padward
Goto Top

FritzBox 4020 als VPN hinter Lancom

Guten Abend,

in unserer Bürogemeinschaft befindet sich ein Lancom Router für zwei verschiedene Firmen (Netze sind getrennt).
Jetzt möchte eine Firma eine VPN über ihre FritzBox 4020 hinter dem Lancom zur FritzBox 7490 an einem Ihrem anderen Standort aufbauen.
Leide bekommt man nur IKE Fehler, die Verbindung steht nicht länger als 5 min..
Auf dem Lancom wurden folgende Ports an die FritzBox weitergeleitet, 53, 500 & 4500.
Ist es ein Problem das die andere Firma schon eine VPN mit dem Cancom zu ihren anderen Standort macht?


Vielen Dank schon mal!

Content-ID: 312709

Url: https://administrator.de/contentid/312709

Ausgedruckt am: 26.11.2024 um 09:11 Uhr

Epixc0re
Epixc0re 15.08.2016 um 21:33:12 Uhr
Goto Top
Servus,

ihr habt dort doch sicherlich einen DTAG Business Anschluss? Dann einfach eine IP aus dem Pool für das zweite Netz verwenden und gut ist.
Generell macht Router hinter Router mehr Probleme als es bringt.


lG,
Stefan
padward
padward 15.08.2016 um 21:34:57 Uhr
Goto Top
Hi, ist ein MNET Anschluss mit einer öffentlichen IP.
Epixc0re
Epixc0re 15.08.2016 um 21:35:49 Uhr
Goto Top
MNET, Gesundheit!
padward
padward 15.08.2016 um 21:36:20 Uhr
Goto Top
Nicht gut? face-smile Aktuell das schnellste in unserer Region.
Epixc0re
Epixc0re 15.08.2016 um 21:37:13 Uhr
Goto Top
Naja, gibt besseres face-smile

Option #1: anderes VPN Protokoll verwenden
Option #2: zweite IP organisieren (Kontakt: Dieter.Ertl@m-net.de)
padward
padward 15.08.2016 aktualisiert um 21:42:02 Uhr
Goto Top
Das heißt bei Option1?
Bei der FritzBox kann man ja nichts auswählen.
Epixc0re
Epixc0re 15.08.2016 um 21:44:15 Uhr
Goto Top
Ich würde dort einen MikroTik Router hinstellen (RB750GL z.B.) und von dort dann die VPN Tunnel aufbauen. Mit MikroTik bist du wesentlich besser dran als mit diesen FritzBoxen! und vor allem auch günstiger face-smile
padward
padward 15.08.2016 um 21:50:58 Uhr
Goto Top
OK, Danke.
Also nur die 2 Fritzis raus?
Epixc0re
Epixc0re 15.08.2016 um 21:52:45 Uhr
Goto Top
Ja, würd ich so vorschlagen - hab dir dazu grad eine PN geschrieben!
Lochkartenstanzer
Lochkartenstanzer 16.08.2016 um 08:20:41 Uhr
Goto Top
Zitat von @padward:

Ist es ein Problem das die andere Firma schon eine VPN mit dem Cancom zu ihren anderen Standort macht?

Ich würde auch euer VPN auf dem Lancom terminieren.

Der LAN-Com müßte die zwei VPN eigentlich außeinanderhalten und den richtigen Firmen zuordnen können. Ansonsten den LANcom durch einen Microtik oder Cisco ersetzen.die können das.

Ich würde da von Routerkaskaden Abstand nehmen.

Die Alternative wäre, euch ein /29 geben zu lassen, daß Ihr hinter dem LanCom auf zwei subntze für die Firmen verteilt und dann jeder seinen eigenen Router hinstellt. Dann ist der Lancom nur nuch für das transfernetz zuständig udn die beiden Formen können dann auf Ihren Router spielen wie sie wollen.

lks
aqui
aqui 16.08.2016 aktualisiert um 10:01:12 Uhr
Goto Top
Auf dem Lancom wurden folgende Ports an die FritzBox weitergeleitet, 53, 500 & 4500.
Das ist falsch, bzw. nur halb richtig. Außerdem sagtst du niht ob UDP oder TCP face-sad
53 ist Unsinn, denn das ist DNS und hat mit VPN nix zu tun.
UDP 500 und 4500 ist richtig.
Was aber fehlt ist das ESP Protokoll (IP Nummer 50). ESP ist essentiell, denn das ist der Tunnel selber. Ohne ESP kein IPsec.
Beom Forwarden solltest du auch zwinged darauf achten das der Kaskadierte Router eine feste IP hat.
Erschwerend kommt noch dazu das der Lancom vermutlich selber ein IPsec Router ist.
Du musst also dafür sorgen das hier IPsec dauerhaft deaktiviert ist, sonst leitet dieser die IPsec Frames nicht weiter per Port Forwarding.
Details zu IPsec Kaskadierungen findest du auch in diesem Forumstutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Weitere IPsec Praxis Tips:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Lochkartenstanzer
Lochkartenstanzer 16.08.2016 um 10:18:05 Uhr
Goto Top
Zitat von @aqui:

Erschwerend kommt noch dazu das der Lancom vermutlich selber ein IPsec Router ist.
Du musst also dafür sorgen das hier IPsec dauerhaft deaktiviert ist, sonst leitet dieser die IPsec Frames nicht weiter per Port Forwarding.


kann er nciht, denn die andere firma nutzt schon VPN, was vermutich auch ein IPSEC-VPN ist.

Deswegen: Entweder beide VPNs auf dem LANCOm ternimnieren udn durch Firewall-regeln dafür sorgen, daß die richtig sortiert sind oder ein /29 holen, damit man die VPNs hinter dem LAncom sortieren kann.

lks