Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

FritzBox Site-to-Site VPN hinter Router

Mitglied: nico2000

nico2000 (Level 1) - Jetzt verbinden

13.03.2019, aktualisiert 14.03.2019, 283 Aufrufe, 9 Kommentare

Hallo zusammen,

ich bin gerade dabei zu versuchen ein FritzBox Site-to-Site VPN aufzubauen hinter einem weiteren Router und stehe dabei vor Problemen.
Hier meine Netzwerkkonstallation:
- FritzBox 7490, 192.168.178.0/24, öffentliche IP-Adresse mit MyFritz, Telekom-Internetanschluss
- Huawei B315 LTE-Router, 192.168.176.0/24, IP-Adresse mit no-ip DDNS, Vodafone-Mobilfunkvertrag --> dort dran FritzBox 4020, 192.168.177.0/24, LAN-IP im LTE-Router Netz 192.168.176.2

Nun möchte ich zwischen der FritzBox 7490, die direkt mit dem Internet verbunden ist und der FritzBox 4020, die mit dem LTE-Router verbunden ist, eine Site-to-Site VPN-Verbindung aufbauen. Ich habe die VPN bei der FritzBox 7490 mit dem Shared-Secret, dem DDNS-Hostname von no-ip und der entfernten Netzwerkadresse der 4020 konfiguriert. Bei der FritzBox 4020 habe ich den gleichen Shared-Secret eingetragen, den DDNS-Hostname vom MyFritz, die entfernte Netzwerkadresse der 7490 und das Häkchen bei VPN dauerhaft halten gesetzt. Auf dem Huawei-Router habe ich eine Portweiterleitung für die UDP-Ports 500 und 4500 (IPSec) auf die IP der 4020 (192.168.176.2) gesetzt.

Nun dachte ich, dass die VPN-Verbindung eigentlich aufgebaut werden müsste. Leider funktioniert dies nicht. Im Ereignisprotokoll der 7490 wird der Fehler "IKE-Error 0x2027 - timeout" gemeldet.

Ich würde mich sehr freuen, wenn ihr mir bei dem Problem helfen könntet.
Vielen Dank schonmal im Voraus.
Mitglied: Crusher79
13.03.2019 um 22:25 Uhr
Hi,

bei IPsec hast du die Hälfte oder sagen wir das wichtigste Protokoll vergessen: ESP. Wenn das nix von ESP steht, kannst du es gleich vergessen.

Wenn du etwas mit 50 liest, dann bezieht sich dass wiederum auf das Protokoll! NICHT TCP oder UDP 50.


https://administrator.de/wissen/ipsec-vpn-cisco-mikrotik-pfsense-firewal ...

Schau mal dorten oder allgemein in aqui's Tuturials....

mfg Crusher
Bitte warten ..
Mitglied: walle1979
14.03.2019 um 08:38 Uhr
Hallo,

ich weiß nicht ob es noch so ist, aber eine Zeit lang haben LTE-Verbindungen eine shared IPv4-Adresse. Das heißt, dass du die öffentliche IP-Adresse mit mehreren teilst. Dadurch nützt dir das PFW auf dem LTE-Router nichts.
Lass die Verbindung von der FB4020 initieren, dann sollte es funktionieren.
Bitte warten ..
Mitglied: goscho
14.03.2019, aktualisiert um 09:35 Uhr
Moin

Zitat von walle1979:
ich weiß nicht ob es noch so ist, aber eine Zeit lang haben LTE-Verbindungen eine shared IPv4-Adresse. Das heißt, dass du die öffentliche IP-Adresse mit mehreren teilst. Dadurch nützt dir das PFW auf dem LTE-Router nichts.
Doch, das Portforwaarding braucht er trotzdem. Aber es nützt so nichts.
Denn wie du richtig angemerkt hast, bekommt der TO keine öffentliche IPv4 Adresse, sondern die Mobilfunkprovider vergeben Adressen aus dem privaten Bereich.

