Cisco VPN Router hinter Fritz!Box
Hallo zusammen,
ich habe ein Problem mit dem Anschluß eines VPN Routers hinter einer Fritz!Box mit VDSL.
Bevor ich zuhause alles umbaue wollte ich gerne Eure Meinung dazu in Erfahrung bringen.
CISCO 881 VPN-Router beigestellt von Vodafone mit fester LAN-IP 192.168.x.x und DHCP an.
Wenn ich meine FB jetzt auf 192.178.x.x einstelle und DHCP aktiviere versorgt sie Telefon und Musik aus dem Netz (Sonos)
Rechner mit fester IP 192.178.x.x hinter CISCO Router müsste dann den VPN Zugang versorgen.
Wie verkabele ich? LAN FB an WAN CISCO und LAN CISCO an Rechner?
ich habe ein Problem mit dem Anschluß eines VPN Routers hinter einer Fritz!Box mit VDSL.
Bevor ich zuhause alles umbaue wollte ich gerne Eure Meinung dazu in Erfahrung bringen.
CISCO 881 VPN-Router beigestellt von Vodafone mit fester LAN-IP 192.168.x.x und DHCP an.
Wenn ich meine FB jetzt auf 192.178.x.x einstelle und DHCP aktiviere versorgt sie Telefon und Musik aus dem Netz (Sonos)
Rechner mit fester IP 192.178.x.x hinter CISCO Router müsste dann den VPN Zugang versorgen.
Wie verkabele ich? LAN FB an WAN CISCO und LAN CISCO an Rechner?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 225713
Url: https://administrator.de/forum/cisco-vpn-router-hinter-fritzbox-225713.html
Ausgedruckt am: 26.04.2025 um 18:04 Uhr
13 Kommentare
Neuester Kommentar
Zitat von @Roland-Geki:
Hallo zusammen,
ich habe ein Problem mit dem Anschluß eines VPN Routers hinter einer Fritz!Box mit VDSL.
Bevor ich zuhause alles umbaue wollte ich gerne Eure Meinung dazu in Erfahrung bringen.
CISCO 881 VPN-Router beigestellt von Vodafone mit fester LAN-IP 192.168.x.x und DHCP an.
Wenn ich meine FB jetzt auf 192.178.x.x einstelle und DHCP aktiviere versorgt sie Telefon und Musik aus dem Netz (Sonos)
Rechner mit fester IP 192.178.x.x hinter CISCO Router müsste dann den VPN Zugang versorgen.
Wie verkabele ich? LAN FB an WAN CISCO und LAN CISCO an Rechner?
Hallo zusammen,
ich habe ein Problem mit dem Anschluß eines VPN Routers hinter einer Fritz!Box mit VDSL.
Bevor ich zuhause alles umbaue wollte ich gerne Eure Meinung dazu in Erfahrung bringen.
CISCO 881 VPN-Router beigestellt von Vodafone mit fester LAN-IP 192.168.x.x und DHCP an.
Wenn ich meine FB jetzt auf 192.178.x.x einstelle und DHCP aktiviere versorgt sie Telefon und Musik aus dem Netz (Sonos)
Rechner mit fester IP 192.178.x.x hinter CISCO Router müsste dann den VPN Zugang versorgen.
Wie verkabele ich? LAN FB an WAN CISCO und LAN CISCO an Rechner?
Moin,
Irgendwie ist das ein bischen wirr, was du da schreibst. versuch mal ein Schaubild zu malen udn heir reinzustellen, damit das klarer wird.
Fragen:
- Welche Router hängt am Provider-Anschluß?
- Was hat der für Aufgaben?
- Warum wird ein zweiter Router genommen und welcher ist das?
- Was soll der alles machen
- Wer soll das VPN aufbauen udn wo ist der ander VPn-endpunkt?
- Soll das ein client-toSite oder site-to-Site VPN sein?
Grüße,
lks
Mahlzeit,
am 1&1 ISP hängt eine Fritz!Box 7360 SL als Router, die man mit neuester Firmware ja auch nicht mehr zum Modem degradieren kann.
Aufgabe der Fritz!Box ist VOIP und Internet für die Familie. Der VPN CISCO 881 ist mit einem eToken ausgerüstet und ermöglicht den Zugang
zum Firmennetzwerk über MPLS-Backbone. Der Aufbau des VPN übernimmt also der CISCO. Dieser routet also meine Anfrage mit seiner
Verschlüsselung über meine Fritz!Box nach außen. Wenn ich hier nicht schief liege reden wir von einer Site-to-Site VPN Verbindung
am 1&1 ISP hängt eine Fritz!Box 7360 SL als Router, die man mit neuester Firmware ja auch nicht mehr zum Modem degradieren kann.
Aufgabe der Fritz!Box ist VOIP und Internet für die Familie. Der VPN CISCO 881 ist mit einem eToken ausgerüstet und ermöglicht den Zugang
zum Firmennetzwerk über MPLS-Backbone. Der Aufbau des VPN übernimmt also der CISCO. Dieser routet also meine Anfrage mit seiner
Verschlüsselung über meine Fritz!Box nach außen. Wenn ich hier nicht schief liege reden wir von einer Site-to-Site VPN Verbindung
Das ist technisch unmöglich...vergiss das gleich !
Vodafone wird niemals Zugang zu seinen MPLS Netz über einen 1&1 Account zulassen bzw. lässt es auch nicht zu, da das ein Provider internes Netzwerk ist !
Das wird also schon im Grundsatz scheitern.
Wie man sowas lösen würde erklärt dir dieses Tutorial in der Alternative 2:
Kopplung von 2 Routern am DSL Port
Das würde aber erzwingen, das du den WAN Port des 881 entsprechend umkonfigurierst um ihn mit der 1&1 FritzBox kaskadieren zu können wie im Tutorial beschrieben !
Also wie du oben schon richtig geschrieben hast:
(Internet)===(FritzBox)---192.168.178.0/24---(WAN*Cisco881*LAN)---LokalesLAN---PC
Allein daran wirst du schon scheitern weil du gar keinen Konfig Zugriff hast auf den 881 Router, oder ? Müsstest aber dem Cisco WAN Port auf DHCP schalten oder ihm eine statische IP aus dem 192.168.178.0er Netz konfigurieren, da du ja damit an den LAN Port der FB gehst..logo !
Fazit: Gleich vergessen ! Ein Lösung ist so nicht möglich da du unterschiedliche Provider hast oder den 881 umkonfigurieren müsstest. Das gesamte VPN Kozept ist Murks.
Auch ein umgedrehtes Szenario mit dem Cisco als Zugangsrouter und der FB dahinter ist chancenlos, da du wieder den Cisco entsprechend anpassen musst in dessen Konfig.
Einzige Lösung für dich:
Besorg dir parallel einen Vodafone DSL Anschluss zusätzlich zu deinem. Verbinde da den 881 Router mit.
Wenn du es dann ganz toll haben willst nimmst du einen Dual Port WAN Router wie z.B. einen Draytek_29xx an dem du dann beide Provider Router zusammenführst auf ein einziges Heimnetz.
Das wäre die Deluxe Lösung !
Anderes ist unter deiner Provider Policy nicht möglich !
Vodafone wird niemals Zugang zu seinen MPLS Netz über einen 1&1 Account zulassen bzw. lässt es auch nicht zu, da das ein Provider internes Netzwerk ist !
Das wird also schon im Grundsatz scheitern.
Wie man sowas lösen würde erklärt dir dieses Tutorial in der Alternative 2:
Kopplung von 2 Routern am DSL Port
Das würde aber erzwingen, das du den WAN Port des 881 entsprechend umkonfigurierst um ihn mit der 1&1 FritzBox kaskadieren zu können wie im Tutorial beschrieben !
Also wie du oben schon richtig geschrieben hast:
(Internet)===(FritzBox)---192.168.178.0/24---(WAN*Cisco881*LAN)---LokalesLAN---PC
Allein daran wirst du schon scheitern weil du gar keinen Konfig Zugriff hast auf den 881 Router, oder ? Müsstest aber dem Cisco WAN Port auf DHCP schalten oder ihm eine statische IP aus dem 192.168.178.0er Netz konfigurieren, da du ja damit an den LAN Port der FB gehst..logo !
Fazit: Gleich vergessen ! Ein Lösung ist so nicht möglich da du unterschiedliche Provider hast oder den 881 umkonfigurieren müsstest. Das gesamte VPN Kozept ist Murks.
Auch ein umgedrehtes Szenario mit dem Cisco als Zugangsrouter und der FB dahinter ist chancenlos, da du wieder den Cisco entsprechend anpassen musst in dessen Konfig.
Einzige Lösung für dich:
Besorg dir parallel einen Vodafone DSL Anschluss zusätzlich zu deinem. Verbinde da den 881 Router mit.
Wenn du es dann ganz toll haben willst nimmst du einen Dual Port WAN Router wie z.B. einen Draytek_29xx an dem du dann beide Provider Router zusammenführst auf ein einziges Heimnetz.
Das wäre die Deluxe Lösung !
Anderes ist unter deiner Provider Policy nicht möglich !
Zitat von @Roland-Geki:
Mahlzeit,
am 1&1 ISP hängt eine Fritz!Box 7360 SL als Router, die man mit neuester Firmware ja auch nicht mehr zum Modem
degradieren kann.
Aufgabe der Fritz!Box ist VOIP und Internet für die Familie. Der VPN CISCO 881 ist mit einem eToken ausgerüstet und
ermöglicht den Zugang
zum Firmennetzwerk über MPLS-Backbone. Der Aufbau des VPN übernimmt also der CISCO. Dieser routet also meine Anfrage mit
seiner
Verschlüsselung über meine Fritz!Box nach außen. Wenn ich hier nicht schief liege reden wir von einer Site-to-Site
VPN Verbindung
Mahlzeit,
am 1&1 ISP hängt eine Fritz!Box 7360 SL als Router, die man mit neuester Firmware ja auch nicht mehr zum Modem
degradieren kann.
Aufgabe der Fritz!Box ist VOIP und Internet für die Familie. Der VPN CISCO 881 ist mit einem eToken ausgerüstet und
ermöglicht den Zugang
zum Firmennetzwerk über MPLS-Backbone. Der Aufbau des VPN übernimmt also der CISCO. Dieser routet also meine Anfrage mit
seiner
Verschlüsselung über meine Fritz!Box nach außen. Wenn ich hier nicht schief liege reden wir von einer Site-to-Site
VPN Verbindung
Abgesehen von den ganzen Erläuterungen von Aqui:
Was hat Dir Vodafone (oder Deine Firma) geasgt, wo der Route rangeschlossen wird? An einem (beliebigen) DSL-Anschluß? An irgendeinen Internet-zugang? An einen Vodafone-Anschluß? Hast Du überhaupt offiziell zugriff auf die Konfiguration des Cisco, oder ist das Ding "dicht"?
Sofern Du Möglichkeiten hast, an dem Ding zu "drehen", wäre die Lösung die klassische Routerkaskade mit passenden Weiterleitung von Ports und Protokollen auf der Fritzbox wie sie hier (gefühlt) jede Woche mindestens einmal druchgekaut wird.
lks
Laut Aussage von VF ist der Zugang über jeden Profider möglich. Das "MPLS" beginnt ja auch erst am Ingress-Router des VPN-Anbieters. Wie ich bis dahin komme müsste doch eigentlich egal sein. Den eigentlichen "Schlüssel" zum MPLS gibt der CISCO ja mit. (meine ich zumindest) Ich habe schon vier andere Niederlassungen ins CompanyNet eingebunden, allerdings muss ich zugeben, dass dies alles eigenständige VF-Leitungen waren und keine Dialog-Einbindung über einen fremden ISP. Um auf Aqui zurückzukommen, am CISCO ist DHCP aktiv. Ansonsten ist das Ding dicht und ich habe keinerlei Konfigurationsmöglichkeiten geschweige denn Erfahrungen mit IOS
Gruß Roland
Gruß Roland
Zitat von @Roland-Geki:
Laut Aussage von VF ist der Zugang über jeden Profider möglich. Das "MPLS" beginnt ja auch erst am
Ingress-Router des VPN-Anbieters. Wie ich bis dahin komme müsste doch eigentlich egal sein. Den eigentlichen
"Schlüssel" zum MPLS gibt der CISCO ja mit. (meine ich zumindest) Ich habe schon vier andere Niederlassungen ins
CompanyNet eingebunden, allerdings muss ich zugeben, dass dies alles eigenständige VF-Leitungen waren und keine
Dialog-Einbindung über einen fremden ISP. Um auf Aqui zurückzukommen, am CISCO ist DHCP aktiv. Ansonsten ist das Ding
dicht und ich habe keinerlei Konfigurationsmöglichkeiten geschweige denn Erfahrungen mit IOS
Laut Aussage von VF ist der Zugang über jeden Profider möglich. Das "MPLS" beginnt ja auch erst am
Ingress-Router des VPN-Anbieters. Wie ich bis dahin komme müsste doch eigentlich egal sein. Den eigentlichen
"Schlüssel" zum MPLS gibt der CISCO ja mit. (meine ich zumindest) Ich habe schon vier andere Niederlassungen ins
CompanyNet eingebunden, allerdings muss ich zugeben, dass dies alles eigenständige VF-Leitungen waren und keine
Dialog-Einbindung über einen fremden ISP. Um auf Aqui zurückzukommen, am CISCO ist DHCP aktiv. Ansonsten ist das Ding
dicht und ich habe keinerlei Konfigurationsmöglichkeiten geschweige denn Erfahrungen mit IOS
Dann müßt ees prinzipiell so funktionieren, daß Du Den WAN-port Deines Cisco an einen der LAN-Ports von der fritzbox dranklemmst. Wenn dann schon alles geht, weil Vodafone z.B. ein SSL-VPN benutzt, hättest Du Glück. Ansonsten mußt Du wie gehabt die enstsprechenden Protokolle und Ports auf die Cisco weiterleiten, wie in diversen anderen Administrtaor.de-beiträgen erklärt, wie z.B. hier,
- UDP 500 (IKE)
- UDP 4500 (NAT-T)
- ESP Protokoll mit der IP Nummer 50 (Nicht den Port, sondern das Protokoll!)
lks
PS. Obige Angaben isnd natürlich für IPSEC-VPNs gedacht. Wenn Vodafone was anderes benutzt, muß man das entsprechend anpassen.
Schon mal vielen Dank euch Beiden für die tatkräftige Unterstützung.
Werde heute Abend mal die Familie aus dem Netz werfen, anrufen braucht keiner - hatten wir Silvester schon zur Genüge.
Melde mich dann mit meinem "Erfahrungsbericht"
Roland sagt DANKE
Werde heute Abend mal die Familie aus dem Netz werfen, anrufen braucht keiner - hatten wir Silvester schon zur Genüge.
Melde mich dann mit meinem "Erfahrungsbericht"
Roland sagt DANKE
OK, generell hat Vodafone Recht (was ist übrigens ein Profider ??)
Aber....
Dann muss der Cisco zwingend ja der initiierende Router sein ! Das kann er aber nur wenn sein WAN/Internet Interface ein Ethernet ! Interface ist und... ! dieses auf DHCP Client eingestellt ist !
Das ist zwingend notwendig wenn dieser Router in ein bestehendes privates Netz integriert wird !
Dann kann das funktionieren...keine Frage. Ob das aber so ist hast du uns ja leider nicht mitgeteilt, da war deine Beschreibung zu oberflächlich !
Also wenn dann kann dein Szenario nur so aussehen:
(Internet 1&!)===DSL===(FritzBox)----Lokales LAN Fritz 192.168.178.0/24---(WAN-Cisco881-LAN)---Lokales LAN---PC
Der PC am lokalen LAN des 881 sollte dann ins Firmennetz kommen.
Voraussetzung ist aber das der 881 sich an seinem WAN/Internet Port (Ethernet !) per DHCP einen IP sowie Gateway und DNS von der FritzBox holen kann.
Ist das so hast du gute Chancen das es klappt !!
Aber....
Dann muss der Cisco zwingend ja der initiierende Router sein ! Das kann er aber nur wenn sein WAN/Internet Interface ein Ethernet ! Interface ist und... ! dieses auf DHCP Client eingestellt ist !
Das ist zwingend notwendig wenn dieser Router in ein bestehendes privates Netz integriert wird !
Dann kann das funktionieren...keine Frage. Ob das aber so ist hast du uns ja leider nicht mitgeteilt, da war deine Beschreibung zu oberflächlich !
Also wenn dann kann dein Szenario nur so aussehen:
(Internet 1&!)===DSL===(FritzBox)----Lokales LAN Fritz 192.168.178.0/24---(WAN-Cisco881-LAN)---Lokales LAN---PC
Der PC am lokalen LAN des 881 sollte dann ins Firmennetz kommen.
Voraussetzung ist aber das der 881 sich an seinem WAN/Internet Port (Ethernet !) per DHCP einen IP sowie Gateway und DNS von der FritzBox holen kann.
Ist das so hast du gute Chancen das es klappt !!
Ich glaube aqui, Du weißt was ein Pro(f)vider ist. Sorry, in der Eile ein wenig der deutschen Rechtschreibung entmächtigt
WAN des CISCO Routers hängt mit seiner 192.168.7.x am LAN-Port der FB mit ihrer 192.178.7.x (beide DHCP)
Das Firmennetz läßt sich in allen Städten pingen aber ich kann keine Verbindung zum Server aufbauen, da wohl
die Aushandlung in meiner Fritzbox versumpft und nicht zum CISCO durchkommt.
An der FB hatte ich erstmal folgende Einstellungen vorgenommen (leider ohne Erfolg)
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll mit der IP Nummer 50
Danach habe ich den CISCO bzw. meinen Rechner als Exposed Host freigegeben (war leider auch nix)
Jemand noch ne Idee was ich an der FB einstellen müßte?
Gruß Roland
WAN des CISCO Routers hängt mit seiner 192.168.7.x am LAN-Port der FB mit ihrer 192.178.7.x (beide DHCP)
Das Firmennetz läßt sich in allen Städten pingen aber ich kann keine Verbindung zum Server aufbauen, da wohl
die Aushandlung in meiner Fritzbox versumpft und nicht zum CISCO durchkommt.
An der FB hatte ich erstmal folgende Einstellungen vorgenommen (leider ohne Erfolg)
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll mit der IP Nummer 50
Danach habe ich den CISCO bzw. meinen Rechner als Exposed Host freigegeben (war leider auch nix)
Jemand noch ne Idee was ich an der FB einstellen müßte?
Gruß Roland
Zitat von @Roland-Geki:
Ich glaube aqui, Du weißt was ein Pro(f)vider ist. Sorry, in der Eile ein wenig der deutschen Rechtschreibung
entmächtigt
WAN des CISCO Routers hängt mit seiner 192.168.7.x am LAN-Port der FB mit ihrer 192.178.7.x (beide DHCP)
Ich glaube aqui, Du weißt was ein Pro(f)vider ist. Sorry, in der Eile ein wenig der deutschen Rechtschreibung
entmächtigt
WAN des CISCO Routers hängt mit seiner 192.168.7.x am LAN-Port der FB mit ihrer 192.178.7.x (beide DHCP)
vertipper oder tatsächlch so?
Das Firmennetz läßt sich in allen Städten pingen
Was genau läßt sich anpingen? ein Server im jeweiligen LAN, der Router am standort? Über VPn oder direkt?aber ich kann keine Verbindung zum Server aufbauen, da wohl
die Aushandlung in meiner Fritzbox versumpft und nicht zum CISCO durchkommt.
die Aushandlung in meiner Fritzbox versumpft und nicht zum CISCO durchkommt.
Die frage ist doch, wer das VPn Initiiert. ist es Dein Cisco, soltel es problemlos möglich sein. Ist es die gegenstelle, mußt Du ggf. noch per dyndns & Co. noch Deine IP der Gegenstelle bekanntgeben. gemnaueres sagt dir Vodafone.
An der FB hatte ich erstmal folgende Einstellungen vorgenommen (leider ohne Erfolg)
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll mit der IP Nummer 50
Danach habe ich den CISCO bzw. meinen Rechner als Exposed Host freigegeben (war leider auch nix)
Jemand noch ne Idee was ich an der FB einstellen müßte?
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll mit der IP Nummer 50
Danach habe ich den CISCO bzw. meinen Rechner als Exposed Host freigegeben (war leider auch nix)
Jemand noch ne Idee was ich an der FB einstellen müßte?
Welches VPN-Protokoll verwendet denn Vodafone überhaupt?
lks
mit seiner 192.168.7.x am LAN-Port der FB mit ihrer 192.178.7.x (beide DHCP)
Da hat Kollege LKS absolut Recht, das wird so nie funktionieren und wäre zudem bei DHCP auch technsich ungewöhnlich !Oder ist das schon wieder ein Vertipper oder "Profider" Fehler ?? (Der übrigens immer noch oben rumgeistertet weil der TO wohl den "Bearbeiten" Button nicht sieht...aber egal.)
An der FB hatte ich erstmal folgende Einstellungen vorgenommen (leider ohne Erfolg)
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll mit der IP Nummer 50
Das ist per se erstmal auch so richtig allerdings ist vollkommen unklar WAS mit dem ominösen und nichtssagenden Wort "Einstellungen" nun gemeint ist ???UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll mit der IP Nummer 50
Wenn damit Port Weiterleitung gemeint ist dann wäre es zudem richtig, denn diese Port Weiterleitungen sind zwingend nötig damit der IPsec Tunnel über die FB aufgebaut werden kann...sofern IPsec überhaupt im Einsatz ist bei Vodafone was aber anzunehmen ist. In sofern ist die Frage vom Kollegen LKS berechtigt !
Wichtig ist in diesem Zusammenhang das man in der FritzBox nachsieht WELCHE IP Adresse der WAN Port des Ciscos bekommen hat, denn die Port Weiterleitung in der FB wird ja statisch auf diese IP Adresse konfiguriert.
Übrigens eine potentielle Fehlerquelle, denn sollte sich diese IP einmal ändern durch die Dynamik von DHCP gehen diese Port Forwarding Statements ins Nirwana und nix funktioniert mehr.
Es ist daher dringenst anzuraten die DHCP Nailing Funktion der FB zu nutzen wo man Mac Adressen feste IP außerhalb des DHCP Adressbereichs zuweisen kann.
Hier solltest du die Mac des Ciscos eintragen und ihm immer eine feste IP zuweisen auf die dann auch die Port Weiterleitungs Statements der FB von oben zeigen. So ist das dann wenigstens wasserdicht !
Hallo zusammen,
Problem gelöst, war letztendlich auch nicht so kompliziert, wie es hier einige gerne gehabt hätten.
Zweite Netzwerkkarte eingebaut und Batch zum Kartenwechsel geschrieben.
Die erste Karte mit der Fritzbox als Gateway, die zweite mit dem VPN-Router, der wiederum die Fritzbox als Gateway eingetragen hat.
Statische Routen auf meinem Rechner eingetragen für den MPLS-Ingress-Router und die Gegenseite.
So werden die Anfragen sauber getrennt und man erreicht auch den Router der Gegenseite über die Verbindung des VPN-"Profiders"
Danke für Eure Hilfe
Problem gelöst, war letztendlich auch nicht so kompliziert, wie es hier einige gerne gehabt hätten.
Zweite Netzwerkkarte eingebaut und Batch zum Kartenwechsel geschrieben.
Die erste Karte mit der Fritzbox als Gateway, die zweite mit dem VPN-Router, der wiederum die Fritzbox als Gateway eingetragen hat.
Statische Routen auf meinem Rechner eingetragen für den MPLS-Ingress-Router und die Gegenseite.
So werden die Anfragen sauber getrennt und man erreicht auch den Router der Gegenseite über die Verbindung des VPN-"Profiders"
Danke für Eure Hilfe
So gehts natürlich auch...etwas ungewöhnliche Frickellösung aber der Erfolg zählt !
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
