Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Probleme mit schwieriger Konfiguration ThomsonCM zur FritzBox7270 zur Monowall zum Netgear Wlan Router

Mitglied: redxxx

redxxx (Level 1) - Jetzt verbinden

21.02.2011, aktualisiert 18.10.2012, 6623 Aufrufe, 6 Kommentare

Hallo, bin ja schon lange Fan der Seite und hab viel gelesen und hoffentlich auch verstanden. Jetzt steh ich jedoch vor einer mir unlösbaren Aufgabe. Diese Netzwerkkonfiguration, mag dem Einen oder Anderen vielleicht unsinnig vorkommen, ich denke jedoch wenn ich das mit eurer Hilfe hinkriege, erlededigen sich viele weitere Fragen.
Hoffe auf positive und hilfreiche Antworten.

Also, ich habe eine I-Net Zugang über die Kevag, entspricht mit 26 Mbit ungefähr der Konfig von KDG.
Also zuerst öffentliche IP der KDG auf mein CM Thomson TWG850 mit Coax, dieses Modem hat einen integrierten Router (192.168.0.1) und Firewall, vergibt IP Adresse per DHCP auf Lan1 der (192.168.0.14) FritzBox 7270, nötig wegen der Telefonie. Nach der FritzBox per Lan2 auf WanPort (192.168.178.26) der Monowall, die läuft auch als DHCP (10.0.0.1) und vergibt die IP Adressen für mein Captive Portal, in dem Fall der Netgear WGR 614 v6.
Soweit, so gut. Funktioniert auch alles, Internet übers Portal Telefonie usw.
Jetzt zu meinem Problem.
Ich möchte mich gerne per Dyndns von ausserhalb auf die eingesetzten Geräte einloggen können.
Ausserdem hab ich 2 IP Cams, die bis dato über die FB (DynDns) und Portweiterleitung erreichbar waren. Dazu aber später, ist erstmal nicht so wichtig und klärt sich auch wenn ich bis zur Monowall komme.
Den Dyndns könnte ich auf der FB und der MW aktivieren.
Das Thomson Cm unterstützt jedoch keinen Dyndns.
Möglichkeiten die mir dort gegeben sind siehe Screen Shot
762c2fc06ccc25bb58158f545d242d12 - Klicke auf das Bild, um es zu vergrößern

Welche Möglichkeiten der Portweiterleitung über das Cm hinweg zur FB und zur MW gibt es dort?
Wenn ich zur Zeit den Dydndns Aktualisiere, komm ich zwar im interen Lan auf die FB aber nur über die private IP Adresse (192.168.0.14) der Box , da die auch beim Dyndns so aktualisiert wird
Gibt es da eine Möglichkeit mit den bescheidenen Mitteln des CM.

So, ich hoffe ihr habt reichlich was zu denken und vor allem eine nachvollziehbare Lösung.
Über Sinn und Unsinn der Konfiguration kann man streiten, muß man aber nicht. Dies gilt nur zur Übung und zu Testzwecken.

Danke für die zahlreichen Hilfestellungen. Hoffe das angehängte Bild kommt rüber.

Ralph
Mitglied: aqui
21.02.2011 um 18:42 Uhr
Der Screenshot ist wenig hilfreich, denn was du auf dem Thompson zwingend benötigst ist ein Port Forwarding wenn du es mit so oder mit VPN machen willst.
Das verbirgt sich aber vermutlich links sinnigerweise hinter Forwarding was du nicht zeigst hier. : - (

Remote Management und UPnP einzuschalten wäre aus Sicherheitsgründen auch ein absolutes "No Go" auf dem Thompson aber vermutlich bist du da wohl aus Unwissenheit schmerzfrei....

Das einfachste ist du öffnest ein VPN auf die FB oder auf die MW auf: Einfacher ist hier aber die FB da ein PFW Hop weniger.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
erstellst dann eine entsprechende FW Regel auf der MW um auch aufs innere Netz von dort zugreifen zu können und fertig ist der Lack... Ist eigentlich relativ einfach sowas.
Über das VPN hast du den Vorteil, das du je nach FW Regel transparent alles in den jeweiligen Netzen erreichen kannst und das auch noch sicher verschlüsselt.
Mit Portforwarding gehts auch allerdings musst du dann für jegliche Applikation eine Loch in deine Firewall bohren und spätestens dann wenn du z.B. 3 mal ein internes WebGUI erreichen musst hast du ein problem, da PFW immer nur portbezogen funktioniert. Du müsstest dann Port Translation machen was die Sache erheblich komplizierter und unübersichtlicher macht.
Dein Zauberwort heisst also VPN.
Bitte warten ..
Mitglied: redxxx
21.02.2011 um 20:34 Uhr
Also danke für die schnelle Antwort.

Also PFW ist sicher möglich auf dem CM , aber nur im IP Bereich des CM (192.168.0.0)
Hatte ich auch soweit eingetragen, zur FB mit der 0.14
Aber trotzdem bekommt die Fb die DNS Auflösung und routet zur 0.14. und nicht zur öffentlichen IP.

VPN hab ich auch schon in Betracht gezogen, scheitere jedoch immer an der AVM-Konfiguration. Connect übers iPhone hat noch nie geklappt.
Shit, wie kann ich jetzt in dem Beitrag weitere Bilder hochladen.

Über den Sicherheitsaspekt, bin ich wie du schon festgestellt hast doch recht schmerzfrei, soll ja auch nicht immer so bleiben, mich interessiert ja nur das wie. Nicht wie unsicher mein Netz dann ist. Ich hab hier ja auch keine wichtigen Daten, die strengster Geheimhaltung unterliegen.

ein PFW vom Cm auf die interne IP der Fb habe ich eingetragen, aber ohne erfolg, ausserdem hab ich FB noch in die DMZ eingetragen, das hilft mir auch nicht. Kann nicht über dyndns drauf zugreifen, da wie ich denke, der Lan1 ja jetzt als Wan Port dient und evtl. blockt. Ein Abschalten der Firewall in der FB ist auch nicht möglich, es sei denn ich flashe ein Freetz auf die 7270, dann hab ich aber Probleme mit den Sip Accounts.

Also erklär mir doch mal wie ich über PFW im CM die öffentliche IP des ISP weiterleite.
Aber sag mir auch wo ich was eintragen soll, den Rest kann ich dann analog so machen um auf die MW zu gelangen. Denke ich.

Ich könnte doch verschiedene Ports auf dem Account weiterleiten, nach der FB meine ich. Hab ich vorher auch gehabt, Port 82 zu ipcam 1 und 4009 zur ipcam2 und 5900 zum Powerbook usw.. Das hat einwandfrei gelaufen. Man muß aber wissen, das mein CM nur eine Lan hat und der DHCP wohl für einen Switch und für das WLan gedacht sind. Das WLan des CM möchte ich nicht aktivieren.

Mir gehts da also in erster Linie nicht um die Sicherheit, sondern die Funktion an sich.

Also hast du noch Tricks parat?

Danke für weitere Antworten, der Rest der Spezies darf sich ruhig dazugessellen.
Bitte warten ..
Mitglied: aqui
24.02.2011, aktualisiert 18.10.2012
Ist ja klar das deine FB routet, denn sie ist ja auch ein "Router". Das sollte dich also nicht verwundern.
Es ist auch logo das das CM nur aufs lokale LAN forwarden kann. Ein PFW an eine fremde IP geht nur wenn das CM eine statische Route dahin hat, was aber auch nur die wenigsten Consumer Geräte können.
In deinem Falle wäre es so oder so unsinnig, da du ja NAT machst auf der FB und auch auf der MW.
So gesehen also ein Triple NAT (Adress Translation) bei dir CM-FB-MW.

Wenn du mit dem iPhone PPTP als VPN machen willst geht das nicht mit der FB, denn die supportet das nicht, da sie nur IPsec kann. PPTP macht aber die MW wieder.
Du müsstest also die Ports:
TCP 1723
und das GRE Protokoll mit der IP Nummer 47
vom CM an die FB und von da an die MW mit PFW forwarden, dann klappt es problemlos.
Bei der MW musst du dazu das Blocking der RFC 1918 IPs aufheben in den General Settings !! Siehe hier:
https://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...

Wenn du das VPN auf der FB terminieren willst geht nur IPsec. Dazu musst du dann
UDP 500
UDP 4500
und das ESP Protokoll mit der IP Nummer 50
vom CM an die FB forwarden und dann gemäß diesem Tutorial verfahren:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...

Beide Optionen sollten problemlos klappen.
Ansonsten immer einen Paket Sniffer wie den Wireshark oder MS netMonitor verwenden und schritt für Schritt hinter den NAT Firewalls messen ob diese Pakete sauber vom PFW geforwardet werden !! Das fürht immer zum Erfolg.
Schwierig ist diese Konfig keinesfalls wenn man denn weiss was man macht...?
Bitte warten ..
Mitglied: redxxx
08.03.2011 um 00:40 Uhr
Hallo aqui,

vielen Dank für die konstruktiven Vorschläge.

hab es nun soweit geschafft, Vpn auf FB oder (und) Monowall funktionieren.

Deine Lösung,
"Das einfachste ist du öffnest ein VPN auf die FB oder auf die MW auf: Einfacher ist hier aber die FB da ein PFW Hop weniger.
http://www.avm.de/de/Service/Service-Port ...
erstellst dann eine entsprechende FW Regel auf der MW um auch aufs innere Netz von dort zugreifen zu können und fertig ist der Lack... Ist eigentlich relativ einfach sowas.
Über das VPN hast du den Vorteil, das du je nach FW Regel transparent alles in den jeweiligen Netzen erreichen kannst und das auch noch sicher verschlüsselt.
Mit Portforwarding gehts auch allerdings musst du dann für jegliche Applikation eine Loch in deine Firewall bohren und spätestens dann wenn du z.B. 3 mal ein internes WebGUI erreichen musst hast du ein problem, da PFW immer nur portbezogen funktioniert. Du müsstest dann Port Translation machen was die Sache erheblich komplizierter und unübersichtlicher macht.
Dein Zauberwort heisst also VPN."

Aber wie richtest soll ich eine VPN Verbindung einrichten, wenn der Dyndns Account nur auf das private Netz aktualisiert?


Aber um dir das nochmal genau zu erklären, das Cm kann kein DynDns!!!
die FB ja und die Monowall auch.
Also egal!!!! bei wem ich den Dyndns Account eintrage, wird immer nur die IP übertragen die der WAN Eingang des jeweiligen Geräts in diesem Moment hat.
Niemals aber die tatsächlich IP des ISP, da die vom Wan IF des CM kommen müsste.

Also nochmal die Frage:
Wie sag ich der Monowall, das die IP nicht sein Wan IF ist sondern die des CM.

Hast du da eine Lösung???

IBin immer noch offen für weitere Vorschläge, Danke vorab
Bitte warten ..
Mitglied: aqui
08.03.2011, aktualisiert 18.10.2012
Der DynDNS Account aktualisiert IMMER auf die aktive DSL IP ! (Öffentliche IP des Providers).
Dieser Port ist dann auch immer dein Eingangsport bzw. Ziel IP Adresse für den VPN Client und dort musst du alles an Port Weiterleeitung aktivieren.
Das ist in der Regel in 5 Minuten mit ein paar Mausklicks erledigt und funktioniert problemlos.
Hier kannst du global sehen wie das prinzip aussieht
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...

Natürlich ist es nicht besonders toll wenn der DynDNS Client auf der FB oder auf der MW (es geht nur bei einem zur Zeit !!) arbeitet da dieser ja noch hinter einem NAT arbeitet aber das kann man tolerieren wenn es nicht anders geht.
Es geht ja einzig und allein nur darum deine öffentliche IP Adresse einem Hostnamen zuzuweisen damit diese immer erreichbar...mehr nicht !
Dieses Gerät macht ja dann das Port Forwarding der VPN protokollports so das die VPN Verbindung so immer sauber zustande kommt.
Wie gesagt das ist tolerabel und funktioniert ja auch problemlos....
Bitte warten ..
Mitglied: redxxx
12.05.2011 um 11:11 Uhr
Hallo Aqui,
soweit so gut läuft meine Monowall jetzt sauber dank deiner zahlreichen Tips.

Danke nochmal für die Hilfestellung!!!

Jetzt hab ich da aber noch eine Frage.

Die Monowall läuft mit der Konfiguration jetzt sauber mit allen Features, Hotspot , VPN usw. auf einem Mini PC von Igel.
Jetzt habe ich das Alix Board mit 3 Netzwerkkarten bestellt, und möchte die Konfigdatei dort einspielen.
Ist das so möglich oder muss ich die ganze Konfiguration auf dem Alix dann neu erstellen?

Da es ja nur die Konfig ist, denke ich das es gehen sollte, hat da jemand Erfahrung, möchte das neue Board nicht direkt schrotten,

Danke für eine schnelle Antwort.
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Konfiguration Netgear GS108Ev3
gelöst Frage von CurtesNetzwerkgrundlagen15 Kommentare

Hallo,   ich hoffe ihr könnt mir helfen mit meinem neuen Netgear GS108e richtig umzugehen. Ich betreibe ein kleines ...

LAN, WAN, Wireless

Auswertung von Iperf3-Messungen schwierig

Frage von wacky80LAN, WAN, Wireless5 Kommentare

Hallo zusammen, wir haben hier im Haus anscheinend immer wieder mal einen kurzen Aussetzer im LAN. Wir haben mit ...

LAN, WAN, Wireless

VLAN Konfiguration (Lancom AP und Netgear-Switch)

gelöst Frage von shindukeLAN, WAN, Wireless3 Kommentare

Hallo zusammen, ich stehe vor einem kleinen Verständnis-/Konfigurationsproblem was die VLAN Konfiguration angeht. Folgende Sachlage Wir benötigen für unsere ...

LAN, WAN, Wireless

Netgear M4300-8x8f Stack Problem

gelöst Frage von Reini82LAN, WAN, Wireless5 Kommentare

Hallo Leute, ich habe mit meinen 2 M4300-8X8F von Netgear das Problem das sich der Stack nicht mehr aufbaut. ...

Neue Wissensbeiträge
Sicherheit

Windows Setup erlaubt elevation of privilege plus DC Updates

Information von DerWoWusste vor 5 StundenSicherheit

Eine interessante neue Sicherheitslücke. Details gibt es wenig, aber die klare Empfehlung: If you are using WSUS or MEM ...

Exchange Server

Exchange Server 2016 and the End of Mainstream Support

Information von Dani vor 18 StundenExchange Server

As hopefully many of you already know Exchange Server 2016 enters the Extended Support phase of its product lifecycle ...

Viren und Trojaner

Schwachstelle in Teamviewer oder aufgeflogene Backdoor?

Information von magicteddy vor 1 TagViren und Trojaner

Moin, die Interpretation überlasse ich jedem selber, ich habe eine deutliche Abneigung dagegen. Wer es nutzen muss sollte schleunigst ...

Sicherheit

Eine ungepatchte Sicherheitslücke in der Windows Druckerwarteschlange ermöglicht das Ausführen von Malware mit Adminrechten

Information von transocean vor 3 TagenSicherheit

Moin, eigentlich sollte die Sicherheitslücke schon seit Mai 2020 geschlossen sein. Aber lest selbst. Grüße Uwe

Heiß diskutierte Inhalte
Internet
VPN und Fritzbox
Frage von jensgebkenInternet29 Kommentare

Hallo Gemeinschaft, da der Support von AVM mir keine Antwort gibt, versuche ich es hier einmal HArdware 7490 zwei ...

Sicherheit
Verschlüsseln anstatt löschen ?
Frage von TastuserSicherheit18 Kommentare

Hallo, ist es möglich ganze Ordner auf Windows 10 zu verschlüsseln? Aber keine Kopien zu verschlüsseln (wie mit WinRAR) ...

Switche und Hubs
Neue Switches für Schule
Frage von Freak-On-SiliconSwitche und Hubs14 Kommentare

Servus; Eins Vorweg, bin leider in vielen Sachen noch nicht so erfahren. Und nein, ich kann LEIDER keinen Dienstleister ...

LAN, WAN, Wireless
Zwei Fritzboxen per VPN verbinden - Aber ins Gast-Lan4
gelöst Frage von KlasiKlausLAN, WAN, Wireless14 Kommentare

Hallo liebe Community, tldr: Zwei Computer @ 2 locations - connect via FritBox VPN Heimnetzwerk Fritte1 und LAN4 (Gastnetzwerk) ...

Weniger Werbung?
Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...