VPN einrichten

[MacFlieger]

OK, wieder einen Schritt weiter bei der Einrichtung.
Jetzt gibt es drei verschiedene Arten: PPTP, IPSec und L2TP
Wenn ich danach im Netz suche, dann finde ich zwar ein paar Erklärungen, womit man es da zu tun hat, aber was ich dabei noch nicht rausgekriegt habe:
- Welches dieser drei Protokolle arbeitet am besten mit Tiger und Panther out of the box zusammen?
- Wen mehrere in Frage kommen, welches Protokoll sollte man nehmen?
- Da der VPN-Server bei mir nicht der NATende Router ist, sondern im LAN steht, welche Ports muß ich im NATenden Router weiterleiten?

[mbs]

Es gibt drei Protokolle, aber zwei Alternativen. Panther und Tiger beherrschen beide. 

PPTP ist eine Entwicklung von Microsoft und daher das VPN-Standardprotokoll bei Windows. Funktioniert aber auch mit Mac OS X.

"L2TP over IPSec" ist eine Kombination des offenen "IP Security", PPTP (siehe oben) und "Layer-2-Forwarding" (eine Entwicklung von Cisco Systems). Es gilt als wesentlich leistungsfähiger, lässt mehr Authentifizierungsmechanismen zu und verwendet längere Schlüssel. Ab Panther wird es von Mac OS X unterstützt und gilt daher als bessere Wahl.

Da der VPN-Server bei mir nicht der NATende Router ist, sondern im LAN steht, welche Ports muß ich im NATenden Router weiterleiten?

Hm, das ist knifflig. Soweit ich weiß, braucht man für diesen Fall die folgenden Ports:
UDP Port 500: für VPN ISAKMP/IKE
UDP Port 1701: für VPN L2TP
UDP Port 4500: für IKE NAT Traversal

Genaueres sollte aber das Handbuch des VPN-Servers sagen.

[MacFlieger]

"L2TP over IPSec" ist eine Kombination des offenen "IP Security", PPTP (siehe oben) und "Layer-2-Forwarding" (eine Entwicklung von Cisco Systems). Es gilt als wesentlich leistungsfähiger, lässt mehr Authentifizierungsmechanismen zu und verwendet längere Schlüssel. Ab Panther wird es von Mac OS X unterstützt und gilt daher als bessere Wahl.

OK, was aktiviere ich denn dann? L2TP oder IPSec? Das ist ja, was mich verwirrt. Ich habe da 3 Möglichkeiten, aber beschrieben werden immer nur diese Kombinationen.

Hm, das ist knifflig. Soweit ich weiß, braucht man für diesen Fall die folgenden Ports:
UDP Port 500: für VPN ISAKMP/IKE
UDP Port 1701: für VPN L2TP
UDP Port 4500: für IKE NAT Traversal

Genaueres sollte aber das Handbuch des VPN-Servers sagen.

Tja, Handbuch. Sowas vernünftiges scheint es ja nicht mehr zu geben. Immer nur diese Kurzanleitungen, die eigentlich nix taugen.
Für das vorgeschlagene L2TP over IPSec brauche ich alle 3 Ports oder nur den zweiten?

[mbs]

OK, was aktiviere ich denn dann? L2TP oder IPSec? Das ist ja, was mich verwirrt. Ich habe da 3 Möglichkeiten, aber beschrieben werden immer nur diese Kombinationen.

Der VPN-Server bietet Dir das nur wahlweise an? Mac OS X beherrscht "L2TP over IPSec" nach RFC 3193. Reines L2TP oder reines IPSec gehen möglicherweise nicht, aber das müsste man ausprobieren.

Für das vorgeschlagene L2TP over IPSec brauche ich alle 3 Ports oder nur den zweiten?

Das hängt vom Schlüssel-Handling und von der Implementation ab. Wie erwähnt kann sowas eigentlich nur der Hersteller des VPN-Servers sagen.

[MacFlieger]

Der VPN-Server bietet Dir das nur wahlweise an? Mac OS X beherrscht "L2TP over IPSec" nach RFC 3193. Reines L2TP oder reines IPSec gehen möglicherweise nicht, aber das müsste man ausprobieren.

Nicht wahlweise. Ich kann alle diese drei Sachen einzeln ein-/ausschalten. Also muß ich IPSec und L2TP anschalten. OK.

Das hängt vom Schlüssel-Handling und von der Implementation ab. Wie erwähnt kann sowas eigentlich nur der Hersteller des VPN-Servers sagen.

OK, das werden wir dann später sehen. Dann gucke ich erstmal weiter und versuche das Handbuch vom Draytek Vigor 2500We näher zu verstehen.

[MacFlieger]

Dieses VPN bringt mich noch um den Verstand. Warum kann die Dokumentation nicht vernünftig sein?

OK, was ich probiert habe:
Der Vigor hat zwei IPs: 192.168.1.2 (Hauptnetz zum Router und andere Rechner) und 192.168.2.2 (zweites Subnetz).
Ein iBook direkt per Kabel angeschlossen mit IP 192.168.2.3.
ping zu 192.168.2.2 und 192.168.1.2 gehen problemlos, der Vigor ist also erreichbar.

Folgende Einstellungen im Vigor:

• IPSec und L2TP VPN Services beide aktiviert.
• PPP General Setup (braucht man das überhaupt?): Dial-In PPP Authentication (PAP or CHAP),  Dial-In PPP Encryption(MPPE) (Optional MPPE), Username (mark), Paßword (tt), IP Start Adress (192.168.1.200)
• VPN IKE / IPSec General Setup: IKE Authentication Method Pre-Shared Key (1234), IPSec Security Method (Medium AH und High ESP). Ohne Medium, was ja gewünscht ist, habe ich es auch probiert.
• Remote Access User Accounts: Allowed Dial-In Type (L2TP with IPSec Policy "None"),  Username (mark), Paßword (tt). Bei der IPSec Policy ist auch noch "Nice to have" und "Must" möglich, habe ich auch probiert.

Was mich stutzig macht: Sowohl in PPP General Setup als auch in Remote Access User Account muß ich einen Usernamen/Paßword festlegen. Wenn, wie ich vermute, PPP General Setup überflüssig ist, dann frage ich mich, welche lokale IP dem Remote User zugewiesen werden soll, da die nirgendwo eingestellt wird.

Einstellungen auf dem iBook (Panther) im Programm Internet-Verbindung:
Reiter VPN (L2TP über IPSec), Konfiguration bearbeiten: Server-Adresse (192.168.1.2), Account-Name (mark), Kennwort (tt), Schlüssel (1234)

Und wenn ich dann versuche zu verbinden, kommt immer lange Zeit nix und dann "cannot connect to server", auch im Verbindungs-Log nicht mehr.

Jemand Ideen, Hinweise, Tipps? Ich bin etwas ratlos.

Edit: Wenn ich PPTP verwende, funktioniert es zumindestens soweit, daß die Daten austauschen wollen, aber es bricht dann mit "timeout sending Config-Requests" ab.

[Patrick]

Sach doch gleich, daß es um einen Draytek geht. Die Dinger verwende ich laufend für VPN, allerdings meist von Router zu Router, aber auch mit dem OSX-eigenen Client geht's tadellos. Ich verwende aber meist PPTP, weil es mit IPSec und Vigor Probleme gab (noch gibt?). In den PPP-Einstellungen wird, wie Du schon richtig gesehen hast, die IP für den Remote vergeben, PPP/MP auf der linken Seite ist uninteressant. Unter "Einwahl aktivieren" muß natürlich das entsprechende Protokoll aktiviert sein. IPSec habe ich wie gesagt nicht verwendet, Externe Benutzer ist selbsterklärend. Das wichtigste aber: lokales und entferntes Netz dürfen nicht im gleichen Subnetz liegen, ansonsten funktioniert das Routing nicht.
Wenn Dein iBook also im 192.168.2.x liegt, dann darf der Router 192.168.1.x haben (bei Submask 255.255.255.0), aber niemals 192.168.2.x!
Mit ein wenig Logik und Verständnis für die Funktionsweise von Routern kommt man eigentlich von alleine drauf (ich kann jetzt grosse Töne spuken, an der Problematik bin ich auch damals tagelang verzweifelt).

[MacFlieger]

Sach doch gleich, daß es um einen Draytek geht.

OK, OK, nicht schlagen.

Ich verwende aber meist PPTP, weil es mit IPSec und Vigor Probleme gab (noch gibt?).

Ich hatte L2TP over IPSec jetzt bevorzugt, weil mbs schrieb: "wesentlich leistungsfähiger ... und verwendet längere Schlüssel"
Wie lange Schlüssel verwendet denn PPTP? Ich will ja meine Daten nicht offen transportieren.

Das wichtigste aber: lokales und entferntes Netz dürfen nicht im gleichen Subnetz liegen, ansonsten funktioniert das Routing nicht.
Wenn Dein iBook also im 192.168.2.x liegt, dann darf der Router 192.168.1.x haben (bei Submask 255.255.255.0), aber niemals 192.168.2.x!
Mit ein wenig Logik und Verständnis für die Funktionsweise von Routern kommt man eigentlich von alleine drauf (ich kann jetzt grosse Töne spuken, an der Problematik bin ich auch damals tagelang verzweifelt).

Hmm, der Vigor (Router-Funktionalität und DHCP ist aus!) hat 192.168.1.2 und 192.168.2.2. Beides mit 255.255.255.0 als Submask. Der VPN-Server scheint ja dann an 162.168.1.2 zu lauschen und ich hatte das mit der zweiten IP nur gedacht, damit ich das hier vor Ort testen kann. Wenn ich bei jeder kleinen Konfigurationsänderung erst wegfahren muß zum Testen ist das schon anstrengend.

[MacFlieger]

Ergänzung:

Verbindung über PPTP:
- Vigor hat 192.168.1.2 und 192.168.2.2, IP für Remote ist 192.168.1.200
- iBook hat 192.168.2.3, in den VPN-Einstellungen VPN-Server 192.168.2.2
Dann klappt es!
192.168.1.x ist praktisch das lokale Netz, was erreicht werden soll.
192.168.2.x für die VPN-Verbindung von (später mal) draußen.

Entsprechende Einstellungen für L2TP over IPSec:
Nix. "cannot connect to server" ARGH!

[MacFlieger]

Noch ein Nachtrag, weil ich beim Suchen im Netz drüber gestolpert bin.
Wenn denn alles funktioniert, dann soll der Vigor als VPN-Server hinter einem NATendem Router hängen (natürlich Ports entsprechend forwarded). Der Mac-Client wird dann hinter einem anderen NATendem Router hängen (mit anderen lokalen Netzadressen, ohne spezielles Forwarden von Ports). Ich habe gelesen, daß das für IPSec schon ein Problem sein kann, weil man dann "NAT-Traversal" oder so was braucht, was der Vigor angeblich nicht kann.

Vielleicht sollte ich doch bei PPTP bleiben. Wie sicher ist PPTP denn im Vergleich?

[MacFlieger]

Weiter nachgeforscht.
Laut Wikipedia mach IPSec Schwierigkeiten beim Schlüsselaustausch, wenn der Client hinter einem NATenden Router sitzt.
Laut Draytek darf weder Server noch Client hinter einem NATenden Router sitzen, wenn es mit dem Vigor funktionieren soll.
Wenn jetzt keiner mehr gegenteiliges behaupten kann, ist wohl L2TP over IPSec für mich gestorben. Schade.

Zu PPTP:
Der Vigor macht für Username/Paßwort jeweils max. 16 Zeichen. Wenn man beide mit zufälligen Zeichenkombinationen füllt sollte das doch ganz gut sein, oder?
Verschlüsselung kann ich auf 128Bit einstellen. Gut genug?
Laut Wikipedia:

Für die Kommunikation werden der Server Port 1723 (TCP) sowie das Protokoll 47 (GRE) verwendet.

Beides im Router vor dem Vigor forwarden, richtig?
Edit:
TCP-Port 1723 forwarden, kein Problem.
Sobald ich GRE zum forwarden einstelle, kann ich aber kein Protokoll 47 eintragen. Oder ist Protokoll 47=GRE? Wird das noch für was anderes benutzt, bzw. stört das dann irgendeinen anderen Rechner hier, wenn GRE zum Vigor forwardet wird?

[MacFlieger]

Tja, der Test mit dem PPTP lokal funktioniert, aber sobald ich das von "draußen" probiere, geht nix "Connecting to server..." -> Time out.

Meine Konfig nochmal zur Verdeutlichung:
NATender Router hat 192.168.1.1, leitet TCP-Port 1723 und GRE auf 192.168.1.2 weiter.
Vigor hat 192.168.1.2, die zu vergebenden IPs sind 192.168.1.200
Entfernter Rechner hängt direkt ohne NATenden Router am Internet.

Und jetzt?

[MacFlieger]

OK, ich habe weiter getestet.
Lokal funktioniert PPTP, von außen nicht. So wie ich das sehe, liegt es daran, daß die Fritzbox die Pakete von außen nicht zum Draytek weiterleitet. Wenn ich einen telnet auf Port 1723 mache, bekomme ich loakl eine Rückmeldung, von außen das gleiche nicht.

Jetzt habe ich erstmal einfach nur das Weiterleiten gestestet und das funktioniert nicht.
Folgende Konfiguration:
Fritzbox als NATender Router ohne DHCP hat 192.168.1.1.
An Fritzbox angeschlossener Draytek funktionierend als Switch hat 192.168.1.2
An Draytek angeschloßener iMac hat 192.168.1.3

Wenn ich in der Fritzbox Port 80 auf 192.168.1.3 weiterleiten lasse, dann kann ich von außen den dort laufenden Apache erreichen. Die Weiterleitung funktioniert also prinzipiell.
Wenn ich in der Fritzbox Port 80 auf 192.168.1.2 weiterleiten lasse, dann erreiche ich nicht die Web-Oberfläche des Draytek. Es kommt zu einem Time-Out. Ja, "Konfiguration übers Internet" ist beim Draytek für den Test aktiviert worden.

Ich habe den Eindruck, daß der Fritzbox gar nicht klar ist, daß es den Draytek gibt, sprich wohin er Pakete an 192.168.1.2 schicken soll. Könnte das der Grund sein? Unter "Bekannte LAN-Geräte" wird keines gelistet, noch nicht mal der iMac.
Ich kann zwar in der Fritzbox am statischen Routing drehen, aber was trage ich da ein? Es gibt Felder für "IP-Netzwerk", "Subnetzmaske" und "Gateway".

Langsam verzweifel ich an der Sache.

[Patrick]

Wenn ich das richtig verstanden habe, hängt der Draytek nur als Switch im Netz und routet nix zum iMac, richtig? Er hängt ganz normal im LAN ohne direkte Verbindung zum Internet? Hier dürfte vermutlich das Problem liegen. Kannst Du an der Fritzbox eine DMZ angeben? Route einfach alles mal testweise auf den Draytek, ich vermute, daß es dann klappt. Schau Dir auch bitte das syslog vom Draytek an, da sieht man allen ankommenden Traffic.

[MacFlieger]

Wenn ich das richtig verstanden habe, hängt der Draytek nur als Switch im Netz und routet nix zum iMac, richtig?

Richtig. An einem der 4 Ports des Draytek hängt die Fritzbox, an den anderen Ports andere Computer. Also reine Switch-Funktion.

Er hängt ganz normal im LAN ohne direkte Verbindung zum Internet?

Ja.

Hier dürfte vermutlich das Problem liegen.

Jein. Klar, es ist erstmal das Problem, daß er nicht selber der Router ist, aber das sollte ja problemlos durch eine Weiterleitung lösbar sein. Scheinbar leitet die Fritzbox aber Anfragen von außen nicht an den Draytek weiter.

Kannst Du an der Fritzbox eine DMZ angeben? Route einfach alles mal testweise auf den Draytek, ich vermute, daß es dann klappt.

Auch dann ist kein Zugriff auf die Weboberfläche möglich. Die Pakete verschwinden (time out).

Schau Dir auch bitte das syslog vom Draytek an, da sieht man allen ankommenden Traffic.

Funktioniert bei mir nicht. Das entsprechende Tool auf dem Mac liefert jede Sekunde eine Fehlermeldung.

Ich vermute, daß die Fritzbox nicht weiß, wohin sie Pakete an 192.168.1.2 schicken soll. Pakete an ein bestimmtes Gerät  werden doch von einem Router nicht an alle verfügbaren Schnittstellen gleichzeitig geschickt, sondern nur an den, an dem das entsprechende Gerät hängt, oder?
Woher soll die Fritzbox denn wissen, wohin sie die Pakete schicken soll. Zur Auswahl stehen doch 2 Ethernet-Ports, ein USB-Port und WLAN.
Irgendwo habe ich mal gelesen, daß sich ein Router oder Switch merkt, an welchem Port ein Gerät hängt und schickt Daten nur an den richtigen Port.