talentfrei
16.07.2015, aktualisiert um 18:43:11 Uhr
view6580
view29
0
Goto Top

Lancom1711 Internet-Verkehr durch VPN Tunnel Routen

FrageNetzwerkeLAN, WAN, Wireless
Hallo,
es bestehht ein VPN Tunnel zwischen meinem Lancom1711 und einer Fritzbox. Ping auf Geräte der gegenseite funktioniert. Mir gelingt es leider nicht den Gesammten Internetverkehr der am Lancom angeschlossenen Clients über den VPN Tunnel zu leiten. Der Obere Eintrag in der Tabelle ist das Netz der Gegenseite.

Wie stelle ich das routing entsprechend um? Dem 255.255.255.255 die Fritzbox zuweisen, funktioniert nicht. Auch eine Firewallregel habe ich schon versucht. Ich komme da einfach nicht weiter.
Wie muss ich weiter vorgehen?

Folgenden Lösungsansatz habe ich erfolglos abgebrochen:
https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/ba3cd8bf5 ...

Da alle am Lancom angeschlossenen Geräte weitergeleitet werden sollen muss doch eine einfache Regel reichen oder?

a5d3a59d061b53168e41fc0ba1897694
45b1d83f67fffae82611081902f9210e


Gruss
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 277562

Url: https://administrator.de/forum/lancom1711-internet-verkehr-durch-vpn-tunnel-routen-277562.html

Ausgedruckt am: 26.12.2024 um 02:12 Uhr

29 Kommentare
Neuester Kommentar
Goto Top
108012
108012 16.07.2015 aktualisiert um 19:29:20 Uhr
Goto Top
Hallo,

warum sollte man so etwas denn auch machen wollen?
Eventuell habe ich das auch nur noch nicht ganz verstanden, kann ja auch sein!

Ich verbinde zwei Netzwerke miteinander und dann kann man von dem einen Netzwerk
auf alle Geräte und Dienste in dem anderen Netzwerk zugreifen, wenn die VPN Verbindung steht.

Gruß
Dobby
talentfrei
talentfrei 16.07.2015 um 19:34:40 Uhr
Goto Top
warum sollte man so etwas denn auch machen wollen?

Ich komme nur über die öffentliche IP der Gegenseite auf diverse benötigte Internetseiten
108012
108012 16.07.2015 um 19:54:17 Uhr
Goto Top
Zitat von @talentfrei:

> warum sollte man so etwas denn auch machen wollen?

Ich komme nur über die öffentliche IP der Gegenseite auf diverse benötigte Internetseiten
Ahhh, alles klar das wusste ich nicht jetzt ist die Sache schon etwas klarer.

Es geht auf jeden Fall, aber das erklärt Dir der @aqui am besten.

Gruß
Dobby
tikayevent
tikayevent 16.07.2015 um 20:18:19 Uhr
Goto Top
Wie es auf der Fritzkiste eingerichtet werden muss, ich bin noch strikter Gegner dieser Geräte.

Aber die VPN-Regel muss auf dem LANCOM angelegt werden. Also der Schritt 2 komplett und an der VPN-Verbindung zur Fritzbox muss auf eine manuelle Regelerzeugung eingestellt werden.
keine-ahnung
keine-ahnung 16.07.2015 um 20:50:45 Uhr
Goto Top
Moin,
Der Obere Eintrag in der Tabelle ist das Netz der Gegenseite.
welcher Gegenseite?
Auch eine Firewallregel habe ich schon versucht.
Was hat das mit routing und VPN zu tun?
Dem 255.255.255.255 die Fritzbox zuweisen, funktioniert nicht.
Was?
Da alle am Lancom angeschlossenen Geräte weitergeleitet werden sollen muss doch eine einfache Regel reichen oder?
Ich würde einfach das VPN regelrecht konfigurieren?

