luto0673
Goto Top

Router-Kaskade FritzBox-Lancom und VPN-Zugriff

Nachdem ich es jetzt eine Weile alleine versucht habe, es aber trotz der zahlreichen Anleitungen, die es gibt (u.a. diese und diese) nicht hinbekomme, bitte ich um eure Hilfe. Ich bin zwar durchaus technikaffin, aber eben kein IT-Profi. Von daher habt ein wenig Nachsicht, wenn ich vielleicht dumme Fragen stelle.

Bei mir ist folgendes Szenario:

  • im Geschäft haben wir einen Glasfaser-Anschluss der "Deutschen Glasfaser" an dem eine FritzBox (192.168.48.1) arbeitet. Die Box hängt Upstream an einem Glasfaser-Modem und bezieht ihre WAN-Adresse via DHCP.
  • an der Fritzbox hängt ein LANCOM 1781VA, der über die FritzBox die Verbindung mit dem Internet aufbaut und zwei VPNs zu verschiedenen Rechenzentren aufbaut (funktioniert problemlos). Der Lancom hat auf der WAN-Seite die IP 192.168.48.100 (statisch) und auf der LAN-Seite die 10.43.48.251.
  • zu Hause ist ein klassischer DSL-Anschluss, ebenfalls mit FritzBox (192.168.178.1). Von dort aus möchte ich ins Firmen-LAN und nutze dafür den NCP-Client, der am Lancom ankommen soll.

Seit der Glasfaser-Umstellung klappt die VPN-Verbindung nicht mehr. Die Firma, die unsere IT betreut, hat herausgefunden, dass das an der nicht vorhandenen öffentlichen IPv4-Adresse liegt. Die Techniker haben es dann mit Freigaben inkl. Portweiterleitung versucht. Freigegeben sind die Ports 61002, 61003, 500 und 4500 (UDP mit IPv6-Adresse des Lancoms). Allerdings scheitert das irgendwo und ich habe keine Ahnung wo genau.

Was funktioniert ist ein FritzBox-FritzBox-VPN mit meiner heimischen FritzBox (192.168.178.1). Aber natürlich routet da nix ins 10.43.48.0-Subnetz. Ich habe eine statische Route auf der 192.168.48.1-FritzBox in Richtung Lancom eingetragen (also auf die 192.168.48.100). Das bringt aber natürlich nichts, weil meine FritzBox zu Hause keine Ahnung hat was sie mit Paketen in das 10er Subnetz anfangen soll und sie verwirft. Der heimischen FritzBox kann ich das passende Routing aber wohl nicht beibringen (zumindest erlaubt es die Weboberfläche nicht).

Ich versuche es auch mal grafisch darzustellen:
netzwerkproblem

Ich habe es auch mit dem NCP-Client versucht und die IPv6-Adresse des Lancoms eingetragen, das klappt aber nicht.

Wie schaffe ich es den Zugriff von zu Hause oder auch unterwegs wiederherzustellen? Früher (vor der Glasfaserumstellung) war der Lancom-Router direkt am DSL-Anschluss und dadurch über eine öffentliche IPv4-Adresse erreichbar. Jetzt hatte ich die Hoffnung, dass ich über die IPv6-Adresse des Lancoms Zugriff erhalte, das klappt aber auch nicht.

Kann ich das FritzBox-VPN irgendwie nutzen? Oder ist das sinnfrei? Würde ein OpenVPN-Server, der an der FritzBox und am Lancom hängt etwas bringen?

Content-ID: 4046519584

Url: https://administrator.de/contentid/4046519584

Ausgedruckt am: 19.12.2024 um 08:12 Uhr

aqui
Lösung aqui 24.09.2022 aktualisiert um 14:53:17 Uhr
Goto Top
Vielleicht solltest du besser noch einmal DIESE Anleitung zu dem Thema genau lesen! face-wink
Dort ist alles erwähnt was bei solchen Kaskaden zu beachten ist und welche VPN Protokollkomponenten geforwardet werden müssen.

Bedenke auch das die Dt. Glasfaser bei einfachen Consumer Anschlüssen durchgehend DS-Lite mit CGN verwendet. Damit sind generell eingehende, externe VPN Verbindungen mit IPv4 technisch unmöglich sofern diese Seite ein IPsec Responder ist.
Das geht bei IPv4 ausschliesslich nur wenn hier eine öffentliche IPv4 am WAN zugewiesen wird und keine RFC 1918 oder RFC 6598 IP Adresse!

Deine betreuende Firma hat also Recht. Das die das aber extra erst "herausfinden" mussten spricht nicht gerade sehr für deren Fachwissen, denn auch Laien wissen mittlerweile um diese Nachteile eines DS-Lite Anschlusses. Eigentlich beachtet man als Netzwerk Admin sowas immer VOR einer Migration und beantragt beim Provider einen sog. Business Account der eine öffentliche IPv4 WAN Adresse vorsieht....aber egal.
Andernfalls ist ein VPN Tunnel ausschliesslich nur per IPv6 möglich, wie üblich bei DS-Lite Anschlüssen.
Oder als Alternative für IPv4 bleibt eine Lösung mit einem Jumphost über einen einfachen vServer. Alternativ über eine 2te FritzBox die eine öffentliche IPv4 WAN Adresse hat.
luto0673
luto0673 24.09.2022 um 15:20:17 Uhr
Goto Top
Danke! Stellt sich mir nur noch die Frage wo ich das Routing der privaten Netzwerke im LANCOM aktiviere. Ich habe in der IP Routing-Tabelle jetzt das private Netzwerk mit dem Ziel "INTERNET" eingetragen.
routing-tabelle
Dann gibt es da ja noch den Haken "Pakete von internen Diensten über den Router senden"
screenshot 2022-09-24 151456
Muss ich den auch setzen?
luto0673
luto0673 24.09.2022 um 15:28:29 Uhr
Goto Top
Danke für die ausführliche Erklärung! Da ich einen vServer betreibe ist die Jumphost-Lösung machbar.

Zitat von @aqui:

Eigentlich beachtet man als Netzwerk Admin sowas immer VOR einer Migration und beantragt beim Provider einen sog. Business Account der eine öffentliche IPv4 WAN Adresse vorsieht....aber egal.

Ja, da war ich von falschen Voraussetzungen ausgegangen. Wir sind ein kleines Unternehmen ohne Netzwerk-Admin und ich bin "nur" der Chef face-wink.
Ich habe den "Professional"-Tarif gebucht, weil ich der irrigen Meinung war, dass dort eine "normale" IPv4-Adresse dabei ist. Die gibt es aber nur im doppelt so teuren Business-Segment (mit 5 Jahren Vertragsbindung). Da werde ich wohl lieber basteln und sitze die 20 Monate Laufzeit aus face-smile
goscho
goscho 26.09.2022 um 11:59:46 Uhr
Goto Top
Zitat von @luto0673:
Zitat von @aqui:

Eigentlich beachtet man als Netzwerk Admin sowas immer VOR einer Migration und beantragt beim Provider einen sog. Business Account der eine öffentliche IPv4 WAN Adresse vorsieht....aber egal.

Ja, da war ich von falschen Voraussetzungen ausgegangen. Wir sind ein kleines Unternehmen ohne Netzwerk-Admin und ich bin "nur" der Chef face-wink.
Das ist nicht tragisch. IdR werden solche Unternehmen von IT-Firmen betreut, die diese Jobs übernehmen.
Ich habe den "Professional"-Tarif gebucht, weil ich der irrigen Meinung war, dass dort eine "normale" IPv4-Adresse dabei ist. Die gibt es aber nur im doppelt so teuren Business-Segment (mit 5 Jahren Vertragsbindung). Da werde ich wohl lieber basteln und sitze die 20 Monate Laufzeit aus face-smile
Sicherlich wird nicht nur die IPv4 im Business-Tarif der Unterschied zum Home-Anschluss sein.
Häufig sind es auch garantierte Reaktionszeiten bei Störungen usw.

Wenn ihr nur eine "Bastelfirma" seid, dann spricht dem Homeanschluss ja nix entgegen.
Wenn nicht und ihr auf den Internetanschluss angewiesen seid und es keine günstigere Alternative gibt, dann wechselt in den Business Tarif.

Just my 2 Cents. face-wink