VPN: mit diesen Netzen möglich???

[felix000]

Hallo,

ich hab ein Problem und zwar kann ich in der Uni nicht auf mein Heimnetzwerk zugreifen:

IP-Konfiguration vom Laptop in der Uni:
Ethernet-Adapter VPN: (VPN um ins Uninetz per WLAN zu verbinden / Cisco VPN)
Verbindungsspezifisches DNS-Suffix: uni-muenchen.de
Verbindungslokale IPv6-Adresse . : fe80::1d01:4352:a189:741b%14
IPv4-Adresse . . . . . . . . . . : 141.84.22.149
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . : 141.84.0.1

Drahtlos-LAN-Adapter WLAN:
Verbindungsspezifisches DNS-Suffix: lrz-muenchen.de
IPv4-Adresse . . . . . . . . . . : 10.158.92.28
Subnetzmaske . . . . . . . . . . : 255.255.248.0
Standardgateway . . . . . . . . . : 10.158.95.254

Konfiguration vom Router daheim:
Adresse 10.0.0.254
Subnetzmaske 255.255.255.0
Alle Rechner haben 10.0.0.* Adressen

Ich würde gerne wissen, ob mit diesen Netzen überhaupt eine VPN-Verbindung möglich ist (über die auch Daten gesendet werden). Da ich zwar eine Verbindung aufbauen kann, aber es funktioniert noch nicht mal ein Ping auf Adressen daheim.

Ich vermute ja, dass ich zuhause ein anderes Netz benutzen müsste als in der Uni.

Über eine Antwort würde ich mich freuen!!!

Grüße,
Felix

 

[mj0815]

Hallo,
ich hab ein Problem und zwar kann ich in der Uni nicht auf mein Heimnetzwerk zugreifen:

Wie soll denn der Zugriff erfolgen? Hast du daheim auch einen VPN-Server?

IP-Konfiguration vom Laptop in der Uni:
(VPN um ins Uninetz per WLAN zu verbinden / Cisco VPN)
IPv4-Adresse . . . . . . . . . . : 141.84.22.149
Subnetzmaske . . . . . . . . . . : 255.255.0.0

So weit okay.

Drahtlos-LAN-Adapter WLAN:
Verbindungsspezifisches DNS-Suffix: lrz-muenchen.de
IPv4-Adresse . . . . . . . . . . : 10.158.92.28
Subnetzmaske . . . . . . . . . . : 255.255.248.0
Standardgateway . . . . . . . . . : 10.158.95.254

Irrelevant.

Konfiguration vom Router daheim:
Adresse 10.0.0.254
Subnetzmaske 255.255.255.0
Alle Rechner haben 10.0.0.* Adressen

10.x.y.z sind Private Netzwerke! D.h. diese kann jeder verwenden - die werden aber nicht geroutet, d.h. ohne VPN nach Hause wirst du von der Uni niemals einen Rechner daheim erreichen können. Siehe http://de.wikipedia.org/wiki/IPv4

Mit VPN nach Hause (nicht das Cisco-Zeug in der Uni) sollte das beim entsprechenden Routing natürlich gehen.

Falls Du zu Hause ein VPN-Server betreibst - bitte mehr Details zur Konfiguration geben!

Ich würde gerne wissen, ob mit diesen Netzen überhaupt eine VPN-Verbindung möglich ist (über die auch Daten gesendet werden). Da ich zwar eine Verbindung aufbauen kann, aber es funktioniert noch nicht mal ein Ping auf Adressen daheim.

Ich vermute ja, dass ich zuhause ein anderes Netz benutzen müsste als in der Uni.

Nein, brauchst du nicht.

Gruß,
Mathias

 

[felix000]

Daheim läuft ein gefritzter Speedport W900V:
FRITZ!Box Fon WLAN Speedport W 900V (Firmware-Version 29.04.57)

 

[mj0815]

Daheim läuft ein gefritzter Speedport W900V:
FRITZ!Box Fon WLAN Speedport W 900V (Firmware-Version 29.04.57)

Das ist immer noch nicht sehr aussagekräftig!
- Welche VPN-Software soll auf der Box eingesetzt werden? OpenVPN/IPsec?
- Ist DynDNS korrekt eingerichtet?
- Was sagen die Logfiles?

Gruß,
Mathias

 

[felix000]

Es sollte mit der AVM-eigenen VPN-Software laufen (ich meine das die ICSec-basiert ist).

