zafas
Goto Top

Lancom VPN hinter Speedport Hybrid

Hallo Zusammen,
ich habe den Anschluss von Telekom DSL Business auf Hybrid (Privatkunden) umgestellt. Am Anschluss läuft nun ein Speedport Hybrid und dahinter ein Lancom 1781AW des als VPN Server mit IP Sec arbeitet. Ich leite die VPN Ports (500 und 4500) auf den Lancom um. Feste IP beziehe ich Dynamisch bei Feste-IP.net
Die VPN Verbindung funktioniert manchmal, und manchmal erst nach vielen erfolglosen versuchen. Vielleicht hat ja noch jemand einen Tip.
Liegt es vielleicht am Provider Feste-IP oder doch auschließlich am Router der Telekom?
Bis vor der Umstellung war ja alles problemlosface-sad
Vielen Dank schonmal für eure Anregungen
Zafas

Nachtrag: Danke für die Anregungen. Dann klappt es wohl auch mit dem Speedport nicht. Leider ja auch keine AVM alternative oder lancom verfügbar, der das TelekomHybrid fahren kann.
Danke an Euch!

Content-ID: 281510

Url: https://administrator.de/forum/lancom-vpn-hinter-speedport-hybrid-281510.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

108012
Lösung 108012 29.08.2015 aktualisiert um 17:48:20 Uhr
Goto Top
Hallo,

VPN selber muss dann aber an der AVM FB deaktiviert bleiben denn sonst nimmt die das VPN immer
an bzw. versucht es und der LANCOM kommt dann nicht mehr zum Zuge!

VPN Passthrough sollte eingestellt werden!

Ich leite die VPN Ports (500 und 4500)
ESP Nr. 50 fehlt noch und nicht TCP oder UDP Port 50!

Gruß
Dobby
aqui
Lösung aqui 29.08.2015 aktualisiert um 17:48:25 Uhr
Goto Top
Ich leite die VPN Ports (500 und 4500) auf den Lancom um.
Wie immer leider nur die halbe Miete. Jeder Netzwerker weiss das die Hauptkomponente bei IPsec (was der Lancom als VPN Protokoll nutzt !) ein ESP Tunnel ist.
ESP ist das IP Protokoll Nummer 50 (nicht UDP oder TCP 50 !)
Das musst du also auch zwingend forwarden sonst klappt es nicht !
Guckst du hier für die Grundlagen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Oben ist ja schon alles dazu gesagt worden !

@108012:
Es ist ein Speedport Keine FritzBox. Der SP kann als Billigsystem gar kein IPsec VPN ! face-wink
Kalle2013
Kalle2013 29.08.2015 um 21:34:27 Uhr
Goto Top
Hinzu kommt, das der Speedport Hybrid für das Bonding einen VPN Tunnel aufbaut. Somit befürchte ich, wird das mit der Portweiterleitung - falls es überhaupt möglich ist - zu weiteren Problemen führen.
108012
108012 30.08.2015 um 11:12:16 Uhr
Goto Top
@108012:
Es ist ein Speedport Keine FritzBox. Der SP kann als Billigsystem gar kein IPsec VPN!
Aber man kann doch die Ports öffnen und auch das ESP Protokoll Nr. 50 weiterleiten, oder?

Ok, selbst wenn nicht sollte man doch mal versuchen den Speedport nur als Modem zu nutzen
wäre ja auch nicht schlecht.