Lass die Verbindung von der FB4020 initieren, dann sollte es funktionieren.
Das kann klappen, ich habe es aber bei einem Kunden nicht sauber zum Laufen bekommen.
Wenn dann noch eine Einwahl zum LTE-Standort erfolgen soll, passt das gar nicht mehr.

Wenn es um eine Firma geht oder andere wichtige Dienste, dann empfehle ich folgenden Service zu nutzen:
mdex Experts: Feste öffentliche IP Adresse für LTE
Das kostet zwar, ist dafür aber sehr zuverlässig.
Bitte warten ..
Mitglied: aqui
LÖSUNG 14.03.2019, aktualisiert um 09:16 Uhr
Auf dem Huawei-Router habe ich eine Portweiterleitung für die UDP-Ports 500 und 4500 (IPSec)
Da fehlt die Hälfte !!!
Der eigentliche Tunnel wird mit ESP gesendet. ESP ist ein eigenes IP Protokoll (IP Nummer 50). Das musst du zwingend auch forwarden sonst wird das logischerweise nix.
Dieses Tutorial erklärt dir die Details dazu:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...
Denk dir statt der Firewall dort deinen VPN Router.
Nochwas, weil LTE im Spiel ist.
Wenn dein LTE Provider CGN nutzt und im LTE Netz private RFC 1918 IP Adressierung verwendet was leider wegen der IPv4 Adressknappheit häufig die Regel ist, dann musst du aufpassen wer der Initiator in der VPN Verbindung ist, denn inbound IPsec Sessions laufen nicht über NAT bzw. CGN.
Sollten beide Seiten CGN haben oder es eine Kombination aus CGN und DS-Lite sein kannst du dein Vorhaben gleich vergessen. Damit sind VPNs dann technsich unmöglich.
Sieh dir also mal genau die WAN Port IP Adressen an auf den Routern, die die Verbindung in die öffentlichen Netze halten !!
Idealerweise haben die öffentliche IPs, also keine RFC 1918 IPs, und zwar auf beiden Seiten ! Dann sind deine Chancen gut.
Bitte warten ..
Mitglied: nico2000
14.03.2019 um 09:38 Uhr
Danke schonmal für Eure Antworten.
Es scheint tatsächlich so zu sein, dass der LTE Router keine öffentliche IP hat. Die 7490 allerdings schon.
Ich habe es jetzt hinbekommen die 4020 über den LTE Router als VPN Client (Host to Site) einwählen zu lassen.
Habt ihr denn noch eine Idee ob es doch noch eine Möglichkeit gibt Site to Site hinzubekommen? Wie klappt es denn dass die 4020 die Site to Site Verbindung imitieren kann oder klappt Site to Site nur wenn es definitiv 2 öffentlich IPs sind und nicht 1 öffentliche und 1 NAT?
Bitte warten ..
Mitglied: goscho
14.03.2019 um 09:50 Uhr
Site-to-Site kann dann klappen, wenn du in der Konfiguration vorgeben kannst, dass eine Seite immer der Initiator ist.
Dies muss dann natürlich deine Fritte im LTE-Netz sein.
Bitte warten ..
Mitglied: nico2000
14.03.2019 um 10:20 Uhr
Direkt den Initiator kann ich leider nicht festlegen. Ich habe bei beiden Routern den Haken "Verbindung dauerhaft halten". Wäre dann die 4020 hinter dem LTE Router der Initiator wenn ich den Haken dort setze und bei der 7490 dann nicht?
Bitte warten ..
Mitglied: aqui
14.03.2019, aktualisiert um 16:22 Uhr
Mal etwas selber Nachdenken bitte... To "Initiate" (engl.) bedeutet soviel wie etwas einleiten oder den Anstoß zu etwas geben.
Der Initiator ist also der der Teil der VPN Punkt zu Punkt Verbindung der den VPN Tunnelaufbau startet !
Jetzt kannst du dir mit etwas nachdenken die Frage selber beantworten ob dein Haken "Verbindung dauerhaft halten" irgendetwas damit zu tun hat das eine Seite den VPN Aufbau initiiert sprich also startet.
Wie Kollege @goscho schon sagt MUSS zwingend die Fritte im LTE Netz den Tunnel aufbauen, denn damit triggert sie am NAT Gateway des Providers, was die Übersetzung RFC1918 zu öffentl. IP macht, die Sessiontabelle das auch Antwortpakete wieder zurückkommen können.
Wenn die andere Seite den Aufbau machen würde ist am CGN NAT Gateway des Providers Schluss und aus die Maus, da es keine bestehende Session Tabelle gibt und das NAT Gateway dann die Pakete einfach wegschmeisst.
In dieser Richtung ist es unmöglich das NAT zu überwinden !! Deshalb musst du den Initiator festlgen oder darauf hoffen das beide Seiten das aktiv machen.
Ist oben ja auch schon mehrfach gesagt worden.
Bitte warten ..
Mitglied: nico2000
14.03.2019 um 16:25 Uhr
Nachgedacht hab ich schon... Das ist aber das einzigste was dort außer den IP-Adressen einstellbar ist, deshalb die Frage.
Dann anders gefragt: Weiss jemand ob in der VPN-Config datei die man über den Fritz-Fernzugang erstellen kann irgendwo eingestellt werden kann welche FB die Verbindung initiert?
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Site to Site VPN FritzBox
gelöst Frage von marni1996LAN, WAN, Wireless7 Kommentare

Hallo Zusammen, Ich versuche vergeblich eine VPN Verbindung zwischen Office <> RZ herzustellen. Leider klappt es nicht im RZ ...

Router & Routing
Site to Site VPN LANCOM - Fritzbox
gelöst Frage von NichtsnutzRouter & Routing5 Kommentare

Ho,Ho,Ho ins Forum - allen schöne Weihnachten. Es geht mir hier um ein site2site VPN zwischen einem Lancom 1781 ...

Outlook & Mail

Outlook 2016 beim Senden einer Mail sit die Liste unter "Datei anfügen" ausgegraut

Frage von spiky123Outlook & Mail1 Kommentar

Hallo Zusammen, ich habe mit einem frisch installierten Outlook 2016 mit Zugriff auf den Cloud-Exchange-Server von Microsoft ein Problem. ...

Netzwerke

Erfahrungen mit FritzBox Lan to Lan VPN?

Frage von thomasreischerNetzwerke10 Kommentare

Hallo zusammen, wir haben bei uns im Betrieb eine 7490 Fritte stehen. Unser Arbeitgeber möchte nun von Zuhause (ebenfalls ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 3 TagenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 3 TagenSicherheit2 Kommentare

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 4 TagenInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 5 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
DNS
50 EUR für Telekom-, Unitymedia- und Vodafone-Kunden
Frage von Zorro1199DNS14 Kommentare

Hallo zusammen, wie evaluieren gerade das korrekte Einhalten von DNS-TTLs durch verschiedene Provider. Aktuell suchen wir noch Kunden der ...

Windows Server
Sonntagsfrage: Welchen Sinn seht Ihr noch im Server 2019 Essentials
Frage von ashnodWindows Server13 Kommentare

Guten Morgen, ich habe gestern den Windows Server 2019 Essentials als Trial in einer VM installiert um mir das ...

Windows Server
Windows 2012 R2 - Skript um Druckerkonfiguration auszulesen und zu setzen
gelöst Frage von Der-PhilWindows Server11 Kommentare

Hallo! Kennt ihr eine Möglichkeit, per Skript die Konfiguration eines Druckers auszulesen und auf einen anderen anzuwenden? Hintergrund: Ich ...

Grafik
Viele Fotos organisieren - Windows Dateisystem zu lahm bzw. überfordert
Frage von augustaparkGrafik11 Kommentare

Hallo und Guten Morgen, hat einer eine Idee, wie man viele Fotos sinnvoll und effizient organisieren kann? Wir haben ...