IPSec-VPN-Probleme über Speedport W 502V (Port-Weiterleitung, NAT-T, UDP 4500)
17 years ago
Hallo T-Online-Team!
(Ist ja rührend, wie nett Ihr Euch um die Probleme der Kunden kümmert, obwohl diese oft ausfallend oder ruppig werden - meist allerdings gerechtfertigt. Bei der Hardware, die Euer Einkauf und Management da so verbockt, ist das sicherlich nicht einfach. Also: Alle Achtung!)
Ich möchte über den "Speedport W 502V Typ A" (Firmware 1.19.00) einen Road-Warrior eine IPSec- VPN -Verbindung aufbauen lassen.
Über unzählige andere, auch niedrigpreisigere, Heim-DSL-Router ist das problemlos möglich. (Auch mit denselben beteiligten PCs und VPN -Gateways.) Daher bitte alle Ideen zu Fehlkonfigurationen an den anderen Komponenten sparen: Diese sind zigfach getestet und funktionieren einwandfrei.
Die IPSec-Verbindung wird normalerweise über UDP, Port 500 aufgebaut und mit NAT-Traversal über UDP, Port 4500 weitergeführt. (Das sollte jeder NAT/PAT-fähige DSL-Router im Schlaf beherrschen.)
(Durch den Einsatz von NAT-T wird nicht das IP-Protokoll ESP benutzt!)
(IPSec- VPN -Client von NCP / LANCOM, verschiedene Versionen;
VPN -Gateway z.B. Openswan, verschiedene Versionen; oder LANCOM-HW-Router)
Nebenbei: Es wird mit Zertifikaten gearbeitet. Keine Shared-Keys; selbstverständlich auch kein AH. Aber das spielt hier sowieso keine Rolle.
Nach dem Abschalten der üblen und versteckten Firewall-Funktionen (http://speedport.ip/hcti_sicherheit_fwall.stm) und dem Einrichten von "Port-Öffnung (dynamisch)" im "W 502V", beginnt bei VPN -Tunnelaufbau-Versuch der Schlüsselaustausch (IKE) über UDP, Port 500. Durch die die Erkennung von NAT wird die Kommunikation entsprechend NAT-Traversal auf UDP, Port 4500 umgeschaltet. Hier werden dann vom "W 502V" offenbar die Datenpakete verfälscht. Es erscheinen Meldungen wie "ISAKMP Hash Payload has an unknown value: xx" und "malformed payload in packet".
(Nebenbei: Dasselbe habe ich statt mit "Port-Öffnung (dynamisch)" auch mit statischer "Port-Weiterleitung" bzw. "Port-Umleitung" getestet. Selbstverständlich auch schön mit Resets des "W 502V". -> Kein Unterschied.)
Offenbar wird "nur" oder hauptsächlich die Kommunikation via Port 4500 versaut, denn ich habe zufällig nochmal das eigentlich problematischere "IPSec _ohne_ NAT-T" getestet. Dabei wird "nur" UDP, Port 500 und das "schwierige" IP-Protokoll ESP verwendet (statt NAT-T: UDP, Port 4500), an welchem viele Billig-DSL-Router scheitern.
Interessanterweise passiert dieser ESP-Verkehr den "W 502V" einigermaßen, und ein VPN -Tunnel kann erfolgreich aufgebaut werden. (Allerdings dauert der Aufbau öfter sehr lange, bis zu z.B. 60 Sekunden.)
IPSec ohne NAT-T von geNATetten Netze aus ist aber keine Option für Road-Warrior, da das mit anderen Problemen behaftet ist.
(Genauso ist Abschaltung des Routerteils des "W 502V" und Einwahl über PPPoE des PCs eine Option, wie hier im Forum öfter blödsinnig empfohlen wurde.)
Wann kann mit einer fehlerbereinigten Firmware für den "W 502V" grechnet werden? (Oder haben Käufer von DTAG -/T-Com-/T-Home-Hardware mit Ihrer Wahl von Produkten des Marktführers einen Fehler gemacht?)
Andere Käufer haben ja auch reichlich Probleme mit einfacher Port-Weiterleitung außerhalb des Ports 80, was wirklich auf erbärmliche Router-Software schließen läßt. (Wer ist eigentlich für diesen Mist verantwortlich?)
Viele Grüße und danke für die Unterstützung (im voraus),
Betatester
P.S. Daß diese Router-Attrappe schon im Neuzustand taiwanischer Elektronikmüll von "Firma" Arcadyan (Mutter: Compal) ist, ist bekannt. (Eigentlich sollte es für sowas minderwertiges Importverbote geben. Wenn nicht direkt wegen der üblen Minderwertigkeit, dann doch wenigstens wegen des Elektroabfallgesetzes.)
(Ist ja rührend, wie nett Ihr Euch um die Probleme der Kunden kümmert, obwohl diese oft ausfallend oder ruppig werden - meist allerdings gerechtfertigt. Bei der Hardware, die Euer Einkauf und Management da so verbockt, ist das sicherlich nicht einfach. Also: Alle Achtung!)
Ich möchte über den "Speedport W 502V Typ A" (Firmware 1.19.00) einen Road-Warrior eine IPSec- VPN -Verbindung aufbauen lassen.
Über unzählige andere, auch niedrigpreisigere, Heim-DSL-Router ist das problemlos möglich. (Auch mit denselben beteiligten PCs und VPN -Gateways.) Daher bitte alle Ideen zu Fehlkonfigurationen an den anderen Komponenten sparen: Diese sind zigfach getestet und funktionieren einwandfrei.
Die IPSec-Verbindung wird normalerweise über UDP, Port 500 aufgebaut und mit NAT-Traversal über UDP, Port 4500 weitergeführt. (Das sollte jeder NAT/PAT-fähige DSL-Router im Schlaf beherrschen.)
(Durch den Einsatz von NAT-T wird nicht das IP-Protokoll ESP benutzt!)
(IPSec- VPN -Client von NCP / LANCOM, verschiedene Versionen;
VPN -Gateway z.B. Openswan, verschiedene Versionen; oder LANCOM-HW-Router)
Nebenbei: Es wird mit Zertifikaten gearbeitet. Keine Shared-Keys; selbstverständlich auch kein AH. Aber das spielt hier sowieso keine Rolle.
Nach dem Abschalten der üblen und versteckten Firewall-Funktionen (http://speedport.ip/hcti_sicherheit_fwall.stm) und dem Einrichten von "Port-Öffnung (dynamisch)" im "W 502V", beginnt bei VPN -Tunnelaufbau-Versuch der Schlüsselaustausch (IKE) über UDP, Port 500. Durch die die Erkennung von NAT wird die Kommunikation entsprechend NAT-Traversal auf UDP, Port 4500 umgeschaltet. Hier werden dann vom "W 502V" offenbar die Datenpakete verfälscht. Es erscheinen Meldungen wie "ISAKMP Hash Payload has an unknown value: xx" und "malformed payload in packet".
(Nebenbei: Dasselbe habe ich statt mit "Port-Öffnung (dynamisch)" auch mit statischer "Port-Weiterleitung" bzw. "Port-Umleitung" getestet. Selbstverständlich auch schön mit Resets des "W 502V". -> Kein Unterschied.)
Offenbar wird "nur" oder hauptsächlich die Kommunikation via Port 4500 versaut, denn ich habe zufällig nochmal das eigentlich problematischere "IPSec _ohne_ NAT-T" getestet. Dabei wird "nur" UDP, Port 500 und das "schwierige" IP-Protokoll ESP verwendet (statt NAT-T: UDP, Port 4500), an welchem viele Billig-DSL-Router scheitern.
Interessanterweise passiert dieser ESP-Verkehr den "W 502V" einigermaßen, und ein VPN -Tunnel kann erfolgreich aufgebaut werden. (Allerdings dauert der Aufbau öfter sehr lange, bis zu z.B. 60 Sekunden.)
IPSec ohne NAT-T von geNATetten Netze aus ist aber keine Option für Road-Warrior, da das mit anderen Problemen behaftet ist.
(Genauso ist Abschaltung des Routerteils des "W 502V" und Einwahl über PPPoE des PCs eine Option, wie hier im Forum öfter blödsinnig empfohlen wurde.)
Wann kann mit einer fehlerbereinigten Firmware für den "W 502V" grechnet werden? (Oder haben Käufer von DTAG -/T-Com-/T-Home-Hardware mit Ihrer Wahl von Produkten des Marktführers einen Fehler gemacht?)
Andere Käufer haben ja auch reichlich Probleme mit einfacher Port-Weiterleitung außerhalb des Ports 80, was wirklich auf erbärmliche Router-Software schließen läßt. (Wer ist eigentlich für diesen Mist verantwortlich?)
Viele Grüße und danke für die Unterstützung (im voraus),
Betatester
P.S. Daß diese Router-Attrappe schon im Neuzustand taiwanischer Elektronikmüll von "Firma" Arcadyan (Mutter: Compal) ist, ist bekannt. (Eigentlich sollte es für sowas minderwertiges Importverbote geben. Wenn nicht direkt wegen der üblen Minderwertigkeit, dann doch wenigstens wegen des Elektroabfallgesetzes.)
15225
5
This could help you too
17 years ago
27247
0
5
Solved
1036
0
2
14 years ago
24890
0
20
17 years ago
16998
0
3
You might also be interested in
Request purchasing advice
Fill out our online contact form quickly and easily so that we can advise you personally in a timely manner.
View offers
Informieren Sie sich über unsere aktuellen Internet-Angebote.