8
Lancom Fritzbox und VPN
Hi, ich kämpfe seit zwei Tagen mit folgendem Problem
Situation: Wir verwenden einen Lancom 1711+VPN und eine Fritzbox. Die Fritzbox stellt die eigentliche Verbindung zum Internet her, die Lancom weiß gar keine Zugangsdaten von Arcor.
Unter dieser Konfiguration funktioniert alles wie es soll, nur kein VPN. Der VPN-Client sagt mir "VPN-Gateway antwortet nicht (Warten auf Msg 2).
Es scheint schon an der Fritzbox zu scheitern, denn in den Logs der Lancom erscheint von den Zugriffsversuchen nichts.
Also Umkonfiguriert: Die Fritzbox werkelt nur noch als Modem und die Lancom stellt selbst die Internetverbindung (PPPoE) her. Bingo, VPN funktioniert!
Nur wird jetzt der Internetzugriff aus dem Haus (also _nicht_ über VPN) zur quälend langsamen Tortur. Bildaufbauzeiten, die an 300Bd-Akustikkoppler erinnern. Das geht natürlich auch nicht.
Also wieder zurück das ganze, und kein VPN.
Ich habe an der Fritzbox all die Ports und Protokolle weitergeleitet, die mir Google im Zusammenhang mit VPN verriet (UPD500,GRE,1723TCP,ESP). NAT-Traversal ist an der Lancom eingeschaltet (ohne das geht es auch nicht in der anderen Konfiguration).
Problem scheint zu sein, dass es so durch zweimal NAT durchgeht (einmal bei meinem Funknetz-Betreiber und hier nochmal durch die Fritzbox).
Also gleich ein paar Fragen:
Liege ich mit der Vermutung richtig, dass es an "zweimal NAT" liegt und NAT-Traversal nur mit einmal klarkommt?
Oder kommen noch anderen Ports/Protokolle in Betracht, die weitergeleitet werden müssen?
Woran kann es liegen, dass die Übertragungsgeschwindigkeit flöten geht, wenn die Lancom-Kiste die Verbindung selbst herstellt, statt das die Fritzbox erledigen zu lassen?
Danke im Voraus für jede Idee.
Gruß
Michael KBS
Unter dieser Konfiguration funktioniert alles wie es soll, nur kein VPN. Der VPN-Client sagt mir "VPN-Gateway antwortet nicht (Warten auf Msg 2).
Es scheint schon an der Fritzbox zu scheitern, denn in den Logs der Lancom erscheint von den Zugriffsversuchen nichts.
Also Umkonfiguriert: Die Fritzbox werkelt nur noch als Modem und die Lancom stellt selbst die Internetverbindung (PPPoE) her. Bingo, VPN funktioniert!
Nur wird jetzt der Internetzugriff aus dem Haus (also _nicht_ über VPN) zur quälend langsamen Tortur. Bildaufbauzeiten, die an 300Bd-Akustikkoppler erinnern. Das geht natürlich auch nicht.
Also wieder zurück das ganze, und kein VPN.
Ich habe an der Fritzbox all die Ports und Protokolle weitergeleitet, die mir Google im Zusammenhang mit VPN verriet (UPD500,GRE,1723TCP,ESP). NAT-Traversal ist an der Lancom eingeschaltet (ohne das geht es auch nicht in der anderen Konfiguration).
Problem scheint zu sein, dass es so durch zweimal NAT durchgeht (einmal bei meinem Funknetz-Betreiber und hier nochmal durch die Fritzbox).
Also gleich ein paar Fragen:
Liege ich mit der Vermutung richtig, dass es an "zweimal NAT" liegt und NAT-Traversal nur mit einmal klarkommt?
Oder kommen noch anderen Ports/Protokolle in Betracht, die weitergeleitet werden müssen?
Woran kann es liegen, dass die Übertragungsgeschwindigkeit flöten geht, wenn die Lancom-Kiste die Verbindung selbst herstellt, statt das die Fritzbox erledigen zu lassen?
