[10.8 Mountain Lion] Kein Zugriff auf VPN-Server außerhalb des LAN (PPTP und L2TP), innerhalb nur eingeschränkt

[Meckpommi]

Guten Abend,

ich wollte mich etwas mit dem Mac OS Server beschäftigen (dazu lernen schadet ja nie), verzweifel aber schon seit nun 2 Tagen an einem Problem. Zauberwort heißt hier VPN-Server.

Ich habe schon viel gelesen und habe auch schon vieles aus den gefundenen Seiten und Beiträge angewandt, aber leider ohne Erfolg.

Ausgangssituation:

Fritzbox 7390 am DSL-Anschluss (DHCP aktiviert)
dahinter hängt neben iPad, Macbook, Mac Pro etc. auch ein Mac mini.

Auf dem Mac Mini habe ich mir jetzt mal Mac OS X 10.8 Mountain Lion Server installiert.
Als Dienst möchte ich mich erstmal mit dem VPN-Server beschäftigen.

kurze Abschweifung....

Um schonmal Fragen vorweg zu nehmen, warum ich nicht das VPN der FritzBox nutze.
Habe ich schon probiert, entweder bin ich zu dämlich oder keine Ahnung, Verbindung klappt aber DNS klappt nicht, kann also bei VPN zur FritzBox keine Webseiten aufrufen. Hatte das schon vor ein paar Jahren nutzen wollen, wenn ich im Hotel-Wlan bin. Am MacBook Pro musste ich mir einen DNS-Server eintragen dann ging es, bei den iOS Geräten habe ich keine Funktion für eine Eintragung gefunden.

Nun also der Versuch mit dem VPN des Mac OS X Servers.

unternommene Schritte und Versuche

Da es ja 2 Möglichkeiten gibt, sich mit dem VPN-Server zu verbinden, habe ich natürlich beide versucht....

im LAN (selbes Netz wie der Server)
L2TP funktioniert, kann mich verbinden, werde Authentifiziert und bekomme eine IP-Adresse aus dem Bereich nach ....200
PPTP fragt am Server an (kann man im Log erkennen), bricht aber mit Authentifizierung nicht möglich ab.

Habe jeweils die beiden Accounts probiert, also erste Frage: Warum klappt L2TP, PPTP aber nicht?
Benutzername und Kennwort sind richtig geschrieben. Auch schon einen weiteren Testnutzer angelegt, das selbe Problem.

außerhalb des LAN (Mobilfunkverbindung)
L2TP schafft es nicht mal, am Server anzufragen. Kein Eintrag im Log.
PPTP fragt am Server an (kann man im Log erkennen), bricht aber mit Authentifizierung nicht möglich ab.

Welche IP-Adressen / Hostnamen wurden genutzt?
im LAN - die von der Fritzbox zugewiesene IP-Adresse
außerhalb des LAN - die externe IP-Adresse der FritzBox (vom Provider zugewiesen)

DynDNS-Eintrag existiert zwar in der FritzBox, wurde aber erstmal zur Fehlereingrenzung nicht genutzt

Wurden Ports freigegeben in der FritzBox ?

Nach der Recherche in Google und diversen Foren gab es ja immer wieder den Hinweis auf die Port-Weiterleitung (nutze ich ja selbst in der FritzBox um über VNC aus der Ferne die Rechner fernzusteuern), also habe ich diverste UDP und TCP-Ports freigeben (Suche nach für VPN benötigte Ports), diese habe ich dann auf die selben Port-Nummern des Servers weitergeleitet, also in der FritzBox eingetragen.

In einem anderen Artikel habe ich gefunden, dass es helfen soll den Server als Exposed Host einzutragen. (Firewall ist für dieses Gerät ausgeschaltet)
Habe ich getan, allerdings bringt das keine Erfolg.

Habe auch mal alle eingetragenen Port-Umleitungen auf dem Server (in der FritzBox) gelöscht und nur Exposed Host aktiv gelassen, bringt keine Veränderungen

Meine Überlegungen / Vermutungen

1. ich habe ein generelles Verständnis-Problem und mache was grundsätzliches falsch
2. VPN über PPTP (klappt ja weder intern noch extern) muss irgendwo noch ein Geheimnis verbirgen
3. wird der VPN-Server vielleicht hinter der FritzBox nicht gefunden (erklärt aber nicht warum PPTP über Mobilfunk wenigstens am Server anfragt (Log-Einträge)
4. Sperrt die FritzBox vielleicht irgendwelche Kommunikation aus da sie ja selbst den VPN-Dienst stellt / stellen kann?

