agtromanoff
Goto Top

Lancom 1906VA hinter Speedlink 5501

Hallo,
ich hoffe das ist im richtigen Bereich.

Ich versuche aktuell die VPN-Server Funktion des Lancom 1906VA zu nutzen. Dieser wird hinter einer Speedlink 5501 genutzt. Es gibt eine statische von außen erreichbare IP und es soll ein Site-to-End-VPN genutzt werden.
Dazu habe ich einige Fragen:
1. Kann das so überhaupt funktionieren?
2. Muss ich den Lancom wie bei einer FritzBox als Exposed Host einrichten, damit das überhaupt funktionieren kann? Keine Ahnung, ob das überhaupt geht beim Speedlink 5501
3. Die meisten Anleitungen sind leider etwas älter und spiegeln nicht die aktuelle Firmware des Lancom wieder, was den Setup-Wizard betrifft. Gibt es da etwas aktuellere Anleitungen?
4. Kann ich PreShared-Key und gleichzeitig Zertifikat nutzen um die Sicherheit zu erhöhen?
5. Kann man die VPN-Funktion von Windows 10 nutzen um keine zusätzliche Software zu nutzen?

Besten Dank für alle Hinweise und Lösungsvorschläge

MfG
Romanoff

Content-Key: 4010516890

Url: https://administrator.de/contentid/4010516890

Ausgedruckt am: 25.09.2022 um 13:09 Uhr

Mitglied: Anton2812
Anton2812 21.09.2022 um 17:13:32 Uhr
Goto Top
Servus Romanoff,

wozu der Speedlink 5501 ?
Der Router kann auch ADSL oder setze ein DSL Modem (Vigor 165) davor und lass den Router die Einwahl machen.
Hat auch Telefoniefunktionen an Bord.

Gruß

Anton
Mitglied: aqui
aqui 21.09.2022 aktualisiert um 17:17:34 Uhr
Goto Top
1.) Ja
2.) Nicht zwingend. Es reicht (und ist sicherer) nur die für dein VPN Protokoll relevanten Ports und Protokolle per Port Forwarding einzutragen. Wichtige Informationen dazu findest du HIER zum Thema Router Kaskade.
4.) Das wäre sinnfrei. Für hohe Sicherheit reicht ein Zertifikat. Oder eben ein mindestens 12 Stellen langer PSK der nicht trivial ist un dden du gut schützen kannst.
5.) Ja das kann man und ist problemlos und auch empfehlenswert mit IKEv2 oder L2TP.
Informationen dazu zeigen diese Foren Threads für alternative Hardware:
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
https://administrator.de/tutorial/ikev2-vpn-server-fuer-windows-und-appl ...
https://administrator.de/tutorial/pfsense-vpn-mit-l2tp-ipsec-protokoll-f ...
https://administrator.de/forum/scheitern-am-ipsec-vpn-mit-mikrotik-56292 ...
Mitglied: radiogugu
radiogugu 21.09.2022 um 20:32:30 Uhr
Goto Top
Nabend.

+1 für den Einsatz des integrierten Modems des 1906.

Wäre es denn nicht auch möglich dann den Speedlink hinter den 1906 zu hängen und dort als TK Anlage einzusetzen? Klappt ja mit der Fritzbox normalerweise auch.

Gruß
Marc
Mitglied: AgtRomanoff
AgtRomanoff 22.09.2022 um 09:39:36 Uhr
Goto Top
Ich seid super.
Die gegebene Hardware wurde uns von den IT-Admins so vorgegeben bzw. bereitgestellt. Ein anderes Gerät einzusetzen würde einiges an Verwaltungsaufwand bedeuten, weshalb es mit der aktuellen Konfiguration funktionieren soll/muss.
Mit der Hilfe der verlinkten Dokumente habe folgende Dinge verstanden.
Ich muss am Speedlink das PPPoE-Passthrough aktivieren und die Ports UDP 500, 1701, 4500, 1194 (ich glaube 1194 kann ich weglassen) zum Lancom forwarden.
Kann mir jemand sagen, was es mit den VLAN am Speedlink auf sich hat, wenn man PPPoE-Passhthrough aktivieren will? Das Gerät kann es ja eigentlich nicht, aber man kann VLAN 7 und VLAN 8 auswählen? Beschreibung
Nachdem dann PPPoE aktiviert ist, sollte das VPN doch theoretisch funktionieren? Kann ich das VPN über die statische IP oder sollte ich hier einen quasi DynDNS Eintrag erstellen?
Reicht es dementsprechend aus, wenn ich den Setup-Wizard für VPN nutze oder muss ich da im Nachhinein noch etwas bei VPN einstellen, wenn ich erstmal nur mit PSK arbeite.

Danke
Mitglied: aqui
aqui 22.09.2022 aktualisiert um 10:09:48 Uhr
Goto Top
Ich muss am Speedlink das PPPoE-Passthrough aktivieren und die Ports UDP 500, 1701, 4500, 1194 (ich glaube 1194 kann ich weglassen) zum Lancom forwarden.
Nein!
Das hast du dann gründlich missverstanden. PPPoE Passthrough, sofern die Box das supportet, macht aus dem Gerät quasi ein reines NUR Modem. Wenn das aktiviert ist benötigst du logischerweise KEIN Port Forwarding mehr weil das Internet dann direkt auf dem Lancom terminiert wird.
Siehe dazu auch HIER (1).
Also entweder PPPoE Passthrough und quasi Modem oder Router Mode mit überflüssigem doppeltem NAT und Firewalling und Port Forwarding. Beides zugleich geht nicht bzw. wäre sinnfrei.

Technisch gesehen ist das PPPoE Passthrough immer die beste Option da du damit das doppelte NAT und das doppelte Firewalling einer Kaskade umgehst, was immer Performance kostet. Kaskaden an sich sind deshalb immer eine technisch schlechte Lösung lassen sich aber nicht immer vermeiden.
Deutlich besser wäre die vom Kollegen @radiogugu schon genannte Version mit integriertem xDSL Modem, die diese ganze überflüssige Kaskadenfricklei obsolet machen würde, weniger Strom und Hardware kostet und einfacher zu managen ist.
Wenn aber die deutlich schlechtere und wenig performantere Lösung politisch so gewollt ist musst du das Theater ja mitmachen. Frei nach dem Motto: Warum einfach machen wenn es umständlich und teuer auch geht...