Danke im Voraus für jede Idee.
Gruß
Michael KBS
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 146419
Url: https://administrator.de/contentid/146419
Printed on: May 2, 2024 at 10:05 o'clock
8 Comments
Latest comment
Hallo,
kann es ein, dass du, wenn du nur den Lancom betreibst allen Traffic durch das VPN routest?
Denn warum sollte das surfen langsamer sein, wenn du nur einen router benutzt?
Ansonsten hast du ja bestimmt alle relevanten Einstellungen von der Fritzbox auf den Lancom übertragen?
kann es ein, dass du, wenn du nur den Lancom betreibst allen Traffic durch das VPN routest?
Denn warum sollte das surfen langsamer sein, wenn du nur einen router benutzt?
Ansonsten hast du ja bestimmt alle relevanten Einstellungen von der Fritzbox auf den Lancom übertragen?
Hi
Nicht ausgeschlossen, wenn auch nicht mit Absicht. Internet-Verbindungs-Assistenten laufen gelassen, Zugangsdaten eingetragen. Da war der VPN-Zugang schon eingerichtet, funktionierte bloss nicht. Wäre jedenfalls eine logische Erklärung. (Allerdings kann ich einen Neuversuch in der Richtung erst starten, wenn hier keiner damit arbeiten will).
Gruß
MichaelKBS
kann es ein, dass du, wenn du nur den Lancom betreibst allen Traffic durch das VPN routest?
Nicht ausgeschlossen, wenn auch nicht mit Absicht. Internet-Verbindungs-Assistenten laufen gelassen, Zugangsdaten eingetragen. Da war der VPN-Zugang schon eingerichtet, funktionierte bloss nicht. Wäre jedenfalls eine logische Erklärung. (Allerdings kann ich einen Neuversuch in der Richtung erst starten, wenn hier keiner damit arbeiten will).
Denn warum sollte das surfen langsamer sein, wenn du nur einen router benutzt?
Ansonsten hast du ja bestimmt alle relevanten Einstellungen von der Fritzbox auf den Lancom übertragen?
Ja, klar.Ansonsten hast du ja bestimmt alle relevanten Einstellungen von der Fritzbox auf den Lancom übertragen?
Gruß
MichaelKBS
besorge Dir lieber ein reines Modem und klemme es vor den Lancom.
Gruß, Arch Stanton
Gruß, Arch Stanton
Richtig. Einfach ein simples Modem wie dieses:
http://www.pollin.de/shop/dt/NTM4ODgyOTk-/Computer_und_Zubehoer/Netzwer ...
an den Lancom ran und gut ist. Die FB kannst du als Modem vergessen.
Ansonsten ist es vollkommen logisch das es in der Router Router Kopplung nicht klappt ! Du betreibst an der FB ja eine NAT Firewall (Adress Translation) wie es allgemein üblich ist bei DSL Routern.
Der Lancom nutzt IPsec im ESP Modus als VPN protokoll, das du aber wegen der Dynmaik von IPsec nicht so ohne weiteres über die NAT Firewall der FB bekommst.
Genau deshalb scheitert dein VPN Zugriff mit "VPN-Gateway antwortet nicht (Warten auf Msg 2)" Ist auch allgemein bekannt wenn man sich die Mechanismen zu IPsec mal klar macht:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Fazit: Du musst die IPsec Ports in der FB freigeben im Port Forwarding auf die WAN IP des Lancom der an der FB angeschlossen ist.
Banale Lösung:
Gehe in das Port Forwarding Menü der FB und gebe dort ganz einfach die folgenden Ports frei auf die WAN IP des Lancom:
ESP Protokoll (IP Protokoll Nummer 50, Achtung nicht TCP oder UDP 50 !)
IKE UDP 500
NAT Traversal UDP 4500
Fertisch !
