[Problem] VPN Tunnel zwischen 2 Fritzbox hinter Speedport W 724V

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
N

NightmanII

Mitglied
Mitglied seit
24 Mai 2005
Beiträge
540
Punkte für Reaktionen
6
Punkte
18
Hallo,
ich habe folgendes Problem. In unserem 2ten Büro steht ein Speedport W724V der leider keinen VPN Tunnel aufbauen kann. Ich brauche aber einen dauerhaften VPN Tunnel zum Hauptbüro wo eine Fritzbox als Kabelmodem steht. Im 2ten Büro habe ich heute versucht hinter dem Speedport eine Fritzbox 3370 per LAN anzuschliessen, und diese Internet und IP Adresse von dem Speedport bekommt. Das funktioniert auch aber laut AVM funktioniert dann kein VPN Tunnel mehr.

Bevor wird den Speedport gegen eine Fritzbox austauschen würde ich gern wissen ob es doch eine Möglichkeit gibt den VPN Tunnel zum laufen zu bekommen wenn die Fritzbox hinter einem Speedport hängt. Wichtig ist, dass die Computer die per Switch an dem Speedport hängen der ja auch als DHCP arbeitet bei vorhanden VPN Tunnel auf das externe Netzwerk über Netzlaufwerksverbindungen auch zugreifen können.

Geht das oder brauche ich eine Fritzbox ?

Gruß Nightman
 
Das geht ... aber nur dann, wenn man auf den Computern eine zusätzliche Route für den Zugriff über die FRITZ!Box einstellt - weil der Verkehr für die VPN-Gegenseite natürlich nicht über den Speedport-Router gehen darf.

Zur VPN-Konfiguration einer Verbindung, bei der eine Seite eine nicht-öffentliche IP-Adresse hat (hier die FRITZ!Box hinter dem Speedport-Router), gibt es hier genug Beispiele (Stichworte "initiator" und "responder", die Rollen müssen klar definiert sein in diesem Falle).
 
Wenn es keine offentliche IPv4-Adresse am Kabelanschluss gibt, dann musst du Portweiterleitung im Speedport anlegen
 
Hallo,
ok klingt recht kompliziert, also wäre es einfacher den Speedport gegen eine Fritzbox auszutauschen oder ?

Telekom Speedport gegen Fritzbox sollte ja kein Problem sein
 
Zuletzt bearbeitet:
Speedports können wohl keine statischen Routen mehr setzen oder irre ich mich?

Damit ist ein VPN Gateway dahinter nur sehr umständlich (Route auf PC) zu bedienen.

Folglich:

Weg mit dem Speedport.
 
@grauGolz:
Manchmal hat man gar nicht genug Hände, die man vors Gesicht schlagen möchte ob solcher "Antworten" ... was ist denn jetzt bitte daran "umständlich", auf einem PC (um wieviele es sich hier handeln könnte, steht ja nicht einmal genau da, auch wenn "die Computer" sicherlich mehr als ein einzelner sein sollten) eine statische Route zu einem bestimmten Subnet (und mehr ist hier der Beschreibung in #1 nach gar nicht erforderlich) zu setzen? Stattdessen den Austausch des Speedport-Routers zu "empfehlen", ist einfach nur ein weiteres Zeichen für einen sehr beschränkten Horizont (das ist der Versuch, es positiv zu umschreiben). Je nachdem, um was für Geräte es sich handelt (vielleicht sogar eine kleine Windows-Domain oder irgendetwas anderes mit einer zentralen Möglichkeit der Konfiguration so einer Route), ist das eine Sache von 2 Minuten ... da braucht der Austausch des Speedport-Routers gegen eine geeignete FRITZ!Box ja schon wesentlich länger, wenn es sich nicht um mehr als 10 PCs handeln sollte.

@NightmanII:
Was klingt denn daran genau "kompliziert"? Der Austausch des Speedport-Routers (ist ja dann wohl ein Telekom-Anschluß) bringt dann wieder andere Probleme mit sich ... jedenfalls solange die Telekom dann den Support bei Problemen mit der FRITZ!Box verweigert. Was soll das am Ende bringen?

@thtomate12:
Da steht etwas von einem Anschluß mit einem Speedport-Router und einem anderen, an dem eine FRITZ!Box hinter einem Kabelmodem hängt. Was hat denn eine Portweiterleitung am Speedport (#3) jetzt damit zu tun, ob die FRITZ!Box am Kabelmodem eine öffentliche IP-Adresse hat oder nicht? :gruebel:
 
Zuletzt bearbeitet:
Für ein "Büro" gibt es sicher Alternativen zum Speedport, falls man bei der Telekom einen Vertrag hat.

Ich spreche da aus Erfahrung. :)
 
@PeterPawn: Damit wenigstens eine Seite von extern erreichbar ist.
 
@thtomate12:
Das ist eine FRITZ!Box hinter einem Kabel-Modem (ich tippe hier auf irgendwas mit "HomeBox 1", ist aber mangels korrekter Info auch nur geraten) doch schon ... zumindest steht da nichts von einer privaten IPv4-Adresse (oder DS-Lite, usw.) auf der Seite mit dem Kabel-Anschluß. Aber vielleicht nimmt das ja @NightmanII zum Anlaß, noch ein paar weitere Informationen mit uns zu teilen?

