Router-Probleme: Hilfe oder Professioneller Ersatz

stephan902
Goto Top
Hallo,

mein Router (Asus AC-87U) macht dauernd Probleme.

Jeden Tag ist mein Internet extrem langsam. Ein Routerneustart behebt das Problem aber immer wieder (kurzzeitig).

Das ganze tritt seit 2 Wochen auf, Häufigkeit gefühlt zunehmend.

Der Router ist ein Asus RT-AC87U, also eigentlich Highend im Heimbereich.

Vor dem Router hängt ein Speedport von der Telekom (W 723V).

Ich hab langsam die Schnauze voll von diesem Consumershit.

Im Systemprotokoll des Asus finde ich oft diese Nachricht: kernel: br0: received packet on vlan1 with own address as source address.

Was kann ich tun, bzw. welcher Router wäre eine Alternative, die wirklich zuverlässig und haltbar ist?

Content-Key: 265804

Url: https://administrator.de/contentid/265804

Ausgedruckt am: 01.07.2022 um 16:07 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 10.03.2015 um 18:38:41 Uhr
Goto Top
Hallo Stephan,

a) privat oder Business?
b) warum eine Kaskade? Nimm eine Fritzbox 7390/7490 und gut ist - weniger Strom, weniger Verwaltung, weniger Telekom und Asus Zeug...

LG
Mitglied: stephan902
stephan902 10.03.2015 um 18:42:52 Uhr
Goto Top
Hallo,

a) privat
b) Weil das W-Lan und der Funktionsumfang vom Speedport nix taugt.
c) Ich hasse Fritzboxen wirklich. Keinesfalls!

Gibt´s nichts professionelles mit A+VDSL-Modem wo ich den Asus als Accesspoint dahinter hängen könnte?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 10.03.2015 um 18:45:32 Uhr
Goto Top
wegen Punkt c) kann man dir wohl nicht mehr weiter helfen :-) face-smile
Mitglied: 114757
114757 10.03.2015 aktualisiert um 18:57:57 Uhr
Goto Top
Such dir einen aus ... mit denen machst du nichts verkehrt.

Wenn das nicht reicht ist Layer 8 schuld ;-P

Gruß jodel32
Mitglied: stephan902
stephan902 10.03.2015 aktualisiert um 19:08:23 Uhr
Goto Top
Das mit dem Toaster hab ich versucht. Aber nichtmal das hat funktioniert. Hat immer nach Plastik gestunken.

Jetzt im Ernst: Eine Fritzbox reicht mir wirklich nicht.

BTW: Hatte noch keinen Router mit so gutem W-Lan Durchsatz und Reichweite wie der Asus.

Ich kann den Asus zurückgeben, aber was dann?

LANCOM 1781VA + welcher Access Point?

Anmerkung: Ich hab einen IP-Anschluss von der Telekom.
Mitglied: keine-ahnung
keine-ahnung 10.03.2015 um 19:17:08 Uhr
Goto Top
LANCOM 1781VA + welcher Access Point?
LANCOM 1781VAW, dann brauchst Du u.U. keinen AP. Wenn die Leuchtweite nicht reicht, dann einen entsprechenden LANCOM-AP. Aber cave: die Teile wollen auch konfiguriert werden ;-) face-wink

LG, Thomas
Mitglied: stephan902
stephan902 10.03.2015 aktualisiert um 19:20:44 Uhr
Goto Top
Hey, ich hab es geschafft ein VPN zwischen einem Lancom und einem Draytek einzurichten, dann krieg ich das auch hin!

Aber der VAW hat doch keine W-LAN AC Dualband oder?

Welchen 1781 brauche ich für meinen IP-Anschluss genau?
Mitglied: Dobby
Dobby 10.03.2015 aktualisiert um 19:38:20 Uhr
Goto Top
Hallo,

Was kann ich tun, bzw. welcher Router wäre eine Alternative,
Neu kaufen, reparieren, Rest und neu einstellen,.......

die wirklich zuverlässig und haltbar ist?
- Original AVM Fritz!Box 7390, 7490
Schlicht, einfach und funktionell!

Ich hab langsam die Schnauze voll von diesem Consumershit.
- MikroTik RouterBoard
- Alix APU Board oder Soekris net6501/net6801
- pfSense, ZeroShell, mOnOwall, IPFire, OpenBSD, OpenWRT, DD-WRT,....

c) Ich hasse Fritzboxen wirklich. Keinesfalls!
Sind aber das non plus ultra im Heimbereich und funktionieren
tadellos mehrere Jahre ohne murren und Probleme!!!
Nutze ich selber auch als privat ambitionierter Netzwerkfan.

- AVM FB7490 + pfSense auf Alix APU 1d4
Sind drei miniPCIe Steckplätze für Modem, WLAN, mSATA
oder in Verbindung mit XBMC als DLNA Server eine Broadcom
BCM970015 crystal clear HD Karte!


- AVM FB7490 + Asus Router mit DD-WRT / OpenWRT geflasht!
DD-WRT hat alles was man sich wünscht im LAN daheim.

Aber der VAW hat doch keine W-LAN AC Dualband oder?
Das Alix APU 1d4 hat aber 3 miniPCIe Steckplätze
Die Soekris net6501 hat zwei davon
Und diverse MikroTik Router haben auch einen

876Mbps 802.11AC 7260.HMW Original Intel Dual Band Wireless- 2x2 AC+Bluetooth

Gruß
Dobby

Mitglied: aqui
aqui 10.03.2015 aktualisiert um 19:32:24 Uhr
Goto Top
Gibt´s nichts professionelles mit A+VDSL-Modem wo ich den Asus als Accesspoint dahinter hängen könnte?
Ja natürlich:
https://www.administrator.de/wissen/konfiguration-cisco-886va-adsl-vdsl- ...

Alternativ eine richtige Firewall mit dem Speedport als reines Modem davor:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...

Und hier wie du den ASUS zum Accesspoint machen kannst:
https://www.administrator.de/wissen/kopplung-2-routern-dsl-port-48713.ht ...

Vielleicht solltest du aber schlicht und einfach die ASUS Gurke mal mit der aktuellsten Firmware betanken. Oft hilft das ja.
Noch besser wäre natürlich einen bessere Fromware wie DD-WRT zu flashen aber obwohl DD-WRT sehr ASUS affin ist ist dieses Modell nicht supportet :-( face-sad
Mitglied: Lochkartenstanzer
Lochkartenstanzer 10.03.2015 um 19:29:52 Uhr
Goto Top
Zitat von @stephan902:

Gibt´s nichts professionelles mit A+VDSL-Modem wo ich den Asus als Accesspoint dahinter hängen könnte?

Cisco hat da einige Schätzchen. (siehe Aquis Anleitungen) Da brauchst Du nicht einmal den Asus.

Ansonsten würde ich mal die DSl-leitung checken. Die kann auch der verursacher sein.

lks
Mitglied: stephan902
stephan902 10.03.2015 aktualisiert um 19:39:11 Uhr
Goto Top
Also ein bisschen Ahnung hab ich schon.

Der Asus hatte neueste Firmware und hat allein das Problem verursacht.

Ich hab den Asus jetzt mal aus dem Netzwerk genommen und den Speedport wieder zum Router gemacht, jetzt läuft das Internet wieder richtig schnell.

Der Asus ist wohl defekt und geht endgültig zurück.

Der Speedport soll auch weg. Also brauche ich jetzt einen IP-Anschluss tauglichen DSL Router und einen Access Point.

Der 1781VAW scheint ja kein W-LAN AC und simultanes Dualband zu bieten. Muss ich also nochmal 600 Euro für einen Access Point ausgeben?

Brauch ich für den Lancom dann noch extra Lizenzen für den IP Anschluss (hab da irgendwas von einer IP-Option gelesen) oder das W-Lan Gästenetzwerk?
Mitglied: Dobby
Dobby 10.03.2015 um 20:14:16 Uhr
Goto Top
Hallo,

Also ein bisschen Ahnung hab ich schon.

und

Ich hab den Asus jetzt mal aus dem Netzwerk
genommen und den Speedport wieder zum Router
gemacht, jetzt läuft das Internet wieder richtig schnell.
Wiedersprechen sich aber irgendwie, obwohl ich es Dir
aber glaube.

Der Asus hatte neueste Firmware und hat allein das
Problem verursacht.
DD-WRT oder OpenWRT fähiger Router?

Der Asus ist wohl defekt und geht endgültig zurück.
Als WLAN AP macht er sich eventuell gut hinter einem
anderen Router?

Der Speedport soll auch weg. Also brauche ich jetzt einen
IP-Anschluss tauglichen DSL Router und einen Access Point.
Also einen der am WAN Port den VLAN-Tag unterstützt, oder?

Der 1781VAW scheint ja kein W-LAN AC und simultanes
Dualband zu bieten. Muss ich also nochmal 600 Euro für
einen Access Point ausgeben?
Man reiche uns frischen Sauerstoff!

AVM FB 7490 ~250 €
Alix APU 1d4 Komplettpaket von Varia-Store = ~220 €
Dual AC WLAN miniPCIe Karte = ~70 €
Intel mSATA 120 GB = ~100 €
pfSense = kostenlos

Macht zusammen: 640 € für einen Router und eine Firewall
mit 120 GB Platz und Dual AC WLAN.

Gruß
Dobby

Mitglied: stephan902
stephan902 10.03.2015 um 20:23:45 Uhr
Goto Top
Ich will aber keine Bastelei, wo ich mich bei Problemen nicht an den Hersteller wenden kann.

Und was ich mit 120GB im Router will, weiß ich auch nicht. Dafür ist das NAS doch da?!

Die Frage ist also Lancom 1781 VAW (1783 soll ja auch bald kommen) oder nur 1781 VA + AP.

Brauche ich noch irgendwelche kostenpflichtigen Optionen von Lancom?

Wenn ich noch einen extra AP kaufe, welcher ist mit Dual Band W-Lan AC am empfehlenswertesten?
Mitglied: Arch-Stanton
Arch-Stanton 10.03.2015 um 20:42:39 Uhr
Goto Top
Jetzt mal im Ernst, für das bisschen Nackedei-Bilder und Filme saugen ist eine Fritzbox doch allemal ausreichend. Aber hole Dir erst einmal professionelle Hilfe.

Gruß, Arch Stanton
Mitglied: keine-ahnung
keine-ahnung 10.03.2015 um 20:44:36 Uhr
Goto Top
Brauche ich noch irgendwelche kostenpflichtigen Optionen von Lancom?
Woher sollen wir das wissen? Wenn Du ISDN-Technik intern weiter nutzen willst, dann in jedem Fall ... oder Du hast einen anderen Umsetzer.

LG, Thomas
Mitglied: Dobby
Dobby 10.03.2015 um 20:57:06 Uhr
Goto Top
Hallo nochmal,

Ich will aber keine Bastelei, wo ich mich bei Problemen
nicht an den Hersteller wenden kann.
Und was solls wenn der den Router testet und sagt
es ist alles in Ordnung?

Und was ich mit 120GB im Router will, weiß ich auch nicht.
Dafür ist das NAS doch da?!
Das OS und Programme drauf installieren.

Die Frage ist also Lancom 1781 VAW (1783 soll ja auch
bald kommen) oder nur 1781 VA + AP.
Kann man natürlich auch machen, nur ist das zum Einen teuer
und zum anderen denken halt viele Leute das wenn man Profi-Hardware einsetzt ist man ein Profi. Leider muss man mitunter
Profi sein um diese Hardware auch bedienen zu können!

Brauche ich noch irgendwelche kostenpflichtigen Optionen
von Lancom?
Ich denke nicht, VPN sollte bis 25 Verbindungen laufen.

Wenn ich noch einen extra AP kaufe, welcher ist mit
Dual Band W-Lan AC am empfehlenswertesten?
Das kann man leider so pauschal nicht beantworten;
- ist die Reichweite entscheidend
- sind die Anzahl der Verbindungen entscheidend
- Ist Geld das Thema
........

