IPsec Verbindung mit WinXP über Router

[Gast]

Hi,

wenn man mit WinXP eigenen Mitteln eine VPN (mit IPsec) Verbindung einrichtet, muss man u.a. zwei Richtlinien definieren. Je eine für den ausgehenden und eine für in hereinkommenden Verkehr. In jeder Richtlinie sind wiederrum jeweils die Start- und Endpunkte für den IPsec Tunnel anzugeben.

Wenn man direkt ins Netz geht ohne Router, gibt man hier bei der Richtlinie für ausgehenden Verkehr als Start 'Meine IP Adresse' und bei Ziel/Ende die IP-Adresse des anderen Rechners an.
Bei eingehenden Verkehr genau umgekehrt.

Ohne Router funktioniert das auch super.

Sobald man aber den Router dazwischen hängt, geht gar nix mehr, trotz der drei aktivierte Optionen (VPN) bei den Einstellungen des Routers unter Tools -> Misc. Auch die IP-Adresse meines Rechners in die DMZ aufzunehmen brachte nix.
Firewall auf dem Router ist ausgeschalten, also kann es daran auch nicht liegen.

Vielleicht hat ja von euch schon jemand Erfahrungen mit VPN mittel IPsec über einen D-Link Router gemacht und weiß, was ich falsch eingestellt habe bzw. richtig einstellen muss.

Danke!

Gruß,

Daniel

[Empfehlungen]

[Gast]

du müsstest im router die ports auf deinen rechner weiterleiten mit dem "virtual server".
dann rein theoretisch deine LAN IP als start IP in dem program was du da verwendest, und end IP die des gegenübers.
eigentlich sollte der router dieses weiterverteilen.
falls es so nicht gehen sollte, dann versuche bei selbiger konfiguration im router einmal die online IP. diese findest du im status fenster im router direkt.

[Gast]

danke erstmal für deine Antwort!

Hilft aber leider beides nix ;-(

Das mit den Virtual Hosts braucht man ja nur, wenn man den Rechner nicht in die DMZ aufgenommen hat. Aber ich hatte meinen ja schon in die DMZ genommen. Da müsste ja eigentlich jeder Port und jedes Protokoll durchgehen.

Leider weiß ich einfach nicht, ob es nun am Router liegt oder an Windows, d.h. dass es Probleme mit dem NAT vom Router hat. Ohne den Router geht die IPsec Verbindung wunderbar.

Gruß,

Daniel

[Gast]

lasse mal bitte den DMZ aussen vor. der ist nicht wirklich sinnvoll. und eigentlich sollte solch eine verbindung durch den router nicht gehemt werden. schaue dir bitte mal genau config des benutzten programmes an, und suche alle ports dazu raus.
vielleicht entdeckst du den berühmten schusselfehler ;)

[Gast]

Normales IPsec benötigt nur UDP 500.
Da Microsoft noch divers Ports (UDP 4500, UDP 1701 und TCP 50) erwähnt, habe ich diese auch in den Virtual Servers (VS) eingetragen.

DMZ war für den Test mit den VS deaktiviert.

Es handelt sich auch im kein spezielles Programm, sondern ganz einfach um IPsec, was mit Windows Board-eigenen Mitteln konfigurierbar ist (IP-Sicherheitsrichtlinien)

Wie gesagt, es wäre schon gut zu wissen, ob das IPsec und all seine Sicherheitsmechanismen nicht mit dem NAT zurechtkommen oder ob es am Router liegt, was ich aber mal nicht hoffe.

Gruß,

Daniel

[Gast]

hast du jegliche programme beendet, besser deinstalliert als du es versucht hast?
weder software firewall noch die windows eigene?

denn wenn du die ports freischaltest weiß der router eigentlich was er tun muss, dann existiert er eigenlich nicht für windows ;) um das so auszudrücken

[Empfehlungen]

[Gast]

ich sagt doch schon, es ist kein spezielles programm. da läßt sich auch nix deinstallieren. es ist so, als würde man die netzwerk-einstellungen ändern.

die windows firewall verwende ich nicht. verwende eine andere, und und die würde mir was melden, wenn da eine einkommende verbindung käme. anyway, ohne router funktioniert es, auch mit dieser firewall.

[Gast]

nunja, also ich würde es halt nochmal ohne firewall versuchen, sowie halt per diese routereinstellungen.
wenn das nicht klappt dann bin ich langsam ratlos.
hast du mal während dem verbindungsaufbau:
start->ausführen "CMD" dort netstat eingeben WÄHREND der verbindung, dann sollte er dir die ports rausrücken.
dann kannst du abgleichen ob er nicht doch noch einen mehr benötigt.

[Gast]

Eventuell könnte Dir das hier weiterhelfen ? (Falls online)

http://www.dlink.de/forum/topic.asp?TOPIC_ID=17493

[Gast]

ich habe zwar einen anderen router aber vieleicht hast du das auch.

bei mir konnte ich die ganze zeit keine verbindungen zu meinem rechner von ausen aufbauen bis mir das aufgefallen ist

"Discard PING from WAN side"

musste ich natürlich ausschalten dann ging alles.

hoffe das ich helfen konnte