... damit die IPSEC-Pakete an den zuständigen Empfänger weitergeleitet werden ...

Auf der Fritz!Box sah es wie im Anhang gezeigt aus.

Das ist aber zu viel des Guten...

Zitat von administrator.de... man beachte das ODER zwischen den Varianten:

Je nachdem, wie der VPN Server konfiguriert ist, brauchen wir

• UDP Port 500 und IP-Protokoll ESP (Obacht: ESP hat keine Ports, es ist ein L3 Protokoll! Guggst du!)

oder

• UDP Port 500 und UDP Port 4500 (Wenn ESP via NAT-T in UDP gekapselt wird)

oder

• TCP Port 10.000 (Wenn IKE und ESP in TCP gekapselt werden)

 

IPSEC BLITZ-ERKLÄRUNG FÜR SCHNELLENTSCHLOSSENE!

IPSEC ist eine Protokollsuite die IP-Verbindungen sicherer machen soll.
Es wird vor allem für VPN Verbindungen eingesetzt und ist das verbreitetste VPN Protokoll.

IPSEC besteht im wesentlichen aus den Protokollen IKE und ESP.

IKE ist die technische Umsetzung des ISAKMP Frameworks. IKE nutzt UDP Port 500.

IKE Phase 1 baut einen sicheren Verbindungs-Kanal auf. Dabei findet auch die "Authentisierung" zwischen den VPN Partnern statt, die mit Zertifikaten oder Pre-Shared Keys (Passwörtern) erfolgen kann.
Dieser sichere Verbindungskanal wird dann genutzt, um die Parameter aus Phase 2 sicher zwischen den VPN Partnern aushandeln zu können.

IKE Phase 2 handelt die Verschlüsselungs- und Integritätsparameter aus, mit denen die eigentlichen Daten gesichert werden.

Nach Aushandlung der SAs (Security Assotiations) in IKE Phase 2 wird das Protokoll ESP benutzt, um letztendlich die verschlüsselten Daten zu transportieren. ESP hat keinen Port, da es ein OSI Layer 3 Protokoll ist.

Bei Einsatz von NAT-Traversal (auch NAT-Transparency genannt), um auch über PAT-Router ESP Verbindungen aufbauen zu können, braucht man Port UDP4500. Dabei wird ESP in UDP gekapselt, da ESP keine Ports benutzt und dadurch nicht "gepattet" werden kann.

Bei Einsatz von IPSEC-over-TCP braucht man nur Port TCP10.000. Dabei werden IKE als auch ESP in TCP gekapselt, und über diesen einen Port TCP10.000 geleitet. Geheim-TIP: Man kann den Port am VPN Server auch von TCP10.000 aúf einen anderen ändern (z. B. TCP80), so dass ein IPSEC Tunnel auch von Lokationen aus aufgebaut werden kann, die nur wenige Ports geöffnet haben - z. B. in WLAN Hotspots. Dies funktioniert aber nur, wenn zwischen den VPN Endpunkten keine Firewall auf Applikationsebene die Art des TCP Verkehrs filtert und z. B. "Nicht-HTTP-Traffic" erkennt und verwirft.

Im IPSEC Tunnelmode werden IP-Pakete in andere IP-Pakete gekapselt (getunnelt). Dadurch kann ein zugreifender Client eine "virtuelle" IP aus dem IP-Bereich des Firmen-Netzes bekommen und sich netzwerktechnisch mit dem Firmen- Intranet verbinden, als wäre er im Büro.

Danke, da ich nicht weiß, wie "gekapselt" ist, es wird dann wohl Variante 1 sein und auf der Fritz!Box war der UDP 4500 überflüssig, das kann ich aber leider nicht mehr testen.

Ich habe ja leider im Moment kein DSL mehr, wir ziehen um und am neuen Standort hat die Telekom noch keine Leitung. Ich muss die nächste Zeit nur mit LTE arbeiten.

@Atti58 

Hast du IPSec im Pro aktiviert?

Deine bintec baut die Verbindung auf?

Dann solltest du überhaupt keine Portweiterleitungen benötigen.

Wo kann ich IPSEC aktivieren?

Soweit die Theorie ...

wari1957

In deiner bintec kommen keine udp-Pakete von den DBs an?

... so ein Router-Profi bin ich nicht, dass ich das überprüfen könnte, ohne jetzt Recherchen anzustellen...

viper.de

wenn nicht im Forwarding Menu angeboten wird.

... und da kann ich es nicht anlegen, das Forwarding von ESP.

Ich bitte vielmals um Entschuldigung - nach einem Blick auf meine IPSEC-Tunnel im bintec und nach Herunterscrollen sah ich, dass ein Tunnel zu einer festen IP aufgebaut war und da fiel es mir "wie Schuppen aus den Haaren" - ich hatte vergessen, auf dem Speedport DynDNS einzurichten.

Ich danke Euch für die Unterstützung, das war wirklich alles sehr qualifiziert.