Schau doch mal bei MikroTik oder aber bei Ubiquiti nach.

gruß
Dobby

Mitglied: keine-ahnung
keine-ahnung 10.03.2015 um 21:05:37 Uhr
Goto Top
Hi Dobby,
Leider muss man mitunter Profi sein um diese Hardware auch bedienen zu können!
das hättest Du mir auch vor dem Kauf verklickern können ...
Ich denke nicht, VPN sollte bis 25 Verbindungen laufen.
Das ist etwas hoch gepokert ;-) face-wink. 5 sind dabei ...

LG, Thomas
Mitglied: stephan902
stephan902 10.03.2015 aktualisiert um 21:08:20 Uhr
Goto Top
Danke, das ist schonmal hilfreich.

Die Cisco-Teile haben ja alle keine GUI und setzen Kenntniss über die Cisco eigene Sprache voraus oder?

Ich favorisiere den 1781VA, da ich das Gerät schon konfiguriert habe und es auch mal schnell über die GUI konfiguriert werden kann, ohne dass man eine extra Sprache dafür lernen muss.

Was W-Lan angeht: Solange es nicht schlechter als das des Asus ist, ist es ok.

5 VPN Verbindungen reichen. Ich brauch 2-4.
Mitglied: keine-ahnung
keine-ahnung 10.03.2015 um 21:11:21 Uhr
Goto Top
Was W-Lan angeht: Solange es nicht schlechter als das des Asus ist, ist es ok.
Wir reden gerne über Stabilität und Management, selten über Vmax und andere Gimmicks. Im Privathaushalt mag das anders aussehen ...
Grüsse an die firewall ;-) face-wink

LG, Thomas
Mitglied: Lochkartenstanzer
Lochkartenstanzer 10.03.2015 um 21:12:03 Uhr
Goto Top
Zitat von @stephan902:

Danke, das ist schonmal hilfreich.

Die Cisco-Teile haben ja alle keine GUI und setzen Kenntniss über die Cisco eigene Sprache voraus oder?

Es gibt Modelle, bei denen man eine WebGUI einschalten kann.

lks
Mitglied: stephan902
stephan902 10.03.2015 um 21:13:19 Uhr
Goto Top
Ich kenne beispielsweise die Access Points für Small Business von Cisco.

Was beim Asus aufgefallen ist, ist dass sich Geräte extrem schnell verbunden haben.

Welches Gerät, wenn ich die Vmax vom Asus + Stabilität + Management möchte?
Mitglied: Dobby
Dobby 10.03.2015 um 21:18:08 Uhr
Goto Top
das hättest Du mir auch vor dem Kauf verklickern können ...
Naja Du kannst ja zur Not auch den @aqui fragen, daher ist
das wohl auch eher nicht so wild, nur wenn wirklich mal etwas
vorgefallen ist mit Deinen Patientendaten zum Beispiel, dann
steht dort eben auch nicht die popelige Speedport Platstikbox!

Das ist etwas hoch gepokert . 5 sind dabei ...
Jo da hast Du recht, ich habe immer nur das (optional 25)
dort im Hinterkopf gehabt, mein Fehler.

Gruß
Dobby

Mitglied: stephan902
stephan902 11.03.2015 um 18:12:35 Uhr
Goto Top
Zu welchem Access Point würdet ihr mir raten:

LANCOM L-1302acn dual Wireless oder Cisco WAP371?

Warum kostet der Lancom fast doppelt so viel?
Mitglied: aqui
aqui 11.03.2015 um 18:41:12 Uhr
Goto Top
Weil er vermutlich in D zusammengelötet wird.
Es ist Jacke wie Hose was du nimmst. Wichtig ist mSSID Support und Dual Radio sofern du letzteres willst.
Mitglied: stephan902
stephan902 11.03.2015 aktualisiert um 18:56:36 Uhr
Goto Top
Was mir neben der Stabilität und Zuverlässigkeit (sprich das Gerät funktioniert theoretisch jahrelang ohne Neustart wie am ersten Tag stabil) wichtig ist, ist dass die W-LAN Abdeckung extrem gut ist.

Beim Cisco bin ich da etwas skeptisch, weil er keine externen Antennen hat.

Die Sendeleistung (zumindest bei 2.4Ghz) ist ja auf 100 mW beschränkt.Gilt das auch für professionelle Geräte und wieso erreichen manche Single-Hotspots dann extreme Reichweiten?

EDIT: http://www.amazon.de/dp/B00KIEGTLC/ref=asc_df_B00KIEGTLC24976404?smid=A ...
Wenn ich mir hier die Bewertungen durchlese, dann scheint der Cisco doch nicht so der Brüller zu sein.
Mitglied: aqui
aqui 11.03.2015 um 19:07:12 Uhr
Goto Top
wichtig ist, ist dass die W-LAN Abdeckung extrem gut ist.
Sorry aber hättest du nur ansatzweise etwas WLAN Wissen weisst du das dieses Ansinnen mehr oder minder sinnfrei ist, denn die Feldstärke bzw. Ausbreitung des WLANs ist im allergrößten Maße abhängig von den baulichen Gegebenheiten deines Umfelds und weniger von der Hardware.
Auch wegen der gesetzlichen Vorgaben der ISO Strahlungsleistung eines APs (eben dieser 100 mW) ist die Technik unerheblich. Ob du einen 20 Euro AP oder was teures einsetzt beeinflusst genau diese Komponente nicht.
Die "extremen" Reichweiten basieren meistens auf guten Empfängern also Clients die mindestens MIMO 2x2 oder 3x3 können was nur bei den allerwenigsten der Fall ist.
Aber hier siehst du schon die Diskrepanz: Was nützt dir ein Bomben AP mit MIMO 3.3 Technik wenn du ein dummes Smartphone mit 1x1 oder einen billig Laptop mit einem wenig trennscharfen Realtek Chipsatz als WLAN Radio hast. Der hört schlicht und einfach den AP nicht mehr wenn er noch so toll ist sondern empfängt stattdessen Nachbar WLAN die wegen der schlechten Trennschärfe in seinen Empfänger von den Nachbarkanälen "reinpfeifen" und diesen zustopfen so das auch das letzte Bischen vom tollen AP so gestört ist das er den Kontakt verliert.
Ein tägliches Brot hier bei Administraor.de solche Billig WLANs zu troubleshooten. Nur um mal etwas deinen Horizont zu erweitern in Bezug auf Funktechnik, denn da ist der Welt gehörig anders als auf einem LAN Draht, logisch !

Genau das Gegenteil ist der Fall. Besser du hängst testweise mal einen 20 Euro TP-Link 841N an unterschiedliche Wände und rennst mal mit einem kostenlosen WLAN Sniffer rum: https://www.administrator.de/wissen/inssider-kostenlos-231231.html und checkst im groben mal die Feldstärke Verteilung deiner Räumlichkeiten und ziehst mal grob eine -70db Linie anhand der du deinen Planungen machst.
DAS wäre der richtige Weg ! Nicht der aber in einem Forum zu fragen welcher der beste AP ist.
Das ist wie die Frage nach dem besten Auto, Laptop usw. immer relativ und damit sinnfrei.
Halte dich wie immer an die technischen Fakten ! Das führt dich auch zum Ziel,
Mitglied: stephan902
stephan902 11.03.2015 aktualisiert um 19:15:47 Uhr
Goto Top
Danke schonmal.

In der Praxis musste ich aber bisweilen schon öfter die Erfahrung machen, dass selbst bei gleicher Positionierung, zwei verschiedene Geräte absolut unterschiedliche Reichweiten erzielen (auch bei gleichem Kanal, etc.).

Clientseitig kommen u.A. Intel Wireless-AC 7260 Karten zum Einsatz, also immerhin 2x2 MIMO. Selbst mein Smartphone unterstützt 2x2 Mimo.

Dass es keinen Unterschied macht, ob ich mich bspw. für den Lancom oder Cisco oder einen anderen AP entscheide, kann ich nicht glauben.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.03.2015 um 19:17:02 Uhr
Goto Top
Zitat von @aqui:

Genau das Gegenteil ist der Fall. Besser du hängst testweise mal einen 20 Euro TP-Link 841N an unterschiedliche Wände
und rennst mal mit einem kostenlosen WLAN Sniffer rum: https://www.administrator.de/wissen/inssider-kostenlos-231231.html und
checkst im groben mal die Feldstärke Verteilung deiner Räumlichkeiten und ziehst mal grob eine -70db Linie anhand der du
deinen Planungen machst.

Damit kann man sogar sein WLAN einigermaßen karthografieren, so daß man weiß, wo die "hot- und coldspots" des WLAns gerade sitzen.

lks
Mitglied: keine-ahnung
keine-ahnung 11.03.2015 um 19:18:50 Uhr
Goto Top
Dass es keinen Unterschied macht, ob ich mich bspw. für den Lancom oder Cisco oder einen anderen AP entscheide, kann ich nicht glauben.
Das ist keine Glaubensfrage ... sonst könnte sie der Papst entscheiden. Letztlich ist das bessere WLAN immer das LAN ;-) face-wink.
Du wirst jetzt hier bohren können wie ein Wilder ... ich wüsste nicht, wie man Dir jetzt noch helfen könnte. Versuche, die GEräte als Probestellung zu bekommen, probiere sie aus und entscheide Dich dann.

LG, Thomas
Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.03.2015 um 19:20:37 Uhr
Goto Top
Zitat von @stephan902:

In der Praxis musste ich aber bisweilen schon öfter die Erfahrung machen, dass selbst bei gleicher Positionierung, zwei
verschiedene Geräte absolut unterschiedliche Reichweiten erzielen (auch bei gleichem Kanal, etc.).

Du wirst zwei verschiedene Geräte nie gleich positionieren können, weil i.d.R die Antennen immer verschieden sitzen und damit das Feld jeweils anders aussieht. Es ist doch leider so, daß da wegen der Umgebung teilweise schon wenige Zentimeter "verrücken" einige dB Unterschied ausmachen können.

lks
Mitglied: falscher-sperrstatus
falscher-sperrstatus 11.03.2015 um 19:22:00 Uhr
Goto Top
Das halte ich - wenn auch hier im privaten i.O - für eine gefährliche Halbwahrheit. Prinzipiell hast du (bedingt) Recht, aber der nächste "wie mach ich mein Gäste WLAN" wird vergessen, dass es hier eben nicht nur fünf Hansel (max) sind, sondern ggf. mehr und da dann andere DInge auch noch beachtet werden müssen (inkl Controller) und am Ende haben wir noch eine Bescheidene WLAN Installation mehr in der Welt. ;)

LG
Mitglied: stephan902
stephan902 11.03.2015 um 19:26:09 Uhr
Goto Top
Ich danke euch. Alles in allem, weiß ich zwar nun immer noch nicht, welchen AP ich nehmen soll, trotzdem war das ganze hier hilfreich, insbesondere, was die Aufstellung des AP angeht.

Wenn ich den Router + AP dann habe, bin ich gespannt, ob die Netzwerkqualität wenigstens so hoch ist, dass mein Smartphone nicht mehr meldet: "Netzwerkqualität zu schlecht" (trotz vollem Empfang) und sich nicht verbindet.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 11.03.2015 aktualisiert um 19:27:57 Uhr
Goto Top
das hat dann aber eher Controllerbedingte Gründe.
Mitglied: stephan902
stephan902 11.03.2015 um 19:34:22 Uhr
Goto Top
Das liegt an anfänglichem Problem der zu schlechten Internetverbindung (wegen des Asus-Routers).

Der Down-/Up-Load war normal, aber ich vermute, dass die Verbindung zum DNS-Server gestört war, denn Internetseiten brauchten extrem lange zu laden.

Auch das Auswählen eines anderen DNS-Servers (bspw. Google) brachte keine Abhilfe. Auch hat es nichts genutzt den Speedport wieder zur Einwahl zu nutzen und den Asus statt mit PPPoE über eine feste IP anzubinden. Sobald ein Gerät über den Asus verbunden war (sei es LAN oder W-LAN) war die Internetanbindung eine Katastrophe.

Merkwürdigerweise war auch die LAN-Verbindung etwas gestört. Wo vorher 115 MB/s möglich waren, gingen, sobald der Asus Router im Netzwerk war, nur noch 80 MB/s, obwohl beide Geräte nach wie vor am gleichen Cisco Switch hingen.

Jetzt, wo der Asus weg ist, ist es besser.
Mitglied: Dobby
Dobby 11.03.2015 um 20:54:52 Uhr
Goto Top
Zu welchem Access Point würdet ihr mir raten:
Für welchen Router hast Du Dich denn entschieden?

LANCOM L-1302acn dual Wireless oder Cisco WAP371?
L-1302acn bei Lancom Router und Cisco WAP bei Cisco Router.

Warum kostet der Lancom fast doppelt so viel?
Qualität und guter Service kosten eben bei einigen Firmen immer
noch richtig Geld, nur wirst Du dann auch mit Equipment belohnt
was wirklich lange hält und auch etwas kann bzw. hermacht!

Ein Lancom Router mit einem integrierten Radiusserver oder
einem integriertem "Captive Portal" und dem L-1302acn
sollten schon ein starkes Team sein!!!!

Also wenn das Geld stimmt und beide Geräte sogar die
Public Spot Funktion unterstützen würde
ich zu Lancom tendieren.

Wenn man sich einen anderen Router besorgt eventuell einen
Cisco aus der RV Serie, wie den RV320/325 sollte man auch
über Cisco WLAN APs greifen, aber eventuell noch an einen
kleinen RaspBerry PI als Radius Server denken.
Mitglied: Dobby
Dobby 11.03.2015 um 20:58:25 Uhr
Goto Top
"Netzwerkqualität zu schlecht" (trotz vollem Empfang) und
sich nicht verbindet.
Das kann aber auch gefühlte 20 anderen Gründe haben!

Gruß
Dobby

Mitglied: aqui
aqui 11.03.2015 um 21:43:27 Uhr
Goto Top
...eher 30 ! Solche Aussagen sind eh sinnfreie Raterei. Statt das da mal gemessen wurde wird nur spekiliert mit gefährlichem Halbwissen.
Das liest man dann in solchen Kommentaren :-( face-sad
Mitglied: stephan902
stephan902 11.03.2015 um 23:32:11 Uhr
Goto Top
Was soll ich sagen? Mehr Informationen als langsames Internet, die Fehlermeldung im Protokoll im ersten Post von mir und meine Lösungsversuche habe ich leider auch nicht.

Als Router wirds wohl der 1781VA(W) (oder der 1783VA(W), da werde ich mich auf der Cebit informieren).

Eigentlich wollte ich komplett bei Cisco bleiben, weil ich auch mit meinem Cisco managed Switch super klar komme und alles was ich einstellen möchte in kürzester Zeit ohne Anleitung hinbekomme.

Der RV325 wäre auch nicht schlecht, aber dann fehlt mir wieder das Modem und wenn ich schon alles umstelle, dann möchte ich allein schon des Stromverbrauchs wegen keine zwei Geräte mehr für Modem+Router.

Ein Captive Portal wäre natürlich super, auch wenn es im privaten Umfeld nicht unbedingt nötig ist (normaler WPA2-Login tuts hier eigentlich auch).

@Dobby: Solche Beiträge sind wirklich nützlich! Danke.
Mitglied: Dobby
Dobby 11.03.2015 um 23:44:59 Uhr
Goto Top
Als Router wirds wohl der 1781VA(W) (oder der 1783VA(W),
da werde ich mich auf der Cebit informieren).
Schau mal gleich nach welcher eventuell einen kleinen Radiusserver
mitbringt und welcher eventuell ein "Captive Portal" enthält!
Damit kann man das WLAN dann wenigstens absichern!

Eigentlich wollte ich komplett bei Cisco bleiben, weil ich auch
mit meinem Cisco managed Switch super klar komme und
alles was ich einstellen möchte in kürzester Zeit ohne
Anleitung hinbekomme.
Das meinte ich damit eigentlich auch bei möglichst bei
einem Hersteller zu bleiben.

Solche Beiträge sind wirklich nützlich! Danke.
Das hast Du wohl falsch in den Hals bekommen!!!
Das bezog sich wohl eher darauf das Du am besten nicht gleich
Selbstmord machst wenn Du das viele Geld ausgibst und dann
anfangs noch ein paar Probleme zugegen sind! Denn das kann
an wirklich fast allem liegen und ist eben nicht nur auf die Geräte
wie Router und/oder WLAN APs zu münzen!

Gruß
Dobby

Mitglied: stephan902
stephan902 11.03.2015 aktualisiert um 23:53:25 Uhr
Goto Top
Ich weiß nicht, ob wir aneinander vorbeireden.

Das "Solche Beiträge sind wirklich nützlich! Danke." war ernst gemeint, schließlich war es tatsächlich hilfreich.

Dass am Anfang bei Profi-Equipment das ein oder andere kleine Problem auftritt, bin ich schon gewohnt. Es wäre nicht der erste Lancom-Router, den ich einrichte. Aber bisher hab ich eigentlich immer alles hinbekommen.

Aber das Problem mit dem Asus konnte ich nur lösen, indem ich den Asus entfernt habe. Da das auch geholfen hat, lag es wohl am Asus (den falsch einzustellen ist schon echt schwer!).

Den Cisco RV325 gibt es nicht mit Modem oder?

Dass die Lancom 1781 einen Radius-Server bereits eingebaut haben, wusste ich gar nicht.

EDIT: Den Radius Server sollte doch eigentlich auch mein Synology NAS übernehmen können oder?
Mitglied: Dobby
Dobby 11.03.2015 um 23:54:05 Uhr
Goto Top
Asus (den falsch einzustellen ist schon echt schwer!).
Ich denke das Speedport vorne nimmt den VLAN Tag vom
IP Anschluss an und am ASUS muss das dann ausgestellt
werden am WAN Port, oder der VLAN Tag wird durchgereicht
und der ASUS kann damit nicht richtig umgehen.

Den Cisco RV325 gibt es nicht mit Modem oder?
Ne leider nicht!

Aber wenn Du die Kohle hast und Dir die Lancom Geräte
leisten kannst, damit hast Du auf jeden Fall länger etwas
davon zumindest in meinen Augen.

Ich weiß nicht, ob wir aneinander vorbeireden.
Dann habe ich den falsch in den Hals bekommen, sorry.

Gruß
Dobby

Mitglied: stephan902
stephan902 12.03.2015 um 00:01:18 Uhr
Goto Top
Denkst du eigentlich, dass ein Radius-Server sinnvoll/notwendig ist?

Soweit mein eingeschränktes Wissen reicht, erhöht das ja nur insofern die Sicherheit, als dass ich einzelne Benutzer verwalte (ggfs. mit unterschiedlichen Rechten), statt eines gemeinsamen Kennworts oder?
Mitglied: Dobby
Dobby 12.03.2015 um 01:16:45 Uhr
Goto Top
Hallo,

Denkst du eigentlich, dass ein Radius-Server sinnvoll/notwendig ist?
Also ich denke das alleine aus dem Grund, der Störerhaftung wegen in
DE so etwas angebracht ist. und zwar nur für mich, anderen kann ich
dazu nur raten, macht eben jeder mit sich selber ab!

Denn wenn einmal etwas passiert, kann ich wenigstens sagen ich
habe alle derzeit mür zumutbaren und technisch machbaren
Möglichkeiten ausgeschöpft und das ist es was so ein Richter
dann eben auch hören möchte damit man eben nicht der Dumme
ist weil ein paar Leute schlauer waren als man selbst.

Bis vor kurzem (der Gesetzesänderung (Hackerparagraph))
wurde noch eine gewisse Software zusammen mit
verschiedenen Antennen von Alpha verkauft und damit habe
ich selber gesehen, das man in ca. 2 Wochen jedes WLAN
"knackt"!!! Wichtig war nur ein sehr starker Laptop (Core i7 / 32 GB)

Soweit mein eingeschränktes Wissen reicht, erhöht das ja
nur insofern die Sicherheit, als dass ich einzelne Benutzer
verwalte (ggfs. mit unterschiedlichen Rechten), statt eines
gemeinsamen Kennworts oder?
- Radius Server auf einem RaspBerry PI ist auch für 30 € zu haben
Sicherheit ist mehr so teuer! und der reicht für privat alle Male wenn
man Zertifikate verwendet und verschlüsselt!
- Ein Captive Portal ist da schon ein wenig besser wenn man
Freunde bei sich hat bzw. zu sich einlädt und die sich dann auch
am WLAN anmelden wollen.

Also wenn man das gleich im Router mit integriert hat ist
das schon dicke in Ordnung und ich persönlich würde es
auch auf jeden Fall nutzen wollen.

Gruß
Dobby

Mitglied: aqui
aqui 12.03.2015 um 15:44:39 Uhr
Goto Top
Eigentlich wollte ich komplett bei Cisco bleiben, weil ich auch mit meinem Cisco managed Switch super klar komme
Dann gibts doch für dich nur eine Antwort: Cisco 886vaw
Da ist alles drin was du brauchst und du hast deine gewohnte Umgebung. Warum willst du dann abwandern...? Wäre ja irgendwie sinnfrei....
Mitglied: stephan902
stephan902 12.03.2015 aktualisiert um 17:24:11 Uhr
Goto Top
So es gibt Neuigkeiten, die alles etwas durcheinander bringen:

Ich bekomme einen dieser neuen Magenta Hybrid DSL-Anschlüsse und muss dementsprechend den Speedport Hybrid zwangsläufig verwenden.

Dementsprechend braucht mein Router nicht mehr unbedingt ein Modem. Jetzt muss ich mich ggfs. wieder neu orientieren.

Hat der Cisco RV325 das gleiche Interface wie mein Cisco SG300 Switch?
Mitglied: Dobby
Dobby 12.03.2015 um 17:44:41 Uhr
Goto Top
So es gibt Neuigkeiten, die alles etwas durcheinander bringen:
Na dann mal los,

Ich bekomme einen dieser neuen Magenta Hybrid DSL-Anschlüsse und
muss dementsprechend den Speedport Hybrid zwangsläufig verwenden.
Was bitte ist das denn genau?
Sollte das VDSL Vectoring sein ist es auch mit einer AVM FB 7490 schnell abgefackelt!

Dementsprechend braucht mein Router nicht mehr unbedingt ein Modem.
Nimm doch den Speetport Hybryd und packe dann einfach einen anderen Router dahinter.
(Routerkaskade)

Jetzt muss ich mich ggfs. wieder neu orientieren.
So sieht es wohl aus.

Hat der Cisco RV325 das gleiche Interface wie mein Cisco SG300 Switch?
Wenn Du damit das Webinterface meinst wohl eher weniger.
Aber schau es Dir ruhig einmal näher an:

Beispiel 1
Beispiel 2

Gruß
Dobby

Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.03.2015 aktualisiert um 17:45:20 Uhr
Goto Top
Zitat von @stephan902:

Ich bekomme einen dieser neuen Magenta Hybrid DSL-Anschlüsse und muss dementsprechend den Speedport Hybrid zwangsläufig
verwenden.

Du brauchst nur einen Router, der gleichzeitig DSL und LTE kann, bzw einen Router an dem ein DSL- und ein LTE-Modem hängt.

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.03.2015 um 17:48:16 Uhr
Goto Top
Zitat von @Dobby:

Sollte das VDSL Vectoring sein ist es auch mit einer AVM FB 7490 schnell abgefackelt!

Nein, das ist eine (V)DSL/LTE/UMTS-Kombi. Kann die Fritzbox aber auch mit passendem LTE/UMTS-Stick.

lks
Mitglied: stephan902
stephan902 12.03.2015 aktualisiert um 17:59:53 Uhr
Goto Top
Also, das Interface vom RV325 schaut genauso aus (prinzipiell natürlich) wie vom SG300 Switch. Das ist schonmal gut.

Magenta Hybrid bedeutet, dass zusätzlich zu meinem normalen DSL 16.000 Anschluss noch weitere 50.000 über LTE genutzt werden können (ohne Volumen-Limitierung).

Das heißt es handelt sich nicht um ein Load-Balancing oder Fail-Over sondern eine Addition. Damit kompatibel ist aber nur der Speedport Hybrid (und garantiert kein anderer Router).

Dementsprechend habe ich jetzt bestellt: Speedport Hybrid (über Telekom), Cisco RV325, Cisco WAP 371. RV325 und WAP371 haben mich zusammen ca. 550€ gekostet. Das ist ggü. den 1100 Euro, die mich die zwei Lancom Geräte gekostet haben, einfach mal die Hälfte und für den Privateinsatz hoffentlich ausreichend.

Inzwischen habe ich mein NAS bereits als Radius-Server konfiguriert und mit einem DD-WRT Router habe ich das ganze getestet, funktioniert hervorragend!

EDIT: Wo ich mir Sorgen mache, ist beim VPN. Ich fürchte, dass der Speedport Hybrid kein ausreichendes VPN-Passtrough bietet.
Mitglied: Dobby
Dobby 12.03.2015 um 17:54:04 Uhr
Goto Top
Magenta Hybrid bedeutet, dass zusätzlich zu meinem normalen DSL 16.000
Anschluss noch weitere 50.000 über LTE genutzt werden können (ohne Volumen-Limitierung).
Aha ok.

Das heißt es handelt sich nicht um ein Load-Balancing oder Fail-Over sondern eine Addition.
Damit kompatibel ist aber nur der Speedport Hybrid (und garantiert kein anderer Router).
Dann kommst Du um den wirklich nicht herum.

Gruß
Dobby

Mitglied: stephan902
stephan902 12.03.2015 um 17:57:41 Uhr
Goto Top
Ich hasse Speedpots noch mehr als Fritz-Boxen, aber wenn 66.000 Down ggü. meinen jetzigen 16.000 bzw 12.400 Up ggü. meinen jetztigen 1000 tatsächlichen ankommen, dann ist es das einfach wert. Allein der Upload wäre Gold wert, da ich einfach schneller auf mein NAS von Unterwegs zugreifen kann.
Mitglied: stephan902
stephan902 12.03.2015 aktualisiert um 18:22:00 Uhr
Goto Top
Kennt jemand ein kompatibles Netzteil für den Cisco WAP 371? Das Original scheint nirgends lieferbar zu sein.

EDIT: Hab jetzt einen 30W Power Injector genommen, sicher auch universeller einsetzbar.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.03.2015 um 18:25:49 Uhr
Goto Top
Zitat von @stephan902:

Ich hasse Speedpots noch mehr als Fritz-Boxen, aber wenn 66.000 Down ggü. meinen jetzigen 16.000 bzw 12.400 Up ggü.
meinen jetztigen 1000 tatsächlichen ankommen, dann ist es das einfach wert. Allein der Upload wäre Gold wert, da ich
einfach schneller auf mein NAS von Unterwegs zugreifen kann.

Nicht taüschen lassen. Das ist load-balancing und kein additiver Link! Du kannst die Maximalrate also nur nutzen, wenn Du genügend Streams gleichzeitig hast.

lks
Mitglied: stephan902
stephan902 12.03.2015 um 18:35:01 Uhr
Goto Top
Naja, aber Load-Balancing würde bedeuten, dass ich nicht über meine 16.000 komme, aber theoretisch müsste ich ja 66.000 erreichen können.

Wie dem auch sei, ich werde berichten wie ich mit Speedport Hybrid + RV325 + WAP371 klar komme!

Nochmal vielen Dank an alle hier, die mich beraten haben!
Mitglied: Dobby
Dobby 12.03.2015 um 18:56:37 Uhr
Goto Top
Naja, aber Load-Balancing würde bedeuten, dass ich nicht über meine 16.000 komme,
Nein, denn 16.000 + 50.000 sind = 16.000 + 50.000 und nicht


aber theoretisch müsste ich ja 66.000 erreichen können.
Eben nicht, nur wenn man Multiprotocol Label Switching (MPLS) einsetzt
und der Provider sowie auch Der Router das auch beide unterstützt bzw. anbietet!


MPLS Router ------- ISP mit MPLS Service
Dann sind 16.000 + 50.000 = 66.000 richtig.

Gruß
Dobby

Mitglied: stephan902
stephan902 12.03.2015 aktualisiert um 18:59:38 Uhr
Goto Top
Soweit mir bekannt ist, wird das aber unterstützt und somit sind es 66.000 maximal.

Aber auch wenn nicht. 50.000 wäre immer noch eine enorme Steigerung ggü. 16.000.
Mitglied: Dobby
Dobby 12.03.2015 um 19:04:46 Uhr
Goto Top
Soweit mir bekannt ist, wird das aber unterstützt und somit sind es 66.000 maximal.
Sehe ich nicht so.

Aber auch wenn nicht. 50.000 wäre immer noch eine enorme Steigerung ggü. 16.000.
Das schon eher.

Denn den MPLS Dienst lassen sich die Provider bei Bussines Verträgen horrende bezahlen.
und zwar zusätzlich.

Gruß
Dobby

Mitglied: stephan902
stephan902 12.03.2015 um 19:12:36 Uhr
Goto Top
Ich werden berichten, was ich als Down- bzw. Upstream schaffe.

Entscheidend ist glaube ich ohnehin eher, wie gut der LTE-Empfang ist. Das mach vermutlich mehr aus.
Mitglied: aqui
aqui 13.03.2015 aktualisiert um 10:00:16 Uhr
Goto Top
Ich bekomme einen dieser neuen Magenta Hybrid DSL-Anschlüsse und muss dementsprechend den Speedport Hybrid zwangsläufig verwenden.
Nein das ist Bullshit und technischer Unsinn ! Sorry, aber diesem Irrglauben verfallen viele mit All IP Anschluss und der ist natürlich Unsinn.
Mit dem Cisco 886vaw und einem VoIP Adapter wie dem Cisco SPA 112 kannst du beides betreiben und bei deiner Cisco Infrastruktur bleiben ! Und...auch noch deinen geliebten Telefone behalten.
http://www.reichelt.de/CISCO-SPA112/3/index.html?ACTION=3&GROUPID=2 ...;
Mitglied: keine-ahnung
keine-ahnung 13.03.2015 um 10:36:17 Uhr
Goto Top
Nein das ist Bullshit und technischer Unsinn !
Ich fürchte fast, dass das kein bullshit ist --> das ist tatsächlich eine Kombination aus LTE und ADSL der Telekomiker, deren balance vermutlich ausschliesslich in der hauseigenen Hybridrouterbüchse umgesetzt werden kann.

LG, Thomas
Mitglied: aqui
aqui 13.03.2015 aktualisiert um 11:15:43 Uhr
Goto Top
Na ja man kann mit jedem Router immer noch auf Policy Based Routing umsatteln sofern die verwendete HW das supportet. Was anderes wird die Telekomiker Box auch nicht machen (hoffentlich). Ist eh besser da ICH dann bestimmen kann was ich wohin haben möchte.
So gesehen sind LTE und ADSL in einem Dual WAN Balancing Router ja erstmal nicht anderes als 2 Provider Anschlüsse und jeder Lancom oder Cisco kann wunderbar damit umgehen.
Sollte einem so oder so misstrauisch machen irgendeine Black Box zu kaufen und dazu noch solche BilligHW wie den Speedport wo man nicht weiss was darin wirklich vorgeht !
Aber nundenn, wie heisst es so schön: jeder bekommt das Netzwerk das er verdient ;-) face-wink
Mitglied: keine-ahnung
keine-ahnung 13.03.2015 um 11:37:32 Uhr
Goto Top
Den Mist vermarkten die Telekomiker im flachen Land, wo keine hinreichend schnellen kabelgebundenen Anschlüsse realisiert werden. Ich kenne das persönlich auch nicht, vermute aber mal, dass beide WAN-Zugänge über einen Kundenaccount vermutlich mit identischen Zugangsdaten eingerichtet sind. Ob Du das mit einem vernünftigen DUAL-WAN-Router authentifizierungsseitig nachgebastelt bekommst ... keine-ahnung ;-) face-wink.

LG, Thomas
Mitglied: Lochkartenstanzer
Lochkartenstanzer 13.03.2015 um 11:49:19 Uhr
Goto Top
Zitat von @keine-ahnung:

Den Mist vermarkten die Telekomiker im flachen Land, wo keine hinreichend schnellen kabelgebundenen Anschlüsse realisiert
werden. Ich kenne das persönlich auch nicht, vermute aber mal, dass beide WAN-Zugänge über einen Kundenaccount
vermutlich mit identischen Zugangsdaten eingerichtet sind.

Ich habe jetzt die ersten Anfragen von Kunden, die sich dafür interessieren. Aber die Telekom-Sales-Heinis kennen nur die üblichen Sprüche. wenn ich den ersten Anschluß in den fingern hatte, gebe ich Rückmeldung.

Ob Du das mit einem vernünftigen DUAL-WAN-Router
authentifizierungsseitig nachgebastelt bekommst ... keine-ahnung ;-) face-wink.

Geht normalerweise. Zur Not nimmt man ein Alix-Board mit BSD/Linux drauf und gut ist.

lks
Mitglied: stephan902
stephan902 13.03.2015 um 15:02:07 Uhr
Goto Top
Was anderes als der Speedport Hybrid funktioniert allein schon deswegen vermutlich nicht, weil die SIM-Karte nur im Speedport funktioniert.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 13.03.2015 um 15:04:33 Uhr
Goto Top
Zitat von @stephan902:

weil die SIM-Karte nur im Speedport funktioniert.


Die haben es so an sich, daß man die da herausnehmen udn auch in andere geräte stecken kann. :-) face-smile

lks
Mitglied: stephan902
stephan902 13.03.2015 um 15:09:17 Uhr
Goto Top
Ja, aber da funktionieren sie dann nicht. Nennt sich das nicht SIM-Lock?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 13.03.2015 um 15:11:52 Uhr
Goto Top
Zitat von @stephan902:

Ja, aber da funktionieren sie dann nicht. Nennt sich das nicht SIM-Lock?

Nein. SIM-Lock ist anders herum: Im Gerät selbst (telefon, Stick, Notebook-Modem, Router, etc.) funktionieren nur dei SIMS des Subventiierers. Die SIM selbst funktioniert aber in andere Geräten.

lks
Mitglied: keine-ahnung
keine-ahnung 13.03.2015 um 15:13:20 Uhr
Goto Top
Nennt sich das nicht SIM-Lock?
Nee, das ist quasi die viel hässlichere Schwester von SIM-Lock ... aber kann schon sein, das die Telekomiker den LTE-Zugang an ihr eigenes Gerät binden - in der Anfangsphase von call'n'surf via LTE hatten die Brüder das schon mal durchgezogen, da ging ohne die Speedportschüssel nix ...

LG, Thomas
Mitglied: keine-ahnung
keine-ahnung 13.03.2015 um 15:14:22 Uhr
Goto Top
Die SIM selbst funktioniert aber in andere Geräten.
Die SIM schon ... nur der Zugang nicht, wenn der auf ein hauseigenes Endgerät gedongelt ist ;-) face-wink

LG, Thomas
Mitglied: stephan902
stephan902 13.03.2015 um 15:14:50 Uhr
Goto Top
Dann ist es eben die hässlichere Schwester. Was ich so gelesen habe, gehen die SIMs anscheinend nur in den Speedports!
Mitglied: Dobby
Dobby 13.03.2015 aktualisiert um 15:34:13 Uhr
Goto Top
Die haben es so an sich, daß man die da herausnehmen udn
auch in andere geräte stecken kann.
Ist dafür aber die MAC Adresse hinterlegt wird das wohl so herum
nichts werden können.

