Checkpoint VPN Probleme mit Kabel Deutschland

[mrmijago]

Hallo zusammen,

durch Zufall bin ich auf dieses Forum gestossen und hoffe man kann mir hier mit meiner aktuellen Problematik weiterhelfen.

Seit einer Woche bin ich Kabel Deutschland Kunde (Paket Comfort 20000/1000) und folgende Hardware habe ich von KDG bekommen:

- D-Link DIR-300 Router
- Cable Modem Thomson THG540K

Ich nutze einen Checkpoint VPN-1 Client für die Verbindung in unser Firmennetz, nur leider ohne Erfolg mit Kabel Deutschland.
Grundlegend kann ich mich authentifizieren aber ich bekomme einfach keine Datenpakete durch den Tunnel durch. Ab und an scheitert die Authentifizierung des VPN Client am VPN Gateway auch. Leider nicht immer reproduzierbar.
Eine Analyse der Log´s des VPN Client brachte eigentlich nicht wirklich irgendwelche hilfreichen Erkenntnisse.

Ich habe erst den Router in Verdacht gehabt und nachdem ich sämtliche Konfigurationseinstellungen durch habe geht die Vermutung in Richtung Kabel Modem.

Folgende Dinge hab ich am Router versucht: Ports des IPSec Protokoll geöffnet, Laptop in DMZ aufgenommen, SPI Firewall de-aktiviert, MTU Wert geändert (auf einen niedrigen Wert 1350).

So langsam bin ich ratlos und weiss nicht mehr wirklich weiter. Hat jemand von Euch eine Idee???

Die Info Web-Oberfläche des Cable Modems hab ich unter der 192.168.100.1. gefunden. Nur hier kann ich leider nicht wirklich was konfigurieren?!?!

Habt Ihr noch Vorschläge um mein Problem ggf. zu lösen bzw. einzugrenzen?

Danke vorab für Eure Bemühungen und viele Grüße

Patrick

[VBE-Berlin]

In welchem IP-Bereich liegen denn die Server, die Du durch den VPN-Tunnel erreichen willst?
Ich schätze, dass die Pakete einfach nicht "durch" den Tunnel geroutet werden.

MB-Berlin

[mrmijago]

Die Server liegen im 10.100er bzw. 10.2er Bereich.

Edit: Vielleicht sollte ich erwähnen das die gleiche VPN Connection über eine UMTS Verbindung einwandfrei funktioniert.

[VBE-Berlin]

Mein VPN im 192.er Bereich geht wunderbar.
Im 10er Bereich verwendet die KDG in ihrem internen Netz einige Adressen.
z.B. für www.kabeldeutschland.de

Schicke mir doch mal ein oder 2 Beispiele realer IP'S die Du erreichen willst per PN.
Dann schaue ich mal, wohin die bei mir geroutet werden.

Lösen kann man das Problem dann auf jeden Fall mit Einträgen im Routing Table.

Gruß
MB-Berlin

[mrmijago]

Hi,

die 10.100er und 10.2er Adressen sind doch keine öffentlichen Adressen? Von daher kann Kabeldeutschland die schlecht für Ihre Site hernehmen.
Ausschlaggebend ist doch die Zieladresse (öffentliche) meines VPN Gateways?!?!

Grüße

Patrick

EDIT: Ich habe soeben bei der Kabel Deutschland Hotline angerufen, lt. deren Aussage sind VPN Verbindungen generell gesperrt! Kann diese Aussage jemand bestätigen?

[VBE-Berlin]

Wie oben beschrieben geht bei mir VPN.
Die KDG verwendet Adressen des 10er Bereiches in ihrem internen Netz!
Im Internet werden diese selbstverständlich nicht genutzt.

MB-Berlin

[mrmijago]

Was ich nicht ganz verstehe.......... ich baue einen VPN Tunnel mit meinem VPN Gateway auf, welches eine öffentliche IP Adresse hat. Sobald diese Verbindung/Tunnel aufgebaut ist, ist das Netz doch vollkommen abgeschottet, sprich die internen IP´s von KDG interessieren mich gar nicht mehr?

[VBE-Berlin]

Nicht ganz. Die normale Netzwerkverbindung besteht ja neben dem VPN weiter.
Prinzipiell ist das so, als hättest Du 2 Netzwerkkarten im Rechner.
Da muss dem Rechner natürlich gesagt werden, in welchem Fall er welche Karte nehmen soll.

MB-Berlin

[mrmijago]

Hallo zusammen,

tja, scheint wohl so zu sein als wenn´s am Router liegt.

´ne VPN Connection direkt vom CableModem aus klappt einwandfrei.

Nur was kann´s am Router sein? Hab doch schon alles durchprobiert?
Irgendwelche Ideen?

Grüße

Patrick

[RcRaCk2k]

Da du schon DMZ eingerichtet hattest kann es nurnoch daran liegen, dass der D-Link Router am GRE oder soetwas in der Richtung falsch macht.

Ich kenne IPSEC zu wenig um jetzt genauer auf das Protokoll eingehen zu können. Aber ich weiß, dass es bei einigen Routern die Option gibt, IPSEC für das NAT zu aktivieren... Also gehe ich mal davon aus, dass das IPSEC Protokoll nicht vollständig NAT-Fähig ist?!?

Liebe Grüße,
Michael.