LG, Thomas
talentfrei
talentfrei 16.07.2015 um 21:18:02 Uhr
Goto Top
welcher Gegenseite?
des VPN der anderen Seite (Fristbox) halt. Meine Seite 192.168.177.0 Gegenseite 192.168.178.0

> Auch eine Firewallregel habe ich schon versucht.
Was hat das mit routing und VPN zu tun?
nix hat ja auch nicht funktioniert.
> Dem 255.255.255.255 die Fritzbox zuweisen, funktioniert nicht.
Was?
Screenshot ganz unten. "Router" steht zZ auf "INTERNET" habe versuchsweise auf "FRITZBOX" gestellt
> Da alle am Lancom angeschlossenen Geräte weitergeleitet werden sollen muss doch eine einfache Regel reichen oder?
Ich würde einfach das VPN regelrecht konfigurieren?

Gute Idee !
Die Konfiguration der Fritzbox siehst du im screenshot. Der Lancom ist wie hier konfiguriert. http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lanco ...

Der VPN Tunnel ist aufgebaut. Per Ping kann ich die Fritzbox erreichen.
Somit sollte der VPN Tunnel doch richtig konfiguriert sein oder?

LG
keine-ahnung
keine-ahnung 16.07.2015 um 21:37:59 Uhr
Goto Top
Somit sollte der VPN Tunnel doch richtig konfiguriert sein oder?
keine-ahnung face-wink

Dein LANMonitor wird Dir das besser darstellen können ...

LG, Thomas
talentfrei
talentfrei 16.07.2015 aktualisiert um 23:05:25 Uhr
Goto Top

Dein LANMonitor wird Dir das besser darstellen können ...


fe3b87e7491ec191c491b8a0a9a2d029

Sieht doch gut aus.
#Aber wie das Internet durch den Tunnel routen?
108012
108012 17.07.2015 um 00:15:44 Uhr
Goto Top
Aber wie das Internet durch den Tunnel routen?
Ich sage doch das wird der @aqui schon noch erklären,
ansonsten haben wir das hier alle drei Monate mal das so etwas oder so ähnlich
hier nachgefragt wird, dann einfach mal die SuFu benutzen.

Gruß
Dobby
Kuemmel
Kuemmel 17.07.2015 aktualisiert um 00:23:32 Uhr
Goto Top
Moin,
wie bereits angesprochen ist @aqui hier unser Netzwek-Guru.
Er hat einen ähnlichen Vorfall bereits sehr gut und ausführlich im Forum beschrieben:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Vielleicht hilft dir das ja schon weiter. face-smile

Gruß
Kümmel
Th0mKa
Th0mKa 17.07.2015 um 06:18:04 Uhr
Goto Top
Moin,

versuche mal den Router der letzten Regel auf den Router der ersten zu aendern. Default Gateway ist das Stichwort...

VG,

Thomas
talentfrei
talentfrei 17.07.2015 um 10:18:08 Uhr
Goto Top
versuche mal den Router der letzten Regel auf den Router der ersten zu aendern. Default Gateway ist das Stichwort...

das war meine erste Eingebung. Habe ich oben bereits geschrieben. Sobald ich umstelle ist keine webweite mehr erreichbar.
talentfrei
talentfrei 17.07.2015 um 10:30:14 Uhr
Goto Top
wie bereits angesprochen ist @aqui hier unser Netzwek-Guru.
Er hat einen ähnlichen Vorfall bereits sehr gut und ausführlich im Forum beschrieben:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Nach diesem Tut habe ich auch meinen Tunnel aufgebaut. Der Tunnel ist ja auch schon erfolgreich aufgebaut ! Siehe screenshot Lanmonitor. Ich benötige Hilfe bei der Konfiguration, um den Internetverkehr der an dem Lancom angeschlossenen Geräte durch den Tunnel zu leiten. Ziel soll sein, mich über die öffentliche IP der Gegenseite im Internet zu bewegen.
keine-ahnung
keine-ahnung 17.07.2015 um 11:31:30 Uhr
Goto Top
Ziel soll sein, mich über die öffentliche IP der Gegenseite im Internet zu bewegen.
Wozu auch immer ... Du wirst den Geräten aber schon sagen müssen, welches Gateway sie benutzen sollen?