Gruß
Dobby

Mitglied: stephan902
stephan902 13.03.2015 um 15:38:24 Uhr
Goto Top
Zitat von @Dobby:

> Die haben es so an sich, daß man die da herausnehmen udn
> auch in andere geräte stecken kann.
Ist dafür aber die MAC Adresse hinterlegt wird das wohl so herum
nichts werden können.

Gruß
Dobby


Du meinst in der SIM-Karte ist die MAC des Speedports hinterlegt? Wieso änder ich dann die MAC des Gerät, in der die SIM verwendet werden soll, nicht auf die des Speedports?
Mitglied: 114757
114757 13.03.2015, aktualisiert am 14.03.2015 um 08:59:44 Uhr
Goto Top
Ich glaub der Thread hier läuft langsam aber sicher aus dem Ruder ... macht das doch via PM zwischen euch aus. das hat ja nun alles nix mehr mit der ursprünglichen Fragestellung zu tun.
Mitglied: keine-ahnung
keine-ahnung 13.03.2015 um 15:43:38 Uhr
Goto Top
Dein Gerät (also, nee, nicht das Gerät sondern das andere halt) wird von seinem Herrn identifiziert. Wie es das macht, weiss nur der Herr. IMEI, MAC, Kartenident, eine Kombination davon ... keine-ahnung ;-) face-wink. Und wie es so ist im Leben: der Herr Deines Gerätes bist nicht Du ...

LG, Thomas
Mitglied: stephan902
stephan902 14.03.2015 um 04:16:35 Uhr
Goto Top
Eine Frage hätte ich noch:

Mit einem Radius Server kann ich ja verschiedene Benutzer authentifizieren, aber wie kann ich verschiedenen Benutzern verschiedene Rechte zuweisen?

Also der Admin bspw. darf alles. Wenn sich aber jemand im W-Lan einloggt, der nur das Internet und den Drucker benutzen können soll, wie lässt sich das realisieren?
Mitglied: BirdyB
BirdyB 14.03.2015 um 06:59:30 Uhr
Goto Top
Das geht, indem du über Radius entsprechende VLANs an die User zuweist.
Siehe hier: http://mobil.security-insider.de/artikel/100662/
Mitglied: aqui
aqui 14.03.2015 um 07:58:07 Uhr
Goto Top
Mit einem Radius Server kann ich ja verschiedene Benutzer authentifizieren, aber wie kann ich verschiedenen Benutzern verschiedene Rechte zuweisen?
Macht man ebenfalls mit dem Radius:
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-802-1x-fre ...

Man kann mit dem Radius auch dynmaische VLANs und Accesslisten übergeben mit dem User.
Mitglied: stephan902
stephan902 14.03.2015 um 10:30:10 Uhr
Goto Top
Genau das habe ich gesucht: Dynamische VLAN-Zuweisung.

Lasst mich raten, der Cisco RV325 kann das nicht?
Mitglied: aqui
aqui 14.03.2015 aktualisiert um 12:44:23 Uhr
Goto Top
Lasst mich raten, der Cisco RV325 kann das nicht?
Warum raten und warum siehst du nicht selber mal ins Datenblatt !
http://www.cisco.com/c/en/us/products/collateral/routers/rv325-dual-gig ...
Leider steht da gar nichts von 802.1x. Also supportet er generell keine Port Security udn damit dann auch keine dynamischen VLANs die ja mit 802.1x zugewiesen werden.
Nimm ansonsten den 886va der kann das: (Zitat Cisco Knowledge Base)
Q. What IEEE 802.1x features do the Cisco 860 and 880 Series integrated switch ports support?
A. Support for 802.1x features is available for the integrated switch ports on the Cisco 880 Series routers only. Standard 802.1x feature support on the Cisco 880 Series is compatible with the support for the Cisco 870 Series today as documented at:
http://www.cisco.com/en/US/prod/collateral/routers/ps5853/prod_white_pa ... with the following exceptions:
  • Standard 802.1x single-host mode is supported on the Cisco 880 Series.
  • Standard 802.1x port security will work for the Cisco 1800 Series as described at the URL given.
https://www.administrator.de/wissen/konfiguration-cisco-886va-adsl-vdsl- ...
Mitglied: stephan902
stephan902 14.03.2015 aktualisiert um 13:15:51 Uhr
Goto Top
Danke. Jetzt hab ich das verstanden. Jedes Gerät muss das für die an es angeschlossenen Clients separat machen.

Sprich, wenn ich das ganze nur fürs W-LAN brauche, ist es egal, ob der Router das unterstützt.

Wie sieht das im W-Lan aus? Kann ich die User da auch in VLANs einsortieren (es gibt da ja keine "Ports")?
Mitglied: stephan902
stephan902 14.03.2015 um 17:45:34 Uhr
Goto Top
So, ich habe den WAP371 jetzt mal in Betrieb genommen. Wenn ich dem Gäste-W-Lan nun aber eine andere V-Lan ID als 1 zuweise, bekommen Geräte keine IP mehr zugewiesen.

Wie kann ich das ändern?
Mitglied: aqui
aqui 14.03.2015 aktualisiert um 18:24:07 Uhr
Goto Top
wenn ich das ganze nur fürs W-LAN brauche, ist es egal, ob der Router das unterstützt.
Ja, richtig da muss es nur der AP supporten, der ist ja quasi der Client. Der packt dann den WLAN Client in die passende MSSID die zu der VLAN ID korrespondiert die du für ihn vorgesehen hast.
Wenn ich dem Gäste-W-Lan nun aber eine andere V-Lan ID als 1 zuweise
Sofern du Multiple SSIDs benutzt auf dem AP sollte dir klar sein das dein Switchport an den du diesen AP dann anschliesst tagged sein muss !!
Ansonsten kann der Switch die mSSIDs die der AP dann mit den entsprechenden VLAN Tags aussendet nach seiner Konfig nicht mehr zuordenen und verwirft diese Frames.
Vermutlich bei dir der Fall weil du das vergessen oder nicht bedacht hast ?! :-( face-sad
Halte dich genau an dieses Tutorial, mit dem Praxisbeispiel Kapitel was dieses Szenario en Detail beschreibt:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Mitglied: stephan902
stephan902 14.03.2015 um 18:35:29 Uhr
Goto Top
Ich hab am Switch den Port vom Router und den Port vom Access Point mit VLAN ID2 (Gästenetzwerk) getagged.
Mitglied: aqui
aqui 14.03.2015 aktualisiert um 18:46:02 Uhr
Goto Top
Ist auf dem Router denn auch dieses VLAN eingerichtet ??
Konfigurier dir zum checken einen untagged Port in diesem VLAN und schliesse dort einen Laptop oder PC an mit einer gültigen IP aus diesem VLAN Segment.
Dann pingst du mal den Router und auch den IAP in diesem VLAN und checkst ob du Connectivity hast.
So hast du dann erstmal gewissheit ob die VLANs sauber arbeiten
Ideal wäre noch ein Rechner dessen NIC Tagging supportet, dann kannst du den mal als Endgerät in ein tagged Port hängen und so auch die tagged Ports checken.
Alternativ den Wireshark und sehen ob dort Pakete am Port mit 802.1q Tag kommen.
Mitglied: stephan902
stephan902 14.03.2015 um 19:19:04 Uhr
Goto Top
Der Router ist ja momentan noch der Speedport. RV325 kommt erst noch.

Hab´s jetzt hinbekommen. IP-Zuweisung im Gästenetzwerk funktioniert jetzt.
Mitglied: aqui
aqui 14.03.2015 um 19:45:29 Uhr
Goto Top
Alles wird gut... :-) face-smile
Mitglied: stephan902
stephan902 14.03.2015 um 19:50:16 Uhr
Goto Top
Ohne den RV325 ist es unmöglich Internet im Gästenetzwerk zu bekommen, dieses aber gleichzeitig vom normalen Netzwerk getrennt zu halten, gehe ich da richtig in der Annahme?
Mitglied: aqui
aqui 14.03.2015 aktualisiert um 19:57:28 Uhr
Goto Top
Nein, das siehst du komplett falsch !
Das kann auch eine pfSense Firewall oder ein Mikrotik Router oder oder lösen !
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
https://www.administrator.de/wissen/mikrotik-rb750-quick-review-124700.h ...
Oder meintest du jetzt als Workaround weil du den Router noch nicht hast ?
Wenn du das meinst hilft dir ggf. eine Routerkaskade aus 2 Billigroutern als Quick and Dirty Workaround.
Mitglied: stephan902
stephan902 14.03.2015 um 19:59:40 Uhr
Goto Top
Ich meinte, weil der Cisco Router noch nicht geliefert wurde.

Inwiefern hilft mir denn als Workaround eine Routerkaskade aus zwei Billigroutern? Die können doch alle keine VLAN-Tags?!
Mitglied: Dobby
Dobby 14.03.2015 um 20:46:42 Uhr
Goto Top
Zitat von @stephan902:

Ich meinte, weil der Cisco Router noch nicht geliefert wurde.

Inwiefern hilft mir denn als Workaround eine Routerkaskade aus zwei Billigroutern? Die können doch alle keine VLAN-Tags?!

Nein das nicht aber wenn man das WLAN am ersten Router
terminiert haben die WLAN Klienten alle samt Internetzugriff,
aber können nicht hinter den zweiten Router weil der ja auch
SPI/NAT macht!!!! Und dort ist dann Dein LAN platziert.

Gruß
Dobby

Mitglied: stephan902
stephan902 14.03.2015 aktualisiert um 20:54:16 Uhr
Goto Top
Ah ok, so war das gemeint. Danke.

Ich muss übrigens berichten, dass ich mit dem WAP 371 sehr zufrieden bin bisher. Stabile Verbindung, schneller Verbindungsaufbau, auch keine schlechtere Reichweite als andere APs, kinderleichte Konfiguration.

Ich wünschte man könnte diese 100mW Beschränkung umgehen ;) 2-3 km W-Lan wäre nicht schlecht ;)

Kann ich mit den Geräten: Synology NAS + RV325 + SG300 + WAP 371 eigentlich mein Netzwerk, insbesondere das W-Lan, noch sicherer machen?
Mitglied: Dobby
Dobby 14.03.2015 um 20:58:41 Uhr
Goto Top
Ich wünschte man könnte diese 100mW Beschränkung umgehen ;)
2-3 km W-Lan wäre nicht schlecht ;)
Und wenn das dann jeder macht, hat man bald gar keinen
Empfang mehr weil alle wild herum funken! So ist das schon
besser denke ich.

Kann ich mit den Geräten: Synology NAS + RV325 + SG300 +
WAP 371 eigentlich mein Netzwerk, insbesondere das W-Lan,
noch sicherer machen?
Wenn man auf dem QNAP NAS das Radius Server Plugin installiert
geht das schon.

Gruß
Dobby

Mitglied: stephan902
stephan902 14.03.2015 aktualisiert um 21:01:16 Uhr
Goto Top
Zitat von @Dobby:

> Ich wünschte man könnte diese 100mW Beschränkung umgehen ;)
> 2-3 km W-Lan wäre nicht schlecht ;)
Und wenn das dann jeder macht, hat man bald gar keinen
Empfang mehr weil alle wild herum funken! So ist das schon
besser denke ich.

> Kann ich mit den Geräten: Synology NAS + RV325 + SG300 +
> WAP 371 eigentlich mein Netzwerk, insbesondere das W-Lan,
> noch sicherer machen?
Wenn man auf dem QNAP NAS das Radius Server Plugin installiert
geht das schon.

Gruß
Dobby
#

Bei einem DD-WRT Router den ich habe, kann man die Sendeleistung erhöhen (was aber nichts bringt, weil sich die Signalqualität aber einem gewissen Grenzwert wieder verschlechtert).

Das Radius Server Plugin habe ich bereits installiert und laufen. W-Lan Clients werden über WPA2 Enterprise über Radius authentifiziert.
Mitglied: aqui
aqui 15.03.2015 aktualisiert um 15:15:45 Uhr
Goto Top
Ich wünschte man könnte diese 100mW Beschränkung umgehen ;)
Das wäre ja Blödsinn und nur einseitig gedacht.
Der AP hat dann eine Mörder Reuchweite und jeder Client in 500 Meter Entfernung hört ihn.
Der Client aber hat nur seine 100mW und sehr schlechte Antennen. Noch übler Smartphones oder WLAN USB Sticks. Wenn die in 500m Entfernung zu diesem AP zurücksenden ist ihr eigenes Signal nach 200m so schwach das keiner es mehr empfängt. logischerweise auch nicht der AP mit der Mörderreichweite. Hidden Node lässt grüßen:
http://en.wikipedia.org/wiki/Hidden_node_problem
Was bitte...sollte also der tiefere Sinn sein die Signalstärke zu erhöhen ??
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.03.2015 aktualisiert um 12:39:00 Uhr
Goto Top
Zitat von @stephan902:

Ich wünschte man könnte diese 100mW Beschränkung umgehen ;) 2-3 km W-Lan wäre nicht schlecht ;)

Das ist Mist.

Es hat schon seinen Grund, warum da eine Begrenzung vorgegeben ist. Außerdem reicht eine ordentliche Antenne um mit Standard-WLAN-Equipement mehrere Kilometer Reichweite zu erzielen.

lks
Mitglied: stephan902
stephan902 15.03.2015 um 14:16:17 Uhr
Goto Top
Dann müsste die Sendeleistung am Client eben entsprechend erhöht werden.
Mitglied: aqui
aqui 15.03.2015 aktualisiert um 15:16:12 Uhr
Goto Top
Ha ha ha... Ja zweifelsohne richtig ! Keine Frage.
Nur... Wie macht man das denn aber an einem Smartphone oder Laptop ?!?
Mitglied: stephan902
stephan902 15.03.2015 um 15:18:08 Uhr
Goto Top
Gar nicht, ich träume ja nur von einem guten W-LAN Empfang.
Mitglied: aqui
aqui 15.03.2015 um 15:28:47 Uhr
Goto Top
Träumen darf man...keine Frage.
"Gut" ist von so vielen Faktoren abhängig: Platinenmaterial, Antennen, Art der Antennen, Anzahl der Antennen, Anordnung der Antennen, Trennschärfe des Empfängers, Empfindlichkeit des Empfängers, Aufstellungsort, bauliche Gegebenheiten, Störeinflüsse von Nachbar WLANs usw. usw.
Wie willst du das alles realistisch beeinflussen bei einem Zoo von Clients die sich in deinem WLAN tummeln. Unmöglich....
Mitglied: stephan902
stephan902 15.03.2015 um 15:30:47 Uhr
Goto Top
Aber seit LTE-Zeiten ist das eh nicht mehr so schlimm, da hat auch unterwegs halbwegs schnelles Internet (wenn auch zu immensen Kosten).
Mitglied: aqui
aqui 15.03.2015 um 15:33:38 Uhr
Goto Top
Und bei geplanter 700facher Überbuchung der LTE Zellen ists damit wohl in naher Zukunft auch vorbei wenn mehr User auf das Netz kommen...
Mitglied: stephan902
stephan902 15.03.2015 um 16:03:35 Uhr
Goto Top
Da kann man wohl nichts machen.
Mitglied: stephan902
stephan902 16.03.2015 um 00:23:52 Uhr
Goto Top
Um mal wieder zum eigentlichen Thema zurückzukehren:

1. Warum mache ich V-LANs, wenn ich dann doch wieder dazwischen Route. Also bspw. ein V-LAN für NAS und eins für W-LAN Nutzer (nicht Gäste), die aber auf das NAS zugreifen können sollen?
2. Welche Aufteilung wäre sinnvoll? Passt folgendes:
1 Admin-VLAN
5 NAS
10 Sichere, kabelgebundene Clients (PCs, etc.)
20 W-LAN: Drahtlos gebundene Clients (Notebooks, Smartphones, etc.)
30 Gäste W-LAN
40 Multimedia-Geräte, egal wie angebunden (TV, Media-PC, AV-Receiver, etc.)
Mitglied: BirdyB
BirdyB 16.03.2015 um 01:12:26 Uhr
Goto Top
Zitat von @stephan902:

Um mal wieder zum eigentlichen Thema zurückzukehren:

1. Warum mache ich V-LANs, wenn ich dann doch wieder dazwischen Route. Also bspw. ein V-LAN für NAS und eins für W-LAN
Nutzer (nicht Gäste), die aber auf das NAS zugreifen können sollen?

So kannst du den Zugriff feiner definieren (Nur bestimmte Ports, ACL, etc.), damit kannst du z.B. auch verhindern, dass ein kompromittiertes Gerät, direkt alles andere aushebeln kann. Ausserdem hast du die Möglichkeit, ggf. bestimmte Dienste vom NAS auch für Gäste freizugeben, etc. ohne direkt den Zugriff auf alles Andere zu ermöglichen...

2. Welche Aufteilung wäre sinnvoll? Passt folgendes:
1 Admin-VLAN
5 NAS
10 Sichere, kabelgebundene Clients (PCs, etc.)
20 W-LAN: Drahtlos gebundene Clients (Notebooks, Smartphones, etc.)
30 Gäste W-LAN
40 Multimedia-Geräte, egal wie angebunden (TV, Media-PC, AV-Receiver, etc.)

Klingt gut.
Mitglied: Dobby
Dobby 16.03.2015 um 10:43:16 Uhr
Goto Top
40 Multimedia-Geräte, egal wie angebunden (TV, Media-PC,
AV-Receiver, etc.)
Das kann man auch in eine DMZ setzen denn dann stört es nicht im
LAN! Und man kann trotz alledem noch von LAN darauf zugreifen.

Oder aber

Man setzt den WLAN AP der Gäste in die DMZ rein und gut ist es
dann kommen die gar nicht erst ins das LAN rein sondern haben nur
Internet.

Gruß
Dobby

Mitglied: stephan902
stephan902 16.03.2015 um 11:57:43 Uhr
Goto Top
Der RV325 ist jetzt geliefert worden, aber ich schaff es einfach nicht das ganz so einzurichten, dass ich Internetzugriff habe.
Was muss ich beachten?

Der RV325 bezieht vom Speedport automatisch eine IP (das funktioniert auch).

Brauche echt dringend Hilfe!
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.03.2015 um 12:00:43 Uhr
Goto Top
Zitat von @stephan902:

Der RV325 ist jetzt geliefert worden, aber ich schaff es einfach nicht das ganz so einzurichten, dass ich Internetzugriff habe.
Was muss ich beachten?

Der RV325 bezieht vom Speedport automatisch eine IP (das funktioniert auch).

Dann kannst Du sicher den Speeport vond er Cisco aus anpingen. Kannst Du auch google (z.B. 8.8.8.8) anpingen?

Stimemn die Routen?
Ist NAT auf der Cisco aktiv? Wenn nciht, muß der Speeport gesagt bekommen, welches netz hinter der Cisco ist.

lks
Mitglied: stephan902
stephan902 16.03.2015 um 12:46:55 Uhr
Goto Top
Warum darf eigentlich bei billigen Routern das IP Netz, das am WAN Port anliegt identisch sein mit dem IP-Netz, das der Router aufspannt, beim Cisco aber nicht?

Jetzt ging´s plötzlich ohne, dass ich irgendetwas besonderes gemacht hätte?!
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.03.2015 aktualisiert um 12:49:59 Uhr
Goto Top
Zitat von @stephan902:

Warum darf eigentlich bei billigen Routern das IP Netz, das am WAN Port anliegt identisch sein mit dem IP-Netz, das der Router
aufspannt, beim Cisco aber nicht?

i.d.R. darf es das nicht. Wenn, ist es ein Bug, außer man kann dem Router sagen. daß er kein Router sondern eine Bridge ist.

Jetzt ging´s plötzlich ohne, dass ich irgendetwas besonderes gemacht hätte?!

Das sagen sie alle. "Ich habe ncihts gemacht." :-) face-smile

lks
Mitglied: stephan902
stephan902 16.03.2015 aktualisiert um 13:01:19 Uhr
Goto Top
Dafür lässt mich der RV325 jetzt VLAN 20 nicht erstellen. VLAN ID muss anders sein, sagt er. 20 ist aber noch nicht vergeben.

EDIT: Auch gelöst, er hat eine 2. Seite erstellt.
Mitglied: stephan902
stephan902 16.03.2015 um 13:55:27 Uhr
Goto Top
So, jetzt schaff ich es nur noch nicht zwischen den verschiedenen V-LANs zu kommunizieren.

Muss ich dafür Inter-VLAN-Routing am entsprechenden V-LAN aktivieren und eine Firewall Regel erstellen oder reicht ersteres?
Mitglied: aqui
aqui 16.03.2015 aktualisiert um 14:40:42 Uhr
Goto Top
Warum darf eigentlich bei billigen Routern das IP Netz, das am WAN Port anliegt identisch sein mit dem IP-Netz, das der Router
aufspannt, beim Cisco aber nicht?
Das ist völliger Quatsch ! Wo hast du solch einen Blödsinn her ???
Setz dich bitte erstmal mit den Grundlagen von IP Adressierung und Routing auseinander ! Wie sollte eine eindeutige Wegefindung die ja nun mal beim Netzwerken essentiell ist dann gewährleistet werden.... Unsinn !
Der Cisco sagt dir das nur gleich wenn du solch einen Unsinn machst. Die anderen nicht, funktionieren dann aber auch nicht. Frage ist dann was das intelligentere Verhalten ist...?!
Muss ich dafür Inter-VLAN-Routing am entsprechenden V-LAN aktivieren
Das reicht erstmal. Welches Router Modell ist das ?
Alle Antworten dazu findest du wie immer hier:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Mitglied: stephan902
stephan902 16.03.2015 aktualisiert um 14:46:12 Uhr
Goto Top
Doch bei anderen Routern hat es zum Teil wunderbar funktioniert.

RV325, hier der Link zum Emulator: https://www.cisco.com/assets/sol/sb/RV325_Emulators/RV325_Emulator_v1-1- ...

Wie kann ich jetzt verhindern, dass Geräte auf das VLAN 1 zugreifen?
(Wenn ich einfach alle Verbindungen zur entsprechenden IP-Range blocke, dann geht logischerweise auch das Internet nicht mehr.)

Mein Captive Portal beim WAP371 bekomme ich auch nicht zum laufen.
Mitglied: aqui
aqui 16.03.2015 um 14:53:48 Uhr
Goto Top
Doch bei anderen Routern hat es zum Teil wunderbar funktioniert.
Blödsinn ! Sorry du meinst aber sicher die 4 Ports vom im Router integrierten Switch, oder ??
Das sind KEINE Routerports ! An dem integrierten Switch der als Layer 2 Bridge rennt hängt ein virtueller Routerport und der ist relevant.
Ein Router kann definitiv KEINE doppelten IP netze an seinen Ports verarbeiten.
Wenn du meinst doch, dann erkläre der Community hier bitte wie der Router diese beiden identischen Netzwerke unterscheiden soll ??
Du hast z.B. 2 Netz Interfaces A und B mit dem 10.1.1.0 /24 er Netz. In jedem dieser Netze ist ein PC mit der Hostadresse .100
In den Router kommt nun ein Paket mit der Zieladresse 10.1.1.100.
Wo denkst du forwardet der Router das hin ?? A oder B ? Und vor allen Dingen warum ?
Auf deine Antwort sind wir alle sehr gespannt hier... ;-) face-wink
Wie kann ich jetzt verhindern, dass Geräte auf das VLAN 1 zugreifen?
Mit einer IP Accesslliste die den anderen Interfaces dieses IP Netz verbietet und blockt !
Mein Captive Portal beim WAP371 bekomme ich auch nicht zum laufen.
Ist das im AP selber oder rennt das extern wie hier beschrieben:
https://www.administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive ...
Mitglied: stephan902
stephan902 16.03.2015 um 14:56:54 Uhr
Goto Top
Was ich meinte: Router 1 spannt 192.168.1.0 auf. --> WAN Port von Router 2, der wiederum 192.168.1.0 aufspannt.

