollte die FritzBox mit großer Wahrscheinlichkeit ohne Konfiguration können.

Viele Grüße,
Volker

 

[matthias03]

Vpn

Hallo,
ja genau ich möchte gerne eine VPN Verbindung herstellen. Sind dazu noch spezielle Konfigurationen bei AVM Router notwendig?
Müssen spezielle Ports /Verbindungen offen sein?

Gruss
Matthias

 

[KuniGunther]

Da Du von IKE geredet hast, nehme ich mal an, es geht um IPSec. Die FB unterstützt IPSec-Pass-Through. Wenn Du nur einen Client auf Deinem Laptop betreibst und der die Verbindung aufbaut, dann müsste die FBF das out-of-the-box können. Bei mir tut's jedenfalls.

Volker

 

[semilla]

Wenn Du nur einen Client auf Deinem Laptop betreibst und der die Verbindung aufbaut, dann müsste die FBF das out-of-the-box können.

es sei denn, der IPSec-server akzeptiert ausschliesslich IKE-pakete mit sourceport UDP500. in diesem fall musst du den port in der fritzbox freigeben, damit diese den sourceport beim NATten nicht ändert...

 

[matthias03]

Hallo zäme,
der VPN-Client ist Checkpoint VPN-1 und ich kann connectivity enhancements ausschalten oder eben einschalten mit Use NAT traversal tunneling (dabei können die folgenden Optionen aktivitiert werden: IKE over TCP oder Force UDP encapsulation)? Was soll hier eingestellt werden?

Ferner welche Ports müssten bie Checkpoint verwendet werden? Kann ich hier wohl ein Protokoll im Router anzeigen?

Gruss
Matthias

 

[KuniGunther]

Hallo Matthias,

wenn Du in Deinem VPN-Zugang NAT-Traversal einstellen kannst, dann ist die FBF komplett außen vor. Wie der Name schon sagt: Diese Enhancements sind dazu da, auch NAT-Router zu unterstützen, die kein IPSec Pass-Through können.
IKE over TCP heißt, dass die Schlüsselaushandlung über TCP und nicht über UCP500 geht, Force UDP encapsulation, dass der komplette Datenaustausch über eine UDP Verbindung quasi getunnelt wird.
Probier's halt alle Kombinationen mal aus und schau was geht.

Volker

 

[TWELVE]

Also benutze u.a. einen CISCO VPN Client, der ohne mein Zutun ohne Probleme eine IPSEC Verbindung zur Firma aufbauen kann.Genaugenommen läuft das VPN sogar durch 3 hintereiandergeschaltete Router durch, und in keinem mußte ich dafür irgendetwas einstellen.
Eingehende Ports freischalten ist eigentlich nur notwendig, wenn man selber einen VPN Server im LAN betreibt.NAT-Traversal muß verwendet werden, aber das ist eh Pflicht hinter einem NAT Router.

Probier doch mal UDP encapsulation.Ich glaub, mein CISCO VPN Client verwendet standard UDP 10000.


Grüße

TWELVE

 

[semilla]

NAT-traversal muss sowohl vom client als auch vom server unterstützt werden. wenn der admin des VPN-servers dir nix anderes gesagt hat, würde ich es erstmal ohne probieren...

 

[KuniGunther]

Hallo semilla,

es sei denn, der IPSec-server akzeptiert ausschliesslich IKE-pakete mit sourceport UDP500. in diesem fall musst du den port in der fritzbox freigeben, damit diese den sourceport beim NATten nicht ändert...

AVM behauptet von der FritzBox, dass diese IPSec-Pass-Through kann. IKE über UDP500 ist integraler Bestandteil der IPSec-Definition. Es wäre eine seltsame Auffassung von IPSec-Pass-Through wenn ISAKMP Pakete da nicht drunter fallen. Bist Du Dir wirklich sicher?

Volker

EDIT: Da genau das in einem anderen Thread das Problem zu sein scheint, hast Du wohl wirklich recht. Wie kann man denn sowas halb-gares bauen ...

 

[matthias03]

Hallo zäme,
da die Vorgabe im Laptop mit NAT traversal tunneling ist, nehme ich an, dass dies auch vom Server unterstützt wird.

Ferner habe ich alle Optionen probiert und leider ohne Erfolg. Ich habe noch einen Port gefunden bei Checkpoint. Doch leider hat diese Freischaltung
auch nichts gebracht.

Ich werde jetzt nochmals mit dem Support der Firma sprechen.

Gruss

Matthias

 

[semilla]

da die fritzbox nicht nur NATtet, sondern auch PATtet, ändert sie bei ausgehenden IKE-paketen zwar den quell-port, aber natürlich nicht den ziel-port. soweit ich weiß ist lediglich letzterer mit UDP500 standardisiert.
in einigen IPSec-servern lässt sich aber extra festlegen, dass nur IKE-pakete mit quell-port 500 akzeptiert werden sollen. ist diese option nicht aktiviert oder gar nicht vorhanden, werden imo alle quell-ports akzeptiert...

 

[KuniGunther]

Hallo semilla,

da die fritzbox nicht nur NATtet, sondern auch PATtet, ändert sie bei ausgehenden IKE-paketen zwar den quell-port, aber natürlich nicht den ziel-port. soweit ich weiß ist lediglich letzterer mit UDP500 standardisiert.
in einigen IPSec-servern lässt sich aber extra festlegen, dass nur IKE-pakete mit quell-port 500 akzeptiert werden sollen. ist diese option nicht aktiviert oder gar nicht vorhanden, werden imo alle quell-ports akzeptiert...

ja, ist mir schon klar, aber laut RFC2408 (ISAKMP, 2.5.1.):

Implementations MUST include send and receive capability for
ISAKMP using the User Datagram Protocol (UDP) on port 500.  UDP Port
500 has been assigned to ISAKMP by the Internet Assigned Numbers 
Authority (IANA).