@grauGolz:
Wer lesen kann, ist klar im Vorteil ... die gestellte Frage war, ob es mit der vorhandenen Kombination aus Speedport und FRITZ!Box machbar ist oder ob da eine FRITZ!Box direkt an den Anschluß muß:
NightmanII schrieb:
Geht das oder brauche ich eine Fritzbox ?
Zum Vergrößern anklicken....
Damit ist Dein Beitrag erneut das (nicht als solches gekennzeichnete) Beispiel für Deine eigene Meinung (immerhin danke, daß nicht wieder an beiden Anschlüssen eine pfSense-basierte Lösung nahezu unumgänglich ist), aber es hat mit der gestellten Frage (bzw. mit einer korrekten Antwort auf diese Frage) wenig bis nichts zu tun. Wie nennt man solche Beiträge im Normalfall? Was sagt Dir Deine Erfahrung zu solchen Postings in anderer Umgebung?
 
Hallo PeterPawn,

du hast wahrscheinlich recht. Ich habe aber leider nichts bei AVM gefunden das ich diese Fritzbox so einrichten kann das ah der Speedport als DHCP Server und Internetzugang fungieren soll und die Fritzbox nur den VPN Tunnel zur Verfügung stellen soll. Aktuell brauche ich den VPN Tunnel nur für 3 Computer. Ich würde mir deinen Vorschlag sehr gerne anrufen da du auch recht hast, einfach die Hardware austauschen kostet ja auch Zeit und auch Geld.

Jetzt brauche ich erstmal eine Anleitung wie ich die Fritzbox in das Netz integriere, denn das habe ich noch nicht rausgefunden.

Gruß Nightman
 
@elo22:
Das lese ich tatsächlich auch ... habe das aber einfach umgedeutet, denn wenn die FRITZ!Box dort selbst wirklich nur "Kabel-Modem" wäre (Bridge-Modus mit einem anderen Router dahinter), dann stellt sich die Frage einer VPN-Verbindung zu so einem Gerät ja gar nicht (die hätte dann weder eine öffentliche noch eine nicht-öffentliche IPv4-Adresse) und dann gäbe es hinter der FRITZ!Box ja noch ein weiteres relevantes Gerät - nämlich den eigentlichen Router.

Da wollte ich jetzt bei den Formulierungen nicht unbedingt die berühmten Korinthen als Produkte des Verdauungsprozesses hinterlassen - es gibt aber eine tatsächlich nicht zu leugnende Möglichkeit, daß @NightmanII das Ganze absolut richtig formuliert hat mit dem "als".

Das macht dann aber bei der Frage der VPN-Verbindung zum entfernten Standort immer noch keinen wesentlichen Unterschied, solange der Router am anderen Standort dann seinerseits IPSec mit IKEv1 beherrscht, denn der Router dort hätte im Bridge-Modus ja die IPv4-Adresse. Und für die mögliche Verwendung der FRITZ!Box hinter dem Speedport ist es nur wichtig, daß die Gegenstelle IPSec/IKEv1 beherrscht ... alles andere ist wieder (mit hoher Wahrscheinlichkeit) konfigurierbar und die Frage bezog sich (meines Erachtens) auf die Seite mit dem Telekom-Anschluß und dem Speedport-Router.
 
Also das Kabelmodem ist eine FritzBox 6490 ohne Bridge Modus. Da wir Telefon von KabelDeutschland nicht benutzen könnte ich auch den Bridge Modus aktivieren lassen.Dies ist aber nur die Gegenstelle die ja einen VPN Tunnel erzeugen kann. Auf der anderen Seite habe ich das Problem mit dem Speedport. Von dort aus möchte ich einen VPN Tunnel erzeugen..

Gruß Nightman
 
Da die FRITZ!Box nur im Router-Modus eine VPN-Verbindung aufbauen kann, mußt Du nun erst einmal die 3370 entsprechend konfigurieren (LAN1-Modus, aber als Router -> Verbindung selbst aufbauen) und dann kannst Du von einem Client hinter der FRITZ!Box die VPN-Verbindung zur 6490 einrichten. Das Ganze auf der Basis von "handgeschöpften" Konfigurationsdateien (Vorlagen gibt es hier genug) und dann sollten erst einmal beide Boxen eine Verbindung aufbauen können.

Dann kommt die Stelle, wo man sich entscheiden muß, ob man die PCs gleich komplett hinter die FRITZ!Box stellt (das macht nur dann Probleme, wenn die noch mit anderen Geräten vor der FRITZ!Box kommunizieren müssen) oder ob man sie als "dual homed" mit zwei unterschiedlichen IP-Adressen betreibt, wo der Verkehr in dem einen Netz über den Speedport geht und in dem anderen (das sind ja keine physikalisch anderen Netze, nur "logische" auf der Basis unterschiedlicher IPv4-Segmente) über die FRITZ!Box, die dann über ihren VPN-Tunnel die Rechner hinter der 6490 erreichen kann.

