m0n0wall und interner VPN-Client

mincer

mincer

Well-Known Member
Hy all

Ich habe einen Netgear NAT-Router in einen m0n0WALL Router ausgewechselt (WRAP-Board und Gehäuse)
Es funktioniert soweit alles super bis auf das Problem, dass ich keine VPN-Verbindung von einem internen Windows-Client auf einen externen VPN-Server herstellen kann. Mit dem Netgear Router funktioniert es immer!
Was blockiert diese VPN-Verbindung mit der m0n0wall?

Danke für eure Hilfe

Grüsse

mInCEr
 
Wer baut denn den Tunnel auf? Der Router oder der Windows-Client?
Sollte der Windows-Client die Verbindung aufbauen, hast du bestimmt vergessen IPSEC in UDP einzukapseln. Ohne diese Einkapselung kommst du zwar über dein NAT-Gateway hinweg, aber der entfernte Server verwirft das Paket, weil es die Prüfung nicht besteht.

gruß
morph
 
hy morph

ja der Windows client erstellt den Tunnel.
Was meinst du genau mit einkappseln?
Ich nehme an das ist irgendeine spezielle Firewall-Rule?

Danke für deine Hilfe

Gruss

mInCEr
 
Wenn Netzwerkadressübersetzung (Network Address Translation, NAT) zwischen den beiden Endpunkten stattfindet, funktioniert IPSec nicht. IPSec bettet Endpunktadressen als Teil der Nutzlast ein. IPSec verwendet außerdem beim Berechnen von Paketprüfsummen vor dem Senden der Pakete Quelladressen. NAT kann die Quelladresse des ausgehenden Paktes ändern, und das Ziel verwendet die Adresse im Header zum Berechnen seiner eigenen Prüfsummen. Die von der Quelle berechneten ursprünglichen Prüfsummen, die in den Paketen enthalten sind, entsprechen dann nicht den vom Ziel berechneten Prüfsummen, und das Ziel nimmt das Paket nicht an. Sie können IPSec nicht mit NAT-Geräten verwenden.
Zum Vergrößern anklicken....
http://support.microsoft.com/default.aspx?scid=kb;de;301284

Vgl. http://support.microsoft.com/default.aspx?scid=kb;de;818043

Bitte nicht schlagen dass ich solche Links hier paste.
Die NAT Fähigkeit von VPN Clients ist oftmals gegeben.
Welcher Trick bei m0n0 angewendet werden muss... da forsche ich auch mal nach.
 
Was ich nicht ganz verstehe >
Aus welchem Grund funktioniert denn das ganze mit dem Netgear "billig" Router?
Der macht ja genauso NAT wie m0n0WALL ?!
 
Eine ausführliche Anleitung gibt es hier:
http://support.microsoft.com/default.aspx?scid=kb;en-us;818043 (würde ich aber nicht machen)

Die Einkapselung in UDP hat nichts mit deiner Monowall zu tun. Du solltest überlegen, ob es nicht besser ist die Monowall den Tunnel aufbauen zu lassen, dann kannst du dir die umständliche WinKonfig sparen. Soweit ich ich mich noch an des Webinterface erinnere, war das sehr gut aufgebaut und sollte deinen Anforderungen genügen.

gruß
morph
 
Ich kenne monowall nicht, aber bei mir muss ich für eine
vpn Verbindung zu einem w2k3 Server das gre protokoll
in der firewall freischalten:
ipfw add 1000 allow gre from any to any via tun0

Gruss wulu
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben