An welchem Port ist der Draytek mit der Fritzbox verbunden?

- Fritzbox LAN-A führt zu einem Switch. (Lan-B und USB sind nicht belegt)
- Ein anderer Anschluß des Switch führt zu Port 1 des Draytek.
- Port 2 des Dryetek führt zum iMac

Zitat von: MacFlieger am März 30, 2006, 15:06:28

Nichtsdestotrotz nutze ich nur LAN-A und WLAN.

Da geht's ja auch, weil die Fritzbox hier als Bridge funktioniert. Und daß die Geräte untereinander können ist auch nicht weiter verwunderlich, da hier der Router ja aussen vor ist.

Jein, denn auch zwischen Rechnern an LAN-A und Rechnern an WLAN klappt es ja. Aber kann sein, daß ich das auch wieder falsch verstehe.
Aber s.u., das kann eigentlich nicht das eigentliche Problem sein.

"Für den Datentransport verwendet PPTP jedoch nicht TCP oder UDP, sondern das exotischere IP-Protokoll GRE (Generic Routing Encapsulation). Nur wenige Geräte können dieses Protokoll für eintreffende PPTP-Verbindungen an den VPN-Server im lokalen Netz vermitteln (nach Innen!)."

Solange die Fritzbox GRE nicht routet, klappt's nicht.

Bei der Fritzbox kann man auch GRE weiterleiten, ja, aber VPN testen tue ich ja aktuell gar nicht, denn da kommen da ja schon mehrere potentielle Fehlerquellen zusammen.
Aktuell versuche ich nur irgendwas von außen an den Draytek durchzureichen, denn nicht erst die VPN-Verbindung macht Zicken, sondern die Verbindungsaufnahme über TCP 1723 funktioniert schon nicht.
Nochmal:
Weiterleitung von Port 80 an 192.168.1.3 (iMac hinter Draytek) funktioniert.
Weiterleitung von Port 80 an 192.169.1.2 (Draytek) funktoniert nicht.

Wenn alle Ports im gleichen Subnetz sind, muß es zu Problemen kommen, es sei denn, die Ports schliessen sich gegenseitig aus. Tun sie aber nicht, daher kann der Router gar nicht wissen, wohin er ankommende Pakete von aussen weiterleiten soll.

Eben, darauf will ich ja hinaus. Woher soll er wissen, wo er 192.168.1.2 finden soll. Wobei er 192.168.1.3 problemlos findet.

Und: laut AVM haben die Schnittstellen werksseitig sehr wohl unterschiedliche Subnetze:
LAN-A 192.168.181.1
LAN-B 192.168.178.1
USB    192.168.179.1
WLAN 192.168.182.1

Äh ja, stimmt. Ich habe die Option "Alle liegen im gleichen Subnetz" aktiviert. Sonst funktioniert es doch nicht mit iTunes-/iPhoto-Sharing, oder?
Nichtsdestotrotz nutze ich nur LAN-A und WLAN. An LAN-B und USB ist nix angeschlossen.
Und der Datenverkehr zwischen allen Geräten (insgesamt 5 Rechner an LAN-A und 2 an WLAN) funktioniert problemlos.

Hast Du im Router und dem Tool auch einen Port >1024 verwendet? Ich nehme 19222, da klappt das wunderbar.

Ja, habe ich.

Zitat

Pakete an ein bestimmtes Gerät  werden doch von einem Router nicht an alle verfügbaren Schnittstellen gleichzeitig geschickt, sondern nur an den, an dem das entsprechende Gerät hängt, oder?

Aus dem Grund haben ja alle Anschlüsse der Fritzbox unterschiedliche Subnetze. So kann der Traffic an den richtigen Port geleitet werden, da die Port-IP ja im gleichen Subnetz liegen muß. Wenn dem nicht so ist, würde ich das schleunigst korrigieren.

Äh nein. In der Normalkonfiguration benutzen die alle das gleiche Subnetz und das funktioniert eigentlich problemlos. Man muß ja auch nicht bei dem Draytek, wenn der alleine als Router arbeitet, für jeden der 4 Netzwerk-Ports ein eigenes Sub-Netz haben.

Zitat

Irgendwo habe ich mal gelesen, daß sich ein Router oder Switch merkt, an welchem Port ein Gerät hängt und schickt Daten nur an den richtigen Port.

Ja, wobei ein Router das strengenommen nicht machen müsste, da er ja nur zwischen 2 Netzen "vermittelt". Bei Switchen ist es aber tatsächlich so, daß diese sich merken, welche MAC-Adresse an welchem Port hängt (SAT - Source Adress Table). Die Verbindung von MAC- zu IP-Adresse erfolgt dann über die ARP-Table (Adress Resolution Protocol).

Da fällt mir ein, daß zwischen Fritzbox und Draytek noch ein normaler Switch hängt. Könnte das ein Problem sein?

Wenn ich das richtig verstanden habe, hängt der Draytek nur als Switch im Netz und routet nix zum iMac, richtig?

Richtig. An einem der 4 Ports des Draytek hängt die Fritzbox, an den anderen Ports andere Computer. Also reine Switch-Funktion.

Er hängt ganz normal im LAN ohne direkte Verbindung zum Internet?

Ja.

Hier dürfte vermutlich das Problem liegen.

Jein. Klar, es ist erstmal das Problem, daß er nicht selber der Router ist, aber das sollte ja problemlos durch eine Weiterleitung lösbar sein. Scheinbar leitet die Fritzbox aber Anfragen von außen nicht an den Draytek weiter.

Kannst Du an der Fritzbox eine DMZ angeben? Route einfach alles mal testweise auf den Draytek, ich vermute, daß es dann klappt.

Auch dann ist kein Zugriff auf die Weboberfläche möglich. Die Pakete verschwinden (time out).

Schau Dir auch bitte das syslog vom Draytek an, da sieht man allen ankommenden Traffic.

Funktioniert bei mir nicht. Das entsprechende Tool auf dem Mac liefert jede Sekunde eine Fehlermeldung.

Ich vermute, daß die Fritzbox nicht weiß, wohin sie Pakete an 192.168.1.2 schicken soll. Pakete an ein bestimmtes Gerät  werden doch von einem Router nicht an alle verfügbaren Schnittstellen gleichzeitig geschickt, sondern nur an den, an dem das entsprechende Gerät hängt, oder?
Woher soll die Fritzbox denn wissen, wohin sie die Pakete schicken soll. Zur Auswahl stehen doch 2 Ethernet-Ports, ein USB-Port und WLAN.
Irgendwo habe ich mal gelesen, daß sich ein Router oder Switch merkt, an welchem Port ein Gerät hängt und schickt Daten nur an den richtigen Port.

OK, ich habe weiter getestet.
Lokal funktioniert PPTP, von außen nicht. So wie ich das sehe, liegt es daran, daß die Fritzbox die Pakete von außen nicht zum Draytek weiterleitet. Wenn ich einen telnet auf Port 1723 mache, bekomme ich loakl eine Rückmeldung, von außen das gleiche nicht.

Jetzt habe ich erstmal einfach nur das Weiterleiten gestestet und das funktioniert nicht.
Folgende Konfiguration:
Fritzbox als NATender Router ohne DHCP hat 192.168.1.1.
An Fritzbox angeschlossener Draytek funktionierend als Switch hat 192.168.1.2
An Draytek angeschloßener iMac hat 192.168.1.3

Wenn ich in der Fritzbox Port 80 auf 192.168.1.3 weiterleiten lasse, dann kann ich von außen den dort laufenden Apache erreichen. Die Weiterleitung funktioniert also prinzipiell.
Wenn ich in der Fritzbox Port 80 auf 192.168.1.2 weiterleiten lasse, dann erreiche ich nicht die Web-Oberfläche des Draytek. Es kommt zu einem Time-Out. Ja, "Konfiguration übers Internet" ist beim Draytek für den Test aktiviert worden.

Ich habe den Eindruck, daß der Fritzbox gar nicht klar ist, daß es den Draytek gibt, sprich wohin er Pakete an 192.168.1.2 schicken soll. Könnte das der Grund sein? Unter "Bekannte LAN-Geräte" wird keines gelistet, noch nicht mal der iMac.
Ich kann zwar in der Fritzbox am statischen Routing drehen, aber was trage ich da ein? Es gibt Felder für "IP-Netzwerk", "Subnetzmaske" und "Gateway".

Langsam verzweifel ich an der Sache.

Weiter nachgeforscht.
Laut Wikipedia mach IPSec Schwierigkeiten beim Schlüsselaustausch, wenn der Client hinter einem NATenden Router sitzt.
Laut Draytek darf weder Server noch Client hinter einem NATenden Router sitzen, wenn es mit dem Vigor funktionieren soll.
Wenn jetzt keiner mehr gegenteiliges behaupten kann, ist wohl L2TP over IPSec für mich gestorben. Schade.

Zu PPTP:
Der Vigor macht für Username/Paßwort jeweils max. 16 Zeichen. Wenn man beide mit zufälligen Zeichenkombinationen füllt sollte das doch ganz gut sein, oder?
Verschlüsselung kann ich auf 128Bit einstellen. Gut genug?
Laut Wikipedia:

Für die Kommunikation werden der Server Port 1723 (TCP) sowie das Protokoll 47 (GRE) verwendet.

Beides im Router vor dem Vigor forwarden, richtig?
Edit:
TCP-Port 1723 forwarden, kein Problem.
Sobald ich GRE zum forwarden einstelle, kann ich aber kein Protokoll 47 eintragen. Oder ist Protokoll 47=GRE? Wird das noch für was anderes benutzt, bzw. stört das dann irgendeinen anderen Rechner hier, wenn GRE zum Vigor forwardet wird?

Ergänzung:

Verbindung über PPTP:
- Vigor hat 192.168.1.2 und 192.168.2.2, IP für Remote ist 192.168.1.200
- iBook hat 192.168.2.3, in den VPN-Einstellungen VPN-Server 192.168.2.2
Dann klappt es!
192.168.1.x ist praktisch das lokale Netz, was erreicht werden soll.
192.168.2.x für die VPN-Verbindung von (später mal) draußen.

Entsprechende Einstellungen für L2TP over IPSec:
Nix. "cannot connect to server" ARGH!