jumpstylerpaf
Goto Top

FritzBox 7170 VPN und DynDNS

Moin moin an die Administratoren-Gemeinde,

ich hoffe, von euch haben schon ein paar Erfahrung mit DynDNS gemacht, da mir das gerade ziemliche Kopfschmerzen bereitet.
Situation ist folgende:
Wir haben 2 PCs, die mit einer SPS verbunden sind und deshalb eine VPN Verbindung benötigen. Diese PCs wurden von 2 Kunden gestellt, welche mir auch nettwerweise die Ports nannten, die frei sein müssen. Mein Kollege dachte sich, dass dies mit DynDNS am einfachsten gelingen würde.

Nun habe ich mich ein wenig schlau gemacht und stehe bisher auf folgenden Ablauf:
- Auf dyndns.com haben wir uns registriert.
- URL ist angelegt, IP eingegeben und VPN sowie Remote Desktop ausgewählt

Für den Router (FritzBox 7170) gibt es ja ein nettes Programm, welches das Erstellen einer VPN Verbindung erleichtert. Also haben wir das ausprobiert. Jedoch kann ich dort keine Ports eingeben, lediglich eine E-Mail Adresse, die URL und dann noch, ob die Netzwerkeinstellungen von der Fritzbox übernommen werden sollen oder eine andere IP sowie Subnetzmaske gewählt wird.
Resultat aus diesem Prozedere sind 2 CFG-Dateien. Eine wird in die FritzBox importiert, die andere bekommt der zugreifende Benutzer, welcher die Datei in das Programm "FritzFernzugriff" importiert und dann einfach "Verbinden" wählt). Laut Aussagen eines Dritten, sollte dies genügen, jedoch ist bisher ja kein Port Forwarding geschehen. Also dachte ich mir, richte ich die Freigaben im Router ein. Dann (vielleicht auch nur ein Denkfehler oder so ähnlich) verstehe ich allerdings nicht, wie die 2 VPNKonfigurationen genau ihre Ports wählen sollen. Ich bin gerade auf dem Stand, dass beide dann auf dem Router landen würden, da eben kein Port in den CFGs definiert ist bzw. ich in der FritzBox-Konfiguration nichts finde, bei dem ich eine VPn Einstellung mit einer Port-Forwarding Regel verbinden könnte (ist zwar noch keine CFG importiert, aber Buttons dafür gibt es keine und in der VPN-Verbindungsübersicht sehe ich auch keine entsprechende Überschrift.

Oder ist es vllt einfach so simpel, dass der Kunde im Browser xyz.dyndns.org:123 eingibt?
Wäre super, wenn jemand schon Erfahrungen hat und mir meine Fehler aufzeigen kann. Die entsprechenden Kontaktmänner bei den Kunden helfen nicht sonderlich weiter und der Support von AVM hat mir auch nur die Programme empfohlen.

Viele Grüße,
JumpstylerPAF

Content-ID: 144453

Url: https://administrator.de/contentid/144453

Ausgedruckt am: 17.12.2024 um 04:12 Uhr

Midivirus
Midivirus 09.06.2010 um 12:17:27 Uhr
Goto Top
kurz vorweg:

kennst du VPN?
weißt du was das ist bzw. was passiert?

kennst du DynDNS?
weißt du was das ist bzw. was dadurch möglich wird?

kennst du Portforwarding / Portweiterleitung?
weißt du was das ist bzw. was dadurch möglich wird?
aqui
aqui 09.06.2010, aktualisiert am 18.10.2012 um 18:42:27 Uhr
Goto Top
kurz (...oder besser "lang") hinterher:
Nach der o.a. Schilderung von allen drei Dingen so gut wie gar nichts....vermutlich face-sad

Nur so viel:
Port Forwarding ist logischerweise obsolet wenn du mit VPN arbeitest !! Ein VPN Zugang verhält sich so als ob du lokal im Netz an der FB arbeiten würdest ! Das ist so ja auch der tiefere Sinn eines VPNs.
Port Forwarding macht man wenn man direkt und ungesichert übers Internet geht und dafür ein Loch in die NAT Firewall des Routers bohrt. Letzteres also gefährlich, unsicher und nicht unbedingt etwas für ein Firmennetz wo in der Regel VPNs verwendet werden.
DynDNS ist lediglich ein Dienst um dir die wechselnde IP Adresse am DSL Port deiner FB unter einem Hostnamen immer verfügbar zu machen. Ansonsten müsstest du ja am VPN Client immer diese aktuelle IP Adresse angeben.
Alle 3 Verfahren sind völlig unterschiedliche Prozesse, greifen aber ineinander für den VPN Zugang.
Hier sind deine ToDos:

Jetzt als allererstes die Funktion des DynDNS Clients auf der FB testen indem du mal auf http://www.wieistmeineip.de surfst. Dort siehst du dann deine derzeit aktive IP Adresse an der Fritzbox bzw. deren Provider DSL Port.
Alternativ zeigt dir das auch das IP-2_Tool an !
Wenn du nun auf einem remoten Rechner einmal eingibst nslookup meine-fritzbox.dyndns.net (deinen Dyndns URL verwenden !) dann sollte dort als Antwort diese aktuelle IP Adresse ausgegeben werden.
Ein Ping vom remoten Rechner auf meine-fritzbox.dyndns.net sollte dann auch sauber klappen sofern du Ping (ICMP) an der FB in den Sicherheitssetups erlaubt hast !!
Damit kannst du dann sicher sein das dein DynDNS Account auf der FB sauber funktioniert !!
Nun kommt der 2te Schritt:
  • VPN Konfiguration auf die Fritzbox packen. Wie das genau geht steht hier bzw. hier !
  • AVM VPN Client auf dem remoten Rechner installieren mit der entspr. Konfig !
  • Fertisch, et voila..... wenn du nun am VPN Client als Ziel meine-fritzbox.dyndns.net angibst wird der VPN Tunnel aufgebaut und alle deine PC liegen dir im lokalen Netzwerk zu Füßen. So ein Blödsinn wie Port Forwarding braucht man dann bei VPNs nicht mehr !!
JumpstylerPAF
JumpstylerPAF 11.06.2010 um 11:49:46 Uhr
Goto Top
Also die dyndns funktioniert lt. "nslookup" einwandfrei. Pingen funktioniert auch (103ms Durchschnitt klingen für mich auch nicht gerade schlecht)

Dass sich PortFowarding bei gleichzeitigem Einrichten von VPN relativiert, dachte ich mir schon fast, als ich mich darüber mal informiert hab (hatte vorher nie damit zu tun), jedoch, wenn der Kollege ca 3mal so alt ist wird sowas natürlich als Falschaussage deklariert.

Gut dann müsste ich also nur noch die Zugangs CFGs richtig konfigurieren.

Eine Frage bliebe dann noch:
Wir verwenden TeamViewer für die Wartung etc. Dieser kann ja auch eine VPN-Verbindung aufbauen, jedoch meinte ein Kunde, er würde dann eben nicht auf seine SPS kommen. Kann es wirklich sein, dass da so ein großer Unterschied zwischen dem TV-VPN und dem FritzBox-VPN ist?

Danke dir aqui, hast mir sehr weitergeholfen (vllt bewegt dein Beitrag auch meinen Kollegen dazu, vom PortFowarding abzusehen).


@Midivirus:
VPN habe ich bisher ein paar mal gehört bzw. die Funktionsweise mal am Rande mitbekommen, DynDNS und PortForwarding war mir bis vor 3 Wochen noch ein Rätsel (hatte es zwar gehört, aber mich nicht weiter dafür interessiert). Aber spar dir bitte Kommentare wie "Dann lass die Finger davon" oder "Das soll lieber n Profi machen", denn jeder hat mal bei 0 angefangen. Klar ist es aufm Firmennetz etwas heikel, jedoch ists auf Heimnetzbasis eingerichtet und was ist das Schlimmste was passieren kann? Ich weiß, was ich nicht machen sollte, da die Gefahr besteht, dass was kaputt geht bzw nicht mehr funkioniert und fehlerhafte Configs etc. kann man wieder löschen/rückgängig machen.
goscho
goscho 11.06.2010 um 13:18:52 Uhr
Goto Top
Zitat von @JumpstylerPAF:
jedoch, wenn der Kollege ca 3mal so alt ist wird sowas natürlich als
Falschaussage deklariert.
Wenn Alter allein schon so viel ausmacht. face-wink
Gut dann müsste ich also nur noch die Zugangs CFGs richtig konfigurieren.
Wie soll den verbunden werden?
LAN-LAN (Fritzbox mit Fritzbox) oder Client-LAN (PC mit Fritzbox)
Eine Frage bliebe dann noch:
Wir verwenden TeamViewer für die Wartung etc.
Wir auch, gutes Tool. face-smile
Dieser kann ja auch eine VPN-Verbindung aufbauen,
Stimmt, dann hats du eine VPN-Verbindung zwischen genau 2 Computern (deinem und dem Remote-PC), andere PCs sind dadurch nicht erreichbar.
jedoch meinte ein Kunde, er würde dann eben nicht auf seine SPS kommen.
Was ist eine SPS?
Wikipedia schreibt mir:
Die Abkürzung SPS steht für:
Parteien:
          • Sozialdemokratische Partei der Schweiz
          • Sozialdemokratische Partei des Saarlandes
          • Sozialdemokratische Partei Südtirols
          • Sozialistische Partei Serbiens
          • Sojus Prawych Sil, liberal-konservative Partei in Russland, siehe Union der rechten Kräfte

Technik:
          • Satellite Paging System
          • Samples per Second, siehe Abtastrate
          • SharePoint Portal Server
          • Sony PlayStation
          • Spark Plasma Sintering
          • Speicherprogrammierbare Steuerung
          • Super Proton Synchrotron am CERN in Genf

Biologie:
          • Small Polyp Scleractinia, kleinpolypige Steinkorallen
          • Sekundäre Pflanzenstoffe

Unternehmen:
          • Swiss Prime Site, eine Schweizer Immobiliengesellschaft

          Sonstiges:
                  • Sanitary and Phytosanitary Measures, das WTO-Abkommen
                  • Sozialpädagogisches Seminar, im Rahmen der Ausbildung an Fachakademien für Sozialpädagogik
                  • St. Patrick's Society for the Foreign Missions (dt. St. Patrick's Gesellschaft für auswärtige Missionen)


          Kann es wirklich sein, dass da so ein großer Unterschied zwischen dem TV-VPN und dem FritzBox-VPN ist?
          Ja, siehe oben.

          @Midivirus:
          VPN habe ich bisher ein paar mal gehört bzw. die Funktionsweise mal am Rande mitbekommen, DynDNS und PortForwarding war mir
          bis vor 3 Wochen noch ein Rätsel (hatte es zwar gehört, aber mich nicht weiter dafür interessiert). Aber spar dir
          bitte Kommentare wie "Dann lass die Finger davon" oder "Das soll lieber n Profi machen", denn jeder hat mal
          bei 0 angefangen. Klar ist es aufm Firmennetz etwas heikel, jedoch ists auf Heimnetzbasis eingerichtet und was ist das Schlimmste
          was passieren kann?
          Diese Warnung muss sein.
          Aus deinem Eröffnungspost ging hervor, dass du dies in einem Firmennetz machen willst und keinerlei Erfahrung damit hast, ja kaum die Begriffe richtig zusammenbekommst.
JumpstylerPAF
JumpstylerPAF 11.06.2010 um 14:09:17 Uhr
Goto Top
Ups...dachte nicht, dass es ja soviele gibt.

SPS = Speicherprogrammierbare Steuerung

Zur Verbindung: Client-LAN, da die Kunden die SPS von aussen bedienen müssen (also Zugriff auf deren PC oder eben direkt auf die SPSen)

Aber mir kam gerade, dass deswegen TeamViewer nichts nützen wird, da ich auf die SPS kaum TV draufkriegen werde =)


Ja Warnung ist ja okay, aber ich hab das eher als eine Art "Runterbuttern" empfunden. Kann natürlich auch daran liegen, dass ich es vorgestern Abend gelesen habe und da etwas sehr von der Arbeit gestresst war.


PS:
TeamViewer ist n tolles Programm, hat aber in den Kaufversionen seine Macken. 1.000€ dafür, dass ich es auf unbegrenzt vielen PCs installieren kann, aber immer nur ein einziger das Programm benutzen kann (und so n Zusatzkanal kostet mal schlappe 600€). Also Leistung ist (für mich) überragend, aber beim Preis-Leistungs-Verhältnis scheiden sich bestimmt die Geister.
Midivirus
Midivirus 11.06.2010 um 14:26:39 Uhr
Goto Top
warum ich es auch ein wenig genervt verpackt habe,
dass hier sich zunehmend mehr unerfahrende tummeln, als dass wie der Name sagt, richtige Admins gegenseitig helfen.
Früher war das mal so!


15 PC miteinander zu vernetzen

bei sowas bekommt man auch tierisch Nerverei. Aber, wir sind ja alle lernwillig.

Nur habe ich offiziell eine Ausbildung bei der IHK als Fachinformatiker Systemintegration vor Jahren bekommen ...
... wirklich geholfen hat es auch nicht, da man nicht mit den richtigen Firmen zusammenarbeitet!

deshalb auch meine Fragen, ob die Kenntnisse dafür vorhanden sind.

Möchte jetzt nicht wieder so Google und die Tuts dafür holen, aber gibt es genug und alles sind Einzelfälle?

Nun, ich bin dafür bekannt, etwas komisch zu antworten,
Grüße
Midi
JumpstylerPAF
JumpstylerPAF 11.06.2010 um 14:39:46 Uhr
Goto Top
Ich möchte hier nichts hochstacheln, ABER:

wie schon erwähnt hat jeder mal bei 0 angefangen. Die Älteren eben häufig durch learning-by-doing und die jüngere Generation nutzt dazu jegliche Hilfe um Fehler vorab zu vermeiden bzw. zu reduzieren. Und diese Hilfe ist eben in unseren Jahren das Internet. Und wieso dann also in einem Allgemeinforum oder 08/15-PCForum nachfragen, wenn ich weiß, dass ich hier qualitätiv hochwertigere und hilfreichere Antworten bekomme?

Ich hab z.B. Probleme mit dem Lederverdeck meines Cabrios und renn mit meinen Fragen auch nicht zu IKEA etc. weil die Ledermöbel verkaufen, sondern wahrscheinlich direkt zum Sattler, denn der kennt sich mit der Pflege wohl besser aus als die gelb-blauen Verkäufer.
Midivirus
Midivirus 11.06.2010 um 14:47:05 Uhr
Goto Top
aqui
aqui 11.06.2010 um 19:11:29 Uhr
Goto Top
@JumpstylerPAF
Was viel wichtiger ist: Funktioniert den VPN denn nun endlich und kannst du das "Super Proton Synchrotron" damit erreichen ??
Wenn ja dann bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
JumpstylerPAF
JumpstylerPAF 12.06.2010 um 21:22:42 Uhr
Goto Top
Konnte es bisher noch nicht probieren, da ich Freitag nicht mehr dazugekommen bin.
Aber wenn ich in Genf angekommen bin, geb ich Bescheid face-big-smile
JumpstylerPAF
JumpstylerPAF 14.06.2010 um 15:29:59 Uhr
Goto Top
Hat alles wunderbar geklappt. NSlookup und ping funktionierten vorher ja schon auf die DynDNS-URL und jetzt gerade VPN Verbdinung hergestellt + erfolgreiches Zugreifen über den Windows-Explorer auf entfernten Rechner!