Kannst du das mit der IP-Accessliste etwas genauer erläutern?

Das Captive Portal ist integriert im WAP371.
Mitglied: aqui
aqui 16.03.2015 um 15:02:29 Uhr
Goto Top
Also einen Kaskade mit NAT ?!
Das klappt nur wenn der Router 2 am WAN Port NAT (IP Adresstranslation) macht sonst definitiv nicht !
Ohne NAT also mit "richtigem" transparenten Routing geht das wegen doppelter IPs nicht.
Auch mit NAT ist das ein gefährliches IP Adressdesignund sollte man niemals so machen wenn man sicher gehen will. Manche Billigrouter können mit NAT Sessiontables die auf gleiche IP Netze verweisen nicht umgehen.
Das ist nicht standardkonform und sollte man bleiben lassen !
Hast du den WAP 371 auf die aktuellste Firmware geflasht ??
Mitglied: stephan902
stephan902 16.03.2015 um 15:05:31 Uhr
Goto Top
Dass es nicht gut ist, weiß ich, ich wollte nur sagen, dass es manche Router können über NAT, der RV325 aber anscheinend nicht.

Das mit dem WAP371 klappt jetzt soweit.

Ich habe jetzt nur folgendes Problem: Wenn ich im RV325 in der Firewall einstelle, dass alle Verbindungen aus dem Gast IP-Bereich geblockt werden, dann gibt´s im Gästenetzwerk kein Internet mehr.
Mitglied: aqui
aqui 16.03.2015 aktualisiert um 15:08:17 Uhr
Goto Top
der RV325 aber anscheinend nicht.
Deshalb ist er ja auch ein Cisco der solchen Blödsinn nicht macht ;-) face-wink
dass alle Verbindungen aus dem Gast IP-Bereich geblockt werden, dann gibt´s im Gästenetzwerk kein Internet mehr.
Ist ja auch logisch wenn du ALLE Verbindungen geblockt hast, damit hast du das Internet ja auch gekillt. Logisch...denk doch bitte mal etwas nach ! :-( face-sad
Also zuerst blockst du im Gastbereich den Zugang auf das VLAN 1 Netz, VLAN 2 Netz usw. und erst dann erlaubst du alles !
So wird ein Schuh draus.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.03.2015 um 15:10:24 Uhr
Goto Top
Zitat von @stephan902:

Dass es nicht gut ist, weiß ich, ich wollte nur sagen, dass es manche Router können über NAT,

Das ist aber ein BUG und kein Feature und führt früher oder Später garantiert zu Problemen.

Schlau Router, z.B. dir berüchtigten fritzboxen, merken das und ändern den DHCP-Bereich und Ihre eigenen LAN-Adresse so um, daß keinen konflikte entstehen. Andere sagen einfach, daß es Murks ist und weigern sich (was imho das korrekte verhalten ist).

lks
Mitglied: stephan902
stephan902 16.03.2015 um 15:12:01 Uhr
Goto Top
Was ich bzgl. Gastnetz (192.168.3.0/255.255.255.0) gemacht habe:

Alle Verbindungen von 192.168.3.1 bis 192.168.3.254 werden geblockt, egal wohin.

Aber welche Regel muss ich jetzt zusätzlich (mit höherer Priorität) erstellen, dass Internet wieder möglich ist?
Mitglied: aqui
aqui 16.03.2015 um 15:15:27 Uhr
Goto Top
Alle Verbindungen von 192.168.3.1 bis 192.168.3.254 werden geblockt, egal wohin.
Damit kommt dann keiner mehr aus dem .3.0er Netz ins Internet...logisch !
Die können nur noch mit Stationen im .3.0er Netz selber reden
Aber welche Regel muss ich jetzt zusätzlich (mit höherer Priorität) erstellen, dass Internet wieder möglich ist?
Alle Verbindungen von 192.168.3.1 bis 192.168.3.254 werden geblockt zum VLAN x
Alle Verbindungen von 192.168.3.1 bis 192.168.3.254 werden geblockt zum VLAN y
Das für alle VLANs wo die NICHT hindürfen !
Alle Verbindungen von 192.168.3.1 bis 192.168.3.254 werden erlaubt egal wohin
Genau in DER Reihenfolge !
Mitglied: stephan902
stephan902 16.03.2015 aktualisiert um 15:28:05 Uhr
Goto Top
Das ist ja umständlich.

Ich hätte mir das quasi so vorgestellt: Erstmal wird alles verboten und dann erstelle ich eine Regel mit höherer Priorität, die beispielsweise den Internetzugriff wieder ermöglicht.

EDIT: Hab jetzt eine elegante Methode gefunden: Ich blocke einfach alles von 192.168.1.1 bis 192.168.9.254. Damit sind alle VLAN-Zugriffe gelbockt, aber das Internet funktioniert!
Mitglied: aqui
aqui 16.03.2015 aktualisiert um 16:10:17 Uhr
Goto Top
Nicht "vorstellen" sondenr die generlellen Netzwerk ACL Regeln verstehen:
  • Es gilt immer First Match Wins !
  • ACL Regeln gelten nur inbound

First match wins bedeutet das bei der ersten positiven Regel alle folgenden Regeln NICHT mehr abgearbeitet werden ! Deshalb scheitert deine Logik sofort ! Das ist in der gesamten Netzwerkwelt bei ACLs so.
Wenn deine erste Regel ist alles verbieten matcht das immer und damit sägst du dir dann den Ast ab auf dem du sitzt.
Mitglied: stephan902
stephan902 16.03.2015 aktualisiert um 18:00:21 Uhr
Goto Top
So wie ich es jetzt hab, funktioniert es aber: Internetzugriff ja, VLANs nein.

Dafür hänge ich jetzt beim VPN. Gibt es irgendwo eine genau Anleitung, wie ich eine VPN Verbindung vom RV325 zu einem Shrewsoft Client (oder was soll ich sonst benutzen?) bekomme?

Ich glaub, ich hab jetzt alles durchprobiert. Ich bekomme zum RV325 auf keine Art und Weise eine IPSEC Verbindung.
Mitglied: stephan902
stephan902 16.03.2015 um 19:54:06 Uhr
Goto Top
VPN Log [grpips0][4] 192.168.1.0/24=== ...192.168.10.103===? #62: [Tunnel Established] ISAKMP SA established

Aber es werden keine VPN Verbindungen angezeigt und ich kann nicht auf Netzwerkgeräte über VPN zugreifen!
Mitglied: stephan902
stephan902 17.03.2015 um 03:55:55 Uhr
Goto Top
Ich muss mich echt schonmal bei euch bedanken.

Bei gleicher Internet Geschwindigkeit wählt mein TV bei einem streaming Anbieter nun eine höhere Auflösung, d.h. es kommt wohl effektiv mehr an am TV.
Mitglied: aqui
aqui 17.03.2015 um 09:09:45 Uhr
Goto Top
War ja schon ne schwere Geburt mit dir ;-) face-wink
Aber gut wenn nun alles klappt wie es soll.

Wenns das denn nun war bitte
https://www.administrator.de/faq/32
nicht vergessen.
Mitglied: stephan902
stephan902 17.03.2015 um 16:14:55 Uhr
Goto Top
Wie gesagt, VPN bekomme ich einfach nicht hin. Habe sämtliche Anleitungen, die halbwegs zutreffen durchprobiert, aber obig beschriebene Probleme.

BTW, nochmal zu den Telekom Hybrid Tarifen: Es handelt sich wohl tatsächlich um Bonding und nicht um Balancing, sprich es ist scheinbar die additive Bandbreite aus LTE + DSL nutzbar.
Mitglied: aqui
aqui 18.03.2015 um 14:06:28 Uhr
Goto Top
Wie gesagt, VPN bekomme ich einfach nicht hin.
Zu früh gefreut... Es hörte sich so an als ob alles rennt. OK, dann nochmal VPN
  • Welches Protokoll nutzt du welchen VPN Client ??
  • Gibt es ein Log beim VPN Server ? Was sagt das wenn sich der Client einwählt ?
sprich es ist scheinbar die additive Bandbreite aus LTE + DSL nutzbar.
Das ist technisch nicht möglich, da es über unterschiedliche Netze geht. Da ist technisch außschliesslich nur ein Balancing möglich. Ein Bonding mit einem per Paket Palancing geht nur mit MPPP und wie der Name schon sagt ist das "Point to Point" kann also nur immer auf dem gleichen Device im gleichen Netz enden.
Alles andere ist frei geratenes Märchen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 18.03.2015 um 14:28:36 Uhr
Goto Top
Zitat von @aqui:

> Wie gesagt, VPN bekomme ich einfach nicht hin.
Zu früh gefreut... Es hörte sich so an als ob alles rennt. OK, dann nochmal VPN
  • Welches Protokoll nutzt du welchen VPN Client ??
  • Gibt es ein Log beim VPN Server ? Was sagt das wenn sich der Client einwählt ?
> sprich es ist scheinbar die additive Bandbreite aus LTE + DSL nutzbar.
Das ist technisch nicht möglich, da es über unterschiedliche Netze geht. Da ist technisch außschliesslich nur ein
Balancing möglich. Ein Bonding mit einem per Paket Palancing geht nur mit MPPP und wie der Name schon sagt ist das
"Point to Point" kann also nur immer auf dem gleichen Device im gleichen Netz enden.
Alles andere ist frei geratenes Märchen.

Die haben wahrscheinlich die Viprinet-Lösung nachgebaut.

lks
Mitglied: aqui
aqui 18.03.2015 um 14:32:38 Uhr
Goto Top
...aber dann ohne MPPP ;-) face-wink
Mitglied: stephan902
stephan902 18.03.2015 aktualisiert um 16:54:18 Uhr
Goto Top
VPN Client: Shrew Soft.

Einstellungen am Router (die ich im ShrewSoft Client soweit möglich auch so eigegeben habe):

Client to Gateway ---> Group VPN (das dürfte IPSEC IKE sein) -->
Local Group Setup: Subnet 192.168.1.0/255.255.255.0
Remote Client Setuop: Domain-Name, hier habe ich eine willkürliche Domain eingetragen
IPSEC Setup:
Phase 1 DH Group: Group 2 - 1024bit
Phase 1 Encryption: AES 256
Phase 1 Authentication: SHA1
Phase 1 SA Lifetime: 28800 sec( Range: 120-86400, Default: 28800 )
Perfect Forward Secrecy: yes
Phase 2 DH Group: Group 2 - 1024 bit
Phase 2 Encryption: AES 256
Phase 2 Authentication: SHA 1
Phase 2 SA Lifetime:3600 sec( Range: 120-28800, Default: 3600 )
Minimum Preshared Key Complexity: Enable
Preshared Key: der benutzte key eben
Aggressive Mode: yes
Compress (Support IP Payload Compression Protocol(IPComp)): no
AH Hash Algorithm: MD5
NetBIOS Broadcast: Yes
NAT Traversal: Yes



Und ja, sie haben wohl die Viprinet-Lösung nachgebaut, da es scheinbar auch eine Klage von Viprinet gab. Ich weiß nur, dass die Bandbreite eben gebündelt wird.
Mitglied: aqui
aqui 18.03.2015 um 17:03:26 Uhr
Goto Top
Remote Client Setuop: Domain-Name, hier habe ich eine willkürliche Domain eingetragen
Das darf nicht sein, dann scheitert der Tunnelaufbau. Besser ist beidseitig auf IP und 0.0.0.0 eingeben bei wechselnden IPs. Sonst DynDNS Namen verwenden.
  • Von WO greifst du mit dem Client zu ? Denk dran das du NICHT testweise von intern die externe IP ansprechen kannst, so ein Connect Versuch scheitert weil dein Router kein NAT Hairpinnig kann ! Der Client muss wirklich extern sein ! Er darf auch NICHT in einem Mobilfunknetz mit privaten RFC 1918 IP Adressen sein (billiger nur Surf Account).
  • Welche Ziel IP gibst du an am Shrew Client ?
  • Was sagt das Router Log wenn du ein Login startest ?
  • Was sagt das Shrew Log ?
Ist vor dem VPN Router noch ein anderer, also fährst du eine Kaskade oder hängt der direkt im Internet ?
Wenn du eine Kaskade haben solltest denk dran an dem vorgeschalteten Router Port Forwarding mit den Ports UDP 500, UDP 4500 und ESP (Protokoll 50) machen auf die kaskadierte WAN IP des 2ten Routers.
Wie gesagt wichig sind die Log Messages beim Verbindungsversuch !
Nimm als Beispiel immer dies Tutorial:
https://www.administrator.de/wissen/ipsec-vpn-cisco-mikrotik-pfsense-fir ...
dass die Bandbreite eben gebündelt wird.
Na ja...kommt eben drauf an WIE man den Ausdruck "gebündelt" technisch versteht ?!
Es ist de facto KEIN per Packet Load Balancing.
Mitglied: stephan902
stephan902 18.03.2015 aktualisiert um 18:10:24 Uhr
Goto Top
Der Cisco RV325, der das VPN bereitstellen soll, hängt wie gesagt hinter einem Speedport, der UDP 500 und 4500 per Portforwarding an den RV325 weiterleitet.

