AVM-7570VDSL dahinter VPN Router

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
H

harry1234

Neuer User
Mitglied seit
19 Feb 2010
Beiträge
60
Punkte für Reaktionen
0
Punkte
0
Hallo,
ich habe folgendes Problem:
Ich habe eine AVM-7570VDSL mit stark eingeschränkter Firmware vom Provider. Ich würde nun gerne eine VPN Verbindung für einen Laptop, der per Mobilfunk gekoppelt werden soll, einrichten. Kann ich hinter dem 7570 einfach eine AVM-7170 schalten(Lan Anschluß von 7570 an DSL der 7170) und dort eine VPN Verbindung einrichten?


Gruß Harry
 
Hallo,

grundsätzlich geht das, du musst allerdings einige Dinge beachten:

  • Du musst die 7170 im Modus "Internet über LAN" betreiben. An den DSL Anschluss kannst du die Verbindung zur 7570 natürlich nicht herstellen
  • Die 7570 muss es erlauben, die Ports UDP 500, UDP 4500 und das Protokoll ESP an die IP der 7170 weiterzuleiten
  • Die 7170 muss im Modus "NAT-Router über IP" betrieben werden. Als "IP-Client" läuft der VPN Server nicht. Das bedeutet auch, dass die 7170 ein eigenes lokales Subnetz benötigt, das sich von dem der 7570 unterscheidet
  • Zumindest alle Geräte, die per VPN erreichbar sein sollen, müssen ins Netz der 7170. Geräte an der 7570 und Geräte an der 7170 können sich gegenseitig nicht erreichen. Im Zweifel müssen alle Geräte ins Netz der 7170, damit sie sich erreichen können
  • Du hast mit dem Szenario eine Doppel-NAT Konfiguration, die besondere Beachtung erfordert. Vor allem, wenn du Portweiterleitungen für die PCs hinter der 7170 benötigst, müssen die in beiden Fritzboxen korrekt eingerichtet werden

Das, was du vorhast, geht, ist aber definitiv nichts für Anfänger. Der Umstand, dass du die 7170 per DSL Modem an die 7570 anschließen wolltest, lässt mich die Empfehlung aussprechen, dir lieber jemanden dazuzuholen, der sich mit sowas auskennt. Nur eine falsche IP- oder Routeneinstellung, und du hast dein gesamtes Netz für Stunden vom Internet ausgesperrt.
 
Also gehe ich wie folgt vor:

AVM7570 hat die 192.168.178.1
AVM7170 gebe ich die 192.168.179.1
Verbinde AVM7570 Lan1 mit AVM7170 Lan1.
Die 7170 im Modus "Internet über LAN" betreiben.
Die 7170 im Modus "NAT-Router über IP" betrieben.
In der 7570 die Ports UDP 500, UDP 4500 und das Protokoll ESP auf die 192.168.179.1 weiterleiten.


Gruß Harry
 
Hallo,

harry1234 schrieb:
AVM7170 gebe ich die 192.168.179.1
Zum Vergrößern anklicken....
Nein, das ist schon falsch. Die 7170 benötigt am WAN Port eine IP aus dem Bereich der 7570, also z.B. 192.168.178.2 . Lokal benötigt sie ein eigenes Subnetz, aber nicht 192.168.179.1, da das intern in der Fritzbox verwendet wird. Entweder unterhalb von 178, oder oberhalb von 182.

harry1234 schrieb:
Die 7170 im Modus "NAT-Router über IP" betrieben.
Zum Vergrößern anklicken....
Ganz präzise heißt es "Internetverbindung selbst aufbauen (NAT-Router über PPPOE oder IP)".

In der 7570 die Ports UDP 500, UDP 4500 und das Protokoll ESP auf die 192.168.179.1 weiterleiten.
Zum Vergrößern anklicken....
Nein, die Portweiterleitungen müssen auf die 192.168.178.2 (wenn man obiges Beispiel zugrunde legt). Das lokale Subnetz der 7170 kennt die 7570 nicht, und kann es auch nicht erreichen.
 
Ok danke erst einmal.
Um es noch ein wenig günstiger zu machen, könnte ich doch auch die FRITZ!Box 2170 nehmen?
Noch eine Frage: Wenn ich mit dem Laptop per VPN mit der Fritzbox verbunden bin und ich im Internet Seiten aufrufe, wird dann eigentlich die IP von meinem Festnetz- oder die meines Mobilfunkbetreibers übermittelt?
 
Zuletzt bearbeitet:
Hallo,

eine 2170 bietet kein "Internet über LAN" und kommt damit nicht in Frage.

Es wird die Mobilfunk-IP übermittelt. Nur die Daten VPN Netz werden über den Tunnel geschickt.
 
Ok dann bleibe ich bei der AVM-7170.
Ist es denn irgendwie möglich, dass die IP meines Festnetzbetreibers übermittelt wird?
 
Hallo,

es gibt im AVM Softwarebereich eine Anleitung, wie man allen Datenverkehr über die VPN Verbindung leiten kann.
 
AVM7570 hat die 192.168.178.1
AVM7170 hat die 192.168.200.1 und am WAN Port die 192.168.178.200.
Funktioniert auch alles prima, jedoch wird bei dyndns.org die 192.168.178.200 angezeigt.
 
Dann sollte der DynDNS-Account in der 7570 eingerichtet werden (wenn sie's kann?!), denn so wie ich es verstanden habe, baut ihr DSL-Part ja die Internetverbindung auf, welchen die 7170 sich dann nur lokal abzieht...
 
Shit aber auch...

Dann bleiben dir zwei Optionen:
  1. Installiere auf einem 24/7-Client in deinem LAN einen DynDNS-Client, der die Aktualisierung übernimmt
  2. prüfe mal, ob du die 7570 nicht freetzen kannst...

...wobei ich mich eh frage, was denn von deinem Provider (welcher?) alles an der 7570 gefummelt wurde...
 
7170(VPN)-Firmennetzwerk-VPNserver(RV042)

Hallo,

sorry dass ich mich dazu schalte aber ich bin in etwa in der selben Situation.

Wie im Titel beschrieben soll

7170(192.168.1.xxx) ==>
über Firmennetzwerk (192.168.1.xxx) ==>
VPNserver(192.168.1.xxx) erreichen.

Code: 
/*
 * C:\*.cfg
 * date
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Tunnelname";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = Internet.Firmen.net.Z;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "dyndnsVPNserver";
                localid {
                        user_fqdn = "email@domäne";
                }
                remoteid {
                        fqdn = "dyndnsVPNserver";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "alt/aes-3des/sha";
                keytype = connkeytype_pre_shared;
                key = "passworteben";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.7170interneIP.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.VPNserver.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

So siehts aus:

7170 (DHCP für Clients im eigenen Subnetz an) LAN1 ==> Switch ==> Wand ==> Patchfeld ==> DSL Router (DHCP an) ==> Provider mit fester IP ==> Internet

Wie beim Vorredner erhält Dyndns.org die 7170externe IP nichtsdestotrotz kommt VPN zustande da das Firmennetz eine feste IP hat die ich in VPNserver für den Tunnelclient eingetragen habe.

Was aber überhaupt nicht funktioniert ist die DNS auflösung.

Ich kann weder die 7170 über Laptop(eingewählt in VPN über PPTP) anpingen noch kann die 7170 den VPNserver (anpingen)erreichen.????

Ich bin am Ende mit dem Latein?

Stimmt meine accesslist nicht? muss ich die Mask auf 255.255.255.255 setzen?

G
 
Zuletzt bearbeitet:
Moin,

vorab mal ein paar Verständnisfragen:

  • Welche internen Netzwerke sollen da gekoppelt werden? Auf beiden Seiten 192.168.1.0/24?!
  • Was ist der "VPN-Server" für eine Maschine?
  • Was muss man unter
    über Firmennetzwerk
    Zum Vergrößern anklicken....
    verstehen?
  • Wenn die Gegenstelle eine feste öffentliche IP hat, wieso gibbet dann einen DynDNS-Eintrag?

Erstmal finde ich also deine vpn.cfg etwas strubbelig, aber wenn du sagst, dass der Tunnel aufgebaut wird...

Solltest du allerdings in der Tat für beide Netze die gleiche Netzwerkadresse benutzen, kann das mit dem Routing einfach nicht klappen - ergo erstmal da ansetzen.

Deine accesslist ist nebenbei soweit in Ordnung: die Schreibweise "192.168.1.0 255.255.255.0" ist das Gleiche wie "192.168.1.0/24" und die Adresse des gesamten Netzwerks, also allen möglichen Adressen in diesem Netz.
Die Maske "255.255.255.255" (=32) könnte nur auf genau einen Zielrechner zugreifen - welcher in privaten Netzwerken dann allerdings mal eher nicht die Null am Ende haben wird.
 
Hallo,

Firmennetzwerk ist blöd ausgedrückt, soll heißen unsere Filiale hat sich eingemietet und kommt über das Netzwerk ins Internet.

Leider muss ich wohl oder übel die gleichen Netzwerkadressen benutzen, dh.

7170 (externe IP 192.168.1.xxx - interne IP 192.168.x.1) - Router (192.168.2.1 - DHCP auf 192.168.1.1) - unser Router (Linksys RV042 192.168.1.x)

Ja sowohl Firmenrouter wie auch unser VPNRouter haben feste IP´s aber wie realisiere ich das in der *.cfg?

Ja das Routen ist für mich ein Rätsel
 
I.P. schrieb:
Firmennetzwerk ist blöd ausgedrückt, soll heißen unsere Filiale hat sich eingemietet und kommt über das Netzwerk ins Internet.
Zum Vergrößern anklicken....

Hm. Ich nahm an, die Filiale hat einen eigenen Internetzugang, dessen öffentliche IP sie via DynDNS auflösen lässt, damit die Gegenstelle ("VPNServer") sie identifizieren kann...
Ist dem so?
Wenn ja, weiterlesen; wenn nein, bitte ich um Aufklärung ;)

I.P. schrieb:
Leider muss ich wohl oder übel die gleichen Netzwerkadressen benutzen
Zum Vergrößern anklicken....

Äh, nein. Musst du nicht. Sollst du auch nicht: du willst zwei Netzwerke koppeln, die beide einen Router haben, welcher adresstechnisch das gleiche Netzwerk beackert, zudem hast du an beiden Standorten DHCP-Server laufen, die Adressen aus eben diesem Netzwerk vergeben - selbst, wenn du die zu vergebenen DHCP-Bereiche auf beiden Routern so einstellst, dass sich diese nicht überschneiden, suchen beide Router bei Anfrage an eine beliebige Adresse dieses Netzes stets in ihrer eigenen Routingtabelle - und sonst nirgends...

D.h. es sollte bei dir eher so aussehen:

Filiale 7170:
  • externe IP = DynDNS-Adresse/-Name
  • interne IP 7170 = 192.168.2.1 (bspw.)
  • Router-IP = interne IP = 192.168.2.1 - oder steht da ein separates Gerät?? Dann sollte der ...
  • ...Router bpsw. die 192.168.2.2 erhalten..
  • ...und eine Static-Route zum Netz 192.168.1.0/24 über die 192.168.2.1 eingetragen bekommen
  • DHCP-Bereich auf der 192.168.2.1 = wie du's brauchst)

Firma Linksys RV042:
  • externe IP = feste öffentliche IP
  • Router-IP = 192.168.1.1
  • VPN-Tunnel über öffentliche IPs zwischen den Netzen 192.168.1.0/24 und 192.168.2.0/24
  • Eintragen der Route zum Netz 192.168.2.0/24 in das Standardgateway mit dem VPN-Gateway (Linksys = 192.168.1.1) als Router

Wenn es jetzt auch noch DNS-mäßig klappen soll und die 7170 in der Filiale die DHCP-Adressen vergibt, wirst du manuell in den dortigen Clients noch den DNS-Server der Firma eintragen müssen - denn der FB-DHCP trägt sich immer selbst als DNS-Server ein...
 
harry1234 schrieb:
Geht leider nicht, ist vom Provider gesperrt. Gibt´s da sonst vielleicht eine Möglichkeit?
Zum Vergrößern anklicken....

Also in meiner EWE-7570 wird Dynamic-DNS in der Konfiguration unter "Internet" -> "Freigaben" angezeigt.
Ausprobiert habe ich es allerdings noch nicht.
Hast du vielleicht vergessen, die Expertenansicht einzuschalten oder wird bei dir der Menuepunkt ebenfalls angezeigt und EWE blockiert dann aber den Zugriff auf dyndns.og und Konsorten?

Wenn du es günstiger haben möchtest, müsste dir auch eine gebrauchte 7141 anstelle der 7170 reichen.

Gruß
Steve
 
Hm. Ich nahm an, die Filiale hat einen eigenen Internetzugang, dessen öffentliche IP sie via DynDNS auflösen lässt, damit die Gegenstelle ("VPNServer") sie identifizieren kann...
Ist dem so?
Wenn ja, weiterlesen; wenn nein, bitte ich um Aufklärung
Zum Vergrößern anklicken....

