VPN-Verbindung wird abgebrochen

[flicflac]

Hallo

Ich sitze jetzt seit mehreren Stunden (Wochenenden) am Versuch eine VPN-Verbindung aufzubauen. Nach vielen Stunden kam ich dahinter, dass es mit Unitymedia (mein Anschluss) wegen IPv6 und des DS-Lite keine Chance gibt mit einer IPv4 Adresse eine Verbindung aufzubauen (openVPN usw. mal außen vor).
Nun habe ich einen reinen IPv4 Zugang aus der Nachbarschaft, damit komme ich erstmal bis zum VPN-Server. Allerdings bricht die Verbindung mit Fehler 720 ab. Die Gegenseite (Server) meldet im Ereignisprotokoll "Verbindung des mit Port VPN3-1 verbundenen Benutzers "xxx/xxx" wurde getrennt, da kein Netzwerkprotokoll ausgehandelt werden konnte."
Umgebung Serverseite:
externe IPv4-Adresse
passthrough ein PPTP, IPSec, SSTP
VPN-Server mit fest zugewiesener IP mittels Adressreservation 192.168.100.18
Forwarding im Router für Port 1723/TCP; 500/UDP; 4500/UDP; 443/TCP auf die IP des VPN-Server 192.168.100.18
IPv6 am VPN-Server abgeschalten

Server und Client Win7 Pro

Die Fehlermeldung am VPN-Server zeigt dass ich bis zum Rechner vordringe, aber wenn alles er IPv4 läuft, welche Protokolleinstellungen fehlen noch bzw. an welcher Stelle könnte es noch haken? Bin verzweifelt mit meinem Latein am Ende!

Kann mir jemand auf die Sprünge helfen?

THX flic

 

[Raijin]

Du hast in deinem Text nur so ziemlich alle gängigen VPN-Techniken erwähnt, aber welche du nu konkret nutzt, sagst du nicht. Anhand deiner Portangaben vermute ich mal du redest von IPsec. IPsec ist VPN, aber VPN ist nicht zwangsläufig IPsec. *edit: Port 1723 wiederum gehört zu PPTP, also was nu?!?

Bitte schreib immer möglichst genau was du nun tatsächlich nutzt. Dazu zählen im übrigen auch Angaben wo sich Server und Client befinden. Das erspart unnötige Nachfragen.Deine Aussagen bezüglich Probleme bei DS-Lite und "serverseitig IPv4" sind aber widersprüchlich.

Die Problematik bei DS-Lite ist die, dass sich der Anschluss die IPv4, über die man surft, mit anderen Anschlüssen teilt. Das heißt, dass nach außen alles ok ist, weil der Kabelanbieter NAT betreibt und somit weiß welcher Kunde zB nach computerbase.de verbindet und die Antwort von dort entsprechend 1:1 zum Kunden durchreicht. Andersherum kann er das nicht wissen, weil von außen einfach so eine Verbindung reinkommt, die einfach nur die geteilte IPv4 als Ziel hat, also quasi die Gemeinschaft der Kabelkunden. Welcher Kunde gemeint ist, steht nicht in der Verbindungsanfrage.

Es ist unerheblich ob man nun von einem DS-Lite Anschluss auf einen DS-Lite Anschluss verbinden will oder aber von einem IPv4 Anschluss auf einen DS-Lite Anschluss. In beiden Fällen ist der Server von Kunde xy so nicht erreichbar, weil die server- bzw. genauer die anschlussseitig geteilte IPv4 nicht eindeutig ist. Gäbe es Probleme bei geteilten IPv4 bei ausgehenden Verbindungen, könnte wohl kaum ein Kunde von Kabel Deutschland und Co computerbase.de oder sonstige Seiten ansurfen...

Du musst dir das so vorstellen: Wohnst du in einem Haus mit 10 Wohnungen und schreibst einen Brief an die Bild (Mopo, Zeit, FAZ, etc), dann kommt der Brief an. Die Antwort geht an den Absender auf der Rückseite, deine Stadt, Straße, Hausnummer, Name. Kommt nun allerdings der Briefträger mit einem Brief an, auf dem nur steht "Musterstraße 11, Musterstadt", dann steht er vor 10 Briefkästen. Welcher ist gemeint?

 

[flicflac]

@Raijin

Danke für die Antwort.
Ich möchte erstmal nur eine "einfache" PPTP-Verbindung erreichen. Die restlichen Ports sind nur der Vollständigkeit beim Forwarding eingetragen.

