Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 1 subscriber
  • Views 9737 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9 hinter FritzBox

andyhuther
Hallo zusammen,

ich möchte den Cisco-VPN Client von meinem iOS6 nutzen, um auf die Astaro (hinter einer Fritzbox liegend) zu connecten.

Die Astaro als die DSL Einwahl machen zu lassen und die Fritzbox als reines Modem zu benutzen, kommt aus dem Abhängikeitsgesichtspunkt nicht in Frage:
Die Astaro läuft virtuell. Wenn der Host der virtuellen Astaro ausfällt, komme ich von aussen nicht mehr auf die Umgebung, daher ist die Fritzbox (sie präsentiert noch andere ssh etc. Zugänge) gesetzt.

Ich habe die Foren hier nach den Themen gesucht, aber keinen gefunden, der das Thema wirklich gelöst hat.

Aktuell habe ich die UDP Ports 500, 4500 und 1000, sowie ESP weitergeleitet und bekommt im "LiveLog" diese Meldungen:

received Vendor ID payload [Dead Peer Detection]received Vendor ID payload [RFC 3947]
ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
packet from 79.240.194.46:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
packet from 79.240.194.46:500: received Vendor ID payload [XAUTH]
packet from 79.240.194.46:500: ignoring Vendor ID payload [Cisco-Unity]
packet from 79.240.194.46:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
packet from 79.240.194.46:500: received Vendor ID payload [Dead Peer Detection]

==> gibt es noch mehr Ports bzw. Protokolle, die weitergeleitet werden müssen?
==> auch die Astaro als "exposed host" in der Fritzbox einzutragen hat bisher nichts genutzt..

Herzlichen Grüße und Danke für jeden Hinweis
Andreas


This thread was automatically locked due to age.
  • 0
    Wenn du die fritzbox als reines Modem nutzt braucht du keine ports weiterleiten .... Alternative als Router nutzen und dann die utm als exposed Host eintragen oder so in der Art dann geht alles weiter zur utm
  • 0
    Hallo zusammen,

    ich möchte den Cisco-VPN Client von meinem iOS6 nutzen, um auf die Astaro (hinter einer Fritzbox liegend) zu connecten.

    Die Astaro als die DSL Einwahl machen zu lassen und die Fritzbox als reines Modem zu benutzen, kommt aus dem Abhängikeitsgesichtspunkt nicht in Frage:
    Die Astaro läuft virtuell. Wenn der Host der virtuellen Astaro ausfällt, komme ich von aussen nicht mehr auf die Umgebung, daher ist die Fritzbox (sie präsentiert noch andere ssh etc. Zugänge) gesetzt.

    Ich habe die Foren hier nach den Themen gesucht, aber keinen gefunden, der das Thema wirklich gelöst hat.

    Aktuell habe ich die UDP Ports 500, 4500 und 1000, sowie ESP weitergeleitet und bekommt im "LiveLog" diese Meldungen:

    received Vendor ID payload [Dead Peer Detection]received Vendor ID payload [RFC 3947]
    ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
    ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
    ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
    ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
    ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
    ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
    ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    packet from 79.240.194.46:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    packet from 79.240.194.46:500: received Vendor ID payload [XAUTH]
    packet from 79.240.194.46:500: ignoring Vendor ID payload [Cisco-Unity]
    packet from 79.240.194.46:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
    packet from 79.240.194.46:500: received Vendor ID payload [Dead Peer Detection]

    ==> gibt es noch mehr Ports bzw. Protokolle, die weitergeleitet werden müssen?
    ==> auch die Astaro als "exposed host" in der Fritzbox einzutragen hat bisher nichts genutzt..

    Herzlichen Grüße und Danke für jeden Hinweis
    Andreas


    Ich habe das Monate probiert und bin gescheitert. Daher wählt meine Astaro jetzt direkt ein.
    Ich habe 2 virtuelle Astaros auf 2 HP 36ern als HA laufen. Damit ist mein single point of failure jetzt nur noch das DSL Modem bzw. der Switch.

    Gruss
  • 0
    Hallo zusammen,

    ich möchte den Cisco-VPN Client von meinem iOS6 nutzen, um auf die Astaro (hinter einer Fritzbox liegend) zu connecten.

    Die Astaro als die DSL Einwahl machen zu lassen und die Fritzbox als reines Modem zu benutzen, kommt aus dem Abhängikeitsgesichtspunkt nicht in Frage:
    Die Astaro läuft virtuell. Wenn der Host der virtuellen Astaro ausfällt, komme ich von aussen nicht mehr auf die Umgebung, daher ist die Fritzbox (sie präsentiert noch andere ssh etc. Zugänge) gesetzt.

    Ich habe die Foren hier nach den Themen gesucht, aber keinen gefunden, der das Thema wirklich gelöst hat.

    Aktuell habe ich die UDP Ports 500, 4500 und 1000, sowie ESP weitergeleitet und bekommt im "LiveLog" diese Meldungen:

    received Vendor ID payload [Dead Peer Detection]received Vendor ID payload [RFC 3947]
    ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
    ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
    ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
    ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
    ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
    ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
    ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    packet from 79.240.194.46:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    packet from 79.240.194.46:500: received Vendor ID payload [XAUTH]
    packet from 79.240.194.46:500: ignoring Vendor ID payload [Cisco-Unity]
    packet from 79.240.194.46:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
    packet from 79.240.194.46:500: received Vendor ID payload [Dead Peer Detection]

    ==> gibt es noch mehr Ports bzw. Protokolle, die weitergeleitet werden müssen?
    ==> auch die Astaro als "exposed host" in der Fritzbox einzutragen hat bisher nichts genutzt..