Einem konformen Client muss es also möglich sein, über UDP500 zu senden. Wenn die FritzBox vollständig IPSec-Pass-Through untersützen will, muss sie dass auch schon zur Schlüsselaushandlung. UDP500 vom PAT auszunehmen ist trivial, besonders da NAT-bedingt sowieso eine IPSec-ESP Verbindung per Server vom lokalen Netz möglich ist. Das Connection-Tracking sollte also nicht allzu schwer sein.

Weiter:

Implementations MAY additionally support ISAKMP over 
other transport protocols or over IP itself.

Die Implementierungen können weitere Mechanismen vorsehen (z.B. auf anderen Ports senden oder erlauben, dass die Gegenstelle auf anderen Ports sendet) aber das ist freiwillig und nicht standardisiert.

So habe ich das jedenfalls bisher gelesen.

Volker

 

[semilla]

jo, da haste offensichtlich recht...

 

[TWELVE]

Doch leider hat diese Freischaltung
auch nichts gebracht.

Wie schon gesagt, Ports schaltet man für einen VPN Server frei, nicht für den Client.

nehme ich an, dass dies auch vom Server unterstützt wird.

Da hast Du allen Grund zu, da NAT Router ja heutzutage Standard ist.

Ich werde jetzt nochmals mit dem Support der Firma sprechen.

Das ist in so einem Fall immer das Beste, da nur die wissen, wie der Server konfiguriert ist.

Aufschlußreich ist in diesem Zusammenhang immer der Log des VPN Clients ( evtl. Loglevel erhöhen).

Vielleicht noch so als Hinweis: habe schon etliche Probleme mit meinem Cisco Client gehabt.Der wirft auch sehr schöne Fehlernummern aus, für die man auch eine gute Beschreibung findet.Die Ursache habe ich dann im Netzwerk bei mir gesucht, aber nie gefunden.Das Problem wurde jedesmal durch De-Installation und Wieder-Installation des Clienten behoben.In einem schlimmen Fall war es notwendig, bestimmte Einträge dieser Software manuell aus der Registry zu entfernen.


Grüße

TWELVE

 

[KuniGunther]

Wie schon gesagt, Ports schaltet man für einen VPN Server frei, nicht für den Client.

Ich denke, nach der wohl zutreffenden Anmerkung von semilla oben, kann man die Aussage für die FritzBox zumindest für die Verbindung zu manchen VPN Servern nicht mehr so stehen lassen.

Gruß, Volker

 

[TWELVE]

Hast Du es schonmal ausprobiert und Probleme mit einer Client VPN Verbindung..? Ich kann Eure theoretischen Ausführungen nicht ganz nachvollziehen, selbst wenn die FB die Source Ports verändern würde, spielt das doch keine Rolle, weil:

- die Antwort kommt wieder auf den gleichen Port in den Router zurück

- was sollte eine statisch eingestellte Portweiterleitung dabei helfen..?
Der VPN Server antwortet auf den Port zurück, von dem das Paket ursprünglich kam.Selbst wenn Du eine Portweiterleitung einrichten würdest,
kann diese nur greifen, wenn das Paket an diesen Port adressiert wurde.

- auf diese Art würde nichtmal der Zugriff auf einen Webserver funktionieren, weil dieser ebenfalls auf den Source Port zurückantwortet.
Die Client Source Ports werden zufällig ausgewählt , wie sollte man da vorher wissen, was man in der Portweiterleitung einstellt..?

Da ich wie schon mehrfach gesagt Client IPSEC VPN Verbindungen durch die Fritz aufbauen kann, dürfte die Ursache woanders liegen.Ich konnte auch keinen Zusammenhang mit der FW Version der Box feststellen.Das ging immer, außer wenn der Dialer selber ein Problem hatte.


Grüße


TWELVE

 

[KuniGunther]

@TWELVE

Du benutzt offenbar auch einen Cisco VPN Server wie ich. Damit hatte ich noch keine Probleme.

Das Problem taucht auf, wenn der Server erwartet, dass die eingehende Verbindung von Port 500 auf der Client-Seite kommt (wie es laut RFC meiner Meinung nach sein müsste). Wenn die FB aber den Port umsetzt, kommt zwar natürlich die Anfrage am Server an, aber der antwortet nicht, weil er nur auf Anfragen mit source Port 500 reagiert. Wie gesagt, nicht wenn er so eingestellt ist, dass er alle source Ports anerkennt.

Im Falle von ISAKMP ist der Source Port nicht zufällig, sondern es wird Port 500 benutzt (RFC-gemäß). Kannst Du mit Deinem Cisco Client und ethereal testen.

Ich hatte nach semillas Beitrag mal ein wenig gegoogelt und festgestellt, dass aus diesem Grund bei NAT-Servern auch bei Client-Betrieb desöfteren die Weiterleitung des Ports 500 angegeben ist. Die Portweiterleitung sorgt nämlich nicht nur dafür, dass eingehende Verbindungen an diesen Port direkt auf den betreffenden Rechner weitergeleitet werden, sondern hat den Nebeneffekt, dass auch bei ausgehenden Verbindungen von diesem Rechner dieser Port nicht angefasst wird. Der Router stellt sich für diesen Rechner und diesen Port quasi auf transparent.

Ob das bei der FBF so ist (Portumsetzung bei Port 500), kann ich persönlich nicht sagen - wie gesagt, mit der Angabe IPSec-Pass-Through hätte ich was anderes erwartet - , aber auch da gibt es über Google Hinweise und ich glaube da einfach mal semilla. Hier hilft nur eine dedizierte Nachfrage bei AVM.

Viele Grüße,
Volker