xDSL.at

[stoneeh]

servus

hab das aon dsl kombipaket

hab am server vpn eingerichtet, normal über pptp. im internen netz gehts. nach aussen hab ich port 1723 und 47 forwarded. in der firewall am server sind diese ports natürlich auch erlaubt. wenn ich teste ist port 1723 offen und von aussen erreichbar, 47 so wie es ausschaut nicht

sperrt aon port 47? und hat irgendwer eine idee wie ich stinknormales pptp vpn zum laufen krieg?


mfg
stoneeh

[Stefan Hedenig]

Du brauchst nicht tcp port 47 (1723 reicht),
Sondern IP Protokoll 47 (GRE). Das hat nix mit port forwards zu tun, und nur wenige Geräte können das tatsächlich vernünftig forwarden... Mit einem Pirelli 4202 sollts aber gehen.

[stoneeh]

ich hab ein speedtouch 546

Produktname: SpeedTouch 5x6
Softwareversion: 5.3.9.2
Softwarevariante: CM
Startprogrammlader-Version: 1.0.6
Produktcode: 35998470
Platinenname: BANT-V


wenn ich im aon kundencenter auf modemwechsel geh bekomm ich nur unnütze sachen ala usb modem angezeigt. gibts da jetz irgendwelche auswege aus dem dilemma?

[ANOther]

mit deinem speedtouch gehts auch (prächtig)

[wicked_one]

benutzt du nur das Speedtouch auf Multiuser, oder ist noch ein Router involviert? Wie testest du es von aussen, und was kommt für ein Fehler bzw wo bleibt es hängen? schon mal mit wireshark mitgesnifft?

sonst fiele mir nur ein.. es gab bei diversen Modems Probleme mit dem PPTP ALG. hier half zB oft die tcpchecks auf der Firewall des ST abzudrehen.

das ging IIRC über die CLI mit dem Befehl
:firewall config tcpchecks=disabled

HTH

[stoneeh]

hiho

erm ich benutze das speedtouch soweit ich das beurteilen kann auf multiuser.. also bridge. router is kein weiterer dazwischen

firewall am modem is abgedreht

naja bis jetzt hab ichs nur ein paar habara von mir testen lassen, dabei hab i aber nur per icq mit ihnen kommuniziert, konnte nicht mitansehn was bei ihnen der fehler war

hab jetz grad dsl verbindung neu gestartet, also wer lust hat kann es ab jetzt 8h lang testen auf 91.113.65.50, user test, pw test123 (client muss ms chap v2 können)

ansonsten gib ich per PM auch gern dyndns namen her.. wär lieb wenn mir das wer durchcheckt


edit: das is die firewall config

[ fwlevel.ini ]
add name=BlockAll index=1 readonly=enabled udptrackmode=strict service=disabled proxy=disabled text="Use this Security Level to block all traffic from and to the Internet."
add name=Standard index=2 readonly=enabled udptrackmode=loose service=enabled proxy=disabled text="Use this Security Level to allow all outgoing connections and block all incoming traffic. Services and Application Sharing are allowed to open pinholes in the firewall."
add name=Disabled index=3 readonly=enabled udptrackmode=loose service=enabled proxy=disabled text="Disabled the firewall. All traffic is allowed to pass through your SpeedTouch."
set name=Disabled

[ firewall.ini ]
config state=enabled keep=disabled tcpchecks=exact udpchecks=enabled icmpchecks=enabled logdefault=disabled logthreshold=enabled tcpwindow=65536
debug traceconfig tcpchecks=disabled udpchecks=disabled icmpchecks=disabled sink=none forward=none source=none
rule add chain=source_fire index=1 name=AnyTraffic log=disabled state=enabled action=accept
rule add chain=forward_level_BlockAll index=1 name=AnyTraffic log=disabled state=enabled action=drop
rule add chain=forward_level_Standard index=1 name=FromLAN srcintf=lan log=disabled state=enabled action=accept
rule add chain=forward_level_Disabled index=1 name=AnyTraffic log=disabled state=enabled action=accept

[stoneeh]

ip ist jetzt 91.113.71.108

[jutta]

ich habs hier mit win 7 probiert. da es mir angeboten hat, seine probleme in ein logfile zu schreiben, habe ich das gemacht.
http://www.netzwerklabor.at/kramuri/pptp.html (achtung - sehr lang!)

[stoneeh]

woah, längstes file ever. thx jutta. i glaub aber um 16:10 hatte i bereits a andere ip, weils mir das modem mehrmals gfetzt hat (kA wieso)

wer's bei der aktuellen ip probieren will, hab gach an dyndns eingerichtet -> stoneeh.dynalias.com

thx

[stoneeh]

ok, konnte es jetzt selbst von woanders testen

von einem win7 rechner aus kommt fehler 807

von einem winxp laptop aus kommt fehler 800

jedesmal wurden aber keinerlei log einträge am server gemacht, d.h. der server wurde nicht mal erreicht, d.h. das problem liegt rein am modem

hat irgendwer ideen?

[jutta]

mir fallen grad 2 sachen auf:

>erm ich benutze das speedtouch soweit ich das beurteilen kann auf multiuser.. also bridge.

singleuser = bridge
multiuser = router/nat

hat du das mit den tcpchecks=disabled probiert, wie wicked_one vorgeschlagen hat?

[stoneeh]

modem ist in multiuser config

tcpchecks hab ich grad abdreht. dachte zerst die firewall wär komplett disabled gwesn, das scheint aber nicht der fall gewesen zu sein, da haben mich die config entries verwirrt

zusätzlich hab ich grad auf die aktuellste firmware upgraded, 7.4.4.7

also wenns nochmal wer probieren würd wär nett - adresse stoneeh.dynalias.com, user test, pw test123

[jutta]

ich krieg weiterhin fehler 800 (min win 7)

[zid]

der tcp/1723 ist auf stoneeh.dynalias.com "filtered":

Code: Alles auswählen

>nmap -n -P0 -p1723 stoneeh.dynalias.com
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2010-12-27 14:09 UTC
Interesting ports on 91.113.102.74:
PORT     STATE    SERVICE
1723/tcp filtered pptp

Nmap run completed -- 1 IP address (1 host up) scanned in 36.159 seconds

entweder hast du den ddns-client abgedreht, sodaß die ip nicht stimmt, oder es gibt zoff mit der weiterleitung. was sagt:
=>nat maplist
wenn du online bist. und schau sicherheitshalber nach, ob der tcp/1723 ans pptp-alg gebunden ist, sonst scheitert gre.
der output von "connection bindlist" muß diesen eintrag enthalten:

Code: Alles auswählen

=>connection bindlist
Application  Proto Portrange   Flags
...
PPTP         tcp   1723
...

lg
zid

[_Riddik_]

Hallo,

du hast TCP 1723 weitergeleitet?
Der ist auch offen. Nur dein Server antwortet nicht. Auf richtige IP im
LAN geforwarded? Ansonsten liegts scheinbar am Server nicht am
Modem.

Lg

Riddik