Apfelinsel
Mac-Software => Thema gestartet von: MacFlieger am Dezember 02, 2005, 15:22:32
-
Hiho!
Wie ihr ja wißt, möchte ich mir gerne VPN einrichten. Hatte vor längerer Zeit schonmal danach gefragt, aber noch keine Zeit gehabt.
Jetzt würde ich das gerne fortsetzen. Zunächst habe ich aber noch ein paar Fragen, ob ich es richtig verstanden habe.
Grundidee:
- zu Hause ein LAN mit einem NATendem Router, IPs 10.0.20.x und einem VPN-Server (im Router)
- unterwegs ist der Computer entweder direkt im Internet oder über ebenfalls ein LAN (z.B. mit IPs 10.0.0.x)
- gedacht ist, daß der Computer unterwegs auf die Rechner zu Hause zugreifen kann.
Der Unterwegs-Computer hat zunächst einmal die fremde IP, entweder bezogen vom Provider oder eine IP aus dem fremden LAN. Für den Zugriff auf das Internet wird zunächst diese IP verwendet. Nun verbindet sich der Unterwegs-Computer mit dieser IP übers Internet mit dem VPN-Server zu Hause und bekommt für die verschlüsselte Verbindung eine eigene IP (10.0.20.x). In der Systemeinstellung Netzwerk sind nun zwei Schnittstellen. Einmal diejenige, mit der Internetverbindung gemacht wird (z.B. Ethernet oder Modem), und die VPN-Verbindung. Soweit so gut.
Fragen:
1. Ist es richtig, daß nun alle Zugriffe auf IPs 10.0.20.x verschlüsselt per VPN erfolgen?
2. Ist es richtig, daß Zugriffe auf alle anderen IPs, d.h. Internet oder anderes lokales Netzwerk 10.0.0.x, unverschlüsselt über die normale Schnittstelle gehen?
Tschö, MacFlieger.
-
1. Ist es richtig, daß nun alle Zugriffe auf IPs 10.0.20.x verschlüsselt per VPN erfolgen?
Ja.
2. Ist es richtig, daß Zugriffe auf alle anderen IPs, d.h. Internet oder anderes lokales Netzwerk 10.0.0.x, unverschlüsselt über die normale Schnittstelle gehen?
Grundsätzlich ja. Du kannst aber das Routing so einstellen, daß sämtlicher externer Traffic über die VPN-Verbindung läuft. Ist halt durch die Verschlüsselung entsprechend langsamer (zumal die ja auch noch per Software geschieht).
-
2. Ist es richtig, daß Zugriffe auf alle anderen IPs, d.h. Internet oder anderes lokales Netzwerk 10.0.0.x, unverschlüsselt über die normale Schnittstelle gehen?
Grundsätzlich ja. Du kannst aber das Routing so einstellen, daß sämtlicher externer Traffic über die VPN-Verbindung läuft. Ist halt durch die Verschlüsselung entsprechend langsamer (zumal die ja auch noch per Software geschieht).
OK, d.h. Standardeinstellung ist bei OS X, so wie ich geschrieben habe, richtig? das wäre genau das, was ich haben wollte. Wo müßte ich denn was ändern, wenn ich den kompletten externen Traffic über VPN haben wollte?
-
Wo müßte ich denn was ändern, wenn ich den kompletten externen Traffic über VPN haben wollte?
Die Frage hat sich bei mir nie gestellt, da ich immer Router zu Router verbinde und nicht den OSX-VPN-Client nehme. Dort mach ich einfach nen Haken, und gut ist's. Unter OS X sollte es mit route im Terminal gehen, der Syntax wäre mir jetzt allerdings nicht geläufig...
-
OK, geht also nicht so einfach. Ist aber auch nicht schlimm, da ich das ja nicht anders als wie beschrieben nutzen will. ;)
Nächste Frage:
Was passiert denn, wenn das fremde LAN, in dem mein Unterwegs-Computer hängt, den gleichen IP-Raum verwendet wie mein Heimnetzwerk? D.h. zu Hause habe ich 10.0.20.x und das fremde LAN hat ebenfalls 10.0.20.x. Funktioniert das dann gar nicht oder ist nach Aufbau der VPN-Verbindung nur das entfernte Netz über VPN erreichbar, nicht aber mehr das lokale Netz bzw. das Internet über das lokale Netz?
-
Das war einer meiner Anfangsfehler, danach hab ich mich dann auf www.afp548.com schlau gemacht :)
Der Client baut zwar die Verbindung auf, aber man wird nie etwas vom anderen Netz sehen.
-
;D ;D
Weil ich mir schon ein solches Problem gedacht habe, habe ich für mein lokales zu Hause-Netz nicht eine der üblichen IP-Bereiche genommen. Natürlich trotzdem eines, was für LANs gedacht ist. :)
OK OK, was gibt es denn auf der von Dir angegebenen Seite? ich habe gerade mal angeklickt, aber da kommen zunächst Infos zu dem letzten Sicherheitsupdates. Gibts da auch Seiten wie unsere BHBs? Dann schau ich mal genauer.