Gruß
Dobby
Kalle2013
Kalle2013 30.08.2015 um 13:06:50 Uhr
Goto Top
Den Speedport als Modem zu nutzen (falls das überhaupt geht) würde bedeuten, die Funktionen des Hybrid Tarifs (Bündelung von DSL & LTE) zu verlieren. Das gleiche gilt, wenn der VPN Tunnel zum Bonding - Server nicht mehr funktioniert weil man dem Router die Ports gestohlen hat.
aqui
aqui 30.08.2015 um 14:23:08 Uhr
Goto Top
Den Speedport als Modem zu nutzen (falls das überhaupt geht)
Nein, dieses Modell supportet das de facto NICHT ! Deshalb erübrigt sich der rest der Frage...
Nili7777
Nili7777 17.11.2015 aktualisiert um 08:15:39 Uhr
Goto Top
Ich habe eine 1724 hinter dem Hybrid und über die dynamische ip4 eine vpn Verbindung mit einer lancom 1724 . Allerdings habe ich hierzu den Lancoms erlaubt die vpn in https zu packen. So dass nur der Port 443 benötigt wird.
Das zumindest klappt.
Die IP ist per dyndns definiert.
Eine 16 er Netz mit festen Ips ist über pppt eingebunden, wird aber nur für Mailserver,Terminalzugänge usw. Genutzt, nicht für vpn und normales Internet.
Der 1781 beherrscht ja auch noch weitere Protokolle.
Der Tunnel des Hybrid ist wohl ein GRE Tunnel, der eigentlich alles tunneln soll.
Modembetrieb geht nicht.
Die neueste Firmware ist auch wichtig und muss selbst ermittelt und eingespielt werden. Die Anzeige neueste Software muss nicht stimmen.
Der lancom vpn Client beherrscht auch das von über http von ncp und ermöglicht so den vpn Zugang vom Notebook.

Voip ist sowohl über feste IP (pppt tunnel) als auch dynamisch direkt durch den Hybrid geroutet.
aqui
aqui 17.11.2015 um 09:14:23 Uhr
Goto Top
Allerdings habe ich hierzu den Lancoms erlaubt die vpn in https zu packen
Wäre mal spannend zu erfahren mit WELCHEM VPN Protokoll du das dann gelöst hast ? IPsec und PPTP als auch L2TP fallen da ja aus, denn damit ist das technisch nicht möglich. Bleibt eigentlich nur OpenVPN aber das kann der Lancom nicht....oder doch ?
Nili7777
Nili7777 17.11.2015 aktualisiert um 13:22:05 Uhr
Goto Top
Nein, Open VPN beherrscht er nicht, aber IPSec-over-HTTPS. Sowohl die Router als auch Clients.
Standardmäßig, und der Port 443 geht so gut wie überall.
Die Technik kommt von WWW.ncp-e.com und ist integriert.
aqui
aqui 17.11.2015 aktualisiert um 13:20:43 Uhr
Goto Top
Das ist aber kein etablierter IP Standard sondern ein proprietäres Verfahren vom Hersteller Lancom !
Ob man sich sicherheitstechnisch darauf verlassen kann (weil man sich vollständig auf einen Hersteller verlässt) muss dann jeder für sich selber entscheiden.
Abgesehen davon schafft das auch wieder eine vollständige Abhängigkeit was die Client Software anbetrifft. Bei Standards hat man diesen Nachteil nicht.
Nicht wirklich gut also sowas....
Nili7777
Nili7777 17.11.2015 aktualisiert um 17:36:47 Uhr
Goto Top
Nein, aber eine Möglichkeit mit dem Problem des Speedport Hybrid weiterzukommen.
Die Verbindung sollte schon sicher sein, da nach NCP das VPN-ipsec insgesammt eingepackt und als https versandt wird.
Es sollte von allen Routern unterstützt werden, die ebenfalls das NCP System integriert haben.

OpenVpn hat das Problem, dass die Rechte auch nicht so frei sind, dass man Router mit unterstütztem OpenVpn einfach kaufen kann. Man muss sie in der Regel selbst aufsetzen und damit entfällt die Hardware Unterstützung des Routers.

Des weiteren unterstützt noch drei weitere verkryptete Protokolle, die auch einfacher durchleitbar sein sollten.

