RRAS - Verbindungsaufbau nur lokal möglich

[Ghost_Rider_R]

Hallo zusammen,

ich habe kürzlich einen RRAS Server auf Basis von Windows Server 2019 installiert, auf den ich mich innerhalb von Netzwerk wunderbar verbinden kann. Sobald ich aber den Weg von Extern gehe, also Connect über das Internet, dann kommt kein Verbindungsaufbau zu Stande.

Folgendes habe ich gemacht:
Port 500, 1701 und 4500 (alle UDP) im Router an den VPN Server weitergenattet. Firewall auf dem Server zu testzwecken auch mal deaktiviert, aber es geht einfach nicht. Der selbe Client kann aber innerhalb vom Netzwerk problemlos eine Verbindung herstellen.

So nun noch das Merkwürdige, es hatte auch schon mal eine Zeit lang funktioniert, dann ganz plötzlich aber nicht mehr.

Habe ich eventuell irgendetwas wichtiges übersehen, was beim Zugriff über das Internet anders ist, als lokal im Netz?

Danke für eure HIlfe.

LG Ghost.

 

[M-X]

So nun noch das Merkwürdige, es hatte auch schon mal eine Zeit lang funktioniert, dann ganz plötzlich aber nicht mehr.

Kann man dieses Event eingrenzen ? Was hat sich geändert ?
Wie testest du die Verbindung aus einem anderen Netz heraus ? Via Hotspot?
Dynamische IP oder fixe IP ?

 

[Ghost_Rider_R]

Und genau jetzt wird es merkwürdig. Ich habe mir während der Verbindungsaufbau funktioniert hat einen Snapshot der VM gemacht. Dann nur so ein paar Einstellungen getestet, ob VPN in entsprechenden Konfigurationen auch funktioniert aber immer alles wieder zurück gestellt und ganz plötzlich geht es nicht mehr. Ich habe die komplette Kiste auch nochmal komplett von 0 an aufgesetzt, aber er weigert sich partou von Extern Verbindungen anzunehmen. Könnte es sein, dass die Fritzbox (unser Router) trotz eingeschaltetem NAT plötzlich keine Pakete mehr weiterleitet? Ich habe einen Wireshark-Mitschnitt gemacht und es kommen immer exakt 2 Pakete von draußen an der VM an, aber ich meine das waren weder TCP noch UDP sondern etwas anderes...

Getestet wurde mit Handy aus dem mobilen Netz (teilw. mit schlechtem Empfang!) und aus dem selben Netz mit einem PC, was aber während es funktioniert hatte immer tadellos ging.

 

[M-X]

Das Rückspielen des Snapshots hat auch keinen Erfolg gebracht ? Gab es eine änderung an der Fritzbox (ggf ein Update?) oder eine Veränderumg am internen Netz oder beim Provider?

 

[Ghost_Rider_R]

Nein, das ist ja das merkwürdige. Ich habe auf der Fritzbox lediglich ein paar Ports (1701) deaktiveirt, um zu schauen, ob ich die zwingend brauche, aber ich habe es danach auch wieder aktiviert und die werden auch in Grün angezeigt. Ich habe da schon 1000x nachgesehen. Trotzdem glaube ich, dass es irgendwie an der Fritzbox oder am NAT an sich liegt.

 

[M-X]

Hast du das Setup bei der Fritzbox mal neu gemacht. Alle Ports gelöscht, ggf. reboot und dann neu eingerichtet. Router Reset wäre auch ne Option ist aber mehr Aufwand je nach config.

Wo hast du denn mit Wireshark geschaut? Die capture Funktion der FB genutzt ?

 

[Ghost_Rider_R]

Ich habe auf der VM geschaut, da kamen wie gesagt genau zwei Pakete mit der öffentlichen IP Adresse vom Handy. Also irgendwas kommt da schon an. Fritzbox neu gestartet habe ich auch schon.

Welche Ports müssen denn freigegeben sein für RRAS (L2TP / IPSec). Hier gibt es im Netz diverse Meinungen.

 

[M-X]

Hast du Protokoll 50 ESP – Encapsulating Security Payload (VPN Passthrough) auch freigegeben ?

 

[Ghost_Rider_R]

Nein, da gehen die Meinungen auseinander, aber es hatte auch erst ohne Funktioniert

 

[M-X]

Und funktioniert es denn mit ?

 

[Ghost_Rider_R]

Kann ich am Montag im Geschäft testen, jetzt hab ich Feierabend 😄

 

[Physikbuddha]

Die Einstellung nicht vergessen, wenn dein Server hinter einer NAT steht: http://woshub.com/l2tp-ipsec-vpn-server-behind/

 

[Ghost_Rider_R]

Jetzt funktioniert es, Ursache waren nicht weitergeleitete Ports auf der Fritzbox. Da muss irgendwie ein Bug o.Ä. drin gewesen sein, ich habe es nochmal von vorne 1:1 in der Fritzbox eingegeben und dann ging es.

Port 500 & 4500 ist übrigens ausreichend gewesen.

Vielen Dank für eure Hilfe!