Hi,

Filiale 7170 (192.168.7.1)(DHCP fest 192.168.1.186)
<==> Switch <==> Wand <==>Patchfeld <==>Siemens DSL Router (keine Zugriffsrechte u. darf auch nicht verändert werden - Portfreigaben für 7170 (IP 192.168.1.186 fest im Siemens DSL Router Netzwerk vergeben) <==> Siemens DSL Router (192.168.2.1) <==> feste öffentliche IP <==> VPN <==> Tunnel <==> feste öffentliche Adresse <==> Firma Linksys RV042.

Filiale 7170:

* externe IP = DynDNS-Adresse/-Name
* interne IP 7170 = 192.168.2.1 (bspw.)
* Router-IP = interne IP = 192.168.2.1 - oder steht da ein separates Gerät?? Dann sollte der ...
* ...Router bpsw. die 192.168.2.2 erhalten..
* ...und eine Static-Route zum Netz 192.168.1.0/24 über die 192.168.2.1 eingetragen bekommen
* DHCP-Bereich auf der 192.168.2.1 = wie du's brauchst)
Zum Vergrößern anklicken....

* externe IP = DynDNS-Adresse/-Name
* interne IP 7170 = 192.168.7.1
* Siemens DSL Router-IP = interne IP = 192.168.2.1 - oder steht da ein separates Gerät?? Dann sollte der ...
* ...Router bpsw. die 192.168.2.2 erhalten.. willst du hinter die 7170 schalten? Darf aber auch nicht verändert werden
* ...und eine Static-Route zum Netz 192.168.1.0/24 über die 192.168.2.1 eingetragen bekommen **** wie realisiere ich das? Neue Route?
* DHCP-Bereich auf der 192.168.7.1 = wie du's brauchst)


Firma Linksys RV042: (bereits im Laufen mit 3 weiteren Filialen die sich selbst einwählen - FRITZ7170, Linksys WRV Geräte)

* externe IP = feste öffentliche IP ** positiv
* Router-IP = 192.168.1.1 ** positiv
* VPN-Tunnel über öffentliche IPs zwischen den Netzen 192.168.1.0/24 und 192.168.7.0/24
* Eintragen der Route zum Netz ** keine Ahnung wo, da kein Eintrag in der RV042 gefunden oder meinst du Eintrag in der Linksys RV042 Tunnelconfig für diese Filiale?

192.168.7.0/24 in das Standardgateway mit dem VPN-Gateway (Linksys = 192.168.1.1) als Router



Wenn es jetzt auch noch DNS-mäßig klappen soll und die 7170 in der Filiale die DHCP-Adressen vergibt, wirst du manuell in den dortigen Clients noch den DNS-Server der Firma eintragen müssen - denn der FB-DHCP trägt sich immer selbst als DNS-Server ein...
Zum Vergrößern anklicken....

Da hast du recht.
Was aber von anfang nicht ging, warum klappt das nicht mit der DNS Auflösung wenn ich den DNS Server der HansenetSiemensDSL Router direkt in die Filiale 7170 eintrage? Es klappt nur eine Namensauflösung, unabhängig vom VPN, wenn google (8.8.8.8) + DNS Server von Hansenet(Siemens DSL Router) eingetragen wird, dann koennen die angebundenen Clients der 7170
ins Internet, vorher nicht obwohl Fritzbox 7170 als Log "Internetverbindung hergestellt" suggeriert?!

Ich hoffe ich habe nicht noch mehr WirrWarr gemacht, kann das erst am Dienstag testen.

Wie gesagt VPN configmäßig denke ich mal ist alles richtig. Nur Routing + DNS komm ich nicht klar. Wäre ein Routing auf Filiale 7170 auch ausreichend, machbar um DNS Server Firma zu benutzen und so den Tunnel zu benutzen?

Danke schon mal bisher für die Hilfe u. Geduld!

Grüße
 
Oh man, da haben die mir von Ewetel wohl Blödsinn erzählt.
DNS und VPN sind bei der AVM 7570 gar nicht gesperrt.
Habe es nun wie beschrieben eingerichtet und es funktioniert alles bestens.
Danke allen für die Hilfe.

PS: Hab jetzt noch eine neue AVM 7170 übrig :)
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 808 (Mitglieder: 33, Gäste: 775)

Neueste Beiträge

Statistik des Forums

Themen
246,159
Beiträge
2,247,088
Mitglieder
373,679
Neuestes Mitglied
wt-77
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück