VPN zu kaskadierter Fritzbox

[framuel]

Hallo,

ich habe eine 7270 über LAN1 kaskadiert und mit NAT an die Fritzbox (Modell weiß ich jetzt grad nicht) im LAN eines Bekannten angebunden. Die Anbindung in das Internet funktioniert.

2 Fragen:
1) Jetzt möchte ich gerne eigene 7390 zu Hause per VPN mit der 7270 verbinden, aber quasi transparent durch die Box und das LAN meines Bekannten hindurch (auf sein LAN soll und will ich keinen Zugriff haben).

So etwa:
LAN 19 --- 7270 --- LAN 14 --- FB? --- (Internet) --- 7390 --- LAN 17 (LAN-Netze jeweils Class C mit 192.168.xx.0)
(VPN zwischen 7270 mit LAN 19 und 7390 und LAN 17)

2) Wie kann ich verhindern, dass aus dem LAN meines Bekannten auf meine 7270 und deren LAN zugegriffen werden kann?

Geht das überhaupt? Kann mir da jemand Hilfestellung geben?

Anmerkungen:
DynDNS ist für meine 7390 eingerichtet, für die Box meines Bekannten ebenfalls.
Mein Bekannter nutzt kein VPN, sodass eine Portweiterleitung der entsprechenden Ports ggf. möglich wäre (aber welche?)
Ziel des ganzen soll sein, ein "Remote Backup" auf eine NAS-Festplatte in "meinem" LAN der 7270 einzurichten, aber gegen Fremdzugriffe aus dem LAN meines Bekannten möglichst zu schützen.

Gruß Frank

 

[chm_2012]

Ich kann nicht sagen, ob ich viel zur Hilfe beitrage:

"Laut AVM muss eine Portweiterleitung der UDP-Ports 53,500 und 4500 eingerichtet werden."

D.h. dass an der FB des Bekannten diese Ports zuerst an die IP der eigenen FB weitergeleitet/freigegeben werden müssen (wieso auch Port 53, weiß ich eigentlich nicht).

Des Weiteren eine VPN-Datei mittels Programm "FRITZ!Box-Fernzugang einrichten" erstellen oder eine Konfiguration, die für eine FB-FB LantoLan Verbindung konfiguriert wurde, irgendwo aus dem Forum kopieren und die eigenen Netzwerk-Adressen, DynDNS-Einträge, IPSEC-key etc. für LAN 19 und LAN 17 - jeweils entgegengesetzt pro FB - entsprechend ersetzen.

In den erstellten Konfig-Dateiein (....cfg) sollte zudem "use_nat_t" = yes eingestellt sein; bei zwei FB müsste es dann eigentlich gehen. Bei beidseitigem DYNDSN geht zudem (angeblich) nur der phase1_mode_aggressive-Modus.

Dann die jeweilige Datei im VPN-Zugang der zwei FBs importieren.

Leider gibt es immer Probleme bei weitergleiteten VPN-Verbindungen über IPSEC...evtl. können dann die wirklichen VPN-SPezialisten weiterhelfen.


Der LAN-Zugriff auf die 2. FB sollte eigentlich ohnehin bereits verhindert sein, da die 2. FB über den LAN1 am LAN der 1. FB hängt und die 2. FB dahinter als "Fritz!Box als Router" eingerichtet ist - was hier scheinbar ohnehin schon vorliegt.

 

[framuel]

Hallo chm_2012,
danke für deine Hinweise, die haben aber leider nicht den gewünschten Erfolg gebracht.
Ich habe auch noch andere Hinweise auf andere Ports (z.B. 50 und 51) bekommen und auch auf das ESP Protokoll.
Es kommt einfach keine VPN-Verbindung zustande, nichtmal als ich meine FB als Exposed Host freigegeben hatte.

Ich habe jetzt "PLan B" angefangen, indem ich eine VPN Session direkt zur FB meines Bekannten aufbaue.
Ich habe dann die Accesslisten soweit angepasst, dass aus seinem Netz nur seine FB und meine kaskadierte mit meinem Heim-Netz reden dürfen (x.x.x.0 mit Subnetz-Maske 255.255.255.252). Und natürlich mein kaskadierte Subnetz.

Das funktioniert auch schon mal - zumindest teilweise. Seine FB x.x.x.1 und meine x.x.x.2 kann ich erreichen, weitere Geräte in seinem Netz nicht.
Allerdings gibt es noch ein Problem mit dem Routing zu meinem Remote-Subnetz. Im Traceroute sehe ich, dass ich bis zu meiner remoten FB komme, dann kommt aber keine Antwort mehr. Scheint also ein Problem mit der Rückroute zu sein, obwohl ich die AVM Anleitung "Wie kann ich über eine VPN-Verbindung zwischen zwei FRITZ!Box-Geräten (LAN-LAN) auf mehrere IP-Netzwerke hinter einer FRITZ!Box zugreifen?" befolgt habe.

Na ja, dann muss ich wohl mal zu meinem Bekannten fahren und das Ganze von dort aus aufrollen ...

Und notfalls gäbe es ja auch noch "Plan C":
Ich hänge mein NAS direkt ins LAN meines Bekannten und lasse die nur die eine IP Adresse zusätzlich per VPN-Accesslisten auf mein Heim-Netz zu.
Mal sehen ...