Habe leider keinen anderen Router hier um die FritzBox auszuschließen, aber vielleicht greifen ja auch eher Punkt 1 -3

Vielleicht hat ja jemand von Euch noch einen Tipp, eine Idee oder ein Fünkchen Erfahrung die er mit mir teilen kann.
Ich würde mich freuen.

Gruß und einen schönen Abend

Jens

P.S. Test wurden mit iOS und OS X Geräten durchgeführt. Beide das exakt gleiche Fehlerbild.

 

[pti'Luc]

Das Problem mit der Fritz!Box lässt sich mit Ändern der *.cfg-Datei. Dort muss die Access-List geändert werden:

http://service.avm.de/support/de/SK...hrere-IP-Netzwerke-hinter-FRITZ-Box-zugreifen

acesslist =
"permit ip [COLOR=#ff0000]0.0.0.0 0.0.0.0[/COLOR] 192.168.10.201 255.255.255.0",
"permit ip 192.168.20.0 255.255.255.0 192.168.10.201 255.255.255.0";

 

[Meckpommi]

Hallo pti'Luc,

vielen Dank für deine Antwort.
Ich würde fast unterschreiben das ich das damals schonmal getestet habe aber kann man ja nochmal tun. Trotzdem würde ich auch gerne das VPN Problem in Verbindung mit dem Mac OS X Server lösen. Aber vielen Dank schonmal.

 

[pti'Luc]

Mit der Fritz!Box ist es nur recht einfach ... ich kann von überall in der Welt eine zuverlässige VPN-Verbindung aufbauen und darüber surfen. Funktioniert prima und es muss nichts extra laufen ... Tolle Sache das!

Für Dein anderes Problem:

Du musst die korrekten Ports an Deinen Server intern weiterleiten. Sonst klappt das natürlich nicht.
Dafür ist wichtig, dass der Server eine feste Adresse im internen Netz hat.
Extern musst Du einen DNS-Dienst nutzen, damit Deine Fritz!Box eben unter einem festen Namen erreichbar ist.

Ich vermute, da ist irgendwo der Wurm drin. Am einfachsten kann man sowas erstmal prüfen, indem man auf dem Server einen ganz einfachen Dienst wie Telnet auf den passenden Port legt und damit die Kommunikation prüft.

Point-to-Point Tunneling Protocol - TCP-Port 1723
Layer 2 Tunneling Protocol - UDP-Port 500 (IPsec) und UDP-Port 1701

 

[Meckpommi]

Hallo,

also wie schon geschrieben habe ich die Ports in der FritzBox schon eingetragen und auf den mac mini Eintrag verwiesen.
Feste IP-Adresse hat er ja mehr oder weniger... habe ja den Haken gesetzt.. immer die gleiche IP-Adresse nutzen.
DynDNS Dienst habe ich eingerichtet und für VNC klappt der auch super.

Da VPN über L2TP ja innerhalb des LAN klappt (wenn die Fritz-Box außen vor ist) hoffe ich mal, das die Ports am Server ja richtig verarbeitet werden.
Bei Point-to-Point Tunneling sehe ich ja auch im Log, das er bei extern den Server anfragt, also TCP-Port 1723 sollte funktionieren. Nur bei PPTP hat er ja intern wie extern dieses misteriöse Authentifizierungsproblem.

Das mit dem Port-Testen klingt doch schonmal ganz gut, helf mir da doch mal bitte auf die Sprünge.
Ich lege jetzt in der Fritz-Box ein Port-Forwarding an vom UDP-Port 500 auf den Telnet-Port am mac mini an?
Starte dann auf einem 2. Mac außerhalb des LAN die Telnet Verbindung zur externen IP-Adresse der Fritz-Box oder zum DynDNS-Namen der FritzBox mit dem entsprechenden Port und sollte bei Telnet am Mac mini rauskommen?

Wenn ich es richig verstanden habe, macht das Sinn und wird gleich mal getestet...

 

[pti'Luc]

Du kannst das auf mehreren Wegen versuchen:

Du machst eine geradlinige Weiterleitung, aber legst eben auf dem Server den Telnet-Port auf den passenden Port oder leitest sie mit der Fritz!Box auf den korrekten Port.

 

[Meckpommi]

Kannst du mir mal bitte ein Beispiel geben... ich trage doch (bisher) Portweiterleitungen nur auf dem Router, also der FritzBox ein.

 

[pti'Luc]

So, nur mal für Dich mein zweites MacBook geholt und die Sachen durchgegangen:

Vorinfo
Air: Client
Pro: Server

Auf dem Pro via "Systemeinstellungen - Freigaben" die "Entfernte Anmeldung" eingeschaltet. Damit habe ich den SSH-Server auf dem Pro aktiviert. Die Anmeldung klappt im lokalen Netz:

MacBook-Air: user$ ssh macbook-pro
Warning: Permanently added 'macbook-pro,0000::0000:0000:0000:0000' (RSA) to the list of known hosts.
Password:
Last login: Sat Aug 31 18:52:33 2013
macbook-pro:~ user$

Jetzt die Freigabe auf der Fritzbox:

Portfreigabe bearbeiten
Portfreigabe aktiv für "Andere Anwendung":
Bezeichnung   "SSH-Server"
Protokoll     "TCP"
von Port      "22" bis Port "22"
an Computer   "manuelle Eingabe der IP-Adresse:"
an IP-Adresse "172.16.15.20"
an Port       "22"

Jetzt verbinde ich mit mit dem iPhone und nutze die Mobilfunkverbindung mit dem Air:

MacBook-Air-: user$ ssh name.dynamischesdns.tld
Warning: Permanently added 'name.dynamischesdns.tld,123.456.789.000' (RSA) to the list of known hosts.
Password:
Last login: Sat Aug 31 23:37:46 2013 from macbook-air.fritz.box
macbook-pro:~ user$

Klappt also, wie es soll!

Bitte also prüfen, ob Dein Router korrekt auch unter dem Dynamischen DNS-Namen erreichbar ist!

P.S.: IPs und Namen anonymisiert!

 

[Meckpommi]

Also habe wie besprochen das Exposed Host entfernt.
Port-Weiterleitung TCP 22 auf Port 22 des Mac Mini - klappt nun

weitere Vermutung: UDP Ports werden nicht weitergeleitet.. dazu folgender Test.
Port-Weiterleitung wird von TCP 22 auf UDP 22 umgestellt, gleiches Ziel, sollte eigentlich klappen oder?

 

[pti'Luc]

Das ist klar, dass das nicht klappt ... TCP ist für SSH zwingend. Wenn Du auf UDP umstellst, kann SSH keine Verbindung mehr aufbauen. SSH nutzt kein UDP.

Jetzt wieder zurück zu dem VPN:
Point-to-Point Tunneling Protocol - TCP-Port 1723

Also eine weitere Freigabe auf der Fritz!Box zu Deinem Mac Mini anlegen. Der PPTP-Server muss dann auf dem Mac Mini laufen!

Nachtrag: Natürlich sollte keine VPN-Konfig auf der Fritz!Box vorhaben sein:
fritz.box - Internet - Freigaben - VPN - VPN-Verbindungen - mindestens deaktivieren!

 

[Meckpommi]

TCP-Port 1723 für PPTP liegt ja schon uf dem Mac-Mini und klappt ja soweit, das er am Server anfragt, nur die Authentifizierung scheitert dann letztendlich. Ich weiß nur nicht warum.

Aber die scheitert ja auch im LAN, genauso wie über WAN.

Aber kurz auf UDP und TCP zurückzukommen, habe bei Wikipedia eine Liste offen wo steht:

[TABLE="class: wikitable sortable jquery-tablesorter"]
[TR]
[TD]22[/TD]
[TD]TCP[/TD]
[TD]UDP[/TD]
[TD][URL="http://en.wikipedia.org/wiki/Secure_Shell"]Secure Shell[/URL] (SSH) — used for secure logins, [URL="http://en.wikipedia.org/wiki/File_transfer"]file transfers[/URL] ([URL="http://en.wikipedia.org/wiki/Secure_copy"]scp[/URL], [URL="http://en.wikipedia.org/wiki/SSH_file_transfer_protocol"]sftp[/URL]) and port forwarding[/TD]
[TD]Officia[/TD]
[/TR]
[/TABLE]

Deswegen kam ich drauf es zu testen, denn für L2TP brauche ich ja UDP-Ports.
L2TP klappt ja im LAN, nicht aber im WAN wenn die FritzBox mit betroffen ist.

 

[pti'Luc]

Immer den Link mit angeben! Ich vermute, Du hast die Liste hier: http://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

http://de.wikipedia.org/wiki/Secure_Shell
Nix UDP ... Es sei denn, Du willst UDP via SSH tunneln ... das ist aber hier nicht der Anwendungsfall.

Der Handshake erfolgt via TCP:


Zu PPTP: Das Authentisierungsproblem kann Du ja lösen ...

Alternativ würde ich noch mal zur Fritz!Box raten und damit die VPN-Verbindung einrichten ... Zwei Macs und ein iPhone und ein iPad können hier so sicher nach Hause telefonieren!

 

[Meckpommi]

Tadaaaaaa..

Nun läuft VPN über Mobilfunk... was für eine Ursache...
Wollte eigentlich schlafen gehen aber habe nochmal was probiert.

Folgende Ports wurden noch freigeben:

UDP 500
UDP 4500

und ESP

Und was soll ich sagen... jetzt klappt zumindest L2TP, das was auch im LAN klappte.
Weiß zwar immer noch nicht warum PPTP nicht geht, aber L2TP scheint das neuere zu sein und er macht alles.

Sämtlicher Datenverkehr läuft nun über den VPN-Mac-Server.
Vielen Dank an pti'Luc für seine Geduld und wenn noch jemand eine Idee zu PPTP und der Authentifizierung hat, habe ein offenes Ohr.

Also als Ursache denke ich mochte die FritzBox alleine nicht das Exposed Host, so wusste er wohl nicht an welche Geräte er es weiterleiten soll.

 

[pti'Luc]

Genau:
L2TP benötigt UDP-Ports 500, 1701 and 4500 und das IP-ESP Protocol, welches die Nummer 50 (ESP) trägt. Sorry, die 4500 ist mir durchgerutscht.

Die Freigaben in der Fritz!Box müssen also genau auf diese drei Ports gemacht werden:
UDP 500
UDP 1701
UDP 4500 ​

Schön wäre es, wenn Du noch mal zusammenfasst, was Du auf dem Server, der Fritz!Box und und den Clients konfiguriert hast. Also eine kleine Anleitung ...

Das Exposed Host sollte NUR eigenständig verwendet werden. Also entweder ein Exposed Host oder nur dedizierte Freigaben. Letzteres ist (etwas) sicherer, weil kontrolliert. Ansonsten gibt man auf dem Server mal was frei, was nur intern sein sollte, aber es kann dann die ganze Welt erreichen ...

 

[delete]

Danke für die Infos erstmal!

Nachdem ich die Einstellungen von Meckpommi genau so eingerichtet habe, konnte ich leider es immer noch nicht zum funktionieren bringen...

PPTP läuft ohne Probleme. Aber L2TP bekomm ich nicht zum laufen. Macht es evtl. Probleme, dass auf der FritzBox VPN mal aktiv war?

Das Protokoll meines MAC-Servers zeigt nichts an bei L2TP. Also bleibt der Verkehr bei der Fritzbox stecken.

 

[Wuchtbrumme]

Du musst natürlich VPN auf der Fritzbox deaktivieren. Löschen ist nicht nötig.

 

[Wuchtbrumme]

TCP-Port 1723 für PPTP liegt ja schon uf dem Mac-Mini und klappt ja soweit, das er am Server anfragt, nur die Authentifizierung scheitert dann letztendlich. Ich weiß nur nicht warum.

Man muss auch Protokoll 47 (GRE) an den VPN-Server weiterleiten.

 

[delete]

Also deaktivieren kann ich es ja nicht. Zumindest finde ich keine Option. VPN sieht auf der Fritzbox so aus...

Ist es deaktiviert?

 

[Wuchtbrumme]

eigentlich schon, jedenfalls, wenn die Portweiterleitungen für die o.g. Ports auch aktiviert sind, nicht etwa nur auf die FB zeigen.

 

[delete]

Die Ports sind weitergeleitet... Siehe Bild: