8
OpenVPN-Server auf DD-WRT-Router hinter FritzBox
Hallo,
War mal so
ich hatte einen DD-WRT-Router als Internetrouter eingesetzt und auf dem einen OpenVPN-Server laufen mit dem ich von außen in mein Heim-Lan tunneln konnte.
Wan-seitig hatte der Router eine öffentliche IP, Lan-seitig hatte er die 192.168.1.1 und hat für den Tunnel 192.168.1.200-210 an die Clients verteilt.
Echte Lan-Geräte haben hier feste IPs (192.168.1.0/24) oder welche vom DHCP des Routers (Pool: 192.168.0.100-150).
Das hat gut funktioniert.
Muss jetzt anders
Jetzt habe ich eine Fritzbox als Internetrouter.
Den VPN-Server möchte ich weiterhin auf dem DD-WRT-Router betreiben.
Um wie gehabt, bei dem DD-WRT-Router die Clients vom Wan-Port zum Lan-Port zu tunneln, fällt mir folgendes dieses Konstrukt, mit einem weiteren Router ein.
Wobei der weitere Router nur dazu da wäre, dass der OpenVPN-Server-Router auch was zum Routen hat und nicht Wan- und Lan-seitig im selben Subnet ist.
Das Konstrukt würde schon irgendwie gehen, aber es ist bestimmt fern jeder Eleganz.
Alternativ fällt mir das Folgende ein:
...aber, hier wüsste ich nicht wie ich den OpenVPN-Server-Router anschließen und konfigurieren sollte.
Meine Prämissen sind:
Hat jemand einen Vorschlag wie das umsetzbar wäre?
Eine fertige Konfig erwarte ich nicht, aber ein Ansatz wäre schön.
Gruß Frank
Nachtrag
Mangels spontaner Ideen habe ich mein komisches Routerketten-Konstrukt jetzt eingerichtet und der VPN-Zugang funktioniert.
Falls dennoch jemand eine bessere (oder andere) Idee hat, wäre ich an Vorschläge durchaus noch interessiert.
War mal so
ich hatte einen DD-WRT-Router als Internetrouter eingesetzt und auf dem einen OpenVPN-Server laufen mit dem ich von außen in mein Heim-Lan tunneln konnte.
OpenVPN-Client -> Internet -> OpenVPN-Server-Router -> LanEchte Lan-Geräte haben hier feste IPs (192.168.1.0/24) oder welche vom DHCP des Routers (Pool: 192.168.0.100-150).
Das hat gut funktioniert.
Muss jetzt anders
Jetzt habe ich eine Fritzbox als Internetrouter.
Den VPN-Server möchte ich weiterhin auf dem DD-WRT-Router betreiben.
Um wie gehabt, bei dem DD-WRT-Router die Clients vom Wan-Port zum Lan-Port zu tunneln, fällt mir folgendes dieses Konstrukt, mit einem weiteren Router ein.
Wobei der weitere Router nur dazu da wäre, dass der OpenVPN-Server-Router auch was zum Routen hat und nicht Wan- und Lan-seitig im selben Subnet ist.
OpenVPN-Client
|
V
Internet
|
V
Wan (öffentliche IP)
[Fritzbox] Portweiterleitung des VPN-Ports zu 192.168.1.2
Lan (192.168.1.1)
|
| +------- diverse Lan-Geräte
| |
V |
[Switch] (192.168.1.0/24)
| ^
| |
V +-------------------+
Wan (192.168.1.2) |
[Router] |
Lan (192.168.8.1) |
| (192.168.8.0/24) |
V |
Wan (192.168.8.2) |
[OpenVPN-Server-Router] |
Lan (192.168.1.3) |
| |
+------------------------+
(192.168.1.200-210 für den Tunnel vom VPN-Server vergeben)Das Konstrukt würde schon irgendwie gehen, aber es ist bestimmt fern jeder Eleganz.
Alternativ fällt mir das Folgende ein:
OpenVPN-Client
|
V
Internet
|
V
Wan (öffentliche IP)
[Fritzbox]
Lan (192.168.1.1)
|
| +------- diverse Lan-Geräte
| |
V |
[Switch] (192.168.1.0/24)
^
|
V
Lan (192.168.1.2)
[OpenVPN-Server-Router]...aber, hier wüsste ich nicht wie ich den OpenVPN-Server-Router anschließen und konfigurieren sollte.
Meine Prämissen sind:
- FritzBox als Internet-Router
- OpenVPN-Server auf DD-WRT-Router und nicht auf einem zusätzlichen Rechner oder anderem Gerät
- Externer Zugriff via Tunnel auf's komplette Lan (192.168.1.0/24)
Hat jemand einen Vorschlag wie das umsetzbar wäre?
Eine fertige Konfig erwarte ich nicht, aber ein Ansatz wäre schön.
Gruß Frank
Nachtrag
Mangels spontaner Ideen habe ich mein komisches Routerketten-Konstrukt jetzt eingerichtet und der VPN-Zugang funktioniert.
Falls dennoch jemand eine bessere (oder andere) Idee hat, wäre ich an Vorschläge durchaus noch interessiert.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 372205
Url: https://administrator.de/contentid/372205
Ausgedruckt am: 24.11.2024 um 16:11 Uhr
8 Kommentare
Neuester Kommentar
Echte Lan-Geräte haben hier feste IPs
Was sind denn "unechte" LAN Geräte ??Den VPN-Server möchte ich weiterhin auf dem DD-WRT-Router betreiben.
Dei FritzBox hat ja auch einen...eigentlich kannst du dir das ja sparen !Aber wenn du es dennoch machen möchtest kannst du eine Router Kaskade betreiben:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
bzw.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Machst ein Port Forwarding auf der FB mit UDP 1194 (OVPN Default Port) auf die dahinter kaskadierte WAN IP Adresse des DD-WRT und gut iss.
Eine sache von 10 Minuten auch ohne Administrator Thread.
Andere Option ist das du den DD-WRT wie einen Server mit dem LAN Port "einbeinig" einfach in dein Netz klemmst.
Das erspart dir dann die Kaskade aber das Port Forwardibng musst du dennoch machen um den VPN Tunnel auf dem "Server" zu terminieren.
Generell keine sehr gute Idee, denn man sollte möglichst keine Löcher in die Firewall bohren um externen Traffic durchzulassen. VPNs sollte man immer auf der Peripherie terminieren.
Nichtsdestotrotz funktionieren beide Designs.
jemand eine bessere (oder andere) Idee hat
Das VPN auf der FB terminieren und den DD-WRT entsorgen.Warum hast du überhaupt die FB genommen und den DD-WRT nicht behalten als zentralen Router ?? DAS wäre ja sinnig gewesen ! Hast ja rein gar nix gewonnen so außer sinnfrei Geld verbrannt für einen überflüssigen Router !
Hallo aqui,
hatte schon Sorge Du hättest Urlaub.
(Gegönnt sei er Dir.)
Um den Kabelanschluss nutzen zu können, geht's nicht ohne FritzBox (in der Cable-Version), die es als Leihgerät von UM "kostenlos" zum Anschluss dazu gibt.
Die FritzBox ist daher alternativlos mein Hauptrouter.
Mobile Geräte die nicht nur in diesem Lan sind, sondern auch mal andernorts.
Die haben dann sinnigerweise DHCP.
Wie ich schon schrieb, ist der VPN-Server der Fritzbox nicht kompatibel mit OpenVPN (und auch nicht mit Windows-Boardmitteln).
Ich möchte bei OpenVPN clientseitig bleiben, damit ich auf meinen Fernzugriffsgeräten nur einen Clienten brauche.
es sei denn ich läge hier falsch.
Eingerichtet habe ich es gestern, wie ich's im Ausgangspost im ersten blauen Block skizziert hatte,
also mit noch einen weiteren, dem DD-WRT-Router vorgeschalteten Router.
Wie schon geschrieben, war mir nicht klar, ob das so geht und auch nicht wie es zu konfigurieren sei.
Wenn Du aber meinst es ginge so, dann kann ich das ja mal angehen.
Meine gestrige Lösung funktioniert, aber der dazu etablierte, vorgeschaltete "Hilfsrouter" aus der ersten Skizze frisst ja eingentlich nur Strom und macht damit nichts anderes als dem DD-WRT-Router ein "Wan" zu bieten, damit der von Wan zu Lan routen kann.
Mit dem Loch werde ich leben müssen.
Gruß Frank
hatte schon Sorge Du hättest Urlaub.
(Gegönnt sei er Dir.)
Zitat von @aqui:
Warum hast du überhaupt die FB genommen und den DD-WRT nicht behalten als zentralen Router ?? DAS wäre ja sinnig gewesen ! Hast ja rein gar nix gewonnen so außer sinnfrei Geld verbrannt für einen überflüssigen Router !
wie Du weist, bin ich von Telekom-ISDN "zwangsweise" mit der Telefonie zu Unitymedia gewechselt, wo ich zuvor schon den INet-Anschluss hatte.Warum hast du überhaupt die FB genommen und den DD-WRT nicht behalten als zentralen Router ?? DAS wäre ja sinnig gewesen ! Hast ja rein gar nix gewonnen so außer sinnfrei Geld verbrannt für einen überflüssigen Router !
Um den Kabelanschluss nutzen zu können, geht's nicht ohne FritzBox (in der Cable-Version), die es als Leihgerät von UM "kostenlos" zum Anschluss dazu gibt.
Die FritzBox ist daher alternativlos mein Hauptrouter.
Mobile Geräte die nicht nur in diesem Lan sind, sondern auch mal andernorts.
Die haben dann sinnigerweise DHCP.
Wie ich schon schrieb, ist der VPN-Server der Fritzbox nicht kompatibel mit OpenVPN (und auch nicht mit Windows-Boardmitteln).
Ich möchte bei OpenVPN clientseitig bleiben, damit ich auf meinen Fernzugriffsgeräten nur einen Clienten brauche.
Zitat von @aqui:
Aber wenn du es dennoch machen möchtest kannst du eine Router Kaskade betreiben:
...
Machst ein Port Forwarding auf der FB mit UDP 1194 (OVPN Default Port) auf die dahinter kaskadierte WAN IP Adresse des DD-WRT und gut iss.
Das reicht noch nicht, da die Fritzbox lanseitig eine 192.168.1.0/24-IP hat und der DD-WRT-Router nicht vom Wan-Port (192.168.1.0/24) zum Lan-Port (192.168.1.0/24) routen kann,Aber wenn du es dennoch machen möchtest kannst du eine Router Kaskade betreiben:
...
Machst ein Port Forwarding auf der FB mit UDP 1194 (OVPN Default Port) auf die dahinter kaskadierte WAN IP Adresse des DD-WRT und gut iss.
es sei denn ich läge hier falsch.
Eingerichtet habe ich es gestern, wie ich's im Ausgangspost im ersten blauen Block skizziert hatte,
also mit noch einen weiteren, dem DD-WRT-Router vorgeschalteten Router.
Zitat von @aqui:
Andere Option ist das du den DD-WRT wie einen Server mit dem LAN Port "einbeinig" einfach in dein Netz klemmst.
Das erspart dir dann die Kaskade aber das Port Forwarding musst du dennoch machen um den VPN Tunnel auf dem "Server" zu terminieren.
Das Einbeinige müsste dann meiner zweiten blauen Skizze entsprechen!?Andere Option ist das du den DD-WRT wie einen Server mit dem LAN Port "einbeinig" einfach in dein Netz klemmst.
Das erspart dir dann die Kaskade aber das Port Forwarding musst du dennoch machen um den VPN Tunnel auf dem "Server" zu terminieren.
Wie schon geschrieben, war mir nicht klar, ob das so geht und auch nicht wie es zu konfigurieren sei.
Wenn Du aber meinst es ginge so, dann kann ich das ja mal angehen.
Meine gestrige Lösung funktioniert, aber der dazu etablierte, vorgeschaltete "Hilfsrouter" aus der ersten Skizze frisst ja eingentlich nur Strom und macht damit nichts anderes als dem DD-WRT-Router ein "Wan" zu bieten, damit der von Wan zu Lan routen kann.
[Inet <->192.168.1.1] --- [Lan-Switch] --- [192.168.1.2 <-> 192.168.8.2] -+
| |
+------- [192.168.1.3 <-> 192.168.8.3] -+Zitat von @aqui:
Generell keine sehr gute Idee, denn man sollte möglichst keine Löcher in die Firewall bohren um externen Traffic durchzulassen. VPNs sollte man immer auf der Peripherie terminieren.
...
Das VPN auf der FB terminieren und den DD-WRT entsorgen.
FB geht in Verbindung mit OpenVPN leider nicht.Generell keine sehr gute Idee, denn man sollte möglichst keine Löcher in die Firewall bohren um externen Traffic durchzulassen. VPNs sollte man immer auf der Peripherie terminieren.
...
Das VPN auf der FB terminieren und den DD-WRT entsorgen.
Mit dem Loch werde ich leben müssen.
Gruß Frank
Du weist, bin ich von Telekom-ISDN "zwangsweise" mit der Telefonie zu Unitymedia gewechselt
Obwohl du hättest mit VoIP auch bei der Telekom bleiben können was weiser gewesen wäre...aber egal.Mobile Geräte die nicht nur in diesem Lan sind, sondern auch mal andernorts.
Rangiert ja dann überlicherweise unter dem Begriff remoter Zugang oder mobile Clients aber niemals "unechte LAN Geräte" 
Wie ich schon schrieb, ist der VPN-Server der Fritzbox nicht kompatibel mit OpenVPN
Das weiss ja nun jedes Schulkind, denn der eine spricht IPsec Protokoll und der andere SSL. Aber das muss ja erstmal nix heissen.Nimm einen richtigen VPN Server, dann klappt es auch problemlos mit Bordmitteln bei allen OS:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ich möchte bei OpenVPN clientseitig bleiben, damit ich auf meinen Fernzugriffsgeräten nur einen Clienten brauche.
OK, das macht dann natürlich Sinn wenn man keine Bordmittel verwenden kann.Dann ist die Lösung auch relativ simpel für dich. Wie oben schon gesagt, der "one armed" OpenVPN Server oder eben die Router Kaskade.
und der DD-WRT-Router nicht vom Wan-Port (192.168.1.0/24) zum Lan-Port (192.168.1.0/24) routen kann,
Sorry, aber nun spinnst du ziemlich. Wie kommst du denn auf so einen Unsinn ?Das ist ein Router und logischerweise kann der auch routen, was auch sonst !! Das ist doch kein Durchlauferhitzer oder sowas !
Wichtig ist nur das du den DD-WRT im Router Mode betreibst und NICHT im Gateway Mode am WAN Port !
Obwohl es auch im Gateway Mode zur Not geht.
es sei denn ich läge hier falsch.
Aber sowas von...!!im ersten blauen Block skizziert hatte,
Völlig wirr, sorry, da kann keiner was drauf erkennen !So ist es richtig:
Die "one armed" Variante sieht dann so aus:
Diese hat aber den gravierenden Nachteil das du Internet Traffic direkt in dein lokales Netz leitest mit dem Port Forwarding auf der FB.
Oben ist es sicherer weil ja das Koppelnetz dazwischen ist und dein lokales Netz sicher abschottet.
Vermutlich hat auch die UM FB noch das Schnüffelprotokoll TR069 aktiv so das dich das ebenso schützt.
Beide Varinaten funktionieren fehlerfrei. Für die untere müsstest du nichtmal einen Router nehmen, das kann dann z.B. ein Raspberry Pi ebenso erledigen.
Hallo aqui,
danke für Deine Skizzen usw.
VoIP interessiert mich aber zuhause nicht, weil ich meine alte TK weiter betreiben möchte und die braucht extern ISDN.
Durch den Wechsel zu UM habe ich weiterhin ISDN mit geringeren Gesamtkosten (Tel.+TV+INet) als vorher.
Routen nur von Wan zu Lan und von Lan zu Lan nur switchen (Netzwerkmehrfachsteckdose).
Diese Einschränkung ist offensichtlich nicht gegeben.
Womit "malst" Du Deine Netzwerkskizzen?
Ist das ein spezielles Tool, das die Symbole usw. mitbringt oder einfach nur ein Grafikprogramm?
Dann meine momentane Lösung nochmal in Deinem Malstil:
So habe ich es eingerichtet und im Ausgangspost versucht mit ASCII-Art zu skizzieren.
Die Variante funktioniert und ich konnte sie mit zwei weiteren Durchlauferhitzern einrichten.
Mangels Eleganz dieser Lösung und Mangels anderer Ideen hatte ich dieses Topic eröffnet.
Ein Vorteil meiner Variante ist zumindest, dass der normale Internettraffic nur durch die Fritzbox geht und der Hilfsrouter und der DD-WRT-Router ausschließlich für den VPN-Traffic genutzt werden.
Die Internetverbindung ist also nicht von der VPN-Hardware abhängig und die kann dann auch mal ausgeschaltet oder rebootet werden und dadurch offline zu sein.
Den von Dir genannten Nachteil der "one armed"-Variante hat meine jetztige Variante auch.
TR069 hat die FritzBox auch und das ist auch ein valides Argument.
Ich werde meine Variante verwerfen und die Router kaskadieren, also es im Wesentlichen so machen, wie in Deiner ersten Skizze.
Danke nochmal
Gruß Frank
danke für Deine Skizzen usw.
Zitat von @aqui:
Obwohl du hättest mit VoIP auch bei der Telekom bleiben können was weiser gewesen wäre...aber egal.
Ich hätte bei der Telekom auf VoIP wechseln (nicht bleiben) können.Obwohl du hättest mit VoIP auch bei der Telekom bleiben können was weiser gewesen wäre...aber egal.
VoIP interessiert mich aber zuhause nicht, weil ich meine alte TK weiter betreiben möchte und die braucht extern ISDN.
Durch den Wechsel zu UM habe ich weiterhin ISDN mit geringeren Gesamtkosten (Tel.+TV+INet) als vorher.
Zitat von @aqui:
Das ist ein Router und logischerweise kann der auch routen, was auch sonst !! Das ist doch kein Durchlauferhitzer oder sowas !
...genau dafür hielt ich diese Kombigeräte bisher, also:Das ist ein Router und logischerweise kann der auch routen, was auch sonst !! Das ist doch kein Durchlauferhitzer oder sowas !
Routen nur von Wan zu Lan und von Lan zu Lan nur switchen (Netzwerkmehrfachsteckdose).
Diese Einschränkung ist offensichtlich nicht gegeben.
Womit "malst" Du Deine Netzwerkskizzen?
Ist das ein spezielles Tool, das die Symbole usw. mitbringt oder einfach nur ein Grafikprogramm?
Zitat von @aqui:
Die "one armed" Variante sieht dann so aus:
(Skizze)
Diese hat aber den gravierenden Nachteil das du Internet Traffic direkt in dein lokales Netz leitest mit dem Port Forwarding auf der FB.
Oben ist es sicherer weil ja das Koppelnetz dazwischen ist und dein lokales Netz sicher abschottet.
Vermutlich hat auch die UM FB noch das Schnüffelprotokoll TR069 aktiv so das dich das ebenso schützt.
Die "one armed" Variante sieht dann so aus:
(Skizze)
Diese hat aber den gravierenden Nachteil das du Internet Traffic direkt in dein lokales Netz leitest mit dem Port Forwarding auf der FB.
Oben ist es sicherer weil ja das Koppelnetz dazwischen ist und dein lokales Netz sicher abschottet.
Vermutlich hat auch die UM FB noch das Schnüffelprotokoll TR069 aktiv so das dich das ebenso schützt.
Dann meine momentane Lösung nochmal in Deinem Malstil:
So habe ich es eingerichtet und im Ausgangspost versucht mit ASCII-Art zu skizzieren.
Die Variante funktioniert und ich konnte sie mit zwei weiteren Durchlauferhitzern einrichten.
Mangels Eleganz dieser Lösung und Mangels anderer Ideen hatte ich dieses Topic eröffnet.
Ein Vorteil meiner Variante ist zumindest, dass der normale Internettraffic nur durch die Fritzbox geht und der Hilfsrouter und der DD-WRT-Router ausschließlich für den VPN-Traffic genutzt werden.
Die Internetverbindung ist also nicht von der VPN-Hardware abhängig und die kann dann auch mal ausgeschaltet oder rebootet werden und dadurch offline zu sein.
Den von Dir genannten Nachteil der "one armed"-Variante hat meine jetztige Variante auch.
TR069 hat die FritzBox auch und das ist auch ein valides Argument.
Ich werde meine Variante verwerfen und die Router kaskadieren, also es im Wesentlichen so machen, wie in Deiner ersten Skizze.
Danke nochmal
Gruß Frank
weil ich meine alte TK weiter betreiben möchte und die braucht extern ISDN.
Nein, das ist Unsinn, denn jeder VoIP Betreiber terminiert das am Router und wenn dieser dann eine klassische ISDN S0 Schnittstelle hat kann man daran immer sein olles ISDN Geraffel weiter betreiben. Ein simpler Klassiker.Das hätte also auch bei der Telekom funktioniert mit der FB. Entweder falsch nachgedacht oder nicht gewusst. Aber egal...ist ja nicht das Thema hier.
Routen nur von Wan zu Lan und von Lan zu Lan nur switchen
So ist es beim klassischen Bau- oder Blödmarkt Router.Andere wie Cisco, Mikrotik, Lancom oder solche mit alternativer Firmware wie OpenWRT und DD-WRT können aber auch routen zw. den LAN Ports sofern man das richtig konfiguriert.
Es kommt hier also entscheidend auf die Hardware und deren Features an.
Womit "malst" Du Deine Netzwerkskizzen?
Omnigraffle auf dem Mac oder hie und da auch mal Visio mit den freien Cisco_Symbolen LibreOffice Draw oder auch Linux "dia" können das ebenso wenns kostenfrei sein soll.
Dann meine momentane Lösung nochmal in Deinem Malstil:
Grusel.... 
Wozu dieser Unsinn mit dem "Hilfsrouter" ? Der ist doch komplett überflüssig !! Und auch kontraproduktiv, denn hier besteht die große Gefahr eines Routing Loops. Da mach man gar nicht hinsehen bei so einem Gruseldesign...sorry !
Was hat dich da bloß geritten das so zu machen..?
Ein Vorteil meiner Variante ist zumindest..
Nein, ein Vorteil ist das nicht. Wenn beide Router leistungsfähig genug sind den Internetanschluss bzw. seine dortige gebuchte Bandbreite in Wirespeed zu bedienen ist eine Router Kaskade hier klar im Vorteil.Weniger Gefrickel, keine L3 Loopgefahr, sicher.
Noch besser wäre natürlich gleich einen Router zu nehmen der von sich aus OpenVPN kann.
Die Internetverbindung ist also nicht von der VPN-Hardware abhängig und die kann dann auch mal ausgeschaltet oder rebootet werden und dadurch offline zu sein.
Bahnhof... ???Der Satz ist irgendwie ziemlich sinnfrei oder du hast dich gedrückt aus zu verschwurbelt ?!
- In einer Kaskade ist man auch nicht abhängig von VPN Hardware.
- O.A. Statement ist aber Blödsinn wenn der VPN Router ausfällt.
- Wenn man den Internet Router rebootet ist man IMMER offline. Egal ob mit deinem Gruseldesign, einer Kaskade oder "one armed" ganz ohne Kaskade oder mit und ohne VPN Hardware.
Den von Dir genannten Nachteil der "one armed"-Variante hat meine jetztige Variante auch.
Stimmt, was das Gruseldesign noch überflüssiger macht.und die Router kaskadieren,
Ein sehr weiser Entschluss zum Wochenende. Und...spart dir auch noch Strom und Energiekosten und...ne Menge graue Haare.
Hallo aqui,
Okay, seit einiger Zeit gibt's auch den Speedport W925V, der eine S0-Schnittstelle hat, aber Speedport wollte ich echt nicht haben und wie erwähnt, sind durch den Umzug komplett zu UM die monatlichen Gesamtkosten geringer als vorher.
(Zuvor ISDN-Telefonie bei der Telekom und Internet und TV bei UM.)
Geritten hat mich, dass ich wusste, dass das funktioniert und wie ich es konfigurieren muss.
Geritten hat mich aber ebenfalls der Gedanke, dass das auch anders gehen muss, was der Anlass war dieses Topic zu eröffnen.
Ich habe hier ja kein Tutorial geschrieben, sondern bewusst nach Alternativen gefragt.
nicht "und dadurch offline zu sein.", sondern
"ohne dadurch offline zu sein." meinte ich.
Ohne Hauptrouter kein Internet - das ist klar, aber in einer Kaskade ist auch ohne "Nebenrouter" das Internet weg.
Bei einer einarmigen Variante und auch beim Gruseldesign, ist der Internetzugang nicht von der VPN-Hardware abhängig, sondern nur vom Hauptrouter.
Den oder die Nebenrouter, die nur wegen des eingehenden VPN vorhanden sind, sind auch nur für das eingehende VPN nötig.
Die können also ausgeschaltet/rebootet/abgebaut/umkonfiguriert werden ohne dass man deswegen offline wäre, lediglich der Tunnel von draußen wäre dann weg, aber man wäre nicht offline.
Das wolte ich damit sagen.
Es bleibt aber dabei, dass ich eine Kaskade einrichten werde, also kein Einarmiger und kein Grusel.
Gruß Frank
Zitat von @aqui:
Aus Sicht der TK braucht sie externes ISDN.weil ich meine alte TK weiter betreiben möchte und die braucht extern ISDN.
Nein, das ist Unsinn...Zitat von @aqui:
...denn jeder VoIP Betreiber terminiert das am Router und wenn dieser dann eine klassische ISDN S0 Schnittstelle hat kann man daran immer sein olles ISDN Geraffel weiter betreiben.
Das hätte also auch bei der Telekom funktioniert mit der FB. Entweder falsch nachgedacht oder nicht gewusst.
Die Telekom bietet aber nur ihre komischen Speedports an und interessiert sich nicht dafür, dass die ehemaligen ISDN-Kunden, denen sie kündigt, ihr olles ISDN Geraffel weiter nutzen möchten....denn jeder VoIP Betreiber terminiert das am Router und wenn dieser dann eine klassische ISDN S0 Schnittstelle hat kann man daran immer sein olles ISDN Geraffel weiter betreiben.
Das hätte also auch bei der Telekom funktioniert mit der FB. Entweder falsch nachgedacht oder nicht gewusst.
Okay, seit einiger Zeit gibt's auch den Speedport W925V, der eine S0-Schnittstelle hat, aber Speedport wollte ich echt nicht haben und wie erwähnt, sind durch den Umzug komplett zu UM die monatlichen Gesamtkosten geringer als vorher.
(Zuvor ISDN-Telefonie bei der Telekom und Internet und TV bei UM.)
Zitat von @aqui:
OpenWRT und DD-WRT können aber auch routen zw. den LAN Ports sofern man das richtig konfiguriert.
da fehlt mir das Gewusst-wie.OpenWRT und DD-WRT können aber auch routen zw. den LAN Ports sofern man das richtig konfiguriert.
Zitat von @aqui:
Wozu dieser Unsinn mit dem "Hilfsrouter" ? Der ist doch komplett überflüssig !! Und auch kontraproduktiv, denn hier besteht die große Gefahr eines Routing Loops. Da mach man gar nicht hinsehen bei so einem Gruseldesign...sorry !
Was hat dich da bloß geritten das so zu machen..?
So gruselig ist es auch nicht. Im Grunde ist es auch sowas wie eine einarmige Variante, bei der die Aufgabe auf zwei zusätzliche Geräte verteilt ist.Dann meine momentane Lösung nochmal in Deinem Malstil:
Grusel.... Wozu dieser Unsinn mit dem "Hilfsrouter" ? Der ist doch komplett überflüssig !! Und auch kontraproduktiv, denn hier besteht die große Gefahr eines Routing Loops. Da mach man gar nicht hinsehen bei so einem Gruseldesign...sorry !
Was hat dich da bloß geritten das so zu machen..?
Geritten hat mich, dass ich wusste, dass das funktioniert und wie ich es konfigurieren muss.
Geritten hat mich aber ebenfalls der Gedanke, dass das auch anders gehen muss, was der Anlass war dieses Topic zu eröffnen.
Ich habe hier ja kein Tutorial geschrieben, sondern bewusst nach Alternativen gefragt.
Zitat von @aqui:
Noch besser wäre natürlich gleich einen Router zu nehmen der von sich aus OpenVPN kann.
Das hatte ich vorher so, aber seit ich nicht nur Internet, sondern auch die Telefonie bei UM habe, bin ich auf die FritzBox als Hauptrouter festgelegt.Noch besser wäre natürlich gleich einen Router zu nehmen der von sich aus OpenVPN kann.
Zitat von @aqui:
Der Satz ist irgendwie ziemlich sinnfrei oder du hast dich gedrückt aus zu verschwurbelt ?!
Ja, sorry ein kleiner Schreibfehler:Die Internetverbindung ist also nicht von der VPN-Hardware abhängig und die kann dann auch mal ausgeschaltet oder rebootet werden und dadurch offline zu sein.
Bahnhof... ???Der Satz ist irgendwie ziemlich sinnfrei oder du hast dich gedrückt aus zu verschwurbelt ?!
nicht "und dadurch offline zu sein.", sondern
"ohne dadurch offline zu sein." meinte ich.
* In einer Kaskade ist man auch nicht abhängig von VPN Hardware.
Ich wollte sagen:- O.A. Statement ist aber Blödsinn wenn der VPN Router ausfällt.
- Wenn man den Internet Router rebootet ist man IMMER offline. Egal ob mit deinem Gruseldesign, einer Kaskade oder "one armed" ganz ohne Kaskade oder mit und ohne VPN Hardware.
Ohne Hauptrouter kein Internet - das ist klar, aber in einer Kaskade ist auch ohne "Nebenrouter" das Internet weg.
Bei einer einarmigen Variante und auch beim Gruseldesign, ist der Internetzugang nicht von der VPN-Hardware abhängig, sondern nur vom Hauptrouter.
Den oder die Nebenrouter, die nur wegen des eingehenden VPN vorhanden sind, sind auch nur für das eingehende VPN nötig.
Die können also ausgeschaltet/rebootet/abgebaut/umkonfiguriert werden ohne dass man deswegen offline wäre, lediglich der Tunnel von draußen wäre dann weg, aber man wäre nicht offline.
Das wolte ich damit sagen.
Es bleibt aber dabei, dass ich eine Kaskade einrichten werde, also kein Einarmiger und kein Grusel.
Gruß Frank
Aus Sicht der TK braucht sie externes ISDN.
Na ja, ist ja quasi ein "Fake ISDN" was der Router oder Adapter vorgaukelt. Die gesamte Infrastruktur der telefonie davor basiert ja vollständig auf VoIP. Also eher ne Frage der Sichtweise.Die Telekom bietet aber nur ihre komischen Speedports an
Ja aber den Schrott musst du ja nicht nehmen...und solltest du auch nicht. In D herrscht Router Freiheit und am telekom Anschluss kannst du jede beliebige HW betreiben.FritzBox, Asus, TP-Link, Cisco alle haben auch solche Interfaces und sind allemal besser als der Speedport Müll.
da fehlt mir das Gewusst-wie.
3 Mausklicks im GUI. Übrigens routet ein Router IMMER per Default. Genau deswegen heisst er ja auch "Router" ! So gruselig ist es auch nicht.
Doch ist es ! Keine der Ausreden macht das besser. Am gruseligsten ist der Routing Loop dahinter. Sowas geht designtechnisch gar nicht und mag man als Layer 3 Mensch gar nicht mit ansehen...sondern bewusst nach Alternativen gefragt.
Die 2 kannst du ja oben in Bild und Schrift sehen. So macht man das richtig.Es bleibt aber dabei, dass ich eine Kaskade einrichten werde, also kein Einarmiger und kein Grusel.
Eine weise Entscheidung ! 
Hallo aqui,
Wenn ich schreibe meine TK brauche extern ISDN, dann ist die Sichtweise die der TK.
Dass es nur einen halben Kabelmeter entfernt von einem Signalwandler erzeugt wird, ist der TK egal.
Ausschlag gebend waren diese Punkte in absteigender Priorität:
Ich wüsste immer noch nicht, wo ich was eintragen müsste um z.B. die einarmige Variante einzurichten, aber das ist mein Defizit und nicht das des Routers und es ist eines, das ich mal beseitigen sollte.
Gruß Frank
Zitat von @aqui:
Na ja, ist ja quasi ein "Fake ISDN" was der Router oder Adapter vorgaukelt. Die gesamte Infrastruktur der telefonie davor basiert ja vollständig auf VoIP. Also eher ne Frage der Sichtweise.
Hier ist die Sichtweise eindeutig.Na ja, ist ja quasi ein "Fake ISDN" was der Router oder Adapter vorgaukelt. Die gesamte Infrastruktur der telefonie davor basiert ja vollständig auf VoIP. Also eher ne Frage der Sichtweise.
Wenn ich schreibe meine TK brauche extern ISDN, dann ist die Sichtweise die der TK.
Dass es nur einen halben Kabelmeter entfernt von einem Signalwandler erzeugt wird, ist der TK egal.
Zitat von @aqui:
Ja aber den Schrott musst du ja nicht nehmen...und solltest du auch nicht. In D herrscht Router Freiheit und am telekom Anschluss kannst du jede beliebige HW betreiben.
Das ist richtig. Ich habe auch lange überlegt, ob ich den Telefonanbieter wechsel oder nicht.Ja aber den Schrott musst du ja nicht nehmen...und solltest du auch nicht. In D herrscht Router Freiheit und am telekom Anschluss kannst du jede beliebige HW betreiben.
Ausschlag gebend waren diese Punkte in absteigender Priorität:
- Meine monatlichen Gesamtkosten sind durch den Wechsel zu UM erwähnenswert geringer.
- Für den Telekom-Anschluss hätte ich zusätzliche Hardware (ISDN-Wandler oder neue TK) kaufen müssen.
- Die Telekom hat mir unter großem Bedauern den ISDN-Anschluss gekündigt und gesagt, dass es nur noch VoIP geben wird.
Möglichkeiten weiterhin ISDN nutzen zu können, haben sie in keinem ihrer Anschreiben und Anrufen erwähnt.
"Großes Bedauern" könnte auch anders Aussehen:
Sehr geehrter Kunde, wir stellen um auf das moderne VoIP, aber machen sie sich keine Sorgen. Sie bekommen zum Vorzugspreis (oder kostenlos) einen Adapter von uns und es ändert sich für Sie praktisch nichts ... weiteres Marketing-BlaBla.
Hätte mir die Telekom so einen Text geschickt, statt nur VoIP- und VDSL-Reklame und 'ne Kündigung, hätte ich vielleicht gar nicht erst angefangen mich zu Informieren und nach Alternativen Ausschau zu halten und wäre aus Bequemlichkeit mit der Telefonie bei der Telekom geblieben. Für reine Telefonie hätte mich der Speedport auch nicht unbedingt gestört.
So wie die Telekom es aber handhabt, haben sie einen 35-Jahre-Bestandskunden verloren.
Zitat von @aqui:
3 Mausklicks im GUI. Übrigens routet ein Router IMMER per Default. Genau deswegen heisst er ja auch "Router" !
Ja, aber per Default routet er immer nur von Wan zu Lan und die Mausklicks um von Lan zu Lan zu routen sind nicht beschriftet mit "[Frank]-[klick]-[hier]".3 Mausklicks im GUI. Übrigens routet ein Router IMMER per Default. Genau deswegen heisst er ja auch "Router" !
Ich wüsste immer noch nicht, wo ich was eintragen müsste um z.B. die einarmige Variante einzurichten, aber das ist mein Defizit und nicht das des Routers und es ist eines, das ich mal beseitigen sollte.
Gruß Frank
