Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

Digitalisierungs Box Smart DynDns uns Portweiterletiung an VPN Server

Gelöst

Hallo, wir wollen mit der heute installierten DigiBox wie zuvor mit dem Speedport ein Portweiterletung auf einen Miktikrouter machen der als Vpn Server fungiert. DynDns, NAT, Firewall ist alles konfiguriert an Hand der hier vorhandenen Beispiele. Im Monitoring Internes Protokoll sehen wir,  wenn sich eine vpn Client einwählen möchte ein     NAT: refused incoming session on ifc 30010001 prot 6 93.206.39.66:23 <- 59.167.234.251:7742.  So wie das aussieht wird die Dyndns Einwahl abgelehnt.   Wo finde ich mehr Informationen zu der Fehlermeldung oder hat mir jemand einen Typ ? Danke im Voraus

1 AKZEPTIERTE LÖSUNG

@Gelöschter Nutzer dein Hinweis mit dem TIMEOUT hat gefruchtet. Ich habe am Mikrotik, am vpnprofil den TIMEOUT  erhöht, das Protokoll am Client von Automatik (default) auf pptp gesetzt und noch dazu am Mikrotik das IPv6 disabeld, von da an hat es funktioniert. Ich danke dir noch einmal recht herzlich, alleine wäre ich da nicht so schnell drauf gekommen....   zu deiner letzten Frage, nein der Mikrotik hat keinen Internetzugriff direkt nach draussen. alles läuft über die Digitalisierungsbox was nach draussen geht und reinkommt.

Lösung in ursprünglichem Beitrag anzeigen  

Gelöschter Nutzer

Da fehlt wohl die Firewallregel für den OVPN-Port.

Allerdings nur, wenn Du auf dem Telnet-Port OVPN machst.

 

Die Meldung bezieht sich auf eine abgewiesene Verbindung auf den WAN-Anschluss. Protokoll TCP, Port23.

ifc30010001 ist der VDSL-Anschluss

93.206.39.66 Deine externe IP zum Testzeitpunkt.

prot 6 ist die Protokollnummer für TCP

:23 der Port

59.167.234.251 Die IP des Partners (Netz eines Australischen Providers)

 

Sieht aus wie ein Portscan aus Australien.

Danke für die Antwort, nur das hilft mir leider auch nicht weiter, das wussten wir bereits

Hat sonst  jemand noch eine Idee wieso die Digitalisierungsbox den Traffic mit der Portnr 1723 nicht weiterleitet? Wir haben in der zwischenzeit mal die Firewall abgeschaltet mit dem 3xany. Anbei noch ein screeshot zu der Nat konfig.

Telekom hilft Team
Hallo @Muehle1,

soviel ich weiß muss zusätzlich zum Port 1723 das GRE Protokoll für PPTP-VPN weitergeleitet werden.
Haben Sie das GRE Protokoll auch zu Ihrem Miktikrouter weitergeleitet?

Gruß Jörg D.

Ja auch das GRE Protokoll wird an den Mikrotik Router weitergeleitet. Gibt es eine Möglichkeite an der DigiBox zu sehen was weitergeleitet wird ? 

Gelöschter Nutzer

Als erstes:

Schön das Du wußtest, was die Protokollzeilen bedeuten. Warum hast Du dann danach gefragt?

 

Als zweites: Welche Art VPN offeriert der Mikrotik (Daraus ergibt sich, welche Ports und Protokolle)?

 

Als drittes: Im Protokoll der Box, welches Du gefunden hast, werden incoming sessions und nat-weiterleitungen vermerkt.

Wichtig ist dabei der Log-Level:debug

Die Vielzahl der dann innerhalb weniger Minuten generierter Logevents lässt das sehr begrenzte interne Log der Box vollaufen (1000-Zeilen Limit). Es ist also sehr zu empfehlen speziell für das debugging einen externen Syslogserver zu konfigurieren. Da gibt es auch unter Windows Tools.

Entschuldige, dass ich mich unhöflich ausgedrückt habe. Ich meinte das mit dem Australischen Provider.

Der Mikrotik hört auf die Ports 1723 (TCP) und Protokoll GRE. Mir scheint es so vorzukommen als wird nichts an den

Mikrotik weitergeleitet. Die Firewall wurde schon einmal mit einen 3*any ausgeschaltet.

Anbei die Nat Konfiguration.

Bei anderen Kunden ist derselbe Mikrotik als VpnServer  in Verbindung mit einem Speedport 941 im Einsatz. 

 

Danke nochmal für die Unterstützung und auch für die  Info zu dem Syslog Server. 

 

Gelöschter Nutzer

Hast Du auch von der Firewallkonfig einen Scxreen? Ich würde einen Dienst GRE einrichten und auch dafür eine Any/Any/GRE Regel erstellen.

Hast Du es schon mit syslog versucht?

Danke für die Nachricht. Das mit den GRE habe ich ausprobiert, leider erfolglos.

Als Syslog Server könnte man da den "Visual Syslog Server for Windows" verwenden.

Kenne nur die Unix Syslog Server  von HPUX Zeiten. Was müsste man dann auf der Digibox noch 

konfigurieren oder einfach wie auf Seite 304 im Handbuch beschrieben vorgehen ? 

Gelöschter Nutzer

Einfach Syslogserver eintragen und loglevel wählen. Das ist ausnahmsweise ganz einfach Überglücklich

Hallo, das mit dem syslog hat soweit geklappt. Konnte jetzt einen Debug trace ziehen.

Der 192.168.10.164 ist der Mikrotik vpn Server, 93.206.39.22 der DynDns Server... 79.204.238.209 ist die Einwahl vom Client

ich kann da leider nur rauslesen dass immer ein delete Session erfolgt und das wiederholt sich dauernd. Hier die 

drei Zeilen..

NAT: new incoming session on ifc 30010001 prot 6 192.168.10.164:1723/93.206.39.66:1723 <- 79.204.238.209:29414
new session, 79.204.238.209:29414->192.168.10.164:1723 prot: 6 parent: false
NAT: delete session on ifc 30010001 prot 6 192.168.10.164:1723/93.206.39.66:1723 <-> 79.204.238.209:29414

Hast du vielleicht noch eine Idee dazu an was das liegen könnte dass die Session deletet wird  ?

Danke

 

 

Gelöschter Nutzer

Die Weiterleitung von TCP/1723 scheint ja zu klappen.

Die Verbindung wird dann vermutlich vom Microtik beendet. Im Digibox-Prot wird vermutlich TIMEOUT drinstehen. Ich würde einen Zeitstempel von der Digibox mitsenden lassen oder diesen im syslogserver einstellen.

 

Kann der Mikrotik auch ein Protokoll? Bist Du eigentlich auf das potentiell unsichere PPTP angewiesen? Die Digibox kann IPSEC.

 

EdiT: 93.206.39.22 ist übrigens nicht der DDNS-Server sondern Deine externe IP in der Session. Taucht denn 79.204.238.209 im Protokoll noch anderswo auf?

Danke für die Antwort

hier noch Einträge wo die 79.204.238.209 beteiligt ist, dies wiederholt sich zig mal.
192.168.10.254 Oct 10 12:03:56 Tue local0 info Oct 10 12:03:53 2017 INET NAT: refused incoming session on ifc 30010001 prot 17 93.206.39.66:40123 <- 79.204.238.209:52257
192.168.10.254 Oct 10 12:03:56 Tue local0 info Oct 10 12:03:53 2017 INET NAT: refused incoming session on ifc 30010001 prot 17 93.206.39.66:57068 <- 79.204.238.209:52240

das mit pptp oder IPsec habe ich nicht zu entscheiden, die Lösung läuft bei anderen Kunden mit AVM und Speedport Router schon länger

problemlos.  Die konfig des Mikrotik ist eigentlich nur eine Kopie von einer funktionierenden Lösung. Konnten uns nicht vorstellen dass dies mit der Digitalisierungsbox so Probleme macht. Danke nochmal für deine Hilfe

Gelöschter Nutzer

Der remote Client versucht eine UDP-Session auf einem wahlfreien Port.

Du wirst nicht umhinkommen, auf dem Microtik-Server nach der Ursache für den nicht zustandekommenden Tunnel zu suchen. Ich bin an der Stelle raus, da ich in der Materie bestenfalls oberflächlich drinstecke.

Noch eine Frage habe ich allerdings: Hat denn der Microtik Internetzugriff nach außen?

@Gelöschter Nutzer dein Hinweis mit dem TIMEOUT hat gefruchtet. Ich habe am Mikrotik, am vpnprofil den TIMEOUT  erhöht, das Protokoll am Client von Automatik (default) auf pptp gesetzt und noch dazu am Mikrotik das IPv6 disabeld, von da an hat es funktioniert. Ich danke dir noch einmal recht herzlich, alleine wäre ich da nicht so schnell drauf gekommen....   zu deiner letzten Frage, nein der Mikrotik hat keinen Internetzugriff direkt nach draussen. alles läuft über die Digitalisierungsbox was nach draussen geht und reinkommt.

Gelöschter Nutzer

@Muehle1 schrieb:

@Gelöschter Nutzer dein Hinweis mit dem TIMEOUT hat gefruchtet. Ich habe am Mikrotik, am vpnprofil den TIMEOUT  erhöht, das Protokoll am Client von Automatik (default) auf pptp gesetzt [...]

uups

[...]   zu deiner letzten Frage, nein der Mikrotik hat keinen Internetzugriff direkt nach draussen. alles läuft über die Digitalisierungsbox was nach draussen geht und reinkommt.


Schon klar. Ich meinte damit: Kann der Microtik über die Digitalisierungsbox das Internet erreichen? Aber die Frage ist jetzt obsolet, da sie mit Ja beantwortet werden kann.