Wie ich schon schrieb, ist es eine reine IPv4 Verbindung (beide Anschlüsse reines IPv4).
Ich komme ja bis zum VPN-Server durch, aber angeblich passt das Protokoll nicht?? Da hapert es bei mir (oder an einem PC).

DS-Lite ist also nicht das Problem. Wie das funktioniert bzw. nicht funktioniert habe ich mir mehrfach in den verschiedensten Foren verinnerlicht. Deshalb habe ich mir ja die IPv4-IPv4 Verbindung organisiert. Damit komme ich jetzt wenigstens bis zum Server. Es hapert wie gesagt beim Aushandeln des Protokolls.

Gruß flic

 

[Raijin]

Ein Grund mehr weshalb du das deutlicher beschreiben musst! PPTP ist unsicher und sollte auf keinen Fall verwendet werden. Deswegen ging ich von IPsec aus.....

Lass PPTP links liegen. Teste von mir aus erstmal OpenVPN, wenn du die generelle VPN-Funktion testen willst.

 

[flicflac]

Ich weiß das PPTP unsicher ist. Es geht mir um den reinen Funktionstest. Das Ziel ist später IPsec...
OpenVPN finde ich zum testen viel zu kompliziert! Es sei den du kennst eine Seite wo die Einrichtung in deutsch mit einer funktionierenden Beispielkonfiguration für Server und Client für Windows beschrieben wird?!
Obwohl ich das im Hinterkopf habe da es auch mit DS-Lite funktionieren soll.

Gruß flic

 

[Raijin]

OpenVPN wird mit Beispielen geliefert, die man mehr oder weniger sofort zum Test nutzen kann. Kompliziert ist das in keinster Weise.

Ich verstehe nur nich so recht was du überhaupt testen willst? Nur weil Dienst xy funktioniert, funktioniert IPsec noch lange nicht. Es bringt doch nix, wenn wir jetzt PPTP debuggen und du es 2 Minuten danach weghaust?!? Du kannst gerne einen FTP-Server installieren, Netzlaufwerke freigeben, einen Webserver installieren, mit WireShark und Netzwerktraffic sniffen oder oder oder.. Wenn du im bisherigen Serverlog schon eingehende Verbindungen siehst (achte auf die Quell-IP, dass es auch wirklich DU warst), dann klappt das Portforwarding aber grundsätzlich schon.

 

[chrigu]

öhm.. du benutzt also nachbars wlan-router um zu testen, wenn ich das richtig deuten kann (Nun habe ich einen reinen IPv4 Zugang aus der Nachbarschaft)?
ich würde zuerst mal versuchen, direkt beim nachbarn die vpn verbindung herzustellen (der hat sicher einen pc mit entsprechenden pptp-tool)
so kannst du grundsätzlich ein wlan problem ausschliessen... (meine vermutung).

oder dein nachbar weiss nichts von deinem "wlan zugriff" und sein provider oder seine firewall blockt vpn verbindungen...

oder das nachbar-wlan ist ein honeypot, der die bandbreite fürs kopieren deiner daten benötigt..

 

[flicflac]

@chrigu
Nönö, Nachbar weiß schon von meinen Tätigkeiten :-) Mussten extra den alten Router wieder am Telekom-Anschluss anschließen, da sie mittlerweile zu UM gewechselt sind. Aber der TK-Anschluss läuft noch bis zum Ende des Jahres (Übergangsphase).

@Raijin
OpenVPN läuft mittlerweile super :-) Einfach ist es nun nicht gerade, wenn man nicht aus der Linux-Welt kommt. Aber verständlich, wenn man "noch" aus der DOS-Welt kommt. Kompliziert und verwirrend sind die x-fachen Anleitungen welche für die Einrichtung existieren. Bei jeder Anleitung fehlt irgendwas Wichtiges, also muss man mind. drei Anleitungen mischen bis man eine funktionierende Konfiguration zusammen gestellt hat. Das größte Manko ist die Installation selbst. Warum sind beim Setup die Utilities für die Erstellung der Keys usw. deaktiviert?! In irgendeiner (einzigen) Anleitung wurde das in einem Nebensatz angemerkt, und siehe da...
Das Meiste läuft jetzt mit OpenVPN. Nun kämpfe ich noch mit Autostart (Server) und ODBC sowie SQL, aber das ist ein anderes Thema :-(

THX nochmal für die Unterstützung
Gruß flic