DynDNS ist eingerichtet und läuft.

Die Logs vom Router sagen "Verbindung zu xxx aufgebaut" wenn ich per VPN auf den Router verbinde und "Verbindung getrennt".


Von einem 192.168.0-Netz kann ich mich ja verbinden und es funktioniert auch alles. Nur aus der Uni funktionierts nicht...(geblockt wird VPN nicht)

 

[mj0815]

Es sollte mit der AVM-eigenen VPN-Software laufen (ich meine das die ICSec-basiert ist).

DynDNS ist eingerichtet und läuft.

Die Logs vom Router sagen "Verbindung zu xxx aufgebaut" wenn ich per VPN auf den Router verbinde und "Verbindung getrennt".

Von einem 192.168.0-Netz kann ich mich ja verbinden und es funktioniert auch alles. Nur aus der Uni funktionierts nicht...(geblockt wird VPN nicht)

Warum Du als "VPN-Anfänger" unbedingt IPsec benutzen willst, verstehe ich zwar nicht (hier wäre OpenVPN wohl besser geeignet), aber du weisst schon, dass man bei IPsec die Netzwerke der "anderen" Seite bekannt machen muss (aus der dann die SecurityPolicies gebaut werden)?

Wenn IKE zum Aushandeln der Schlüssel für die SecurityAssociations benutzt wird (wovon ich mal ausgehe) kannst du natürlich in den Logs (auf dem Client und der FRITZ!Box) schauen, ob eine solche Association nach dem Start des Pings aufgebaut wird.

Falls auf der FRITZ!Box KAME eingesetzt wird (weiß ich mangels FRITZ!Box mit Labor-FW aber nicht), kann man die SecurityPolicies mit:

$ setkey –DP

die SecurityAssociations mit:

$ setkey –D

anzeigen lassen.

Welche Client-Software wird eigentlich benutzt?

Woher weißt du eigentlich, dass IPsec von der Uni nicht geblockt wird?
IPsec benötigt neben den IKE-Ports (500/UDP bzw. 4500 UDP) auch zwei zusätzliche IP-Protokolle (AH und ESP), die auch weitergeleitet werden müssen, was nicht jede Firewall macht.

Gruß,
Mathias

 

[felix000]

Bei der AVM-eigenen VPN-Software (aufm Router) sowie dem AVM-VPN-Client gibts relativ wenig Einstellungsmöglichkeiten und der Konfigurationsvorgang ist recht einfach. Wieso sollte ich openVPN oder so nutzen, wenns von AVM auch eine (deutlich einfachere) Lösung gibt.

Die VPN-Verbindung aus der Uni hat ja schon funktioniert, da hab ich mich allerdings in ein 192.168.0-Netz verbunden (AVM-Labor-Firmware und AVM-Client). Nur jetzt mit der echten AVM-Firmware und dem AVM-Client in das 10.0.0-Netz gehts nicht mehr.

 

[mj0815]

Bei der AVM-eigenen VPN-Software (aufm Router) sowie dem AVM-VPN-Client gibts relativ wenig Einstellungsmöglichkeiten und der Konfigurationsvorgang ist recht einfach. Wieso sollte ich openVPN oder so nutzen, wenns von AVM auch eine (deutlich einfachere) Lösung gibt.

Weil bei OpenVPN die Konfiguration deutlich einfacher ist und vor allem weil viel mehr Leute dir helfen können.
Was nützt dir die "achso tolle" AVM-Software, wenn sie nicht die Logging-Funktionen und Einstellmöglichkeiten bietet, die du anscheinend brauchst?!

Die VPN-Verbindung aus der Uni hat ja schon funktioniert, da hab ich mich allerdings in ein 192.168.0-Netz verbunden (AVM-Labor-Firmware und AVM-Client). Nur jetzt mit der echten AVM-Firmware und dem AVM-Client in das 10.0.0-Netz gehts nicht mehr.

Verstehe ich das jetzt richtig?

Uni (141.84.22.149) <--> zu Hause (192.168.0.x) geht

Uni (141.84.22.149) <--> zu Hause (10.0.0.x) geht nicht

Gruß,
Mathias

 

[felix000]

Uni (141.84.22.149) <--> zu Hause (192.168.0.x) geht

Uni (141.84.22.149) <--> zu Hause (10.0.0.x) geht nicht

Bis auf den Firmware-Unterschied stimmts, den Firmware-Unterschied sollte man allerdings ausschließen können, da ich ja mit der aktuellen Firmware Verbindungen erstellen kann.

