Zuerst habe ich gedacht, es kann doch nicht wahr sein. Ich bin öfter mal an verschiedenen Internetanschlüssen und baue von dort mein IPSec-VPN mit dem NCP Secure Client zu dem entsprechenden Server auf. Das ging bisher eigentlich überall problemlos. Auch wenn ich hinter einem Router saß und nur eine private IP-Adresse zugewiesen bekam und die Internetverbindung über NAT realisiert wurde.
Nun habe ich den Speedport W502V von T-Home angeschlossen, wollte meine VPN-Verbindung aufbauen – und – nichts ging!
Es hätte mich jetzt nicht weiter gewundert, wenn das VPN über den Speedport garnicht funktioniert, allerdings gibt es doch einen Weg. Genau genommen habe ich sogar schon 2 Wege gefunden – die doch recht schön sind.
Das Zauberwort heißt Port-Forwarding. IPSec benötigt für den Aufbau der VPN-Verbindung die Öffnung des Ports 500 UDP. Sonst geht nichts.
In beiden Fällen muss man sich für die Konfiguration in die Admin-Weboberfläche einloggen. Z.B. über http://speedport.ip/ oder sie entsprechende IP. Hier war standardmässig http://192.168.2.1 eingestellt. Dann geht es weiter mit den Einstellungen:
1. Die unflexible Lösung:
Unter dem Menupunkt Netzwerk wählt man NAT & Portregeln. Dann legt man unter PCs übernehmen & freigeben fest, dass der Computer mit dem man die VPN-Verbindung aufbauen möchte, immer dieselbe IP-Adresse zugeordnet bekommt. Hierzu muss man die IP über DHCP beziehen. Ob es auch ohne DHCP geht, weiß ich nicht, denn diese Zuordnung muss man im nächsten Punkt, in der Port-Tabelle wieder benutzen.
Als nächstes geht man wieder einen Schritt zurück und wählt diesmal den Punkt Port-Weiterleitung. Dann auf Neue Regel definieren. Dort trägt man als Bezeichnung zum Beispiel ipsec ein (ist egal, was dort steht). Bei Aktiv kann man direkt ein Häckchen setzen. Bei Gültig für PC wählt man den eben angelegten PC aus. Nun nur noch unter Weitergeleitete Ports – Öffentlich & Private Client bei UDP die 500 eintragen, abspeichern, fertig.
Flexibler ist man über den Menupunkt Port-Öffnung (dynamisch). Wenn man die Regel darüber definiert, muss man dem PC keine feste IP-Adresse zuweisen und wahrscheinlih habe auch Gäste mal die Möglichkeit, ohne viel Konfigurationsaufwand, eine IPSEC-Verbindung aufzubauen. Man trägt auch hier eine Neue Regel ein. Nennt sie z.B. wieder ipsec. Unter Triggering wird UPD und Port 500 ausgewählt bzw. eingetragen. Zu öffnende Ports ist hier wiederum UDP Port 500. Abspeichern, fertig, geht.
5 Kommentare
Bei mir hat alles nicht funktioniert. Ich habe heute (2.5.) die Information bekommen, dass die aktuelle Firmware-Version (1.19) noch einen Fehler hat. Die Port-Weiterleitung oder Öffnung funktioniert in der Version noch nicht. Liegt vermutlich daran, dass der Speedport 502V intern eine Fritzbox mit zusätzlichen Einstellungen für die Firewall ist. Deswegen ist übrigens überhaupt eine NAT-Regel erforderlich, die sonst bei Fritzboxen nicht gebraucht wird. Diese Regel funktioniert aber nicht. Kannst Dir denken warum
Der Fehler ist bekannt (aber nicht veröffentlich) Eine neue Firmware-Version ist in Arbeit. Gruß Masselkopp
Also bei mir funktioniert das Ganze. Speedport W 502V Typ A, FW: 1.19.000. Habe allerdings dann das Problem, dass nach der Benutzung durch den NCP oder Lancom oder wie auch immer Client das “normale” Internet nicht mehr geht. Nur Neustart hilft da noch. Seltsam, es ist als ob der Router für meinen Rechner irgendwie abgeschlossen hat. Allerdings, selbst nach Trennen der Netzwerkverbindung geht es nicht.
Ich habe heute mit einem Techniker der Telekom gesprochen, genau wegen der Frage, ob W502V für VPN geeignet ist oder nicht. Seine Antwort: VPN (mit IPsec, und um IPsec ging es mir) geht zunächst mal nicht, aber man könne folgendes tun: Das Menü das Routers aufsuchen (via browser) und dort den Router ausschalten. (Ich meine, er sagte so was wie “Internet aus” oder so, aber eben beim Router). Dann könne man die Verbindung ohne Router, nur unter Benützung des eingebauten DSL-Modems (im Computer: über “DFÜ-Verbindungen”) herstellen. Und dann sollte das VPN mit IPsec gehen. – Nachteil: Man hat in dieser Zeit keinen Router, kann also nur einen einzigen Computer betreiben. – Ich habe es, da ich das W502V noch nicht besitze, noch nicht ausprobiert, aber vielleicht ist der Hinweis ja dennoch nützlich… Gruß, CG
Hallo Christian,
das ist sicher auch eine Alternative, für diejenigen, die es nicht so hinbekommen, wie ich es beschrieben habe.
Aber bitte denkt daran, dass eure Rechner dann direkt am Internet hängen, mit einer IP aus dem Internet und somit besonders für Angriffe auf das Betriebssystem gefährdet sind.
Also unbedingt eine Personal Firewall installieren und brav immer die Betriebssystem- (Windows-) Updates machen!
Eine schöne Alternative zu den IPSEC-VPNs ist übrigens OpenVPN, das über SSL läuft. Das geht eigentlich über fast jeden Router, zumindest wenn man den richtigen Port wählt. Aber sicherlich kann sich nicht jeder das VPN aussuchen, über das er in’s Firmennetzwerk geht.
Jo, bei der ersten Einrichtung (die flexible Varaiante) ist sogleich eine VP’N aufgebaut worden. “Leider” habe ich den Akku nicht im Auge gehabt und schwupps, hat mein NB den Dienst eingestellt.
Danach war der Neuaufbau einer VPN nicht mehr möglich. Selbst nach einem Neustart nicht. Echt schrott!!