Das ist zwar nur grob die Richtung ... aber genauer muß das sicherlich nicht erneut sein, das ist (fast) alles hier schon einmal beschrieben und bis zu der Stelle, wo die Clients die VPN-Verbindung benutzen sollen (das wäre ggf. noch genauer zu erläutern, wie man das konfiguriert von Hand oder sogar mit passenden Batch-Dateien, die beim Hochfahren der (Windows?-)PCs automatisch ausgeführt werden), gibt es eigentlich nichts weiter zu erläutern, was hier nicht schon irgendwo stehen würde im IPPF.
 
NightmanII schrieb:
Also das Kabelmodem ist eine FritzBox 6490 ohne Bridge Modus. Da wir Telefon von KabelDeutschland nicht benutzen könnte ich auch den Bridge Modus aktivieren lassen.
Zum Vergrößern anklicken....
Bei der FritzBox 6490 gibt es keinen Bridge Modus bei KabelDeutschland und mit dem Telefon hat der Bridge Modus des Kabelmodems auch nichts zu tun.
 
Hallo, ich glaube der Weg mit dem Tausch Speedport gegen Fritzbox ist für mich doch einfacher. Ich melde mich , Danke erstmal
 
Da die Fritzboxen VPN nur per IPsecV1 nutzen, ist ein Tunnelaufbau zu einem Ziel, dass nur per NAT erreichbar ist, 'sportlich'.
 
Inwiefern wird denn die Einrichtung der VPN-Verbindung über die FRITZ!Box leichter, wenn diese statt als kaskadierter Router am Ende direkt am DSL-Anschluß (ich unterstelle mal, daß der W724V nicht an einem FTTx-Anschluß hängt) nuckelt?

Vielleicht stelle ich mich ja auch sonst bei der Einrichtung von VPN-Verbindungen einfach nur etwas zu sehr an und es gibt einen viel einfacheren Weg (quasi ein Geheimnis), wenn die Box als DSL-Modem/-Router verwendet wird? Wie kann ich es mir auch einfacher machen? HILFE BITTE!!!

Geht es am Ende ums Stromsparen (nur ein einzelner Router), ist das schon wieder etwas vollkommen anderes ... aber "einfacher" wäre dann durch "sparsamer im Energieverbrauch" wohl besser umschrieben.

Selbst unter dem Gesichtspunkt "DynDNS" sehe ich irgendwie keinen Vorteil, weil das hier gar nicht notwendig ist, daß der Initiator über eine aktuelle DynDNS-Adresse verfügt.
 
Bei IPsecV1 steckt innerhalb des verschlüsselten Datenstroms die IP-Adresse des Servers. Wenn nun dieser nicht direkt am Internet hängen, sondern über eine NAT-Verbindung eine andere IP-Adressen hat, gibt es Probleme.
Für den Client sollte man bei IPsecV1 die Port 4500, 500, jeweils UDP und GRE freigeben. Der Server sollte direkt mit seinem Bein, überd as der verkehr geht, erreichbar sein.
Eine Fritzbox als VPN-Server hinter einem Router wird, selbst bei passender Portfreigabe, immer eine andere IP haben (durch das NAT)
Er gibt Tricks, wie man das leidlich in den Griff bekommt, IPsecV2 wäre da, auch weil dort das ganze dann NAT-Verträglich ist, nur einen Port braucht und der dann auch bei vielen Hotspots frei ist (nämlich 443) sehr viel einfacher.

Auch deshalb ist es schade, dass AVM noch am IPsecV1 hängt (nicht nur, weil die aktuellen Betriebssysteme eher dafür einen Client haben), sonern auch, weil IPsecV2 einfach mit NAT-Umgebungen zurecht kommt.
 
Sorry, da bringst Du etwas durcheinander ... IKEv2 (ISAKMP unterscheidet sich praktisch nicht) hat per se nichts mit dem HTTPS-Port zu tun.

Meine Frage richtete sich auch nicht an Dich ... ich sehe zwar die von Dir geschilderten Probleme nicht einmal im Ansatz (IPSec hat mit GRE auch eher wenig zu tun, das wäre dann wieder PPTP oder irgendwelches L2-Tunneling, während IPSec immer noch auf ESP und/oder AH setzt, solange nicht NAT-T verwendet wird - das läuft dann auf die Verwendung eines einzelnen UDP-Ports, nämlich des von Dir ebenfalls angeführten 4500, hinaus), aber das ist hier auch nicht das hüpfende Komma ... ich verstehe nicht, warum die Einrichtung einer VPN-Verbindung auf einer FRITZ!Box als DSL-Router einfacher ist als die auf einem LAN1-Router und NightmanII wird wohl in jedem Falle (solange er bei einer unmodifizierten FRITZ!Box bleibt) eine VPN-Verbindung mit IKEv1 und ISAKMP konfigurieren müssen.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 571 (Mitglieder: 29, Gäste: 542)

Neueste Beiträge

Statistik des Forums

Themen
246,385
Beiträge
2,251,209
Mitglieder
374,048
Neuestes Mitglied
AlexanderLorenz
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück