voiddefine
Goto Top

Firewall Router in bestehendes Netzwerk mit FritzBox Fon 7050 einbinden

Hallo,
ich habe folgendes Problem. Habe in meinem Netzwerk eine Fritzbox als Modem,Einwahlrouter und VOIP. Danach geh ich auf einen Switch wo mehrere Rechner angeschlossen sind. Jetzt möchte ich den Firewall Router Netgear FVS114 mit ins Netzwerk integrieren um VPN Tunnel aufzubauen und das Netzwerk abzusichern. Folgendes Problem. Der Firewall wouer will sich selber ins internet einwählen d.h. vor die fritzbox. Da ich aber kein einzelnes Modem habe geht das nicht und wenn ich die Fritzbox nur als Modem nehme geht kein VOIP mehr. Mein gedanke war den Firewallrouter zwischen Fritxbox und Switch zu hängen und die entsprechenden VPN Ports durchzurouten.

Hat vielleicht jemand erfahrung damit?
Vielen Dank

MFG

Content-ID: 39547

Url: https://administrator.de/contentid/39547

Ausgedruckt am: 26.11.2024 um 04:11 Uhr

aqui
aqui 17.09.2006 um 17:07:01 Uhr
Goto Top
Du musst dem NetGear das PPPoE Protokoll auf dem WAN Interface abschalten und ihm eine statische Adresse aus dem am Ethernet der Fritzbox konfiguriertem IP Segment geben.
Damit ist erstmal die "Einwahlproblemtik" behoben.
Dann verbindest du WAN Port des NetGear mit dem Ethernet der FritzBox.
Damit man nun eine VPN Verbindung mit dem Netgear aufbauen kann musst du entsprechende Port Forwarding Einträge auf der FritzBox machen, damit die VPN Packete den NetGear auch erreichen können, sonst bleiben die im NAT Prozess der FritzBox hängen.
Um dafür auch eine definitve IP Adresse zu bekommen empfhiehlt sich ein Account auf dyndns.org einzurichten, ansonsten müsstest du immer die DSL IP Adresse an der Fritzbox auslesen. Dies erübrigt sich aber solltest du eine feste IP von deinem Carrier bekommen.

Welches Forwarding hängt davon ab welches Protokoll deine genutzte VPN Verbindung benutzt !
Bei PPTP ist dies z.B. TCP 1723 und GRE (Protokoll 47, Achtung nicht UDP oder TCP 47 !)
Bei IPsec im ESP Mode ist dies UDP 500 (IKE) und ESP (Protokoll 50 , nicht UDP oder TCP 50 !)
AndreasWu
AndreasWu 19.11.2007 um 13:46:13 Uhr
Goto Top
Hallo,

habe Euren Beitrag gefunden und stehe im Moment vor derselben Problematik.

Bei mir sieht's so aus:

- Fritzbox 7050 als Internetzugang, VoIP usw. (hier hängen momentan die Client's dran' (WLAN + LAN)

- Netgear FVS114 als VPN-Router (soll dazukommen)

Nun wollte ich das Netzwerk gerne um einen VPN-Zugang erweitern und das Netgeargerät mit reinhängen.

Wenn ich das richig verstanden habe, gibt es 2 Möglichkeiten die ganze Geschichte zu händeln:

1. Fritzbox bleibt das verbindende Gerät nach außen (Internet), VPN-Router wird an einen LAN-Port der Fritzbox gehängt, VPN-Portweiterleitungen an den Netgear-Router

2. Netgear-Router wird das verbindende Gerät nach außen (Internet) und die Fritzbox nimmt den 2ten Platz ein. SIP-Port Weiterleitungen von Netgear zur Fritzbox.

Meine ersten Fragen zu dem Thema: Welche ist sicherheitstechnisch die bessere Wahl und welche ist für die Praxis die bessere Wahl?

Hat da jemand Erfahrungen?

Bin' für jede Antwort dankbar.

Gruß Andreas
aqui
aqui 19.11.2007 um 16:08:09 Uhr
Goto Top
Das ist die Variante 1. Der Grund ist das du die Port Weiterleitung besser in den Griff bekommst als SIP. SIP handelt beim Verbindungsaufbau dynamische Ports aus was über Port Weiterleitungen nicht mangebar ist.
Der einzige Ausweg ist dann das du den NetGear als sog. exposed Host komplett freischaltest für alle Ports die die FB dann an die IP des NetGear forwardet.. bedenklich aber machbar...

Ausnahme für Variante 2. ist nur wenn dein Voice Provider STUN (Simple Traverse of UDP over NAT) supportet, dann reicht es in der Port Weiterleitungsliste UDP 4500 freizuschalten und dann funktioniert auch SIP.
Das musst du aber klären ob dein Voice provider das supportet.

Technisch die beste Lösung ist nicht so eine Krücke mit einer Frickelei mit 2 Routern und PFW sondern gleich einen zu nehmen der Voice und VPN in einer Box vereint.
Router von DRAYTEK können sowas problemlos und die hätten weniger gekostet als deine FB und dein NetGear zusammen.....
AndreasWu
AndreasWu 19.11.2007 um 21:42:32 Uhr
Goto Top
Danke aqui für die schnelle Antwort!

Ich denke die Lösung mit der Fritzbox als Gateway werde ich anstreben.

Nun hätte ich noch ein paar weitere Fragen:

1. Reicht es die Standard-Ports (von der Fritzbox) an den Netgear-Router weiterzureichen (IPSec: UDP 500 1701 4500) oder braucht es da noch spez. Ports? Ich wollte mich mit dem VPN-Router per Netgear-Client bzw. einer weiteren FVS114 verbinden, gibt's da noch etwas besonderes zu beachen?

Momentan ist es so, dass 1 PC per LAN-Kabel an die Fritzbox angeschlossen ist und 2 Notebooks per WLAN an der Fritzbox, dann soll noch ein NAS per LAN-Kabel dazukommen...

2. An welchem Gerät (Netgear o. Fritzbox) schließe ich am besten die PC's, das NAS an, damit alles weiterhin gut zusammen funktioniert, kommen die WLAN-Client's dann auch noch ganz normal mit dem LAN bzw. den per LAN-Kabel angeschlossenen Geräten zusammen?

Wie könnte die Szenerie am besten aussehen, damit hinterher alles perfekt funktioniert?

Gruß Andreas
aqui
aqui 20.11.2007 um 12:55:59 Uhr
Goto Top
1.)
Das hängt ganz davon ab WAS für ein VPN Protokoll denn deine NetGears sprechen ?? DAS musst du erstmal wissen um dann die Ports einzustellen !!!
Wenn sie denn IPsec im ESP Modus benutzen ist das UDP 500 und das ESP Protokoll mit der IP Protokollnummer 50 (Achtung: nicht TCP oder UDP 50). Ob du NAT Traversal mit UDP 4500 aktivierst ist die Frage ob der NetGear das supportet. Schaden kanns nicht so das du es ruhig machen kannst. Was UDP 1701 dort soll ist schleierhaft ??
Ob noch weitere User dort an der FB per LAN oder WLAN angeschlossen ist spielt für diese Konfig keinerlei Rolle !

2.) Eine Antwort auf die Farge ist nicht einfach... Und das musst du im Zeifelsfalle testen. Dein Szenario sieht ja so aus:

(Internet)---DSL---(FB)---LAN1---(FVS114)---LAN2---(Clients, NAS etc.)

Das Problem sind deine WLAN Clients, die im WLAN dann direkt an der FB hängen und eine IP aus LAN1 bekommen. Die kommen aber nicht durch den FVS114 in LAN2 sondern nur ins Internet so ohne weiteres.
Für diese Clients musst du die Firewall im FVS114 aufmachen, damit sie Geräte im LAN2 erreichen können. Das sollte im Setup der FVS aber kein großes Problem darstellen !
AndreasWu
AndreasWu 21.11.2007 um 16:34:01 Uhr
Goto Top
Hi,

nun melde ich mich wieder zurück.

Hab' noch mal überlegt und tendiere im Moment doch eher zu der Lösung mit dem Netgear als 1. Gerät, das die Verbindung ins Internet aufbaut, da es sonst zu kompliziert wird mit den WLAN- und LAN-Clients.

Der Provider ist Freenet und folgendes habe ich inzwischen bei Freenet gefunden:


Port- und Firewalleinstellungen für freenetKomplett Telefonie

Die Verbindung zum SIP-Server wird bei freenet DSL-Telefonie über die Ports 5060 und 5069 hergestellt. Der STUN-Server wird über die Ports 3478 und 3479 angesprochen. Die Sprachdaten werden im Bereich 16384 bis 16390 übertragen. Das verwendete Protokoll ist UDP.
Um freenet DSL-Telefonie korrekt über einen Router oder hinter einer Firewall nutzen zu können, ist gegebenenfalls eine Freischaltung dieser Ports in Ihrem Router oder Ihrer Firewall erforderlich.
Bei einem Router ist dies oftmals auf den Konfigurationsseiten unter dem Punkt "Port-Forwarding" oder "Firewall" möglich. Genauere Informationen zur Konfiguration Ihres Routers oder Ihrer Firewall erhalten Sie im entsprechenden Handbuch oder direkt beim Hersteller.
Falls Ihr Router "Universal Plug and Play (UPnP)" unterstützt, so ist bei der Verwendung einer aktuellen Version des "freenet Communicator" oder "Communicator lite" keine manuelle Anpassung der Konfiguration erforderlich.


Mit den Angaben sollte es doch möglich sein die Sache gebacken zu kriegen oder?

Ich muss mir natürlich noch ein DSL-Modem für den Netgear besorgen, werd' mir wahrscheinlich ein Teledat 302 für ein paar Euro bei eBay besorgen.

Denkst Du, dass das so klappen sollte?

Gruß Andreas

P.S. Der Port 1701 UDP ist für L2TP-Datenverkehr (braucht man aber glaube ich nur wenn einen Windows-Server im Netz hat und "durchreichen" will...?
aqui
aqui 25.11.2007 um 14:23:23 Uhr
Goto Top
Ja, das sollte damit möglich sein ! UPnP solltest du aus Sicherheitsgründen aber niemals aktivieren. Besser also diese Ports statisch eintragen !
AndreasWu
AndreasWu 26.11.2007 um 10:39:36 Uhr
Goto Top
Ja, das sollte damit möglich sein ! UPnP
solltest du aus Sicherheitsgründen aber
niemals aktivieren. Besser also diese Ports
statisch eintragen !


Ich werd's dann mal so probieren und mich dann zurückmelden.