    Herzlichen Grüße und Danke für jeden Hinweis
    Andreas


    Hallo Andreas

    Wenn du deine FW als exposed host einträgst, sollte es funktionieren, da alle eingehende Packeten zur FW weitergeleitet werden ... In deinem Fall ist dies, aufgrund der von dir erwähnten Abhängigkeiten, jedoch weniger sinnvoll.

    Ich habe ebenfalls eine Fritzbox als DSL Router und ich habe keine Probleme mit den VPNs. Meine Freigaben für IPSec lauten wie folgt:

    UDP 500 >> FW UDP 500
    UDP 4500 >> FW UDP 4500
    TCP 50 >> FW TCP 50 
    TCP 51 >> FW TCP 51

    Eigentlich sollte es IP 50 und IP 51 anstelle von TCP sein, aber bei der Fritbox steht das IP Protokoll nicht zur Auswahl...

    Wenn IPSec über TCP verwendet wird, sollte man den Port TCP 10000 zur FW weiterleiten.

    Was in Zusammenhang mit VPNs und iOS5/6 beachten solltest, ist dass die Schlüsselgrösse der Zertifikate 1024 bit sein sollte (Bug in iOS VPN-Client)

    Ich hoffe, dass ich dir mit diesen angaben helfen konnte [:)]

    Grüsse
  • 0
    Hallo zusammen,

    Fritzbox Weiterleitung Port 50, 51 ändert leider auch nichts.
    Zudem ich ja schon die Astaro als "exposed Host" angegeben hatte..

    Kann denn jemand mal auseinandernehmen, warum IPSec hinter einem NAT nicht tut? ESP wird ja von der FB als "Pass-Through" behandelt. Hängt das Phänomen vll. am AH ?

    Es müsste doch ne klare Definition geben, was die Astaro alles an Protokollen / Ports benötigt, um das Cisco VPN entgegennehmen zu können?!?


    Beste Grüße
    Andreas
  • 0 in reply to andyhuther

    [snip...]
    Kann denn jemand mal auseinandernehmen, warum IPSec hinter einem NAT nicht tut?
    [...]
    Es müsste doch ne klare Definition geben, was die Astaro alles an Protokollen / Ports benötigt, um das Cisco VPN entgegennehmen zu können?!?

    Beste Grüße
    Andreas


    Such mal nach NAT Traversal im Zusammenhang mit Cisco IPSec. Dann findest Du vielleicht was. Ich kenne die FB nicht und weiss nicht wie Exposed Host da läuft, aber IPSec über NAT ist immer böse.

    HTH
  • 0 in reply to andyhuther
    Hallo zusammen,

    Fritzbox Weiterleitung Port 50, 51 ändert leider auch nichts.
    Zudem ich ja schon die Astaro als "exposed Host" angegeben hatte..

    Kann denn jemand mal auseinandernehmen, warum IPSec hinter einem NAT nicht tut? ESP wird ja von der FB als "Pass-Through" behandelt. Hängt das Phänomen vll. am AH ?

    Es müsste doch ne klare Definition geben, was die Astaro alles an Protokollen / Ports benötigt, um das Cisco VPN entgegennehmen zu können?!?

    Beste Grüße
    Andreas


    Hallo nochmals

    So wie es aussieht, ist nicht die Weiterleitung von der FB zur ASG das Problem, sondern die Annahme des Verkehrs seitens ASG.

    NAT dürfte in deinem Fall eher keine Rolle spielen, da die Probleme schon beim Verbindungsaufbau eintreten (vom Client initiiert und an der FW terminiert).

    Vielleicht frage ich 'was offensichtliches, aber zum Ausschliessen möglicher Fehlerquellen notwendiges ...

    ... hast du den Cisco VPN Client in der FW aktiviert und konfiguriert (lokale Netze, User)?
    ... hast du die entsprechenden Firewall Rules erstellt (falls nicht automatisch erstellt)?
    ... ist die Schlüsselgrösse des verwendeten Zertifikats 1024 bit (aufgrund eines Bugs in iOS ist diese Grösse in Zusammenhang mit Cisco VPN zu empfehlen)?
    ... hast du die VPN Konfiguration (samt Zertifikat) auf dein iPhone via Benutzer Portal installiert?

    Grüsse
  • 0
    Verständnisfrage
    Reicht es aus die ASG als exposed Host einzutragen oder muss ich in der Firewall der fritzbox alle Ports dann noch freigeben Wenn ja kann man die fw auf der fritzbox auch deaktivieren?
  • 0
    Exposed Host auf der Fritz!Box reicht aus. Man sollte allerdings beachten, dass andere Forward-Regeln ebenfalls greifen und ggf. nicht auf der ASG landen.
  • 0
    D.h. Es leitet erst mal alles weiter an den Host aber extra definierte weiterleitungen haben Vorrang
  • 0 in reply to TerminatorTerminator
    Hallo,

    ich habe das gleich Problem. FB als Router und als Exposed Host. Aktuelle UTM9. Sogar das Zertifikat mit Schlüssellänge 1024 erzeugt.

    In der UTM habe ich bei Hostnamen übergehen meinen dyndns-Namen eingetragen.

    Wenn ich auf dem iPhone die VPN-Verbindung aufbauen will, dann dauerts ein bischen und die Meldung "VPN-Server antwortet nicht" erscheint. Das Live-Log zeigt nicht einmal eine Verbindungsanfrage.

    Kann derjenige, bei dem das funktioniert, mal bitte eine ganz detaillierte Beschreibung geben (incl. Fritzbox usw...).

    Besten Dank im voraus.

    MfG
    Christoph
Cookie Information Banner