Dann klappt es auch sofort mit dem VPN !! Dafür muss man nicht mal simple 2 Minuten kämpfen wenn man weiss was man macht !!
Hier kannst du am Beispiel vom PPTP Protokoll sehen wie es zu machen ist:
VPNs einrichten mit PPTP
(Achtung: Nicht diese Ports verwenden da PPTP, sondern die o.a. für IPsec ! Lancom macht IPsec wie du ja auch HIER am freien VPN Client Shrew sehen kannst !!
Oder... du schmeisst den Lancom ganz wech und machst das VPN nur mit der FB:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Da der Lancom aber erheblich besser ist als ne FB solltest du besser die 4 Euronen für das o.a. DSL Modem investieren und die FB wechschmeissen !!
http://www.pollin.de/shop/dt/NTM4ODgyOTk-/Computer_und_Zubehoer/Netzwer ...
an den Lancom ran und gut ist. Die FB kannst du als Modem vergessen.
Ansonsten ist es vollkommen logisch das es in der Router Router Kopplung nicht klappt ! Du betreibst an der FB ja eine NAT Firewall (Adress Translation) wie es allgemein üblich ist bei DSL Routern.
Der Lancom nutzt IPsec im ESP Modus als VPN protokoll, das du aber wegen der Dynmaik von IPsec nicht so ohne weiteres über die NAT Firewall der FB bekommst.
Genau deshalb scheitert dein VPN Zugriff mit "VPN-Gateway antwortet nicht (Warten auf Msg 2)" Ist auch allgemein bekannt wenn man sich die Mechanismen zu IPsec mal klar macht:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Fazit: Du musst die IPsec Ports in der FB freigeben im Port Forwarding auf die WAN IP des Lancom der an der FB angeschlossen ist.
Banale Lösung:
Gehe in das Port Forwarding Menü der FB und gebe dort ganz einfach die folgenden Ports frei auf die WAN IP des Lancom:
ESP Protokoll (IP Protokoll Nummer 50, Achtung nicht TCP oder UDP 50 !)
IKE UDP 500
NAT Traversal UDP 4500
Fertisch !
Dann klappt es auch sofort mit dem VPN !! Dafür muss man nicht mal simple 2 Minuten kämpfen wenn man weiss was man macht !!
Hier kannst du am Beispiel vom PPTP Protokoll sehen wie es zu machen ist:
VPNs einrichten mit PPTP
(Achtung: Nicht diese Ports verwenden da PPTP, sondern die o.a. für IPsec ! Lancom macht IPsec wie du ja auch HIER am freien VPN Client Shrew sehen kannst !!
Oder... du schmeisst den Lancom ganz wech und machst das VPN nur mit der FB:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Da der Lancom aber erheblich besser ist als ne FB solltest du besser die 4 Euronen für das o.a. DSL Modem investieren und die FB wechschmeissen !!
Hi,
Ist einen Versuch wert, schon bestellt.
Ähm, ja, genau diese Portweiterleitungen (bzw. Protokoll-) habe ich da drin, zusätzlichlich noch 1723 (aber mehr kann ja wohl nicht schaden).
Funktioniert nur leider trotzdem nicht. Aber bevor ich da jetzt weitere Zeit reinstecke warte ich erstmal auf das Modem und entsorge wenn das funktioniert die FB.
Danke und Gruß
MichaelKBS
Richtig. Einfach ein simples Modem wie dieses:
http://www.pollin.de/shop/dt/NTM4ODgyOTk-/Computer_und_Zubehoer/Netzwer ...
an den Lancom ran und gut ist. Die FB kannst du als Modem vergessen.
http://www.pollin.de/shop/dt/NTM4ODgyOTk-/Computer_und_Zubehoer/Netzwer ...
an den Lancom ran und gut ist. Die FB kannst du als Modem vergessen.
Ist einen Versuch wert, schon bestellt.