LG, Thomas
talentfrei
talentfrei 17.07.2015 aktualisiert um 12:13:19 Uhr
Goto Top
Genau das wäre sehr gut!
Client 1 zb. Gateway der Fritzbox = Internet über VPN
Client 2 zb. Gateway des Lancom = Internet über Lokalen router (Cancom)

Soweit bin ich nur leider noch nicht. Mir würde es schon reichen das alle am Lancom angeschlossenen Geräte über die Gegenstelle ins Netz gehen.
keine-ahnung
keine-ahnung 17.07.2015 um 12:11:43 Uhr
Goto Top
Genau das wäre sehr gut!
Ja dann mach es doch ... entweder über einen DHCP-Server oder mit den Patschehändchen?
Th0mKa
Th0mKa 17.07.2015 aktualisiert um 13:57:46 Uhr
Goto Top
Zitat von @talentfrei:

das war meine erste Eingebung. Habe ich oben bereits geschrieben. Sobald ich umstelle ist keine webweite mehr erreichbar.

Wie weit kommt denn ein traceroute wenn du das machst? Vielleicht solltest du mal einen DIenstleister hinzuziehen, das kann ja mit Erfahrung nicht laenger als ner Stunde dauern.
Hier steht wie es geht: https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/ba3cd8bf5 ...

VG,

Thomas
talentfrei
talentfrei 17.07.2015, aktualisiert am 18.07.2015 um 14:40:30 Uhr
Goto Top

Wie weit kommt denn ein traceroute wenn du das machst? Vielleicht solltest du mal einen DIenstleister hinzuziehen, das kann ja mit
Erfahrung nicht laenger als ner Stunde dauern.
Hier steht wie es geht:
https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/ba3cd8bf5 ...


nach dieser Anleitung bin ich ja sowieso vorgegangen! Vielleicht liegt da aber schon der Hund begraben. Letzter Teil "Gegenstelle Filiale".
In meinem Fall habe ich drei Gegenstellen: INTERNET (klar mein Internet Zugang), DEFAULT (Gegenstelle ISDN wurde scheinbar vom router selbst angelegt), FRITZBOX (die Fritzbox der Gegenseite). Mit keiner dieser Gegenstellen komme ich rüber.

ping 8.8.8.8 geht nicht raus!

Muss ich noch eine Gegenstelle "FILIALE" (mein LANCOM) anlegen? (Also einen 2ten Tunnel)
C.R.S.
C.R.S. 18.07.2015 um 16:23:25 Uhr
Goto Top
Hi,

du musst vor bzw. über einer "255.255.255.255/0.0.0.0 via VPN"-Regel eine Regel erstellen, die deine VPN-Gegenstelle über Internet erreichbar macht. Also "IP(-Range) der Gegenseite via INTERNET". Denn der Lancom erreicht ja den VPN-Server nicht über VPN sondern übers Internet.

Grüße
Richard
talentfrei
talentfrei 18.07.2015 um 16:54:38 Uhr
Goto Top
Das hilft mir nicht weiter:.
Wie ist diese Anleitung https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/ba3cd8bf5 ... zu verstehen?

Wieviele Verbindungen müssen in der VPN Verbindungsliste stehen ?
C.R.S.
C.R.S. 18.07.2015 um 19:37:08 Uhr
Goto Top
Zitat von @talentfrei:

Das hilft mir nicht weiter:.
Wie ist diese Anleitung
https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/ba3cd8bf5 ... zu verstehen?

Die Anleitung differenziert per Routing-Tag. Finde ich in dem Fall unnötig komplex.

Wieviele Verbindungen müssen in der VPN Verbindungsliste stehen ?

Eine, aber das VPN steht doch schon. Du solltest dir ansehen, ob die Fritzbox überhaupt VPN-Verkehr ins Internet routet (Zeile "accesslist"). Da bin ich überfragt, da ich das nie mit einer FB gemacht habe. Aber ich schätze, deine Konfiguration in accesslist reicht dafür nicht. AVM unterstützt das ja noch nicht so lange und eigentlich eher für Clients. Evtl. ist daher opportun, den Lancom hinter einer Client-IP zu maskieren, und das so einzurichten: http://blog.netplanet.org/2010/09/19/die-avm-fritzbox-als-vpn-secure-ga ...
talentfrei
talentfrei 18.07.2015 um 21:53:48 Uhr
Goto Top
Wie bereits geschrieben irritiert mich der letzte Schritt in der Lancom Anleitung (Gegenstelle Filiale) Diese kann ich keiner Gegenstelle meiner Konfiguration zuordnen.

Daraufhin habe ich einen zweiten Tunnel erfolgreich eingerichtet. Und somit eine Gegenstelle wie die in der Anleitung beschriebenen Gegenstelle "FILIALE" kreiert.
Dieser Tunnel wurde mit dem Lokalen Netzwerk der beiden Gegenstellen konfiguriert, da diese ja durch den ersten Tunnel bereits bekannt sind. Somit habe ich meine passende Gegenstelle "FILIALE" um genau nach Anleitung vorzugehen.

Sobald beide Tunnel gestartet sind kann ich weder in das Netz der Gegenstelle noch in das Internet (8.8.8.8) pingen.


Wäre dieser Weg also falsch?
C.R.S.
C.R.S. 18.07.2015 um 22:54:51 Uhr
Goto Top
Die Anleitung beschreibt die Konfiguration zweier Lancoms. In deiner "Zentrale" (wo die Gegenstelle Filiale konfiguriert wird) steht die Fritzbox. Wie gesagt ist fraglich, ob die Konfiguration der Fritzbox geeignet ist, zwischen dem VPN-Netz (also dem Lancom und aller Clients dort) und dem Internet zu routen bzw. ob die Fritzbox das überhaupt unterstützt. Angesichts der mageren VPN-Leistung einer Fritzbox wäre plausibel, dass dies nur für Clients vorgesehen ist. Was kein Hindernis wäre, denn dann verbindet man eben den Lancom als Client. Der Lancom versteckt sein Netz dann vor der Fritzbox hinter einer Client-IP.
In jedem Fall brauchst du nur zwei Gegenstellen auf dem Lancom: Internet und VPN/Zentrale/Fritzbox.
talentfrei
talentfrei 18.07.2015 aktualisiert um 23:34:22 Uhr
Goto Top
dann verbindet man eben den Lancom als Client. Der Lancom versteckt sein Netz dann vor der Fritzbox hinter einer
Client-IP.

Wie geht das ?
Th0mKa
Th0mKa 19.07.2015 um 00:34:42 Uhr
Goto Top
Zitat von @c.r.s.:

Die Anleitung differenziert per Routing-Tag. Finde ich in dem Fall unnötig komplex.

mMn ist das Policy Routing notwendig damit der Lancom den VPN Tunnel ueber das Internet aufbauen kann wenn das Default Gateway auf den Tunnel zeigt. Sonst hat man ein Henne/Ei Problem...

VG,

Thomas
Th0mKa
Th0mKa 19.07.2015 um 00:41:53 Uhr
Goto Top
Zitat von @talentfrei:

Wie bereits geschrieben irritiert mich der letzte Schritt in der Lancom Anleitung (Gegenstelle Filiale) Diese kann ich keiner
Gegenstelle meiner Konfiguration zuordnen.

Du kanst denn ganzen Schritt zwei ignorieren, das ist in deinem Fall ja eine Fritzbox. Vielleicht versuchst du es auch mal statt mit der Defaultroute mit einer Hostroute fuer die Systeme die du ueber den Tunnel erreichen willst.

VG,

Thomas
C.R.S.
C.R.S. 23.07.2015 um 19:06:19 Uhr
Goto Top
Zitat von @talentfrei:

Wie geht das ?

Aus dem Kopf würde ich sagen: Einerseits in den Gegenstellen-Einstellungen die Maskierung aktivieren (die VPN-Gegenstelle gleicht dann der WAN-Gegenstelle), andererseits in den VPN-Verbindungseinstellungen die Betriebsart auf "Client-Modus" oder so ähnlich umstellen (wo du die Client-IP einstellen kannst).
Die Fritzbox muss nur so konfiguriert werden, wie auch für ein Smartphone o.ä., also nach den entsprechenden Anleitungen.
C.R.S.
C.R.S. 23.07.2015 um 19:08:07 Uhr
Goto Top
Zitat von @Th0mKa:

mMn ist das Policy Routing notwendig damit der Lancom den VPN Tunnel ueber das Internet aufbauen kann wenn das Default Gateway auf
den Tunnel zeigt. Sonst hat man ein Henne/Ei Problem...

Das ist grundsätzlich sicher eleganter und bei umfangreichen Konfigurationen auch einfacher. Wenn ich aber eine VPN-Gegenstelle mit fester IP habe und das VPN damit konfiguriert ist, kann ich diese IP ja auch durch eine vorrangige Routing-Regel über die Gegenstelle INTERNET erreichbar machen. Diese Voraussetzungen müssten vorliegen, weil er bestimmte Webseiten über diese IP erreichen will, und für den Anfang ist das vielleicht eine Konfiguration, die sich leichter erschließt.

Davon abgesehen als Denkanstoß: Wenn ich einen Gateway nur für den Zugriff auf bestimmte Seiten brauche, ist es eine ziemliche Einschränkung, den gesamten Internetverkehr über diesen Gateway zu routen. Lieber setzt man doch hinter die Fritzbox einen Proxy und hat mit diesem Proxy nur noch einen Host, zu dem über VPN geroutet werden muss. Dann kann flexibel auf den Clients entschieden werden, ob man diesen entfernten Proxy (und damit das VPN) nutzt oder nicht, mit FoxyProxy o.ä. sogar URL-abhängig im selben Browser.
talentfrei
talentfrei 05.08.2015 um 13:59:56 Uhr
Goto Top
Das durchreichen des Internet über den VPN Tunnel konnte letztendlich mit 2x Lancom 1711 realisiert werden.
Mein Ziel ist somit erreicht!
Leider war das mit den Fritzboxen nicht möglich.

Danke für eure Hilfe.
FrageNetzwerkeLAN, WAN, Wireless
Mehr von talentfreitalentfreiVPN Tunnel Lancom zu Fritzbox, Internet durch den Tunneltalentfrei - 8 KommentaretalentfreiFritz VPN, Surfen über öffentliche IP der Gegenstelletalentfrei - 4 KommentaretalentfreiWinows Server2008 R2 Umzug auf neue Hardware mit Acronistalentfrei - 3 KommentaretalentfreiW2K8R2 Faxdienst stürzt öfters ab.talentfrei
Heiß diskutiert
NullcheckPortweiterleitung ist böse. tatsächlich? (Externzugriff auf Fritzbox)Nullcheck - 36 KommentareStef223Draytek VLAN allgemeinStef223 - 26 KommentareSarekHLProblem mit SMB-Versionen?SarekHL - 24 KommentareStefanKittelWireguard pfSense zu Securepoint - Kein trafficStefanKittel - 16 KommentareGhent74Feste IP via DHCP im DHCP Bereich oder im statischen Bereich?Ghent74 - 14 KommentareKostasAD 2019 reinstalliert, Probleme bei den MapingsKostas - 13 KommentareHaralabosHilfe bei E-Mail-Analyse: Absender einer anonymen Nachricht herausfindenHaralabos - 13 KommentareGhent74Zwei Router, ein SubnetzGhent74 - 13 KommentareKnettenbrechExchange Online: MFA deaktivierenKnettenbrech - 12 KommentareKamelleLöschen von Verknüpfungen in beliebigen OrdnerstrukturenKamelle - 12 KommentareNetzworker9Passwort-Management in Schulen (Online-Datenbank oder so)Netzworker9 - 11 KommentarelarsvomdachOPNSense Mikrotik WG Internet, Lokal kein Zugrifflarsvomdach - 11 Kommentare