FBF 7270 + Funkwerk x2301

[landlord]

Hallo Zusammen,

habe folgendes Problem:

Momentan befindet sich die FB hinter dem x2301 (netzwerktechnisch)!!
Nun möchte ich aber die FritzBox als Modem benutzen, und den bintec als router (incl. VPN)!!
Der bintec hat die IP 192.168.32.62/255.255.255.224
Die FBF 7270 hat die IP 192.168.32.55/255.255.255.224 ->Internet via LAN1

Leider kann ich die Subnetzmaske bei der FBF nicht verändern.
Die Clients bekommen und müssen die Adresen von dem bintec erhalten, sonst funktioniert das VPN nicht.

Kann ich die IP der FBF 7270 wieder auf die 192.168.178.1/255.255.255.0 so umstellen, dass sie dann auf den bintec routet???

Ich hoffe, dass ich mich verständlich ausgedrückt habe, denn mein Wissen über Netzwerke hält sich in Grenzen

Gruß

landlord

 

[frank_m24]

Hallo,

kannst du die Box nicht zum reinen DSL Modem degradieren und den Bintec PPPOE machen lassen? Macht garantiert weniger Probleme bei VPN. Nachteil: Man kann an der Box natürlich kein VoIP und kein WLAN mehr nutzen.

Ansonsten verstehe ich nicht wirklich, wie du dir die Installation vorstellst. Wenn die Box als DSL Router fungiert, dann hat sie ihr eigenes internes Subnetz (z.B. 192.168.178.0). Der Bintec bekommt eine IP daraus als WAN Adresse und hat ein anderes, internes Subnetz. Daraus bekommen nun die PCs ihre IPs. Nachteil: Eine Doppel-NAT Konfiguration. Komplex zu warten, störanfällig, nachteilig bei Portweiterleitungen und problematisch für VPN.

 

[landlord]

Hi,

hhmmmm. Also Vorschlag 1, die FBF als reines DSL-Modem zu degradieren hört sich gut an, aber wie Du sagtest, danach kein WLAN und VOIP!!

Ich habe von der Firma einen eigenen IP-Nummernkreis bekommen (32.33 - 32.62) mit eigenem Subnetz. Am Bintec kann ich daher leider nix verändern....

Würde denn eine Erfassung einer statische Route in der FBF auf den Bintec etwas nutzen?????


Falls sonst keine andere Lösung in Sicht ist, werde ich wohl die FBF nicht als DSL-Modem nutzen können.

gruß

landlord

 

[ThSteffens]

Die Clients bekommen und müssen die Adresen von dem bintec erhalten, sonst funktioniert das VPN nicht.

Das ist Konfigurationssache am Bintec. Es geht auch mit statischen IP-Adressen.

Ich könnte mir vorstellen, dass bei der Portfreigabe GRE auf die IP-Adresse des Bintecs das ganze funktioniert. Dann aber unbedingt testen ob auch 2 Verbindungen gleichzeitig möglich sind. Oder soll es über IPSEC laufen?

 

[frank_m24]

Hallo,

Würde denn eine Erfassung einer statische Route in der FBF auf den Bintec etwas nutzen?????

Was willst du denn jetzt schon wieder mit einer statischen Route?

Du willst doch einfach nur die Box vor dem Bintec betreiben, oder? Und zwar mit VoIP und WLAN, richtig? Was ist das Problem? Die Box vor den Bintec, und daran alle PCs. Die Box braucht keine IP aus dem Bintec Bereich.

Oder willst du etwa mit den WLAN Clients der Box über das VPN des Bintecs kommunizieren?

 

[landlord]

Hallo,

Die Box braucht keine IP aus dem Bintec Bereich.

Oder willst du etwa mit den WLAN Clients der Box über das VPN des Bintecs kommunizieren?

Hallo frank_m24,

sorry, aber meine Netzwerkkenntnisse sind doch eher bescheiden !!!!

Es ist so, wie Du sagst, zuerst die Box dann der Bintec.

Ich war bisher immer der Meinung, dass beide Geräte im gleichen Subnetz sein müssen. Sind sie nämlich nicht.

Die Clients haben statische IP-Adressen, sind aber in einem anderen Subnetz als die Box.

Aber wenn das so geht, wie Du sagtst, werde ich das mal probieren.....
Gruß

landlord

 

[frank_m24]

Hallo,

Ich war bisher immer der Meinung, dass beide Geräte im gleichen Subnetz sein müssen. Sind sie nämlich nicht.

Genau das Gegenteil ist der Fall. Wenn man zwei Router hintereinander schaltet, dann dürfen die auf keinen Fall IP Bereiche aus dem gleichen Subnetz verwenden. Das externe und das interne Subnetz eines Routers müssen sich immer unterscheiden.

Solche Doppel-NAT Konfigurationen sind nicht trivial. Man muss sich sehr gut überlegen, welche Geräte man wo unterbringt, wie verkabelt und wie man die IPs verteilt. Nicht gerade das ideale Szenario für einen Einsteiger.

 

[landlord]

Hallo,


Genau das Gegenteil ist der Fall. Wenn man zwei Router hintereinander schaltet, dann dürfen die auf keinen Fall IP Bereiche aus dem gleichen Subnetz verwenden. Das externe und das interne Subnetz eines Routers müssen sich immer unterscheiden.

Solche Doppel-NAT Konfigurationen sind nicht trivial. Man muss sich sehr gut überleg

Guten Morgen Frank,

nun muss ich nochmals nerven. Ich bekomme das nicht gebacken oder ich verstehe es einfach nicht.

Folgende Ausgangslage:

Bintec: 192.168.32.62/255.255.255.224 --> Router/VPN
Fritzbox: 192.168.178.1/255.255.255.0 --> DSL

Der Client muss eine IP des Bintec-Netzes bekommen, ich möchte aber beispielsweise über WLAN der Fritzbox in's Internet.

Ich glaube, dass ich hier noch ein Verständnisproblem habe

 

[frank_m24]

Hallo,

Der Client muss eine IP des Bintec-Netzes bekommen, ich möchte aber beispielsweise über WLAN der Fritzbox in's Internet.

Ist das der gleiche Client? Also muss der Client vom WLAN die IP des Bintecs haben?

 

[ThSteffens]

Nun möchte ich aber die FritzBox als Modem benutzen ...
Der Client muss eine IP des Bintec-Netzes bekommen, ich möchte aber beispielsweise über WLAN der Fritzbox in's Internet

In der o.g. Konstellation sehe ich als einzige Möglichkeit, dass sich die WLAN-Clients per VPN auf dem Bintec einwählen.

 

[landlord]

Mal laut gedacht:

wenn der Client eine IP aus dem Bintec-Netz erhält, aber das Gateway der FBF bekommt (IP: 192.168.32.33:255.255.224 GW: 192.168.178.1) -->
Sollte das nicht funktionieren??

 

[ThSteffens]

Also: Gateway = Router

Ein Router verbindet 2 Subnets (im Heimbereich meist Heimnetzwerk und Netzwerk des Internetproviders). Daher muss er in beiden Subnets angeschlossen sein und IP-Adressen haben.

Mit deiner letztgenannten Konstellation erreicht der Client den Router nicht, da sie in verschiedenen Subnets liegen.

 

[frank_m24]

Hallo,

wenn der Client eine IP aus dem Bintec-Netz erhält, aber das Gateway der FBF bekommt (IP: 192.168.32.33:255.255.224 GW: 192.168.178.1) -->
Sollte das nicht funktionieren??

Nein, das kann nicht funktionieren. Siehe Kommentar von ThSteffens.

Wenn die WLAN Clients der Box das VPN des Bintecs nutzen sollen, dann muss die Box hinter den Bintec, als IP-Client konfiguriert werden und ihr DSL Modem muss deaktiviert werden.

 

[ThSteffens]

Wenn die WLAN Clients der Box das VPN des Bintecs nutzen sollen, dann muss die Box hinter den Bintec

Ich sehe keinen Grund, warum es nicht mit der Fritzbox vor dem Bintec funktionieren sollte.

Einzige Einschränkung:
wenn PPTP-VPN-Verindungen genutzt werden, kann immer nur eine online sein, da die Fritzbox immer nur eine durchlässt.

 

[landlord]

Hallo Zusammen,

ich werde jetzt versuchen, mit der FritzBox auf den Firmen-Bintec zu kommen. Hier gibt es eine Anleitung von AVM.
Wenn es funktioniert, kann ich mir den Bintec sparen....

 

[landlord]

Hallo Zusammen,

ich werde jetzt versuchen, mit der FritzBox auf den Firmen-Bintec zu kommen. Hier gibt es eine Anleitung von AVM.
Wenn es funktioniert, kann ich mir den Bintec sparen....

Es funktioniert!!!!!

Dank eines kompetenten Bintec-Spezialisten und dem AVM-Skript habe ich es hinbekommen, dass ich eine Verbindung mit der Box über VPN zu meinem Firmennetzwerk bekomme. Nun kann ich meinen Bintec abschaffen und brauche mir keine Gedanken mehr über ein statisches Routing, Konfigurationen etc. zu machen.

Update:

Im LOG steht folgendes:

IKE-Error 0x2027 (IKE-Error 0x2027)

Keine Ahnung, was das zu bedeuten hat.....

 

[on_the_way_with_fbf]

Phase 1 failed (initiator): IKE-Error 0x2027
meine Meinung nach, DPD (Dead Peer Detect) ist deine Stichwort ...

 

[Anti-T]

Es funktioniert!!!!!

Dank eines kompetenten Bintec-Spezialisten und dem AVM-Skript habe ich es hinbekommen, dass ich eine Verbindung mit der Box über VPN zu meinem Firmennetzwerk bekomme. Nun kann ich meinen Bintec abschaffen und brauche mir keine Gedanken mehr über ein statisches Routing, Konfigurationen etc. zu machen.

Ich weiß nicht was man da für ein "AVM-Skript" benötigen sollte. Ein simples-Portforwarding für 500/4500 UDP durch die FBF zum Bintec hätte ausgereicht. So läuft bei mir ein R3000 hinter einer 7170 perfekt und fehlerfrei.

 

[uvoss]

doofe, leicht offtopic Frage: Hast du die 57er Firmware? Ich hatte ein PPTP VPN und eine 7270 und das entsprechende Portforwarding problemlos laufen und seit dem Update auf die 57er Formware kommen die Pakete nicht mehr durch (Bei mir steht keine Bintec, sondern eine Snapgear als VPN-Server/Firmware dahinter; das Setup ist aber das gleiche).

AVM meldet keine bekannten Fehler, da ich aber sonst nichts geändert habe, kann es nur die Fritzbox sein. Ein Factory-Reset und komplette Neueinrichtung hat keine Änderung gebracht.

Ciao

Ulrich

 

[ThSteffens]

@uvos:
Er kann nicht die 57er Firmware haben, da sie im Februar nicht draußen war.