-
afp548 (wie der Name als Anspielung auf Port 548 für afp schon andeutet) beschäftigt sich hauptsächlich um OS X als Server, noch nicht mal so sehr die OS X Server Version ansich, sondern wie man entsprechende Dienste unter OS X konfiguriert. Vor einigen Jahren gab's da mal (noch unter Jaguar) eine Anleitung, wie man einen VPN-Client/Server-System aufbaut. Damals war diese Geschichte für mcih sehr hilfreich.
-
Nochmal zurück zum Routing-Problem.
In dem Artikel (http://www.afp548.com/article.php?story=20041109112736862) wird beschrieben, daß bei Einsatz eines 10.3 OS X Servers mit VPN eben doch der komplette Netzwerkverkehr des angemeldeten Clients über VPN läuft. Als Lösung wird beschrieben, die Konfiguration des Servers zu verändern.
D.h. für mich, daß auch der VPN-Server anscheinend eine Einfluß auf das anschließend verwendete Routing hat, richtig?
Ich will zwar einen anderen VPN-Server einrichten, aber das müßte ich dann ja evtl. auch berücksichtigen.
In einem anderen Artikel wird erwähnt, daß der OS X VPN Client seit Tiger eine zusätzliche Checkbox hat (VPN als Standardgateway benutzen), d.h. wenn man das Häkchen wegmacht, wird eben nicht der komplette Netzwerkverkehr über VPN geschickt. So will ich es ja. Nur für Panther gibt es das Häkchen nicht.
So wie ich es sehe, schlägt der Server ein Routing vor, daß der Client übernehmen kann, und zumindestens einige Clients haben auch die Möglichkeit ein eigenes Routing zu bevorzugen.
Noch andere Meinungen dazu?
-
Ich krame den Thread noch mal rauf.
Keiner sonst eine Ahnung?
-
Das kann man nicht so einfach beantworten, denn das hängt vom VPN-Einwahlserver (also hier vom Router) ab.
Generell ist richtig, was Du sagst: Bei einer VPN-Verbindung ist es möglich, dass der Einwahlserver dem Client mitteilt, welche Routen er zu setzen hat. Im Prinzip ist das eine Liste von Teilnetzadressen, die dem Client sagt, welche Adressen er als "ins VPN zu schicken" ansieht (das sind dann die privaten, verschlüsselten Daten), und welche Adressen er als "über die Default Route zu schicken" behandelt (das sind dann die öffentlichen, unverschlüsselten Daten).
Beispiel:
10.0.0.0/255.0.0.0 --> privat, ins VPN
192.168.1.0/255.255.255.0 --> öffentlich, ins eigene LAN
Bei manchen Konfigurationen muss man eventuell auch noch ein
0.0.0.0/0.0.0.0 --> der ganze Rest ist öffentlich
einfügen.
-
Beispiel:
10.0.0.0/255.0.0.0 --> privat, ins VPN
192.168.1.0/255.255.255.0 --> öffentlich, ins eigene LAN
Bei manchen Konfigurationen muss man eventuell auch noch ein
0.0.0.0/0.0.0.0 --> der ganze Rest ist öffentlich
einfügen.
OK, noch eine Nachfrage zu obigen Beispielen und zwar zu den Teilnetzmasken. Die habe ich bisher immer nur für ein lokales Netzwerk selber setzen müssen und da war immer 255.255.255.0 richtig.
Nur damit ich die Funktion der Netzmaske richtig verstehe, hier meine Theorie:
Die Maske in Kombination mit der IP soll angeben, welche anderen IPs auch gemeint sind. Betrachtet man nur eine der vier Zahlen, dann gilt: eine 0 für ein Bit in der Maske bedeutet, das entsprechende Bit in der IP ist beliebig, eine 1 für ein Bit in der Maske bedeutet, das entsprechende Bit in der IP muß so erhalten bleiben. Das würde zu folgenden Beispielen führen (jeweils eine korrespondierende Zahl aus der IP und der Maske):
67/255 -> nur 67 gültig.
67/0 -> 0-255 gültig.
67/128 -> 0-127 gültig.
67/192 -> 64-127 gültig.
Richtig?
Wenn ja, können wir uns weiter VPN widmen. Heute nachmittag verkabel ich etwas anders, dann kann es losgehen. ;)
-
Richtig?
Ja, fast richtig. :D Es stimmt, nur mit dem Begriff "gültig" bin ich nicht ganz einverstanden.
Im Normalfall schickt man seine Datenpakete ja an einen einzelnen Rechner. Dann reicht es, eine einzelne IP-Adresse anzugeben. In anderen Fällen, z.B. im Routing, will man aber eine Formulierungsmöglichkeit haben, eine ganze Gruppe von Adressen in einer Schreibweise zusammenzufassen. Hierzu gibt es eben die Teilnetz-Adressen, so dass man sagen kann, "ich meine jetzt alle fortlaufenden IP-Adressen in diesem ganzen Unternetz".
Teilnetzadressen bestehen aus einer IP-Adresse, die binär gesehen von rechts her mit Nullen gefüllt ist, und einer Netzmaske, die binär von links her mit Einsen gefüllt ist. Beispiel: 192.168.1.0, Maske 255.255.255.0. Es gibt noch eine alternative Art, die Maske zu schreiben, nämlich indem man die "Anzahl der Einsen" hinschreibt. Das wird "CIDR-Schreibweise" (Classless Internet Domain Routing) genannt. Hier in diesem Fall: 192.168.1.0/24, weil 255.255.255.0 binär hingeschrieben aus 24 Einsen und 8 Nullen besteht.
Nun zur eigentlichen Frage: Der Teil der durch die Einsen maskiert ist, gilt als "Adresse des Teilnetzes" und der Teil, der durch Nullen maskiert ist, sind die fortlaufenden Adressen innerhalb dieser Teilnetze. "Gültig" sind aber alle Adressen!
Beispiel: 192.168.40.0/255.255.255.0 heißt:
Man meint alle fortlaufenden IP-Adressen im Bereich 192.168.40.1 bis 192.168.40.254.
Wie Du siehst, habe ich die erste ("0") und die letzte Zahl ("255") im fortlaufenden Bereich weggelassen. Diese haben nämlich Sonderbedeutungen. "0" ist die symbolische Schreibweise für eben dieses ganze Teilnetz, hier also das Netz 192.168.40, und "255" ist die Adresse für eine Teilnetz-Rundsendenachricht (Broadcast), also hier 192.168.40.255 für eine Nachricht an alle Rechner in diesem Teilnetz.
Weiteres Beispiel: 192.168.67.0/255.255.128.0
Dies bedeutet, dass 2 (!) Teilnetze vorliegen, nämlich eins mit den Adressen 192.168.67.1 bis 192.168.67.126 und noch eins mit den Adressen 192.168.67.129 bis 192.168.67.254.
Weiteres Beispiel: 192.168.67.0/255.255.192.0
Hier liegen jetzt 4 Teilnetze mit den Adressen 192.168.67.1 bis 192.168.67.62, 192.168.67.65 bis 192.168.67.126, 192.168.67.129 bis 192.168.67.191 und 192.168.67.193 bis 192.168.67.254 vor.
Diese 4 Teilnetze sind voneinander getrennt. Das heißt, zwei Teilnehmer innerhalb eines Netzes können sich direkt erreichen, zwei Teilnehmer in verschiedenen Netzen können sich zwar noch gegenseitig adressieren, brauchen aber einen vermittelnden Dritten (Router/Weiterleiter), damit die Datenpakete die "Grenze" überqueren können.
-
Weiteres Beispiel: 192.168.67.0/255.255.128.0
Dies bedeutet, dass 2 (!) Teilnetze vorliegen, nämlich eins mit den Adressen 192.168.67.1 bis 192.168.67.126 und noch eins mit den Adressen 192.168.67.129 bis 192.168.67.254.
Also wenn ich jetzt nicht ganz falsch liege, meinst Du doch die Subnetzmaske 255.255.255.128, also 7 und nicht 9 Bit für die Host-ID.
-
Also wenn ich jetzt nicht ganz falsch liege, meinst Du doch die Subnetzmaske 255.255.255.128
Oops, sorry. Du hast Recht, es sollte eigentlich 192.168.67.0/255.255.255.128 und 192.168.67.0/255.255.255.192 in den Beispielen heißen. :-[
-
OK, wieder einen Schritt weiter bei der Einrichtung. ;)
Jetzt gibt es drei verschiedene Arten: PPTP, IPSec und L2TP
Wenn ich danach im Netz suche, dann finde ich zwar ein paar Erklärungen, womit man es da zu tun hat, aber was ich dabei noch nicht rausgekriegt habe:
- Welches dieser drei Protokolle arbeitet am besten mit Tiger und Panther out of the box zusammen?
- Wen mehrere in Frage kommen, welches Protokoll sollte man nehmen?
- Da der VPN-Server bei mir nicht der NATende Router ist, sondern im LAN steht, welche Ports muß ich im NATenden Router weiterleiten?
-
Es gibt drei Protokolle, aber zwei Alternativen. Panther und Tiger beherrschen beide. :)
PPTP ist eine Entwicklung von Microsoft und daher das VPN-Standardprotokoll bei Windows. Funktioniert aber auch mit Mac OS X.
