VPN einrichten

[Patrick]

Schau Dir auch bitte das syslog vom Draytek an, da sieht man allen ankommenden Traffic.

Funktioniert bei mir nicht. Das entsprechende Tool auf dem Mac liefert jede Sekunde eine Fehlermeldung.

Hast Du im Router und dem Tool auch einen Port >1024 verwendet? Ich nehme 19222, da klappt das wunderbar.

Pakete an ein bestimmtes Gerät  werden doch von einem Router nicht an alle verfügbaren Schnittstellen gleichzeitig geschickt, sondern nur an den, an dem das entsprechende Gerät hängt, oder?

Aus dem Grund haben ja alle Anschlüsse der Fritzbox unterschiedliche Subnetze. So kann der Traffic an den richtigen Port geleitet werden, da die Port-IP ja im gleichen Subnetz liegen muß. Wenn dem nicht so ist, würde ich das schleunigst korrigieren.

Irgendwo habe ich mal gelesen, daß sich ein Router oder Switch merkt, an welchem Port ein Gerät hängt und schickt Daten nur an den richtigen Port.

Ja, wobei ein Router das strengenommen nicht machen müsste, da er ja nur zwischen 2 Netzen "vermittelt". Bei Switchen ist es aber tatsächlich so, daß diese sich merken, welche MAC-Adresse an welchem Port hängt (SAT - Source Adress Table). Die Verbindung von MAC- zu IP-Adresse erfolgt dann über die ARP-Table (Adress Resolution Protocol).

[MacFlieger]

Hast Du im Router und dem Tool auch einen Port >1024 verwendet? Ich nehme 19222, da klappt das wunderbar.

Ja, habe ich.

Pakete an ein bestimmtes Gerät  werden doch von einem Router nicht an alle verfügbaren Schnittstellen gleichzeitig geschickt, sondern nur an den, an dem das entsprechende Gerät hängt, oder?

Aus dem Grund haben ja alle Anschlüsse der Fritzbox unterschiedliche Subnetze. So kann der Traffic an den richtigen Port geleitet werden, da die Port-IP ja im gleichen Subnetz liegen muß. Wenn dem nicht so ist, würde ich das schleunigst korrigieren.

Äh nein. In der Normalkonfiguration benutzen die alle das gleiche Subnetz und das funktioniert eigentlich problemlos. Man muß ja auch nicht bei dem Draytek, wenn der alleine als Router arbeitet, für jeden der 4 Netzwerk-Ports ein eigenes Sub-Netz haben.

Irgendwo habe ich mal gelesen, daß sich ein Router oder Switch merkt, an welchem Port ein Gerät hängt und schickt Daten nur an den richtigen Port.

Ja, wobei ein Router das strengenommen nicht machen müsste, da er ja nur zwischen 2 Netzen "vermittelt". Bei Switchen ist es aber tatsächlich so, daß diese sich merken, welche MAC-Adresse an welchem Port hängt (SAT - Source Adress Table). Die Verbindung von MAC- zu IP-Adresse erfolgt dann über die ARP-Table (Adress Resolution Protocol).

Da fällt mir ein, daß zwischen Fritzbox und Draytek noch ein normaler Switch hängt. Könnte das ein Problem sein?

[Patrick]

[Äh nein. In der Normalkonfiguration benutzen die alle das gleiche Subnetz und das funktioniert eigentlich problemlos. Man muß ja auch nicht bei dem Draytek, wenn der alleine als Router arbeitet, für jeden der 4 Netzwerk-Ports ein eigenes Sub-Netz haben.

Moment, da würfelst Du etwas durcheinander. Der Switch des Draytek ist im Prinzip ein eigenständiges Gerät, das nur ins Gehäuse mit reingebaut wurde. Man kann daran gar nichts konfigurieren. Bei der Fritzbox ist das anders, da kann man den LAN-Ports explizit eigene Adressen zuweisen, ebenso den anderen Ports. Wenn alle Ports im gleichen Subnetz sind, muß es zu Problemen kommen, es sei denn, die Ports schliessen sich gegenseitig aus. Tun sie aber nicht, daher kann der Router gar nicht wissen, wohin er ankommende Pakete von aussen weiterleiten soll.

Und: laut AVM haben die Schnittstellen werksseitig sehr wohl unterschiedliche Subnetze:
LAN-A 192.168.181.1
LAN-B 192.168.178.1
USB    192.168.179.1
WLAN 192.168.182.1

Bitte prüfe die Porteinstellungen.

[MacFlieger]

Wenn alle Ports im gleichen Subnetz sind, muß es zu Problemen kommen, es sei denn, die Ports schliessen sich gegenseitig aus. Tun sie aber nicht, daher kann der Router gar nicht wissen, wohin er ankommende Pakete von aussen weiterleiten soll.

Eben, darauf will ich ja hinaus. Woher soll er wissen, wo er 192.168.1.2 finden soll. Wobei er 192.168.1.3 problemlos findet.

Und: laut AVM haben die Schnittstellen werksseitig sehr wohl unterschiedliche Subnetze:
LAN-A 192.168.181.1
LAN-B 192.168.178.1
USB    192.168.179.1
WLAN 192.168.182.1

Äh ja, stimmt. Ich habe die Option "Alle liegen im gleichen Subnetz" aktiviert. Sonst funktioniert es doch nicht mit iTunes-/iPhoto-Sharing, oder?
Nichtsdestotrotz nutze ich nur LAN-A und WLAN. An LAN-B und USB ist nix angeschlossen.
Und der Datenverkehr zwischen allen Geräten (insgesamt 5 Rechner an LAN-A und 2 an WLAN) funktioniert problemlos.

[Patrick]

Nichtsdestotrotz nutze ich nur LAN-A und WLAN.

Da geht's ja auch, weil die Fritzbox hier als Bridge funktioniert. Und daß die Geräte untereinander können ist auch nicht weiter verwunderlich, da hier der Router ja aussen vor ist.

Hmm, ich kenn die Fritzbox leider zu wenig, aber hier nochwas aus der aktuellen c't (sinngemäß):

"Für den Datentransport verwendet PPTP jedoch nicht TCP oder UDP, sondern das exotischere IP-Protokoll GRE (Generic Routing Encapsulation). Nur wenige Geräte können dieses Protokoll für eintreffende PPTP-Verbindungen an den VPN-Server im lokalen Netz vermitteln (nach Innen!)."

Solange die Fritzbox GRE nicht routet, klappt's nicht.

[MacFlieger]

Nichtsdestotrotz nutze ich nur LAN-A und WLAN.

Da geht's ja auch, weil die Fritzbox hier als Bridge funktioniert. Und daß die Geräte untereinander können ist auch nicht weiter verwunderlich, da hier der Router ja aussen vor ist.

Jein, denn auch zwischen Rechnern an LAN-A und Rechnern an WLAN klappt es ja. Aber kann sein, daß ich das auch wieder falsch verstehe.
Aber s.u., das kann eigentlich nicht das eigentliche Problem sein.

"Für den Datentransport verwendet PPTP jedoch nicht TCP oder UDP, sondern das exotischere IP-Protokoll GRE (Generic Routing Encapsulation). Nur wenige Geräte können dieses Protokoll für eintreffende PPTP-Verbindungen an den VPN-Server im lokalen Netz vermitteln (nach Innen!)."

Solange die Fritzbox GRE nicht routet, klappt's nicht.

Bei der Fritzbox kann man auch GRE weiterleiten, ja, aber VPN testen tue ich ja aktuell gar nicht, denn da kommen da ja schon mehrere potentielle Fehlerquellen zusammen.
Aktuell versuche ich nur irgendwas von außen an den Draytek durchzureichen, denn nicht erst die VPN-Verbindung macht Zicken, sondern die Verbindungsaufnahme über TCP 1723 funktioniert schon nicht.
Nochmal:
Weiterleitung von Port 80 an 192.168.1.3 (iMac hinter Draytek) funktioniert.
Weiterleitung von Port 80 an 192.169.1.2 (Draytek) funktoniert nicht.

[Patrick]

An welchem Port ist der Draytek mit der Fritzbox verbunden?

[MacFlieger]

An welchem Port ist der Draytek mit der Fritzbox verbunden?

- Fritzbox LAN-A führt zu einem Switch. (Lan-B und USB sind nicht belegt)
- Ein anderer Anschluß des Switch führt zu Port 1 des Draytek.
- Port 2 des Dryetek führt zum iMac