LANCOM VPN CLIENT einrichten

Ah, falsch, es ist nicht UDP 50 (Layer-4), sondern ESP 50, ein Layer-3-IP-Protokoll, was einen Forward zum Lancom braucht. Und da Speedports diese Protokolle nicht forwarden können, hast du mit der Hardware so oder so nur eine 50% Chance, dass es funktioniert.

Einzige Möglichkeit, VPN mit deiner Hardware in Gang zu bringen: Speedport auf Modem-Betrieb umschalten und den LANCOM die Einwahl machen lassen.

Nein, der Speedport muss als reines PPPoE Modem arbeiten (PPPoE Passthrough) und die Einwahl macht dann der Lancom.

Wenn der Speedport kein ESP Forwarding beherrscht ist das deine einzige Möglichkeit.

Hallo,

wie bereits geschrieben handelt es sich um Protokoll 50 und nicht um UDP Port 50. Ein "VPN Forwarding" von einem Speedport zu einem Lancom Router habe ich bereits eingerichtet und das läuft auch einwandfrei. Ich kann dir allerdings nicht mehr sagen was das für ein Speedport das war. Der Kunde hatte dort eine LTE/VDSL Kombo und war daher zwingend auf den Speedport angewiesen. Eine genaue Anleitung kann ich aber nicht liefern. Es muss aber praktisch möglich sein Protokoll 50/51 weiter zu leiten. Sonst hätte das ja nicht funktioniert.

Der beim Kunden verwendete Speedport Router konnte auch kein "Modem Modus". Es war einfach nicht anders möglich.

Wenn bei dir solche Anforderungen nicht bestehen dann nutze doch direkt den Lancom ohne den Speedport.

Grüße

Hab gerade mal nachgesehen der w723V hat keine Möglichkeit ESP zu forwarden.
https://telekomhilft.telekom.de/t5/Telefonie-Internet/l2tp-VPN-auf-dem-S ...
https://community.sophos.com/products/unified-threat-management/f/german ...

Dann besorg dir ein vernünftiges VDSL Modem das du davor packst.

• Draytek Vigor 130
• ALLNET ALL126AS3
• Zyxel VMG1312-B30A

Zur Not tuts auch ne Fritte im PPPoE Passthrough Modus.

Wenn dir/euch das vollkommen unsichere PPTP reicht ... dann vergess aber nicht GRE, wenn er das auch nicht packt ist Hopfen und Malz verloren.

Beim Client natürlich die externe welche sonst??. Also das sind doch böse Routing-Grundlagen ....

Schreib ich doch!

Also Modem holen und es gleich vernünftig machen.

Sorry, mein Gehirn hatte da wohl ein "V" in das Modell mit eingebaut ;). Der 1781VAW kann das, tut mir leid!

Was dir vielleicht noch helfen kann: https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Speedport-Hybrid-mus ...

Dort wird von einer Lösung gesprochen und das in den kommenden Firmware Versionen dann VPN mit auf der Agenda steht. Dort wurde am 18.03.2015 von einem "Telekom hilft Team" Mitarbeiter ein entsprechender Post verfasst. Die beziehen sich da aber direkt auf Hybrid Speedports. Keine Ahnung ob es da gravierende Unterschiede bezüglich der Firmware gibt. Fakt ist aber das es mit einem Speedport Hybrid funktioniert hat.

Grüße

Du hast noch immer nicht verstanden. ESP und AH sind keine Ports sondern Protokolle mit den IP-Protokollnummern 50 und 51.
https://de.wikipedia.org/wiki/IPsec#Encapsulating_Security_Payload_(ESP)
https://de.wikipedia.org/wiki/IPsec#Authentication_Header_(AH)

Äh sorry, du hast offensichtlich keine Ahnung von der Materie und hast einen Kunden dem du das Einrichten sollst?? Aua, armer Kunde.

WIE werden die betrieben ???
In einer klassischen Router Kaskade wie hier:
Kopplung von 2 Routern am DSL Port
oder hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
beschrieben ??
Ja, das ist auch so aber es kommt entscheidend darauf an WIE der Speedport benutzt bzw. konfiguriert wird. Entweder als reines Modem also nur Medienwandler so das der Lancom das IP Forwarding ins Internet macht.
Oder die technisch schlechtere Variante das der SP auch als Router arbeitet und man dann eine Kaskade mit doppeltem NAT und doppelter Firewall hat.
Das ist generell kein Problem. Liest dir bitte das o.a. Tutorial durch das beantwortet die Frage der richtigen Konfiguration.
Wenn wir mal annehmen das du den SP als Router arbeiten lässt und NICHT als reines Modem musst du natürlich zwingend dort ein Port Forwarding einrichten der typischen IPsec Ports . Leider sagst du auch mit keinem Wort WELCHES VPN Protokoll du auf dem Lancom nutzt aber wir nehmen mal an es ist IPsec.
UDP 500
UDP 4500
und dem ESP Protokoll mit der Nummer 50. (Achtung ! Das ist kein UDP oder TCP 50. ESP ist ein eigenes Protokoll)
Hier hast du also schon einen entscheidenden Fehler begangen und fälschlicherweise UDP 50 dort freigegeben und so ein gefährliches Loch in deine FW gebohrt.
Kein Wunder also das es ohne Funktion ist wenn du da schon so gravierende Fehler gemacht hast.
Wäre Schwachsinn, denn das ist ein Protokollteil vom PPTP VPN Protokoll. PPTP und IPsec sind 2 unterschiedliche Baustellen wie man als Netzwerker ja weiss.
Jetzt machst du hier raten im freien Fall ohne Sinn und Verstand...
Vielleicht solltest du dazu auch besser mal deine IPsec Kenntnisse auffrischen ?!
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen

Ohne das wirst du niemals VPN Zugang zum Lancom bekommen weil die Firewall des SP das sonst sicher verhindert !
Logisch auch das die Ziel IP Adresse für den VPN Client immer die WAN/Internet Port IP Adresse des Speedport ist !! und NICHT die des kaskadierten Lancoms ! Auch das solltest du auf dem Radar haben.
Wie gesagt, das o.a. Tutorial beantwortet alle deine Fragen zu dem Thema !
Einfach mal die Suchfunktion hier benutzen

Generell solltest du dich fragen ob du nicht ein reines NUR Modem für den Anschluss an den Lancom verwendest und so die technsich schlechtere Router Kaskade vermeidest. Das ist allemal besser als der SP Schrottrouter.
Empfehlenswert ist hier ein Vigor 130 oder ALLNET_ALL-BM200VDSL2V. Siehe dazu auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

DHCP wäre aber Blödsinn, wenn dahinter noch ein Lancom ist. Das Koppelnetz konfiguriert man logischerweise immer mit statischen IPs !!
Der Grund liegt auf der Hand:
Am SP musst du ja ein Port Forwarding machen auf die WAN IP Adresse des Lancom.
Ändert sich diese WAN Port IP des Lancoms einmal durch die Dynamik vom DHCP ists dann aus mit dem Port Forwarding....
Verantwortungsvolle und vorausschauende Netzwerker nehmen deshalb immer statische IPs und deaktivieren DHCP im Koppelnetz !
Das wäre völliger Blödsinn !
Ist auch logisch, denn wenn der Lancom ein VPN Server ist (hier terminierst du ja deine VPN Verbindung von den Clients !!), dann MUSS der Lancom zwingend als Router arbeiten und aktiv Layer 3 Forwarding machen auf seinen Interfaces.
Damit ist er dann immer ein Router und niemals nur ein dummer Switch !
Es hört sich leider danach an als ob du hier vollkommen überfordert bist und nicht wirklich weisst was du da machst ?!
Lies dir bitte das o.a. Tutorial durch ! Dort werden alle technischen Details erklärt von so einem Szenario.
(Die dort zitierte pfSense Firewall entspricht deinem Lancom)

Da gibt es keine Ports. Wie bei ICMP (ping) zum Beispiel. Die Funktion muss also im Speed Port Hybrid verfügbar sein. Sonst hätte die Einrichtung nicht funktioniert. Ansonsten bin ich nach: https://www2.lancom.de/kb.nsf/1275/13C3AB1302C4DA61C1257D0A0038F847?Open ... vorgegangen.

Im Post von Snapdragon wird ja aber explizit auf deinen Speedport eingegangen und der kann das laut dem Thread tatsächlich nicht. Ich weiß nicht in wiefern sich die Firmware unterscheidet.

Ich würde einen 1781VAW vorziehen oder bei weniger verfügbaren Budget halt ein Modem, siehe Post von Snapdragon.

Habe ich oben bereits geschrieben und dir Referenzen dazu verlinkt.

Exposed Host muss man gar nicht machen. OK ist die einfache Schrotschuß Variante wenn man sich das Port Forwarding der einzelnen Protokolle ersparen will.
Genau so ist es auch richtig. Das ist dann die klassische Router Kaskade mit doppeltem NAT.
Das wäre Blödsinn, denn dann müsste man dessen Routing Funktion komplett deaktivieren, was garantieret technsich nicht möglich ist. Außerdem wäre es auch völliger Unsinn.
Was sollte denn der tiefere Sinn sein einen Lancom quasi so als vollkommen nutzlosen Durchlauferhitzer zu benutzen ?!
Dann kann man ihn auch gleich ganz weglassen !
Ohne Routing Funktion kann der Lancom niemals ein aktiver VPN Server sein, das ist Fakt.
Irgendwas stimmt hier also grundsätzlich nicht was du uns weismachen willst hier.
Wenn er nur als dummer AP / Switch konfiguriert ist, dann ist er auch nur einbeinig angeschlossen:
Kopplung von 2 Routern am DSL Port

Vielleicht solltest du erstmal wasserdicht klären wie der Lancom genau konfiguriert ist bevor wir uns hier weiter mit Spekulationen im Kreis drehen...
Was du beim SP versuchen kannst ist dort UDP 500 und UDP 4500 zu forwarden. Solche billigen Provider Schrottrouter forwarden oftmals dann die fehlenden Komponenten wie ESP oder auch GRE (bei PPTP).
Das muss man aber ausprobieren.
Wenn das stimmt was in dem oben zitierten Thread steht geht es nicht und dann muss IPsec natürlich scheitern. Klar, denn der ESP Tunnel transportiert die eigentlichen VPN Daten.

Ein Tip um das zu testen. Schliesse statt des Lancom temporär testweise einen Wireshark Sniffer mit gleicher IP Adresse am Speedport an.
Dann eröffnest du eine IPsec VPN Verbindung von remote und snifferst die mit. Wenn du dort eingehende ESP Pakete siehst, dann kann der SP das. Siehst du die nicht...Pech.
Besser ist es eh den SP durch ein nur Modem wie z.B. das Vigor 130 zu ersetzen.