8
Fritz-Box 7490 hinter BBox (Bouygues-Telecom Frankreich) als VPN möglich?
Hallo, bitte nicht gleich schreiben, dass das Thema schon zig-mal behandelt wurde. Ich habe mich bisher selbst weitergebildet und möchte trotzdem das Problem schildern:
Ich habe in Deutschland eine Fritzbox 7490 mit IP4-Adresse im Einsatz, dahinter mehrere PCs und iphones. In Frankreich muß ich die BBox von Bouygues-Telekom nutzen, da
ich ohne diese nicht ins Internet komme. Bei der BBox kann ich keine Bridge einrichten, aber ich kann a) eine DMZ einrichten und b) Portweiterleitungen für TCP und UDP erstellen (beim Anlegen
einer Portweiterleitung wird mir nicht als Möglichkeit das ESP Protokoll angeboten).
Kann ich meine zweite Fritzbox 7490 hinter die BBox hängen, um über die BBox zur Fritzbox (in Frankreich) eine VPN Verbindung aufbauen zu können, da die BBox keine VPN-
Verbindung unterstützt? Oder ist eine Lösung mit einem kaskadierten Router Fritzbox 7490 möglich (wenn ja, b i t t e genau erklären)
Netz in Deutschland: 192.168.7.1 mit öffentlicher IP .......
Netz in Frankreich 192.168.1.1 mit offentlicher IP......
Eine Verbindung von Frankreich nach Deutschland über VPN ist eingerichtet und funktioniert. Nur andersherum habe ich Probleme.
Leider habe ich im Internet bisher keine Beschreibung der BBox (User Manual etc.) gefunden, Bouygues Telecom stellt keine Beschreibung zur Verfügung.
Vielleicht kann mir jemand mit guten Tipps behilflich sein. (Provider-Wechsel wäre eine Möglichkeit, ist aber derzeit nicht möglich).
Ich habe in Deutschland eine Fritzbox 7490 mit IP4-Adresse im Einsatz, dahinter mehrere PCs und iphones. In Frankreich muß ich die BBox von Bouygues-Telekom nutzen, da
ich ohne diese nicht ins Internet komme. Bei der BBox kann ich keine Bridge einrichten, aber ich kann a) eine DMZ einrichten und b) Portweiterleitungen für TCP und UDP erstellen (beim Anlegen
einer Portweiterleitung wird mir nicht als Möglichkeit das ESP Protokoll angeboten).
Kann ich meine zweite Fritzbox 7490 hinter die BBox hängen, um über die BBox zur Fritzbox (in Frankreich) eine VPN Verbindung aufbauen zu können, da die BBox keine VPN-
Verbindung unterstützt? Oder ist eine Lösung mit einem kaskadierten Router Fritzbox 7490 möglich (wenn ja, b i t t e genau erklären)
Netz in Deutschland: 192.168.7.1 mit öffentlicher IP .......
Netz in Frankreich 192.168.1.1 mit offentlicher IP......
Eine Verbindung von Frankreich nach Deutschland über VPN ist eingerichtet und funktioniert. Nur andersherum habe ich Probleme.
Leider habe ich im Internet bisher keine Beschreibung der BBox (User Manual etc.) gefunden, Bouygues Telecom stellt keine Beschreibung zur Verfügung.
Vielleicht kann mir jemand mit guten Tipps behilflich sein. (Provider-Wechsel wäre eine Möglichkeit, ist aber derzeit nicht möglich).
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 390984
Url: https://administrator.de/contentid/390984
Printed on: May 7, 2024 at 06:05 o'clock
8 Comments
Latest comment
...das Thema ist hier schon zigmal behandelt worden 
Spaß beiseite....
Alles wissenswerte über so eine Routerkaskade mit IPsec VPNs findest du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Das was du etwas laienhaft als "DMZ" bezeichnet ist vermutlich so eine Kaskade, oder ?
Aber du solltest erstmal nicht verzweifeln....
Bei vielen dieser billigen Provider Schrottrouter wie deiner "Bouygues Box" wird ESP automatisch geforwardet wenn man die IPsec Protokollkomponente IKE, UDP 500 einträgt für Forwarding.
Es besteht also eine leise Hoffnung das die Box das auch macht.
Du solltest auch zwingend NAT Traversal im VPN Setup der FB einrichten.
Dann richtest du also bei IPsec VPNs immer UDP 500 (IKE) und auch UDP 4500 (NAT-T) im Port Forwarding auf der "Bouygues Box" ein auf die WAN IP der dahinter kaskadierten FB und wenn ein UDP 500 Forwarding ESP inkludiert bist du aus dem Schneider.
Das der kaskadierte Router dann natürlich eine feste statische WAN IP Adresse haben sollte ist klar. Denn wenn man DHCP nutzt und diese IP ändert sich durch die Dynmaik von DHCP mal ists aus mit dem Port Forwarding und logischerweise auch mit dem VPN dann.
Statisch außerhalb der DHCP Range des davorliegenden Routers ist also das Mittel der Wahl. Oder eben über eine Mac Adress reservierung im DHCP Server, was aber so gut wie alle dieser billigen (Zwangs) Schrottrouter vom Provider oft nicht supporten.
Wenn es nicht klappt hast du keine Chance, dann kann diese Box das ESP Forwarding schlicht nicht und dann hilft dir nur ein Hardware Tausch des Routers.
Es ist aber generell falsch zu glauben das man ohne diese Zwangsrouter nicht ins Internet kommt. Auch das geht immer wenn man weiss wie. Die Routerfreiheit gilt gesetzlich in der ganzen EU nicht nur in D !
Spaß beiseite....
Alles wissenswerte über so eine Routerkaskade mit IPsec VPNs findest du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Das was du etwas laienhaft als "DMZ" bezeichnet ist vermutlich so eine Kaskade, oder ?
beim Anlegen einer Portweiterleitung wird mir nicht als Möglichkeit das ESP Protokoll angeboten
Das ist erstmal sehr schlecht, denn denn das ESP Protokoll (IP Protokoll Nummer 50, kein TCP oder UDP 50 !!) transportiert die Tunneldaten, ist also essentiell wichtig für eine IPsec verbindung. Ohne das ESP durchkommt kein IPsec VPN mit der FB !Aber du solltest erstmal nicht verzweifeln....
Bei vielen dieser billigen Provider Schrottrouter wie deiner "Bouygues Box" wird ESP automatisch geforwardet wenn man die IPsec Protokollkomponente IKE, UDP 500 einträgt für Forwarding.
Es besteht also eine leise Hoffnung das die Box das auch macht.
Du solltest auch zwingend NAT Traversal im VPN Setup der FB einrichten.
Dann richtest du also bei IPsec VPNs immer UDP 500 (IKE) und auch UDP 4500 (NAT-T) im Port Forwarding auf der "Bouygues Box" ein auf die WAN IP der dahinter kaskadierten FB und wenn ein UDP 500 Forwarding ESP inkludiert bist du aus dem Schneider.
Das der kaskadierte Router dann natürlich eine feste statische WAN IP Adresse haben sollte ist klar. Denn wenn man DHCP nutzt und diese IP ändert sich durch die Dynmaik von DHCP mal ists aus mit dem Port Forwarding und logischerweise auch mit dem VPN dann.
Statisch außerhalb der DHCP Range des davorliegenden Routers ist also das Mittel der Wahl. Oder eben über eine Mac Adress reservierung im DHCP Server, was aber so gut wie alle dieser billigen (Zwangs) Schrottrouter vom Provider oft nicht supporten.
Wenn es nicht klappt hast du keine Chance, dann kann diese Box das ESP Forwarding schlicht nicht und dann hilft dir nur ein Hardware Tausch des Routers.
Es ist aber generell falsch zu glauben das man ohne diese Zwangsrouter nicht ins Internet kommt. Auch das geht immer wenn man weiss wie. Die Routerfreiheit gilt gesetzlich in der ganzen EU nicht nur in D !
Zitat von @aqui:
Wenn es nicht klappt hast du keine Chance, dann kann diese Box das ESP Forwarding schlicht nicht und dann hilft dir nur ein Hardware Tausch des Routers.
Wenn es nicht klappt hast du keine Chance, dann kann diese Box das ESP Forwarding schlicht nicht und dann hilft dir nur ein Hardware Tausch des Routers.
Naja, zur Not kann man dann immer noch SSL-basiertes VPN, z.B. OpenVPN, einrichten mit Hilfe von zwei Raspberries oder Alix-Boards, wie Du es selbst in Deinen Anleitungen beschreibst.
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
lks
OK, da hast du natürlich zweifelsohne Recht ! Das chancenlos war jetzt rein auf die HW Kombination "Bouygues Box" und FritzBox bezogen.
Mit anderer HW und speziell OpenVPN als rein SSL basiertes VPN ist das natürlich viel einfacher zu lösen.
Mit anderer HW und speziell OpenVPN als rein SSL basiertes VPN ist das natürlich viel einfacher zu lösen.
Danke Aqui, ich werde beim kommenden Frankreich-Besuch Deinen Vorschlag umsetzen und testen, ob das ESP-Protokoll auch includiert ist.
Hinsichtlich Hardware-Tausch: ich habe k e i n e Internet-Zugangsdaten, das läuft alles über die BBox. Wie ich evtl. die Daten der BBox auslesen
könnte, habe ich bisher im Internet nicht in Erfahrung bringen können. Und Bouygues Telecom ist noch nicht mal in der Lage, ordnungsgemäß mein
Bankverbindung im Internet online zu ändern, geschweige denn durch Einschreibe-Brief. Ich wurde drauf hingewiesen, dass ich es online machen könnte. Und einen Anwalt einzuschalten, bringt nichts, ich muß in Frankreich die Antwaltskosten selbst tragen. Andere Länder, andere Sitten.
Ich werde wohl zum Jahresende den Provider wechseln und zu Orange gehen, das ist eine Tocher der franz. Telekom, alles geht schneller und
besser.
Hinsichtlich Hardware-Tausch: ich habe k e i n e Internet-Zugangsdaten, das läuft alles über die BBox. Wie ich evtl. die Daten der BBox auslesen
könnte, habe ich bisher im Internet nicht in Erfahrung bringen können. Und Bouygues Telecom ist noch nicht mal in der Lage, ordnungsgemäß mein
Bankverbindung im Internet online zu ändern, geschweige denn durch Einschreibe-Brief. Ich wurde drauf hingewiesen, dass ich es online machen könnte. Und einen Anwalt einzuschalten, bringt nichts, ich muß in Frankreich die Antwaltskosten selbst tragen. Andere Länder, andere Sitten.
Ich werde wohl zum Jahresende den Provider wechseln und zu Orange gehen, das ist eine Tocher der franz. Telekom, alles geht schneller und
besser.
Hi Lochkartenstanzer, danke für die Info. Aber mit 2 Rasperries o.ä. habe ich keine Ahnung. Da werde ich lieber den Provider wechseln .
Zitat von @chachacha:
Hinsichtlich Hardware-Tausch: ich habe k e i n e Internet-Zugangsdaten, das läuft alles über die BBox.
Hinsichtlich Hardware-Tausch: ich habe k e i n e Internet-Zugangsdaten, das läuft alles über die BBox.
Dann könntest Du zumindest ein SSL-VPN, wie es in der o.g. Anleitung von aqui zu OpenVPN beschrieben ist dein Problem lösen. Du müßtest nur in beide Netze eine zusätzliche Kiste (kann auch ein Raspi oder ein 20€-DDWRT-Router sein) reinstellen.
lks
das läuft alles über die BBox.
Ist sattsam bekannt und macht das ganze noch schlimmer, denn sie nutzt TR-069. Damit begibst du dich dann völlig in die Hand deines Providers.https://www.heise.de/ct/ausgabe/2017-9-Router-Fernwartung-TR-069-Funktio ...
Diese Zugangsdaten MUSS dir dein Provider nach EU Recht auch so übermitteln. Außerdem kann man sie leichtestens auslesen.
TR-069 sollte man generell IMMER abschlaten, denn das öffnet Tür und Tor auf dem Router für Unbefugte.
An sowas sollten, wenn man es nicht tauschen oder abschlaten ann, immer einen Router oder Firewall Kaskade betreiben !
Danke für den Hinweis hinsichtlich TR-069. Werde mich da mal schlau machen. Aber wie kann ich die Zugangsdaten auslesen? Ich hatte bei Alice /O2 einen Router, konnte dort die Telefon-Zugangsdaten auslesen und habe dann anstelle der Saphiron die Fritzbox einsetzen können. Für einen Tipp, wie ich die Zugangsdaten auslesen kann, würde ich mich sehr freuen. (BBox etc. wird natürlich alles in französisch kommentiert und wie ich die Zugangsdaten auslesen könnte, habe ich noch in keinem franz. Text gefunden, sorry).