Solange es keinen besseren Hybrid Router gibt, werden Klimmzüge bleiben. Auch beim durchzuleitenden Voip
aqui
aqui 18.11.2015 um 09:00:08 Uhr
Goto Top
da nach NCP das VPN-ipsec insgesammt eingepackt und als https versandt wird.
Das kann nur proprietär sein denn IPsec besteht aus mehrern Protokollen:
  • IKE zum Schlüsselhandling UDP 500
  • NAT Traversal um NAT Router überwinden zu können UDP 4500
  • Encapsulation Sesurity Payload, ESP. ESP ist ein eigenständiges IP Protokoll mit der Nummer 50 was den eigentlichen Tunnel bildet der die encrypteten Daten transportiert.
Es gibt keinerlei Standard der beschreibt wie diese 3 Protokolle in HTTPS encapsuliert werden. Folglich kann es also nur Lancom spezifisch sein und einzig mit Lancom Komponenten bzw. Software funktionieren.
Eine Produkt Abhängigkeit die kein Netzwerker heutzutage mehr will. Mal ganz abgesehen von dem Sicherheitsaspekt.
Zudem gibt es SSL basierte VPNs die ebenso mit jeder Art Router und Infrastruktur klarkommen. Das macht solche proprietären Klimmzüge dann ohnehinn überflüssig.
Solange es keinen besseren Hybrid Router gibt,
Die gibt es ja aber schon seit langem. Cisco, Viprinet, TNT und wie sie alle heissen haben soviel davon das sie sie schon verkaufen müssen...
Kalle2013
Kalle2013 18.11.2015 um 16:33:23 Uhr
Goto Top
Es gibt bisher KEINEN Hybrid Router (außer dem Speedport Hybrid) der mit dem Telekom MagentazuHause Hybird Anschluss genutzt werden kann.
aqui
aqui 18.11.2015 um 19:32:10 Uhr
Goto Top
Das ist schlicht falsch ! Für den billigen Consumer bereich mag das stimmen de facto aber nicht für den Business Bereich. Wie gesagt Cisco, Viprinet, TNT und all die üblichen Verdächtigen.
Nili7777
Nili7777 19.11.2015 aktualisiert um 06:52:02 Uhr
Goto Top
Die Überschrift dieses Threads lautet:

"Lancom VPN hinter Speedport Hybrid"

Insofern stimmt die Aussage von Kalle2013. Die Hybrid Modelle von Viprint usw. sind proprietär und können nicht anstelle des Speedport Hybrid eingesetzt werden. Andere Hybrid Modelle gibt es schon ewig.
Der Viprint macht auch mehr ein Loadbalancing, wie es Lancom auch anbietet. Bei der Telekom haben beide Verbindungen eine gemeinsame Ip, die dem Tunnel zugeordnet ist. Solche Lösungen gab / gibt es auch für DSL erfordern dann aber auch immer den entsprechenden Provider mit dem passenden Tunnel.
http://www.hardwareluxx.de/index.php/news/hardware/netzwerk/34274-alter ...

Die Telekom hat wohl zumindest das verwendete Protokoll hierzu offengelegt, es fehlt wohl nur noch an Anbietern, die den Markt sehen. AVM und Lancom haben wohl bisher abgewinkt und warten erst den Erfolg ab.

Was von diesen Vpn ipsec Möglichkeiten der Standard ist? Siehe den Beitrag
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen

Neue Technologien beginnen in der Regel proprietär. Normung setzt ausreichendes Interesse von Verbänden (d.h. Hersteller) voraus, die sich dann auf den geringsten gemeinsamen Nenner einigen.

Vpn Ipsec über TCP müsste genauso gut gehen wie über Https nach der Pathfinder Methode von NCP, aber das kann weder Lancom noch Fritz aber Cisco. Ein TCP Port 10000 ist aber für Vertriebsmitarbeiter, die sich per VPN über Gastzugänge, Hotelzugänge oder offene Wlans einwählen müssen eher gesperrt als der Port 443. Insofern empfinde ich diese Lösung als glücklich und habe sie auch schon auf Notebooks und Handys vor dem Hybrid genutzt.

Der Pathfinder von NCP wird aber nicht nur proprietär von Lancom genutzt , es gibt weitere Routeranbieter: z.B.:

http://faq.bintec-elmeg.com/faq_bintec_281_ipsec_client_path_finder_01_ ...

Wie gesagt der Thread beschränkt sich auf Lancom hinter Speedport Hybrid und bei Anbindungen innerhalb des eigenen Unternehmens verwendet man zweckmäßig nur einen Hersteller.
Ein weiteres Problem ist, dass der Hybrid zwar dyndns o.ä. unterstützt, aber bisher wohl nicht verlässlich die Accounts updatet. D.H. bei Abbrüchen lohnt es sich, die gemeldeten Ip's zu überprüfen.

Benutzt man FestIp.net muss man hinterfragen, welche Art von Tunnel dieser Anbieter nutzt.

Der Hybrid bietet zwar Dual Stack, aber IPV6 wird auch noch nicht ausreichend unterstützt um hierauf einfach ausweichen zu können.

Abschließend: Wer nur etablierte Standards verwenden will, muss alte (von den Möglichkeiten her veraltete) Technologien verwenden.

Daneben beherrscht der Lancom noch L2Tp, allerdings ist dort wohl der Port 1701 nicht nutzbar, da dieser von der Telekom für das Wlan to Go benutzt wird.

https://telekomhilft.telekom.de/t5/Telefonie-Internet/VPN-mit-Hybrid-Ans ...

Verbleibt noch PPTP verschlüsselt mit MPPE

ab Version 9.10 kommt die Unterstützung des GRE Tunnels hinzu, mit dem zukünftig wieder ein Standard erreicht werden könnte:

http://lancom-systems.de/docs/LCOS-Addendum/9.10-RU1/DE/topics/routing_ ...

Da die Telekom mit dem Hybrid wohl auch einen GRE Tunnel anbietet sollte dort theoretisch auch alles gehen. Evtl. ist aber das Nat Problem innerhalb des GRE Tunnels noch nicht sauber gelöst? Wie auch immer, es bleibt spannend.
Nili7777
Nili7777 19.11.2015 um 06:02:16 Uhr
Goto Top
Geschwindigkeit:

Der Tunnel der Telekom hat natürlich eine verkürzte MTU, was man immer wieder vergisst:

https://telekomhilft.telekom.de/t5/Ger%C3%A4te-Zubeh%C3%B6r/Hybrid-IPv6- ...
Nili7777
Nili7777 18.04.2020 um 18:27:27 Uhr
Goto Top
Da man immer noch auf diesen Thread stösst, möchte ich ihn gerne aktalisieren, da die antworten so nicht mehr stimmen:

Der alte Speedpot Hybrid
beherrscht nach Softwareupdates den VPN-passthrough für vpn-ipsec, er funktioniert auch, wenn das VDSL ausfällt, also nur LTE zur Verfügung steht.

Es gehen bei uns mehrer regelmässig per VPN Client jetzt auch mit dem neueren IKE2-IPsec Protokoll auf den Lancom. Dieser ist inzwischen auch auf den Lancom 1783 upgedated worden.

Der neue Speedport pro kann zwar nach updates inzwischen auch VPN-Passthrough ist aber für mich hier noch nicht zuverlässig genug.Dh er baut noch nicht unter allen Umständen zuverlääsig auf.
Ich habe ihn bereits, ausprobiert und nach dem Foren Studium wieder auf Warteliste gesetzt. Die Probleme sind bekannt und ich warte auf das nächste update. Derzeitig sind alle Firmwareupdates von 2019

Weiterer Hinweis, für die Telefonie empfielt sich einen anderen Provider als die Telekom zu nehmen (falls der Speedport so nicht reicht), der einen alternativen Sip-Port neben dem 5060 anbietet. Dann kann man auch Trunks (Durchwahlsysteme) nutzen.
Beispiele sind u.a Easybell, Placetel aber auch die Dellmont Tarife, die alternativ über Port 6000 ansprechbar sind. Ich denke wichtigen die nomadischen Zugang anbieten habe alternative Sip-ports

Stand 18.04.2020