IPSEC/PPTP Passthrough.. Probleme mit VPN generell

Hallo,
bei uns ist ein Router kaputt gegangen, deshalb habe ich übergangsweise die efw 2.51 installiert. Sie steht bei uns außen direkt am Internet, Grün wäre hier ein freies Netz, welches wir auch Kunden zum Benutzen anbieten. Das Produktivnetz ist durch eine andere Firewall dahinter gesichert.

Internet >> efw>> freies Netz >> andere Firewall >> Produktivnetz. Ursprünglich war anstelle der efw ein stinknormaler Router.

Die efw macht grundsätzlich einen guten Eindruck, leider bin ich auf manche Probleme gestoßen, die ich nicht selber lösen konnte und auch keine Lösung im Internet gefunden habe. Sie betreffen hauptsächlich VPN Passthru.
1. PC- Client hinter efw baut pptp nach Extern auf.. das geht, der Traffic in das externe Netz wird aber aus unersichtlichen Gründen nicht durch den Tunnel geleitet. Zumindest funktioniert RDP etc. nicht.
2. Dasselbe mit einem IPSEC- Softwareclient. Verbindung wird aufgebaut, funktioniert aber nicht.
3. Dasselbe mit Lancom VPN- Router. Wir sind DATEVnet- Kunden, d.h. wir surfen über deren Proxy. Hierfür wurde uns ein Lancom VPN Router gegeben, der automatisch einen IPSec- Tunnel zur Datev aufbaut. Hierdurch leiten wir dann unseren (produktiven) http- Traffic. Der Lancom- Router steht im freien Netz hinter der efw. Im Gegensatz zu dem Softwareclient baut er noch nicht einmal die Verbindung auf. Tausche ich die efw gegen z.B. eine Fritzbox funktioniert alles wieder.

Ich habe schon eine Menge ausprobiert, aber konnte die Lösung des Problems nicht finden. Ich habe insbesondere den 3. Fall näher beobachtet.
- mit ausgeschalteter ausgehender Firewall
- mit eingeschalteter Firewall any/any oder dedizierte Portfreigabe.
- Portweiterleitung (was mE Quatsch ist und auch nciht funktioniert hat)

- mit aktivierten und deaktiverten VPN Regeln
Als Regeln habe ich für IPSec immer UDP 4500, 500 (NAT-T) und ESP eingestellt, oder any/any. Da er allerdings ausgehend ist benötige ich mE ja gar keine Regel...

In den Firewall Logs sehe ich, dass die Anfrage raus geht, eine Antwort sehe ich allerdings nie. Man kann ja, da es UDP ist, auch nicht sehen, ob das versendete Paket tatsächlich angekommen ist.

Hat jemand Ideen, was zu tun ist, damit VPN funktioniert?

Danke und Gruß!

Hallo Thargoid,
vielen Dank für deine Antwort.
Wie gesagt, mit einer FritzBox funktioniert genau dieses 'Gebilde'.
Portweiterleitungen habe ich probiert, aber meines Erachtens sind die gar nicht nötig, da ja von außen keine Verbindung hergestellt werden soll, sondern von innen nach außen und da sollte ja eigentlich PAT funktionieren. Mit dem Router hinter dem Router kann ich auch gar nicht beeinflussen, da ich den gar nicht administrieren kann. (Der wurde so von der Datev ausgegeben.) Der agiert also quasi als VPN- Client. Ich könnte den Lancom Router natürlich an einer eigenen Leitung anschließen, aber, wie gesagt, mit einem anderen Boarderrouter geht´s ja. Das mit den Soft- VPN clients ja ebenfalls nicht geht ist ja ein weiteres Indiz, dass die efw da evtl. Probleme mit hat. Bei der Suche mit Google habe ich zig Seiten mit Problemen ähnlicher Art gefunden, aber nie eine Lösung...

Grüße,
hevtig