IPSec VPN-Verbindung zu Asus Router mit Wingo Internet wird geblockt

Nothiochuk35

Hallo

Leider verzweifle ich mit dem Problem, über meine Infrastruktur am Wingo Fiber Internet Anschluss erfolgreich eine VPN-Verbindung über IPSec mit iOS / macOS aufzubauen.

Die Zugangsdaten sind korrekt, die Anleitung von Asus habe ich befolgt (https://www.asus.com/de/support/FAQ/1033574/).

Meine Geräte sind:
- TP-Link MC220L und dahinter ein Asus RT-AX88U Router (Modus Wireless Router)
Die Firmware auf dem Asus Router ist asuswrt-merlin 386.3 (neuste Version).

Der Wingo-eigene Router ist nicht in Betrieb.

Die UDP-Ports 500 + 4500 sind an der Firewall zu öffnen. Das habe ich auch gemacht auf 192.168.51.1 (Router IP) und dennoch gelingt es nicht.

Es kommt immer die Fehlermeldung: Timeout / Der VPN-Server antwortet nicht.

Als Server Adresse benutze ich den Asus-DDNS (https://meinRouter.asuscomm.com:8443/)

Wer hätte eine Idee für mein Problem? Besten Dank im Voraus.

millernet

Du musst zuerst die Wingo/ Swisscom Internet Box anschliessend, auf deinem Kundenportal die DMZ-Funktion aktivieren und anschliessend dein Setup wieder auf Fiber Converter und eigenen Router ändern. Andernfalls gibt's bei Wingo keine öffentliche IPv4, sondern nur DS light. Also:

Wingo / Swisscom Internetbox anschliessen.
Internet Box aufstarten.
Ein Rechner mit der IB verbinden.
auf https://www.wieistmeineip.ch/ die IPv4 ablesen.
Einloggen auf www.wingo.ch und dort in den Einstellungen DMZ aktivieren.
Warten, bis Provisionierung durch ist (geht einige Minuten)
auf https://www.wieistmeineip.ch/ die IPv4 ablesen. Dort sollte jetzt eine andere IP ersichtlich sein.
Danach kannst du die IB wieder entfernen und dein eigenes Setup aufbauen. Jetzt sollte auch der Asus Router eine öffentliche IPv4 bekommen.

Nothiochuk35

millernet

Danke für den Tipp.

Hat leider nicht funktioniert (immer noch der gleiche Fehler).

Konnte zwar auf MyWingo DMZ aktivieren und habe dort 192.168.0.1 eingegeben (alles bis auf die letzte Stelle ist vorgegeben…).

IPv6 ist ebenfalls aktiv:

So sieht das Portforwarding auf meinem Asus Router (WAN) aus:

Gibt es sonst noch etwas, was ich beachten muss?

Werner

@Nothiochuk35

Also wenn Du auf dem Asus-Router selbst einen VPN-Server betreibst, ist eine Portweiterleitung auf dem Asus-Router auf sich selbst absolut sinnlos.

Hast Du denn jetzt die Wingo Box abgehängt und durch einen reinen Mediakonverter ersetzt und und kriegst eine öffentliche IPv4 direkt auf den Asus-Router, oder noch nicht?

Was hast Du also überhaupt aktuell für eine WAN-IP auf dem Asus-Router?

Nothiochuk35

Ok, das mit der Portweiterleitung macht Sinn.

Ich habe die Wingo Box wieder abgehängt und betreibe den Mediakonverter und dahinter meinen Asus Router RT-AX88U. Dennoch geht es nicht.

Weil auch IPv6 im Wingo Portal und auf dem Router aktiviert bzw. freigeschaltet ist (Verbindungstyp Tunnel 6rd), habe ich neben der IPv4 IP auch eine IPv6, wenn ich auf wieistmeineip.ch gehe. Die IPv4 ist seit Tagen unverändert, möchte diese aber aus Diskretionsgründen hier nicht veröffentlichen. So viel sei gesagt: 1XX.X.XXX.XX. Hilft das weiter, um zu beurteilen, ob es eine öffentliche IPv4 Adresse ist?

Diese DNS Server sind auf dem Router eingetragen:

195.186.1.192

195.186.4.192

Bin gespannt, was ihr noch für Ideen habt, woran es liegen könnte.

Vielen Dank!

Werner

@Nothiochuk35

DynDNS und der Betrieb eines VPN-Servers sind zwei unterschiedliche Dinge, die man zwar in Kombination benutzen kann, aber die auch voneinander unabhängige Probleme haben können.

Ob nur schon mal Dein DynDNS funktioniert, und Du somit auch über eine öffentliche "nicht-genattete" IP-Adresse verfügst, kannst Du auch ohne eine VPN-Verbindung herausfinden.

Für die Frage wie genau, empfehle ich Dir mal eine Google-Recherche, denn wenn Du wirklich soweit von den einfachen Wingo-Standards weggehen willst, musst Du da auch ein wenig selbst durch, denn ohne eigenen Lernprozess wird das sonst nie wirklich funktionieren…

Nothiochuk35

Leider komme ich nicht weiter.

Ich habe den DDNS-Dienst deaktiviert und kann direkt über die öffentliche IP 1XX.X.XXX.XX auf die Weboberfläche des Routers von aussen zugreifen. Somit funktioniert der Zugriff grundsätzlich.

Aber wenn ich den IPSec Client darüber einrichte und vom Mac eine Verbindung zum ASUS Router aufbauen möchte, erhalte ich die Fehlermeldung:
"Der VPN-Server antwortet nicht. Überprüfe die Serveradresse und versuche erneut, eine Verbindung herzustellen."

Wer hat noch eine Idee?

Werner

@Nothiochuk35

Wenn Du Deinen Asus jetzt hinter dem Media-Konverter hast und auch den Asus-DynDNS verwendest, würde ich Dir empfehlen auf dem Asus den OpenVPN Server zu aktivieren, mit Deinen persönlichen Angaben gemäss Anleitung zu konfigurieren und dann da das vollständig eingerichtete.OVPN Konfigurationsfile zu exportieren.

Dieses kann man dann für IOS in die App OpenVPN Connect und für den Mac in die Freeware "Tunnelblick" importieren.

Diese Open VPN Clients stellen dann bei Bedarf von den einzelnen Geräten her die Verbindung direkt um Open VPN Server auf dem Asus Router her.

Hier noch das entsprechende "Kochbuch" für den Mac:

https://www.asus.com/de/support/FAQ/1004472/

Selbst benutze ich das bereits seit Jahren problemlos für die Clients iOS und Windows.

Open VPN Server hat gegenüber IPsec für die nomadische Nutzung sowieso einiges an Vorteilen.

Da Du mit dem IPsec nicht weiter kommst, würde ich den nächsten Anlauf mal mit Open VPN Server machen.

Die von Dir gewünschten Einstellungen kannst Du Dir da auf dem Merlin-GUI des Open VPN Servers zusammenklicken und dann anschliessend das fertige Konfig-File exportieren.

Da das OVPN-File nach dem Export vom Server bereits komplett ist, kann man nach dem Import beim Client eigentlich nicht mehr viel falsch machen.

Den Open VPN Server würde ich der Vereinfachung halber empfehlen ohne zusätzliches Zertifikat zu konfigurieren (also Client-Zugriff nur über User/Passwort).

user109

Werner

@Nothiochuk35 wichtig ist das man keine VPN-Verbindung aus seinem eigenen gleichen Netzwerksegment aufbauen kann und verschiedene Netzwerksegmente z.B. ( 192.168.2.0 /24 und 192.168.1.0 /24) benutzen muss.

VPN