FBF und VPN mit PPTP

[rkk]

Jeder kann es, mein alter Lynksys für 40 EUR kann es, die teure Fortigate-60 kann es, nur AVM hat es nicht nötig.

Ein langer Text, aber denjenigen, die versuchen, VPN mit der FBF 7050 zum laufen zu bringen, könnte es helfen.

----------------------------------
1. Supportanfrage an AVM
----------------------------------

Fehlerbeschreibung:
===================

Bei der Anbindung zweier Netzwerke mit jeweils einer FB 7050 haben wir folgendes Problem festgestellt:

Gegeben sind zwei Standorte (Standort A und Standort B) mit jeweils einer FB7050 und DSL 3000. Diese zwei Orten sollen per VPN verbunden werden. Dabei wird PPTP mit starker Verschlüsselung (MPPE 128 Bit) und Benutzerzertifikaten verwendet.

Folgende Portfreigaben wurden an jeder FB7050 eingerichtet:

Standort A
==========

Protokoll Port an IP-Adresse an Port
---------------------------------------
TCP 1723 192.168.70.1 1723
GRE 192.168.70.1

IP-Adresse der Box: 192.168.70.254


Standort B
==========

Protokoll Port an IP-Adresse an Port
--------------------------------------
TCP 1723 192.168.71.200 1723
GRE 192.168.71.200

IP-Adresse der Box: 192.168.71.254


Solange seit dem letzten Reboot der Box keine Einwahl stattgefunden hat, ist eine Einwahl eines PC's vom Standort A in das Netzwerk des Standortes B problemlos möglich. Das kann man beliebig oft wiederholen und es funktioniert zunächst stabil.

Versucht jetzt ein PC vom Standort B sich in das Netzwerk vom Standort A einzuwählen (also jetzt die andere Richtung), ist die Wahrscheinlichkeit nahezu zu 100%, dass die Einwahl misslingt. Das Netzwerk A wird erreicht, aber der dahinter stehende Server antwortet nicht. Ab da an ist keine Einwahl mehr möglich und zwar in keiner Richtung.

Nachstehend die Fehlerprotokolle aus dem Ereignisprotokoll von Windows Server 2003:

Ereignistyp: Warnung
Ereignisquelle: Rasman
Ereigniskategorie: Keine
Ereigniskennung: 20209
Datum: 14.07.2005
Zeit: 12:11:21
Benutzer: Nicht zutreffend
Computer: TEMUCO
Beschreibung:
Es wurde eine Verbindung zwischen dem VPN-Server und dem VPN-Client
84.157.50.229 initiiert, aber die VPN-Verbindung konnte nicht hergestellt werden. Der wahrscheinlichste Ursache dafür ist, dass der Firewall bzw. der Router zwischen dem VPN-Server und dem VPN-Client nicht so konfiguriert ist, dass GRE-Pakete (Generic Routing
Encapsulation) zugelassen sind (Protokoll 47). Stellen Sie sicher, dass die Firewalls bzw. Router zwischen dem VPN-Server und dem Internet GRE-Pakete zulassen. Stellen Sie ebenfalls sicher, dass die Firewalls bzw. Router im Netzwerk des Benutzers auch so konfiguriert sind, dass GRE-Pakete zugelassen sind. Wenn das Problem weiterhin besteht, sollte der Benutzer sich an den Internetdienstanbieter wenden, um zu ermitteln, ob der Internetdienstanbieter eventuell GRE-Pakete blockt.

Ereignistyp: Fehler
Ereignisquelle: IPBOOTP
Ereigniskategorie: Keine
Ereigniskennung: 30022
Datum: 14.07.2005
Zeit: 12:14:06
Benutzer: Nicht zutreffend
Computer: TEMUCO
Beschreibung:
IPBOOTP konnte eine eingehende Meldung an der lokalen Schnittstelle mit der IP-Adresse 192.168.70.201 nicht empfangen. Die Daten stehen im Fehlercode.


Der aufgetretene Fehler ist reproduzierbar: Nachdem die FB7050 sich über eine VPN-Einwahl in ein Remote-Netzwerk eingewählt hat, kann sie a) keine externen VPN-Anfragen verarbeiten und b) sie kann nach einer externen VPN-Anfrage sich nicht mehr in ein Remote-Netzwerk einwählen.

Damit ist die Arbeit zweier Standorte über VPN nicht möglich.

Die gleiche Konfiguration, jedoch mit LinkSys-Routern oder Fortigate-Firewall/Routern funktioniert problemlos und stabil ohne jegliche Aussetzer. Daher liegt die Vermutung sehr nahe, dass der Fehler nicht an einer Fehlkonfiguration des Netzwerkes sondern in der Box zu suchen ist.

----------------------------------
2. Antwort von AVM
----------------------------------
Bitte beachten Sie, dass bei der FRITZ!Box Fon 7050 die IP-Adresse
192.168.xx.1 für die FRITZ!Box reserviert ist und nicht für Rechner
vergeben werden kann. Ändern Sie bitte dahingehend Ihre
Netzwerkkonfiguration.

Die FRITZ!Boxen unterstützen die Nutzung von VPN-Verbindungen mittels
IP-Sec-Passthrough-Verfahren. Die Hinweise zur Konfiguration der
FRITZ!Box zur Nutzung von VPN-Verbindungen entnehmen Sie bitte dem
Mailanhang.

Bitte beachten Sie außerdem, dass AVM professionelle Software für
VPN-Verbindungen anbietet.

----------------------------------
3. Meine Antwort AVM
----------------------------------
Vielen Dank für Ihre Antwort. Leider gehen Sie nicht auf das eigentliche und von mir beschriebene Problem ein:

1.
Die Standardadresse der Box (192.168.xxx.1) ist bereits auf .254 geändert worden und das Netzwerk ist dementsprechend richtig konfiguriert und es funktioniert auch. Auf .1 kann ich die Adresse nicht belassen, da diese Adresse von unserem Windows Server 2003 belegt ist. Das würde einen unnötigen Aufwand bedeuten. Das ist nicht das Problem.

2.
Wie man einen Portforwarding einrichtet und was alles zu beachten ist, wissen wir schon. Ich danke Ihnen für die Anleitungen, aber wir verwenden IPSec nicht, sondern PPTP mit starker Verschlüsselung (MPPE 128 Bit) in Verbindung mit Benutzerzertifikaten. Das steht aber eindeutig in meiner Supportanfrage. Außerdem habe ich Ihnen die eingerichteten Portforwarding klar beschrieben, aus denen unmissverständlich herausgeht, dass es sich hierbei um PPTP handelt.

Daher füge ich die Beschreibung erneut hinzu, in der Hoffnung, Sie gehen diesmal auf das geschilderte Problem ein:

----------------------------------
4. Problemlösung von AVM
----------------------------------

vielen Dank für Ihre Rückmeldung.

Dafür, dass Ihre VPN-Verbindung nicht ordnungsgemäß funktioniert kann es zwei Gründe geben:

1. Die Portfreigaben evtl. sind nicht richtig eingerichtet. Davon gehe ich in Ihrem Fall nicht aus. Es sind für eingehende Verbindungen lediglich der Port 1723 und das Protokoll GRE freizugeben.

2. Falsche Konfiguration auf Seiten des Servers oder des Clients. Da von "Standort A" nach "Standort B" die Verbindung zustandekommt, ist ja zumindest in die eine Richtung alles richtig eingestellt und ein Fehler seitens der FRITZ!Box auszuschließen.

Die Nutzung von PPTP wurde von AVM jedoch nicht getestet. Wir empfehlen VPN-Verbindungen mittels IP-Sec-Passthrough-Verfahren. Die Funktion von PPTP wird somit nicht zugesichert.