 

[kdspeed]

Hallo,

habe ich das richtig verstanden? Du möchtest von deinem Laptop an der Uni deinen Speedport ( gefritzt) zu Hause zugreifen?
Das geht recht einfach; wir nutzen das hier vom Heimnetzwerk auf die UNIU via CISCO-VPN zuzugreifen.

Du musst das VPN auf dem Speedport einrichten mit den Uni Daten. Dann kannst du von jedem Rechner im Heimnetzwerk auf die UNI zugreifen. Umgekehrt sollte das dann auch funktionieren. So benutze ich das.
Am einfachsten geht das natürlich, wenn du vom RZ eine feste IP-Adresse zuweisen lässt; z.B. vpnxxx.uni-..... Dann reicht http://vpnxxx.uni-.... . Das das funktioniert, wie feste IP und korrekte Konfiguration im RZ liegt natürlich auch daran das ich dort arbeite und so einen guten Draht zu meinen Netzkollegen habe.

Wenn du Rechner hinter dem Speedport erreichen willst sollte das mit Portfreigaben gehen. Das hab ich aber noch nicht probiert.

Hier sollte man noch mal alle die loben, die es so einfach machen einen Speedport zu einer FritzBox zu machen, da man so so schöne Sachen wie VPN, Faxen , AB via Mail machen kann. Ohne die Umstellng könnte ich bei meinen Alice-Zugang ( ISDN ) weder meine analogen Telefone noch WLAN nutzen. Besten Dank.

Wenn ich nur deutlich genug war bitte nachfragen. Gruss KD

 

[mj0815]

Nachtrag:

ich habe mir mal das AVM-VPN-Zeug angeschaut.

Könnte es sein, dass das Programm gar nicht funktioniert?

Ich habe der Einfachheit halber alles mit den Werkeinstellungen aufgesetzt.

Nach dem man "Verbindung aufbauen" gewählt hat, wird per IKE (ISAKMP) die "Verbindung" ausgehandelt. So weit scheint alles okay zu sein.

Wenn ich nun aber Daten durch den Tunnel schicken möchte (z.B. ein Ping), werden auf dem VPN-Client keinerlei ESP-Pakete generiert (mit Wireshark auf dem Windows-Client und tcpdump auf einem anderen Router auf dem Weg getestet).

Ich dachte, dass evtl. die IPsec-Regeln nicht greifen, da ja eine Adresse verwendet wird, welche dem Client per se unbekannt ist (192.168.178.201) und somit auch nicht als Absender-Adresse verwendet wird.
Mit der gültigen/bekannten Adresse geht es aber auch nicht - ich schätze ersteres war schon korrekt, da dieser öminöse AVM-VPN-Driver dann wahrscheinlich die Absender-Adresse der Pakete (selektiv) ändert.

Das erklärt leider nicht, warum keine ESP-Pakete erzeugt werden, wenn ich die 192.168.178.1 anpinge und damit auch keine "pings" am anderen Tunnelende auf der FritzBox ankommen.

Benutze Software:
- FRITZ!Fernzugang 1.01.02 (Treiber 7.00.101)
- Speedport W701V mit Firmware 29.04.57-freetz-devel-2382

 

[Jpascher]

Du benutzt aber freetz!

Bringt das nicht durcheinander.

 

[mj0815]

Daran ändert aber die (schlechte) Client-Software nichts.
Wie ich schrieb erzeugt die Client-Software nicht die entsprechenden Pakete, die Initialisierung klappt ja damit.

 

[felix000]

Ich kann aber von anderen Internetanschlüssen eine Verbindung aufbauen, also kanns nicht an der Software liegen.

 

[mj0815]

Ich kann aber von anderen Internetanschlüssen eine Verbindung aufbauen, also kanns nicht an der Software liegen.

Okay eine Idee habe ich noch - auch wenn es dir wahrscheinlich nicht weiterhilft:

Mal angenommen, die AVM-VPN-Software funktioniert prinzipiell (auch wenn ich das nicht verifizieren konnte) - soweit ich weiss arbeitet das Cisco-VPN deiner Uni auch über IPsec (so wie es AVMs VPN tut).
IPsec arbeitet konzeptuell nun mal transparent im IP-Stack und nicht, wie OpenVPN über irgendwelche Pseudo-Devices.
(Das ist übrigens auch der Grund warum IPsec oft in Verbindung mit L2TP verwandt wird - um eigene Adressen an den Tunnelenden verwenden zu können! L2TP ist eine Art PPP, wie man es von Modemverbindungen her kennt.)

Da nun wohl die AVM-VPN-Verbindung sich "einfach" in den IP-Stack einklinkt - über diesen ominösen VPN-Treiber - kann man nicht mehr per Routing-Regeln steuern, wie der Fluss der Netzwerkpakete durch den Kernel geschehen soll (evtl. kann man die IPsec-Regeln in den AVM-VPN-cfg-Dateien entsprechend anpassen) - kurzum: IPsec durch einen IPsec-Tunnel zu nutzen ist sehr schwer bis unmöglich.

Sofern ein AVM-Entwickler mitliest: Bitte baut eine Logging-Funktion ein!

Ich kann nach Betrachtung der AVM-Software nur meine Auffassung bekräftigen: Wer sich nicht scheut Freetz auf seiner Box einzusetzen, sollte sich bei ungewöhnlichen Setups ruhig mal OpenVPN anschauen!
(Auch hierfür gibt es nette GUIs unter Windows, MacOSX und Linux)
Falls die Konfig bei OpenVPN unklar ist - einfach noch einmal nachfragen.

Übrigens: OpenVPN auf meine Box daheim durch unser Cisco-Uni-VPN funktioniert problemlos.

Gruß,
Mathias

 

[felix000]

Es hat ja schon einmal durch den Uni-VPN-Tunnel funktioniert.

Eine PPTP-Verbindung (zu einem nicht-LRZ-Server) über einen IPSec-Tunnel ist dagegen möglich.

 

[aaalexxx]

Es hat ja schon einmal durch den Uni-VPN-Tunnel funktioniert.

Na ja, aber gerade Dein Zitat zeigt doch was Sache ist: IPSEC über IPSEC geht eben nicht, sondern nur PPTP über IPSEC. Ich bin an der Fachhochschule München (jetzt: Hochschule München) und da ist das genauso wie vermutlich bei Dir auch:

1. WLAN ungesichert
2. Authentifizierung dafür über das LRZ über IPSEC (Cisco)
3. Authentifizierung über IPSEC auch für LAN-Anschlüsse (z. B. in den Laboren) nötig

Ich kann mich z. B. auch nur in der Arbeit einwählen, wenn ich dafür PPTP nutze (bietet aber die Fritz!Box nicht). Per IPSEC geht's nicht.

Du könntest mal eine Authentifizierung ohne Cisco IPSEC sondern stattdessen mit 802.1X versuchen, das bietet das LRZ i. d. R. auch für die WLANs an. Die SSIDs der Access Points heißen dann "eduroam" oder "802.1X".

Eine Anleitung dazu findest Du hier: http://www.lrz-muenchen.de/services/netz/mobil/802.1x/

Bei mir funktioniert es dann aber trotzdem nicht über IPSEC, aber ich nutze auch OS X, vielleicht bietet ja Windows irgendwelche Möglichkeiten. Das Problem könnte sein, dass der IPSEC-Port bereits belegt ist und zumindest das von meiner Firma verwendete Gerät keine dynamischen Ports für IPSEC unterstützt.

Vg
Aleks

 

[felix000]

Wieso hat es dann schon mal funktioniert???

 

[mj0815]

Wieso hat es dann schon mal funktioniert???

Zufall! Das Problem wird sein (ohne Logging-Fkt. ist eben alles Spekulation!) das bei zwei IPsec-Instanzen, von denen die IP-Adresse auf Client-Seite automatisch gewählt wird, eine als erste den IPsec-Tunnel aufbaut und bei der zweiten Instanz es eben undefiniert ist, was passiert.

(Nur noch einmal zur Erinnerung - bei IPsec wird an Hand der Security Policies (SP) ausgewählt, was gesichert wird, nicht an Hand irgenwelcher Routing-Einträge.)

Ich verstehe zwar nicht was Dein Problem ist, aber evtl. willst du auch nur rumtrollen, statt an einer Lösung interessiert zu sein. Fakt ist: IPsec in IPsec mit dem AVM-VPN wird so nicht (zuverlässig) funktionieren.

802.1X wäre sicherlich eine in Erwägung zu ziehende Alternative, da hier der Zugang zum Internet auf OSI-Layer 2 statt findet. Sonst: wie gesagt OpenVPN.

Gruß,
Mathias