Banale Lösung:
Gehe in das Port Forwarding Menü der FB und gebe dort ganz einfach die folgenden Ports frei auf die WAN IP des Lancom:
ESP Protokoll (IP Protokoll Nummer 50, Achtung nicht TCP oder UDP 50 !)
IKE UDP 500
NAT Traversal UDP 4500
Fertisch !
Dann klappt es auch sofort mit dem VPN !! Dafür muss man nicht mal simple 2 Minuten kämpfen wenn man weiss was man macht
Gehe in das Port Forwarding Menü der FB und gebe dort ganz einfach die folgenden Ports frei auf die WAN IP des Lancom:
ESP Protokoll (IP Protokoll Nummer 50, Achtung nicht TCP oder UDP 50 !)
IKE UDP 500
NAT Traversal UDP 4500
Fertisch !
Dann klappt es auch sofort mit dem VPN !! Dafür muss man nicht mal simple 2 Minuten kämpfen wenn man weiss was man macht
Ähm, ja, genau diese Portweiterleitungen (bzw. Protokoll-) habe ich da drin, zusätzlichlich noch 1723 (aber mehr kann ja wohl nicht schaden).
Funktioniert nur leider trotzdem nicht. Aber bevor ich da jetzt weitere Zeit reinstecke warte ich erstmal auf das Modem und entsorge wenn das funktioniert die FB.
Danke und Gruß
MichaelKBS
Hi,
aktueller Stand der Dinge: Einstellung der Fritzbox wie exakt oben angeraten brachte leider keine Veränderung: VPN lässt sich hier nicht durch die FB durchschleusen.
Nun bin ich dem anderen Vorschlag gefolgt und habe die FB ganz rausgenommen und durch ein einfaches Modem ersetzt. Ich habe die Lancom komplett zurückgesetzt und neu konfiguriert und noch _keinen_ VPN-Zugang eingerichtet.
Das Ergebnis ist wieder ein schneckenlangsamer Internetzugriff. Lanmonitor zeigt mir 500KBit/Sec als Maximum an (wir haben DSL-6000) und der Zugriff auf Internetseiten (einschließlich dieser) dauert gefühlte Minuten.
Verbindung durchs VPN geroutet scheidet aus, da (noch) nicht vorhanden.
Ich beginne mich zu fragen, ob die Lancom-Schachtel vielleicht schlicht kaputt ist.
Falls noch jemand eine Idee hat, würde ich mich freuen.
Gruß
MichaelKBS
aktueller Stand der Dinge: Einstellung der Fritzbox wie exakt oben angeraten brachte leider keine Veränderung: VPN lässt sich hier nicht durch die FB durchschleusen.
Nun bin ich dem anderen Vorschlag gefolgt und habe die FB ganz rausgenommen und durch ein einfaches Modem ersetzt. Ich habe die Lancom komplett zurückgesetzt und neu konfiguriert und noch _keinen_ VPN-Zugang eingerichtet.
Das Ergebnis ist wieder ein schneckenlangsamer Internetzugriff. Lanmonitor zeigt mir 500KBit/Sec als Maximum an (wir haben DSL-6000) und der Zugriff auf Internetseiten (einschließlich dieser) dauert gefühlte Minuten.
Verbindung durchs VPN geroutet scheidet aus, da (noch) nicht vorhanden.
Ich beginne mich zu fragen, ob die Lancom-Schachtel vielleicht schlicht kaputt ist.
Falls noch jemand eine Idee hat, würde ich mich freuen.
Gruß
MichaelKBS
Hallo,
schon mal die Firmware des Lancom upgedatet?
schon mal die Firmware des Lancom upgedatet?
Hi,
danke für alle Hinweise. Letzten Endes hat Firmwareupdate + neues Modem zu vernünftigen Verhältnissen geführt und VPN geht jetzt auch.
Gruß
MichaelKBS
danke für alle Hinweise. Letzten Endes hat Firmwareupdate + neues Modem zu vernünftigen Verhältnissen geführt und VPN geht jetzt auch.
Gruß
MichaelKBS