 

[semilla]

sehr unprofessionelle antwort... :cry:

ich glaube, das problem hat mit den NAT-mechanismen der box zu tun: bei der einwahl eines vpn-clients aus dem standort A in einen vpn-server am standort B legt die box (am standort A) eine temporäre regel in ihrer NAT-tabelle. diese regel sorgt dafür, dass alle GRE-pakete mit der absenderadresse der box am standort B an den vpn-client (im standort A) zurückgegeben werden.
wird nun eine eine verbindung von einem vpn-client am standort B zu einem vpn-server am standort A hergestellt UND ist die temporäre regel in der NAT-tabelle der box an A noch aktiv, hat die box zwei alternativen, wo sie diese hinleiten soll: an den vpn-server, der in der portfreigabe hinterlegt ist, oder an den vpn-client, für den die temporäre regel besteht. da GRE nicht mit source- und destination-ports dienen kann, gibt es für die box nur zwei entscheidungskriterien, wohin die pakete weitergeleitet werden sollen, nämlich pakettyp und absenderadresse. da diese in beiden fällen identisch sind, kommt es zum fehler.

dies erscheint mir kein bug zu sein. da andere router andere firewallkonzepte haben, muss das problem bei diesen nicht auftreten.

unabhängig vom fehler verstehe ich allerdings nicht, wieso du von beiden seiten eine vpn-einwahl herstellen willst? in einem solchen szenario bietet sich doch eine lan-lan-koppelung über vpn an, die nur von einer seite initiiert wird und die permanent besteht. dann können immer alle rechner aus den beiden netzwerken auf das jeweils andere zugreifen...

 

[rkk]

Erstmal vielen Dank für deine professionelle Antwort.

Ich muss zugeben, dass ich diese VPN-Geschichte quasi nebenher mache und keineswegs ein VPN-Guru bin. Allerdings hatte diese Vorgehensweise mit verschiedenen anderen Geräten funktioniert und daher hatte ich mir keine Gedanken mehr gemacht, bis eben die Fritzboxen eintrafen. Ich bin dermaßen enttäuscht von diesem Gerät, welches an vielen Stellen mich an eine Baustelle erinnert (fehlende IP- und Port-Bereiche, DHCP nicht konfigurierbar, Protokolle nicht auslesbar, komplette Aufhänger des S0-Busses trotz FW .71, Wärmeentwicklung usw.). Aber das ist ein anderes Thema.

Aber du hast auf alle Fälle Recht: Im Grunde genommen handelt es sich um eine LAN-LAN-Koppelung. Kannst du mir diesbezüglich etwas auf die Sprünge helfen? Was muss ich beachten bei einer Umgebung bestehend aus zwei Netzwerken mit Windows Server 2003 Standard?

Ich werde auf alle Falle im Netz suchen und die Microsoft-Seite durchfostern, aber Expertenhilfe ist natürlich jederzeit willkommen.

Was anderes: Kommt dein Pseudonym aus dem Spnischen?

Ansonsten tausend Dank für deine Hilfe.

René

 

[semilla]

sry, ich kenne mich mit den vpn-funktionen von windows 2003 server auch nicht aus. gibt es da keine konfigurationsmöglichkeiten für eine lan-lan-kopplung? wenn nicht, sollte zumindest dies klappen:

- ein rechner im lan a stellt eine dauerhafte verbindung zum vpn-server in lan b her
- alle rechner in lan a erhalten eine statische route ins lan b mit dem vpn-client als gateway
- alle rechner in lan b erhalten eine statische route ins lan a mit dem vpn-server als gateway
- am vpn-server und vpn-client wird ip-routing aktiviert

so sollten die rechner zumindest über die ip-adressen auf das jeweils andere netzwerk zugreifen können, für eine namensauflösung muss natürlich noch wins oder besser dns verwendet werden. aber das ist mit server 2003 ja kein problem...

edith sagt: ne, mein nick kommt eher aus dem holländischen :lol:

 

[rkk]

Danke! Ich werde es versuchen.