"L2TP over IPSec" ist eine Kombination des offenen "IP Security", PPTP (siehe oben) und "Layer-2-Forwarding" (eine Entwicklung von Cisco Systems). Es gilt als wesentlich leistungsfähiger, lässt mehr Authentifizierungsmechanismen zu und verwendet längere Schlüssel. Ab Panther wird es von Mac OS X unterstützt und gilt daher als bessere Wahl.
Da der VPN-Server bei mir nicht der NATende Router ist, sondern im LAN steht, welche Ports muß ich im NATenden Router weiterleiten?
Hm, das ist knifflig. Soweit ich weiß, braucht man für diesen Fall die folgenden Ports:
UDP Port 500: für VPN ISAKMP/IKE
UDP Port 1701: für VPN L2TP
UDP Port 4500: für IKE NAT Traversal
Genaueres sollte aber das Handbuch des VPN-Servers sagen.
-
"L2TP over IPSec" ist eine Kombination des offenen "IP Security", PPTP (siehe oben) und "Layer-2-Forwarding" (eine Entwicklung von Cisco Systems). Es gilt als wesentlich leistungsfähiger, lässt mehr Authentifizierungsmechanismen zu und verwendet längere Schlüssel. Ab Panther wird es von Mac OS X unterstützt und gilt daher als bessere Wahl.
OK, was aktiviere ich denn dann? L2TP oder IPSec? Das ist ja, was mich verwirrt. Ich habe da 3 Möglichkeiten, aber beschrieben werden immer nur diese Kombinationen.
Hm, das ist knifflig. Soweit ich weiß, braucht man für diesen Fall die folgenden Ports:
UDP Port 500: für VPN ISAKMP/IKE
UDP Port 1701: für VPN L2TP
UDP Port 4500: für IKE NAT Traversal
Genaueres sollte aber das Handbuch des VPN-Servers sagen.
Tja, Handbuch. Sowas vernünftiges scheint es ja nicht mehr zu geben. Immer nur diese Kurzanleitungen, die eigentlich nix taugen. :(
Für das vorgeschlagene L2TP over IPSec brauche ich alle 3 Ports oder nur den zweiten?
-
OK, was aktiviere ich denn dann? L2TP oder IPSec? Das ist ja, was mich verwirrt. Ich habe da 3 Möglichkeiten, aber beschrieben werden immer nur diese Kombinationen.
Der VPN-Server bietet Dir das nur wahlweise an? Mac OS X beherrscht "L2TP over IPSec" nach RFC 3193. Reines L2TP oder reines IPSec gehen möglicherweise nicht, aber das müsste man ausprobieren.
Für das vorgeschlagene L2TP over IPSec brauche ich alle 3 Ports oder nur den zweiten?
Das hängt vom Schlüssel-Handling und von der Implementation ab. Wie erwähnt kann sowas eigentlich nur der Hersteller des VPN-Servers sagen.
-
Der VPN-Server bietet Dir das nur wahlweise an? Mac OS X beherrscht "L2TP over IPSec" nach RFC 3193. Reines L2TP oder reines IPSec gehen möglicherweise nicht, aber das müsste man ausprobieren.
Nicht wahlweise. Ich kann alle diese drei Sachen einzeln ein-/ausschalten. Also muß ich IPSec und L2TP anschalten. OK.
Das hängt vom Schlüssel-Handling und von der Implementation ab. Wie erwähnt kann sowas eigentlich nur der Hersteller des VPN-Servers sagen.
OK, das werden wir dann später sehen. Dann gucke ich erstmal weiter und versuche das Handbuch vom Draytek Vigor 2500We näher zu verstehen. ;)
-
Dieses VPN bringt mich noch um den Verstand. Warum kann die Dokumentation nicht vernünftig sein?
OK, was ich probiert habe:
Der Vigor hat zwei IPs: 192.168.1.2 (Hauptnetz zum Router und andere Rechner) und 192.168.2.2 (zweites Subnetz).
Ein iBook direkt per Kabel angeschlossen mit IP 192.168.2.3.
ping zu 192.168.2.2 und 192.168.1.2 gehen problemlos, der Vigor ist also erreichbar.
Folgende Einstellungen im Vigor:
- IPSec und L2TP VPN Services beide aktiviert.
- PPP General Setup (braucht man das überhaupt?): Dial-In PPP Authentication (PAP or CHAP), Dial-In PPP Encryption(MPPE) (Optional MPPE), Username (mark), Paßword (tt), IP Start Adress (192.168.1.200)
- VPN IKE / IPSec General Setup: IKE Authentication Method Pre-Shared Key (1234), IPSec Security Method (Medium AH und High ESP). Ohne Medium, was ja gewünscht ist, habe ich es auch probiert.
- Remote Access User Accounts: Allowed Dial-In Type (L2TP with IPSec Policy "None"), Username (mark), Paßword (tt). Bei der IPSec Policy ist auch noch "Nice to have" und "Must" möglich, habe ich auch probiert.
Was mich stutzig macht: Sowohl in PPP General Setup als auch in Remote Access User Account muß ich einen Usernamen/Paßword festlegen. Wenn, wie ich vermute, PPP General Setup überflüssig ist, dann frage ich mich, welche lokale IP dem Remote User zugewiesen werden soll, da die nirgendwo eingestellt wird.
Einstellungen auf dem iBook (Panther) im Programm Internet-Verbindung:
Reiter VPN (L2TP über IPSec), Konfiguration bearbeiten: Server-Adresse (192.168.1.2), Account-Name (mark), Kennwort (tt), Schlüssel (1234)
Und wenn ich dann versuche zu verbinden, kommt immer lange Zeit nix und dann "cannot connect to server", auch im Verbindungs-Log nicht mehr.
Jemand Ideen, Hinweise, Tipps? Ich bin etwas ratlos.
Edit: Wenn ich PPTP verwende, funktioniert es zumindestens soweit, daß die Daten austauschen wollen, aber es bricht dann mit "timeout sending Config-Requests" ab.
-
Sach doch gleich, daß es um einen Draytek geht. Die Dinger verwende ich laufend für VPN, allerdings meist von Router zu Router, aber auch mit dem OSX-eigenen Client geht's tadellos. Ich verwende aber meist PPTP, weil es mit IPSec und Vigor Probleme gab (noch gibt?). In den PPP-Einstellungen wird, wie Du schon richtig gesehen hast, die IP für den Remote vergeben, PPP/MP auf der linken Seite ist uninteressant. Unter "Einwahl aktivieren" muß natürlich das entsprechende Protokoll aktiviert sein. IPSec habe ich wie gesagt nicht verwendet, Externe Benutzer ist selbsterklärend. Das wichtigste aber: lokales und entferntes Netz dürfen nicht im gleichen Subnetz liegen, ansonsten funktioniert das Routing nicht.
Wenn Dein iBook also im 192.168.2.x liegt, dann darf der Router 192.168.1.x haben (bei Submask 255.255.255.0), aber niemals 192.168.2.x!
Mit ein wenig Logik und Verständnis für die Funktionsweise von Routern kommt man eigentlich von alleine drauf (ich kann jetzt grosse Töne spuken, an der Problematik bin ich auch damals tagelang verzweifelt).
-
Sach doch gleich, daß es um einen Draytek geht.
OK, OK, nicht schlagen. ;)
Ich verwende aber meist PPTP, weil es mit IPSec und Vigor Probleme gab (noch gibt?).
Ich hatte L2TP over IPSec jetzt bevorzugt, weil mbs schrieb: "wesentlich leistungsfähiger ... und verwendet längere Schlüssel"
Wie lange Schlüssel verwendet denn PPTP? Ich will ja meine Daten nicht offen transportieren.
Das wichtigste aber: lokales und entferntes Netz dürfen nicht im gleichen Subnetz liegen, ansonsten funktioniert das Routing nicht.
Wenn Dein iBook also im 192.168.2.x liegt, dann darf der Router 192.168.1.x haben (bei Submask 255.255.255.0), aber niemals 192.168.2.x!
Mit ein wenig Logik und Verständnis für die Funktionsweise von Routern kommt man eigentlich von alleine drauf (ich kann jetzt grosse Töne spuken, an der Problematik bin ich auch damals tagelang verzweifelt).
Hmm, der Vigor (Router-Funktionalität und DHCP ist aus!) hat 192.168.1.2 und 192.168.2.2. Beides mit 255.255.255.0 als Submask. Der VPN-Server scheint ja dann an 162.168.1.2 zu lauschen und ich hatte das mit der zweiten IP nur gedacht, damit ich das hier vor Ort testen kann. Wenn ich bei jeder kleinen Konfigurationsänderung erst wegfahren muß zum Testen ist das schon anstrengend. ;)
-
Ergänzung:
Verbindung über PPTP:
- Vigor hat 192.168.1.2 und 192.168.2.2, IP für Remote ist 192.168.1.200
- iBook hat 192.168.2.3, in den VPN-Einstellungen VPN-Server 192.168.2.2
Dann klappt es!
192.168.1.x ist praktisch das lokale Netz, was erreicht werden soll.
192.168.2.x für die VPN-Verbindung von (später mal) draußen.
Entsprechende Einstellungen für L2TP over IPSec:
Nix. "cannot connect to server" ARGH!
-
Noch ein Nachtrag, weil ich beim Suchen im Netz drüber gestolpert bin.
Wenn denn alles funktioniert, dann soll der Vigor als VPN-Server hinter einem NATendem Router hängen (natürlich Ports entsprechend forwarded). Der Mac-Client wird dann hinter einem anderen NATendem Router hängen (mit anderen lokalen Netzadressen, ohne spezielles Forwarden von Ports). Ich habe gelesen, daß das für IPSec schon ein Problem sein kann, weil man dann "NAT-Traversal" oder so was braucht, was der Vigor angeblich nicht kann.
Vielleicht sollte ich doch bei PPTP bleiben. Wie sicher ist PPTP denn im Vergleich?
-
Weiter nachgeforscht.
Laut Wikipedia mach IPSec Schwierigkeiten beim Schlüsselaustausch, wenn der Client hinter einem NATenden Router sitzt.
Laut Draytek darf weder Server noch Client hinter einem NATenden Router sitzen, wenn es mit dem Vigor funktionieren soll.
Wenn jetzt keiner mehr gegenteiliges behaupten kann, ist wohl L2TP over IPSec für mich gestorben. Schade.
Zu PPTP:
Der Vigor macht für Username/Paßwort jeweils max. 16 Zeichen. Wenn man beide mit zufälligen Zeichenkombinationen füllt sollte das doch ganz gut sein, oder?
Verschlüsselung kann ich auf 128Bit einstellen. Gut genug?
Laut Wikipedia:
Für die Kommunikation werden der Server Port 1723 (TCP) sowie das Protokoll 47 (GRE) verwendet.
Beides im Router vor dem Vigor forwarden, richtig?
Edit:
TCP-Port 1723 forwarden, kein Problem.
Sobald ich GRE zum forwarden einstelle, kann ich aber kein Protokoll 47 eintragen. Oder ist Protokoll 47=GRE? Wird das noch für was anderes benutzt, bzw. stört das dann irgendeinen anderen Rechner hier, wenn GRE zum Vigor forwardet wird?
-
Tja, der Test mit dem PPTP lokal funktioniert, aber sobald ich das von "draußen" probiere, geht nix "Connecting to server..." -> Time out.
Meine Konfig nochmal zur Verdeutlichung:
NATender Router hat 192.168.1.1, leitet TCP-Port 1723 und GRE auf 192.168.1.2 weiter.
Vigor hat 192.168.1.2, die zu vergebenden IPs sind 192.168.1.200
Entfernter Rechner hängt direkt ohne NATenden Router am Internet.
Und jetzt?
-
OK, ich habe weiter getestet. ;)
Lokal funktioniert PPTP, von außen nicht. So wie ich das sehe, liegt es daran, daß die Fritzbox die Pakete von außen nicht zum Draytek weiterleitet. Wenn ich einen telnet auf Port 1723 mache, bekomme ich loakl eine Rückmeldung, von außen das gleiche nicht.
Jetzt habe ich erstmal einfach nur das Weiterleiten gestestet und das funktioniert nicht.
Folgende Konfiguration:
Fritzbox als NATender Router ohne DHCP hat 192.168.1.1.
An Fritzbox angeschlossener Draytek funktionierend als Switch hat 192.168.1.2
An Draytek angeschloßener iMac hat 192.168.1.3
Wenn ich in der Fritzbox Port 80 auf 192.168.1.3 weiterleiten lasse, dann kann ich von außen den dort laufenden Apache erreichen. Die Weiterleitung funktioniert also prinzipiell.
Wenn ich in der Fritzbox Port 80 auf 192.168.1.2 weiterleiten lasse, dann erreiche ich nicht die Web-Oberfläche des Draytek. Es kommt zu einem Time-Out. Ja, "Konfiguration übers Internet" ist beim Draytek für den Test aktiviert worden.
Ich habe den Eindruck, daß der Fritzbox gar nicht klar ist, daß es den Draytek gibt, sprich wohin er Pakete an 192.168.1.2 schicken soll. Könnte das der Grund sein? Unter "Bekannte LAN-Geräte" wird keines gelistet, noch nicht mal der iMac.
Ich kann zwar in der Fritzbox am statischen Routing drehen, aber was trage ich da ein? Es gibt Felder für "IP-Netzwerk", "Subnetzmaske" und "Gateway".
Langsam verzweifel ich an der Sache.
-
Wenn ich das richtig verstanden habe, hängt der Draytek nur als Switch im Netz und routet nix zum iMac, richtig? Er hängt ganz normal im LAN ohne direkte Verbindung zum Internet? Hier dürfte vermutlich das Problem liegen. Kannst Du an der Fritzbox eine DMZ angeben? Route einfach alles mal testweise auf den Draytek, ich vermute, daß es dann klappt. Schau Dir auch bitte das syslog vom Draytek an, da sieht man allen ankommenden Traffic.
-
Wenn ich das richtig verstanden habe, hängt der Draytek nur als Switch im Netz und routet nix zum iMac, richtig?
Richtig. An einem der 4 Ports des Draytek hängt die Fritzbox, an den anderen Ports andere Computer. Also reine Switch-Funktion.
Er hängt ganz normal im LAN ohne direkte Verbindung zum Internet?
Ja.
Hier dürfte vermutlich das Problem liegen.
Jein. Klar, es ist erstmal das Problem, daß er nicht selber der Router ist, aber das sollte ja problemlos durch eine Weiterleitung lösbar sein. Scheinbar leitet die Fritzbox aber Anfragen von außen nicht an den Draytek weiter.
Kannst Du an der Fritzbox eine DMZ angeben? Route einfach alles mal testweise auf den Draytek, ich vermute, daß es dann klappt.
Auch dann ist kein Zugriff auf die Weboberfläche möglich. Die Pakete verschwinden (time out).
Schau Dir auch bitte das syslog vom Draytek an, da sieht man allen ankommenden Traffic.
Funktioniert bei mir nicht. Das entsprechende Tool auf dem Mac liefert jede Sekunde eine Fehlermeldung.
Ich vermute, daß die Fritzbox nicht weiß, wohin sie Pakete an 192.168.1.2 schicken soll. Pakete an ein bestimmtes Gerät werden doch von einem Router nicht an alle verfügbaren Schnittstellen gleichzeitig geschickt, sondern nur an den, an dem das entsprechende Gerät hängt, oder?
Woher soll die Fritzbox denn wissen, wohin sie die Pakete schicken soll. Zur Auswahl stehen doch 2 Ethernet-Ports, ein USB-Port und WLAN.
Irgendwo habe ich mal gelesen, daß sich ein Router oder Switch merkt, an welchem Port ein Gerät hängt und schickt Daten nur an den richtigen Port.
-
Schau Dir auch bitte das syslog vom Draytek an, da sieht man allen ankommenden Traffic.
Funktioniert bei mir nicht. Das entsprechende Tool auf dem Mac liefert jede Sekunde eine Fehlermeldung.
Hast Du im Router und dem Tool auch einen Port >1024 verwendet? Ich nehme 19222, da klappt das wunderbar.
Pakete an ein bestimmtes Gerät werden doch von einem Router nicht an alle verfügbaren Schnittstellen gleichzeitig geschickt, sondern nur an den, an dem das entsprechende Gerät hängt, oder?
Aus dem Grund haben ja alle Anschlüsse der Fritzbox unterschiedliche Subnetze. So kann der Traffic an den richtigen Port geleitet werden, da die Port-IP ja im gleichen Subnetz liegen muß. Wenn dem nicht so ist, würde ich das schleunigst korrigieren.
Irgendwo habe ich mal gelesen, daß sich ein Router oder Switch merkt, an welchem Port ein Gerät hängt und schickt Daten nur an den richtigen Port.
Ja, wobei ein Router das strengenommen nicht machen müsste, da er ja nur zwischen 2 Netzen "vermittelt". Bei Switchen ist es aber tatsächlich so, daß diese sich merken, welche MAC-Adresse an welchem Port hängt (SAT - Source Adress Table). Die Verbindung von MAC- zu IP-Adresse erfolgt dann über die ARP-Table (Adress Resolution Protocol).
-
Hast Du im Router und dem Tool auch einen Port >1024 verwendet? Ich nehme 19222, da klappt das wunderbar.
Ja, habe ich.
Pakete an ein bestimmtes Gerät werden doch von einem Router nicht an alle verfügbaren Schnittstellen gleichzeitig geschickt, sondern nur an den, an dem das entsprechende Gerät hängt, oder?
Aus dem Grund haben ja alle Anschlüsse der Fritzbox unterschiedliche Subnetze. So kann der Traffic an den richtigen Port geleitet werden, da die Port-IP ja im gleichen Subnetz liegen muß. Wenn dem nicht so ist, würde ich das schleunigst korrigieren.
Äh nein. In der Normalkonfiguration benutzen die alle das gleiche Subnetz und das funktioniert eigentlich problemlos. Man muß ja auch nicht bei dem Draytek, wenn der alleine als Router arbeitet, für jeden der 4 Netzwerk-Ports ein eigenes Sub-Netz haben.
Irgendwo habe ich mal gelesen, daß sich ein Router oder Switch merkt, an welchem Port ein Gerät hängt und schickt Daten nur an den richtigen Port.
Ja, wobei ein Router das strengenommen nicht machen müsste, da er ja nur zwischen 2 Netzen "vermittelt". Bei Switchen ist es aber tatsächlich so, daß diese sich merken, welche MAC-Adresse an welchem Port hängt (SAT - Source Adress Table). Die Verbindung von MAC- zu IP-Adresse erfolgt dann über die ARP-Table (Adress Resolution Protocol).
Da fällt mir ein, daß zwischen Fritzbox und Draytek noch ein normaler Switch hängt. Könnte das ein Problem sein?
-
[Äh nein. In der Normalkonfiguration benutzen die alle das gleiche Subnetz und das funktioniert eigentlich problemlos. Man muß ja auch nicht bei dem Draytek, wenn der alleine als Router arbeitet, für jeden der 4 Netzwerk-Ports ein eigenes Sub-Netz haben.
Moment, da würfelst Du etwas durcheinander. Der Switch des Draytek ist im Prinzip ein eigenständiges Gerät, das nur ins Gehäuse mit reingebaut wurde. Man kann daran gar nichts konfigurieren. Bei der Fritzbox ist das anders, da kann man den LAN-Ports explizit eigene Adressen zuweisen, ebenso den anderen Ports. Wenn alle Ports im gleichen Subnetz sind, muß es zu Problemen kommen, es sei denn, die Ports schliessen sich gegenseitig aus. Tun sie aber nicht, daher kann der Router gar nicht wissen, wohin er ankommende Pakete von aussen weiterleiten soll.
Und: laut AVM haben die Schnittstellen werksseitig sehr wohl unterschiedliche Subnetze:
LAN-A 192.168.181.1
LAN-B 192.168.178.1
USB 192.168.179.1
WLAN 192.168.182.1
Bitte prüfe die Porteinstellungen.
-
Wenn alle Ports im gleichen Subnetz sind, muß es zu Problemen kommen, es sei denn, die Ports schliessen sich gegenseitig aus. Tun sie aber nicht, daher kann der Router gar nicht wissen, wohin er ankommende Pakete von aussen weiterleiten soll.
Eben, darauf will ich ja hinaus. Woher soll er wissen, wo er 192.168.1.2 finden soll. Wobei er 192.168.1.3 problemlos findet.
Und: laut AVM haben die Schnittstellen werksseitig sehr wohl unterschiedliche Subnetze:
LAN-A 192.168.181.1
LAN-B 192.168.178.1
USB 192.168.179.1
WLAN 192.168.182.1
Äh ja, stimmt. Ich habe die Option "Alle liegen im gleichen Subnetz" aktiviert. Sonst funktioniert es doch nicht mit iTunes-/iPhoto-Sharing, oder?
Nichtsdestotrotz nutze ich nur LAN-A und WLAN. An LAN-B und USB ist nix angeschlossen.
Und der Datenverkehr zwischen allen Geräten (insgesamt 5 Rechner an LAN-A und 2 an WLAN) funktioniert problemlos.
-
Nichtsdestotrotz nutze ich nur LAN-A und WLAN.
Da geht's ja auch, weil die Fritzbox hier als Bridge funktioniert. Und daß die Geräte untereinander können ist auch nicht weiter verwunderlich, da hier der Router ja aussen vor ist.
Hmm, ich kenn die Fritzbox leider zu wenig, aber hier nochwas aus der aktuellen c't (sinngemäß):
"Für den Datentransport verwendet PPTP jedoch nicht TCP oder UDP, sondern das exotischere IP-Protokoll GRE (Generic Routing Encapsulation). Nur wenige Geräte können dieses Protokoll für eintreffende PPTP-Verbindungen an den VPN-Server im lokalen Netz vermitteln (nach Innen!)."
Solange die Fritzbox GRE nicht routet, klappt's nicht.
-
Nichtsdestotrotz nutze ich nur LAN-A und WLAN.
Da geht's ja auch, weil die Fritzbox hier als Bridge funktioniert. Und daß die Geräte untereinander können ist auch nicht weiter verwunderlich, da hier der Router ja aussen vor ist.
Jein, denn auch zwischen Rechnern an LAN-A und Rechnern an WLAN klappt es ja. Aber kann sein, daß ich das auch wieder falsch verstehe. ;)
Aber s.u., das kann eigentlich nicht das eigentliche Problem sein.
"Für den Datentransport verwendet PPTP jedoch nicht TCP oder UDP, sondern das exotischere IP-Protokoll GRE (Generic Routing Encapsulation). Nur wenige Geräte können dieses Protokoll für eintreffende PPTP-Verbindungen an den VPN-Server im lokalen Netz vermitteln (nach Innen!)."
Solange die Fritzbox GRE nicht routet, klappt's nicht.
Bei der Fritzbox kann man auch GRE weiterleiten, ja, aber VPN testen tue ich ja aktuell gar nicht, denn da kommen da ja schon mehrere potentielle Fehlerquellen zusammen.
Aktuell versuche ich nur irgendwas von außen an den Draytek durchzureichen, denn nicht erst die VPN-Verbindung macht Zicken, sondern die Verbindungsaufnahme über TCP 1723 funktioniert schon nicht.
Nochmal:
Weiterleitung von Port 80 an 192.168.1.3 (iMac hinter Draytek) funktioniert.
Weiterleitung von Port 80 an 192.169.1.2 (Draytek) funktoniert nicht.
-
An welchem Port ist der Draytek mit der Fritzbox verbunden?
-
An welchem Port ist der Draytek mit der Fritzbox verbunden?
- Fritzbox LAN-A führt zu einem Switch. (Lan-B und USB sind nicht belegt)
- Ein anderer Anschluß des Switch führt zu Port 1 des Draytek.
- Port 2 des Dryetek führt zum iMac