VPN mit Vigor 2200

[Seth]

Hallo!
Ich habe schon mal die Forumssuche bemüht und nicht wirklich 100%ig was zu meinem Problem gefunden, eher haben mich die Artikel verwirrt. ;-) Darum schildere ich Euch mal mein Problem und würde gern wissen, ob das überhaupt so geht wie ich mir das vorstelle.

Ich besitze die Fritzbox 7050 und einen Vigor 2200E. Der Vigor ist hinter der Fritzbox im Netz. Ich möchte nun ein VPN Lan2Lan einrichten mit einem anderem Vigor 2200X Router (dieser Router hängt über ein DSL-MODEM direkt im Netz (Bridge)). Beide Router haben das aktuellste Bios drauf.
Ich habe mich jetzt schon Stunden damit auseinander gesetzt, sämtlich Ports die ich im Netz gefunden habe dazu freigeschaltet, bzw. weitergeleitet, aber meine beiden Vigor Router wollen einfach nicht eine VPN Verbindung hinbekommen... Ich bin mittlerweile zu pptp übergegangen, aber das geht auch nicht. WEnn ich das Client-Tool von Draytrk benutzte klappt eine VPN Verbindung mit dem 2200X ohne probleme.

Habt ihr dazu Tipps? Geht das überhaupt, dass die Fritzbox vor dem Vigor Router sitzt?

Gruß

 

[Seth]

hoppla, ich bin wohl in den falschen Thread geraten mit dem Artikel... Wäre nett, wenn den ein Admin umkopieren könnte.
Vielen Dank!

Gruß

 

[frank_m24]

Hallo,

hoppla, ich bin wohl in den falschen Thread geraten mit dem Artikel...

Ich antworte trotzdem mal.

Zunächst: Der Vigor kann schon ins Netz, d.h. IP-Adresse vom Subnetz der Box, Gateway, DNS Server sind ordnungsgemäß konfiguriert? (Ja, ist ne blöde Frage, aber es liegt oft an solchen Selbstverständlichkeiten). Überprüfe es am besten im Telnet Interface des Routers oder von Clients dahinter.

IPSEC kannst du sofort vergessen, die Vigors unterstützen kein NAT-T. Also bleibt nur PPTP, wenn ein Vigor hinter der Fritz hängt.

Dafür muss in der Box Port 1723 mit Protokoll 47 (GRE), als Zieladresse die des Vigors, freigegeben sein.

Wie hast du die Konfiguration gemacht?
- Natürlich MÜSSEN die lokalen Subnetze der beiden beteiligten Vigors unterschiedlich sein, sonst gibt es Routing Kuddel Muddel.
- Der PPTP Service im Remote Access Control Setup muss natürlich aktiviert sein.
- Auf beiden Seiten muss Lan-to-Lan konfiguriert sein, auf einer Seite ein DIAL-IN User geht nicht.
- Die Dial-In Settings der einen Seite müssen zu den Dial-Out Settings der anderen Seite passen und umgekehrt.
- Die Start-IP-Adresse in den generischen PPP Settings muss zum Subentz des lokalen Vigors passen.
- Unten links im Lan-to-Lan Setup kann man das Remote Subnetz angeben, damit wird die VPN Verbindung automatisch aufgebaut, wenn ein Zugriff dahin erfolgt (bei "Remote Network IP" und "Remote Subnet Mask).
- Unten Rechts gibt es ein Feld mit der Auswahl "Private IP" oder "Public IP". Dort solltest du "Private IP" answählen.

Wie gesagt: Immer schön PPTP aktivieren und alles andere deaktivieren.

Wird im VPN Status schon eine Verbindung angezeigt?

Um auch deine nächste Frage direkt zu beantworten (): Es dauert bis zu 10 Minuten, bis sich die Rechner in der "Windows Netzwerkumgebung" sehen können.

Generell ist dieses Forum eine gute Anlaufstelle für Vigor Probleme. Suche nach Posts eines Users "kdd", der hat eine solche Konfig, wie du sie möchtest, am laufen und hat dort auch irgendwo ein Howto dafür zusammengeschrieben.

Viele Grüße

Frank

 

[Seth]

Hallo Frank!
Vielen dank erst mal für deine ausführliche Antwort!!!

Leider habe ich es noch nicht geschafft das VPN hinzubekommen. Habe sämtliche Schritte die du angegeben hast geprüft, aber trotzdem kein Erfolg.

- Die Start-IP-Adresse in den generischen PPP Settings muss zum Subentz des lokalen Vigors passen.

Wo stellst du die Start-IP genau ein? Meinst du das unter: PPP General Setup ?

Wird im VPN Status schon eine Verbindung angezeigt?

Nein absolute tote Hose in der Anzeige.

Die IP Adresse /Subnetze sind wie folgt getrennt
192.168.1.0 (Standort A)
192.168.2.0 (Standort B)

Ich werde jetzt mal deine anderen Quellen absurfen und schauen, ob ich da noch was finde, aber falls du noch eine Idee hast... bin für Tipps dankbar!

Grüße
Lars

 

[frank_m24]

Hallo,

Wo stellst du die Start-IP genau ein? Meinst du das unter: PPP General Setup ?

ja, genau da. Dort sollte als Startadresse eine Adresse angegeben sein, die im eingestellten lokalen Subnetz des Vigors ist.

Auf der Seite, wo der Vigor hinter der Fritz hängt: Das Subnetz der Fritz und des Vigors sind auch unterschiedlich? Der Vigor hat als externe IP eine Adresse aus dem Subnetz der Fritz und die PCs sind im lokalen Netz des Vigors? Das ist eine Doppel-NAT Konfig auf der Seite, das ist nicht ganz tivial einzurichten.

Ich habe zur Verdeutlichung noch mal ein kleines Bild gemalt.

Viele Grüße

Frank

 

[Seth]

ja, genau da. Dort sollte als Startadresse eine Adresse angegeben sein, die im eingestellten lokalen Subnetz des Vigors ist.

Okay, das habe auch so eingestellt.

Auf der Seite, wo der Vigor hinter der Fritz hängt: Das Subnetz der Fritz und des Vigors sind auch unterschiedlich? Der Vigor hat als externe IP eine Adresse aus dem Subnetz der Fritz und die PCs sind im lokalen Netz des Vigors? Das ist eine Doppel-NAT Konfig auf der Seite, das ist nicht ganz tivial einzurichten.

Ich habe zur Verdeutlichung noch mal ein kleines Bild gemalt.

Viele Grüße

Frank

Erst mal tausend Dank für das Bild!!!
Ich glaube da liegt mein Fehler... Ich wollte eigentlich folgendes machen:
- Fritzbox geht ins Netz und erhält die externe IP, sowie DNS und fungiert als Gateway
- Der Vigor liegt im privaten Netzwerk und erhält eine IP (zB 192.168.1.5)
- die PC liegen im selben privaten Netzwerk (zb 192.168.1.x)

Bei der VPN-Gegenstelle hängt der Vigor-Router direkt im Netz.

Kann das so überhaupt gehen? Ich bin gerade verunsichert, ob nicht da mein Fehler liegt.

grüße
Lars

 

[frank_m24]

Hallo,

Ich glaube da liegt mein Fehler... Ich wollte eigentlich folgendes machen:
- Fritzbox geht ins Netz und erhält die externe IP, sowie DNS und fungiert als Gateway

Das ist gut!
Welches Subnetz nutzt sie lokal? Vielleicht den Standard 192.168.178.0? Oder 192.168.1.0?

- Der Vigor liegt im privaten Netzwerk und erhält eine IP (zB 192.168.1.5)

Das ist noch ok, wenn das lokale Subnetz der Box 192.168.1.0 ist.

- die PC liegen im selben privaten Netzwerk (zb 192.168.1.x)

Jetzt wird eng. Das externe und das interne Subnetz des Vigors müssen sich unterscheiden.
Der Vigor muss seinerseits als Router arbeiten, wenn man seine VPN Funktionalität nutzen will. Routen tut man aber überlicherweise zwischen zwei unterschiedlichen Subnetzen

Das heißt für dich im Einzelnen:

• Die Fritzbox hat ein lokales Subnetz
• Der Vigor bekommt als externe (WAN) Adresse eine Adresse aus diesem Netz. Für ihn ist die Box Gateway, DNS Server und möglicherweise auch DHCP Server (sofern der Vigor DHCP will).
• Der Vigor bekommt intern ein anderes (!) Subnetz
• Die PCs, die die VPN Verbindung nutzen wollen, hängen am Vigor, kriegen eine IP aus dem internen Subnetz des Vigors und haben IHN als Gateway. Als DNS Server bekommen sie entweder die IP des Vigors, der Fritzbox oder die externen des Provider (ja, das geht alles drei). Oder man aktiviert DHCP, dann braucht man sich um den ganzen IP Driss nicht mehr zu kümmern. Dafür muss der Vigor abr AUCH DHCP Server sein.
• Man kann auch PCs direkt an die Box anklemmen, ABER die können dann die VPN Verbindung nicht nutzen, dürfen NICHT physikalisch am Vigor angeschlossen sein und brauchen dann eine IP aus dem Subnetz der Fritz und als Gateway die FritzBox (oder wieder mal: DHCP)

Nicht vergessen: Das Subnetz bei dem anderen, externen Vigor muss noch mal anders sein. Also nichts bei dir einstellen, was da gebraucht wird. Du hast also dann insgesamt mit drei unterschiedlichen Subnetzen zu tun.

Wer routet so spät durch Nacht und Wind .... . Lass dich nicht einschüchtern. Doppel-Nat ist nicht trivial zu blicken, aber wir kriegen dass schon.

Viele Grüße

Frank

 

[Seth]

Wer routet so spät durch Nacht und Wind .... . Lass dich nicht einschüchtern. Doppel-Nat ist nicht trivial zu blicken, aber wir kriegen dass schon.

Ich kann nur wieder meinen Dank ausdrücken !!! Es läuft !

Aber zwei Fragen habe ich noch:

1. Wenn hinter der Fritzbox der vigor sitzt und daran die PCs angeschlossen sind, dann sollte das Traffic Shaping doch funktionieren oder?

2. Kann ich über die WLAN Antenne der Fritzbox einen PC in das VPN holen?

Gruß
Lars

 

[frank_m24]

Hallo,

1. Wenn hinter der Fritzbox der vigor sitzt und daran die PCs angeschlossen sind, dann sollte das Traffic Shaping doch funktionieren oder?

Ja.

2. Kann ich über die WLAN Antenne der Fritzbox einen PC in das VPN holen?

Eventuell, aber sowas habe ich noch nie ausprobiert. Es hängt sicher auch vom Verhalten des Vigors ab bzgl. Firewall und NAT, wo ich mir nicht ganz sicher bin.

Versuche mal folgendes:
Trage in die Fritzbox eine statische Route ins ENTFERNTE Subnetz ein (also dass auf der anderen Seite des VPNs, NICHT das lokale bei dir), und zwar als Gateway die externe IP des lokalen Vigors (also die aus dem Subnetz der Box). Verständlich?

Beispiel (ich weiß nicht, ob die Adressen bei dir genau so sind, aber dass kannst du ja adaptieren):

• Das lokale Subnetz der Box ist 192.168.178.0, der Vigor hat als Adresse 192.168.178.2 (seine externe Adresse am WAN Port), die Adresse des WLAN Notebooks ist z.B. 192.168.178.3.
• Das lokale Subnetz deines Vigors hat 192.168.1.0, die PCs haben Adressen daraus.
• Das entfernte Subnetz auf der anderen Seite des VPNs ist 192.168.2.0.
• Dann braucht die Box eine statische Route nach 192.168.2.0 mit Gateway 192.168.178.2

Wenn der Vigor die von außen reinkommenden Pakete nicht durch die Firewall verwirft, dann könnte das so klappen. Aber sicher bin ich mir nicht, denn es gibt Router, die blocken sowas kategorisch ab. Deaktiviere für die Versuche die Firewall deines lokalen Vigors am besten komplett.

Und sage mir, obs klappt. Das interessiert mich selbst nämlich auch brennend.

Viele Grüße

Frank

 

[Seth]

Hi Frank!
Ich werde es versuchen und dir Bescheid geben. Bin aber erst frühestens am Sonntagaabend an meinem Netzwerk.

Grüße und schönes WE!
Lars

 

[JHC]

Hallo Seth,

ich betreibe es umgekehrt, FBF hinter einem Vigor, funktioniert einwandfrei mit einer VPN-Verbindung

Grüße
Jens

 

[frank_m24]

Hallo,

ich betreibe es umgekehrt, FBF hinter einem Vigor, funktioniert einwandfrei mit einer VPN-Verbindung

ja, dann ist es auch tirivial, der Vigor routet ja eh den ganzen Traffic der Box.

Aber das wird Seth nicht helfen, schließlich hat sein Vigor kein eigenes DSL Modem als WAN Port. Er müsste dann auch noch ein zusätzliches Modem anschließen.
Und WLAN von vorm Vigor in die VPNs reinzuholen ist schon nicht mehr ganz so trivial .

Viele Grüße

Frank

 

[Bluesalternativ]

Hallo Seth,

ich betreibe es umgekehrt, FBF hinter einem Vigor, funktioniert einwandfrei mit einer VPN-Verbindung

Grüße
Jens

Hallo Jens,

d.h. Du terminierst den Tunnel auf dem Vigor?

Wie routest du dann zwischen Vigor und FBF, so dass die VPN-User Zugriff auf das Netz hinter der FBF erhalten (Statische Route auf Vigor?).

Was hast du bei der FBF eingestellt, damit nur die VPN-User durch kommen. Oder Routet die FBF dann alles ohne Firewall?

Gruß

Udo

 

[Seth]

@frank: Also ich habe es nicht zum laufen bekommen, so wie du es geschrieben hast, habe auch ein bissel rumgefummelt aber leider kein Erfolg gehabt. Ich glaube der Vigor verwirft die Pakte einfach
Setze mich aber noch mal dran, sobald ich wieder mehr Zeit habe. Muss doch irgendwie gehen hehe Könnte ja mal einen Sniffer anschmeißen...

Grüße
Lars

 

[frank_m24]

Hallo,

@frank: Also ich habe es nicht zum laufen bekommen, so wie du es geschrieben hast, habe auch ein bissel rumgefummelt aber leider kein Erfolg gehabt. Ich glaube der Vigor verwirft die Pakte einfach

Offengestanden habe ich genau das befürchtet ...

Viele Grüße

Frank

 

[Gast]

Ich kann nur wieder meinen Dank ausdrücken !!! Es läuft !

Aber zwei Fragen habe ich noch:

2. Kann ich über die WLAN Antenne der Fritzbox einen PC in das VPN holen?

Gruß
Lars

Das sollte recht einfach gehen. Lege im Vigor einen VPN User an, der pptp Zugriff hat und gib im ein Passwort. Dann Verbindest du dich per WLAN mit deiner Fritzbox und startest dort den PPTP Client (bei Win dabei) und verbindest dich zur externen IP des Vigors. Der gibt dir dann dynamisch eine interne IP des LAN Netzes vom Vigor und du hast alles was du willst. Normal geht dann deine Default Router durch den PPTP Tunnel druch. Du hast dann 2 PPTP Tunnel laufen, also nicht wundern, das ist ok so.