Getestet habe ich es einmal mit Notebook, das im W-LAN des Speedports war und einmal über das Handynetz per Tethering.

Als Ziel-IP im Shrewsoft habe ich in ersterem Versuch die lokale IP des Cisco RV Routers im Speedport Netz versucht und in zweitem Versuch die externe IP des DSL-Anschlusses.

Beim Remote-Client-Setup kann ich nur auswählen aus FQDN, User FQDN, Windows XP/2000 VPN Client

EDIT: Die Anleitung hilft mir auch nicht, insbesondere da die Konfigurationsoptionen vom RV325 davon abweicht.
Hier ist das GUI des RV325: https://www.cisco.com/assets/sol/sb/RV325_Emulators/RV325_Emulator_v1-1- ...
Kannst du mir nicht einfach sagen, was ich wo eintragen soll und dann versuch ich es nochmal?
Mitglied: aqui
aqui 18.03.2015 aktualisiert um 18:44:08 Uhr
Goto Top
der UDP 500 und 4500 per Portforwarding an den RV325 weiterleitet.
Und was bitte ist mit dem ESP Protokoll ??? Das ist IP Protokoll 50 (kein TCP oder UDP !!)
der ESP Tunnel transportiert die Produktivdaten. Wenn der Speedport KEIN ESP forwarded, was zu vermuten ist, dann wird das nie was !
Getestet habe ich es einmal mit Notebook, das im W-LAN des Speedports war
Wie gesagt: Wird nix, kannst du vergessen, der Speedport kann kein NAT Hoirpinning...muss schiefgehen
und einmal über das Handynetz per Tethering.
Kann klappen aber nur wenn du im Handynet eine öffentliche IP Bekommst also KEINE private IP. Siehe dazu auch hier:
https://www.administrator.de/contentid/185875
Als Ziel-IP im Shrewsoft habe ich in ersterem Versuch die lokale IP des Cisco RV Routers im Speedport Netz versucht
Ist natürlich totaler Schwachsinn, denn da nutzt du private IP Adressen die im Internet gar nicht geroutet werden...ist dir vermutlich aber auch klar !
und in zweitem Versuch die externe IP des DSL-Anschlusses.
Das wäre dann richtig ! Sinn macht es hier auf dem Router einen DynDNS Account einzurichten damit du nicht mit wechselnden IP Adressen gepiesackt wirst.
Welche aktuelle IP du extern hast kannst du sehen wenn du mal auf http://wieistmeineip.de gehst.
Beim Remote-Client-Setup kann ich nur auswählen aus FQDN, User FQDN, Windows XP/2000 VPN Client
Nicht so gut...kannst du das leer lassen, nimmt er das ?
Hier findest du eine detailierte Anleitung mit der es klappt:
http://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=112b41cbe05244369c1 ...

Ums nochmal zu wiederholen:
  • Was sagt das Router Log wenn du ein Login startest ?
  • Was sagt das Shrew Log ?
  • Und forwarde ESP auf dem SP sonst wird das logischerweise nix !!
Nimm dir sonst einen Wireshark und sniffer am LAN Port des SP mit ob der wirklich IPsec vollständig forwardet. Die SPs sind berühmt berüchtigt dafür.
Du solltest auf alle Fälle sicherstellen das der SP die aktuellste Firmware geflasht hat !!!
Mitglied: stephan902
stephan902 18.03.2015 aktualisiert um 19:16:21 Uhr
Goto Top
Speedports können kein ESP vorwarden, ich weiß aber, dass es geht, weil ich mal ein VPN auf meinem Synology NAS (L2TP/IPSEC) eingerichtet habe und da bin ich durchgekommen (allerdings mit dem Android Client).

Als ich bei der Ziel IP im Shrewsoft die lokale IP des Cisco RV im Speedport Netz verwendet, bin ich ja auch nicht über das Internet rein, sondern war ja mit dem Client ebenfalls im Speedport Netz.

EDIT: Shrewlog und Cisco Log sagen jeweils gar nichts!

EDIT2: D.h. ich habe keine Möglichkeit mit dem Cisco RV325 eine VPN Verbindung nach draußen zu bekommen, solange ein Speedport vorgeschaltet ist?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 18.03.2015 um 22:06:11 Uhr
Goto Top
Geht in dem Speedport noch der exposed host?

Dann würde ich die Variante mal ausprobieren.

lks
Mitglied: stephan902
stephan902 19.03.2015 um 00:19:56 Uhr
Goto Top
Nein. Auch das geht nicht.

Hab jetzt erfahren, dass es im April evtl. ein Firmware-Update gibt, das irgendetwas hinsichtlich VPN verbessern soll.

Vereinzelt berichten auch Nutzer, dass ein VPN-Server durch eine Fritzbox funktioniert, weil der Speedport anscheinend, das ESP Protokoll sporadisch (und eher random) eingehend (ausgehend scheint eh zu funktionieren) durchleitet, wenn die entsprechenden UDP Ports weitergeleitet werden.

### Speedports halt. Aber ohne LTE + DSL Bündelung ist der Upload eh so schlecht, dass es sich kaum lohnt einen VPN-Server zu betreiben, da ich Daten meistens aus dem Heimnetz zu mobil transportiere, wenn ich unterwegs bin.
Mitglied: stephan902
stephan902 19.03.2015 um 00:39:05 Uhr
Goto Top
Kurze Frage: Mit NAT-T, was der Cisco ja offensichtlich anbietet, wird ESP doch im UDP packet untergebracht, wieso brauche ich dann überhaupt die ESP Weiterleitung?
Mitglied: stephan902
stephan902 19.03.2015 aktualisiert um 04:00:22 Uhr
Goto Top
UND ES GEHT DOCH: ICH BIN DRIN IM VPN!!!!!!!!!!!!!!!

Ohne ESP Forwarding, etc.!

EDIT: Hauptsache es funktioniert, aber der Speed ist nicht so berauschend, so um die 4 MB/s sind drin.

EDIT2: Die Lösung wodurch die VPN-Verbindung nicht nur einseitig (Shrew hat immer gesagt, dass es die Verbindung aufgebaut hat), sondern beidseitig funktioniert, war:

Group VPN, wobei bei Local Group als IP und Subnetz jeweils 0.0.0.0 eingetragen werden musste. Ich hab keine Ahnung warum. Wäre schön, wenn mir das jemand erklären könnte.
Mitglied: aqui
aqui 19.03.2015 um 08:51:00 Uhr
Goto Top
UND ES GEHT DOCH: ICH BIN DRIN IM VPN!!!!!!!!!!!!!!!
Ächz...na endlich !! Glückwunsch !
Spannende Frage: WO lag der Fehler ??
Du schriebst ja:
EDIT: Shrewlog und Cisco Log sagen jeweils gar nichts!
Würde ja bedeuten das gar kein IPsec Traffic dort reinkommt.
Group VPN, wobei bei Local Group als IP und Subnetz jeweils 0.0.0.0 eingetragen werden musste.
Wie oben ja schon mehrfach gesagt ! ;-) face-wink
EDIT: Hauptsache es funktioniert, aber der Speed ist nicht so berauschend, so um die 4 MB/s sind drin.
Klar, denn bei xDSL hast du ja asymetrische Speeds per RX und TX. Wenn du vom Mobilfunknetz kommst dann entsprechend.

Na ja ...sieht ja dann so aus als ob wir den Thread nun erfolgreich schliessen können ;-) face-wink
Mitglied: stephan902
stephan902 19.03.2015 aktualisiert um 15:14:11 Uhr
Goto Top
Den Speed hab ich ja im lokalen Netzwerk, aber hinter dem WAN-Port des Cisco RV.

Ja, aber warum 0.0.0.0 bei Local Group? Local Group am Cisco ist doch, welcher lokale IP Bereich auf den Tunnel zugreifen darf oder? Und das sollte ja bspw. 192.168.1.0/24 sein oder?

In sämtlichen Anleitungen und Tutorials für den Cisco RV oder Linksys Geräte wird ebenfalls NICHT 0.0.0.0 benutzt, sondern eine sinnvolle IP-Range. Warum geht dann bei mir nur 0.0.0.0?

EDIT:
Im übrigen: https://www.administrator.de/wissen/ipsec-vpn-cisco-mikrotik-pfsense-fir ...
Hier und an unendlich vielen anderen Stellen wird beschrieben, dass für IPsec die Ports 500, 45000 UND das ESP Protokoll freigegeben/geforwarded werden muss. Aber NAT-T (Port 4500) bettet doch eben jenes ESP-Protokoll in ein UDP-package, also warum steht immer überall, dass das ESP Protokoll geforwarded werden muss?
Mitglied: aqui
aqui 19.03.2015 um 15:47:11 Uhr
Goto Top
Den Speed hab ich ja im lokalen Netzwerk, aber hinter dem WAN-Port des Cisco RV.
Wie denn ??
Als Router Kaskade wie hier in der Alternative 2 beschrieben ??? Und Welcher Router ist dann der SP ?
https://www.administrator.de/wissen/kopplung-2-routern-dsl-port-48713.ht ...
Ja, aber warum 0.0.0.0 bei Local Group?
Nachdenken !
Du hast wechselnde IPs auf den öffentlichen IP Adressen der Tunnelendpoints. Normal gehören hier feste IPs rein oder feste FQDNs.
Da du das eben nicht hast nimmt man 0.0.0.0 quasi als "Platzhalter" für alle IPs.
Das bedeutet bei der Phase 1 und Phase 2 die IPsec durchläuft für den Tunnelaufbau macht er keine Prrüfung auf die dedizierten Adressen sondern akzeptiert alles als Peer Adressen. Ein kleines Sicherheitsloch aber was willst du machen mit wechslenden IPs ?!
Linksys Geräte wird ebenfalls NICHT 0.0.0.0 benutzt, sondern eine sinnvolle IP-Range.
Weil diese Anleitungen von festen statischen IPs an den Tunnelendpunkten ausgehen. Sowas wie ne Provider Zwangstrennung gibts nur als Besonderheit in D. Anderswo auf der Welt kennt man das nicht.
Aber NAT-T (Port 4500) bettet doch eben jenes ESP-Protokoll in ein UDP-package, also warum steht
Das ist prinzipiell richtig. Eine vollständiger Erklärung würde den Rahmen des Threads sprengen.
http://www.elektronik-kompendium.de/sites/net/0906191.htm
Nicht jeder kann aber garantieren das die Clients oder auch der Server NAT T kann, deshalb lässt man meistens auch ESP passieren um alle Möglichkeiten abzudecken. Wenn du weisst das ausnahmslos alle Clients NAT T supporten, dann kannst du das ESP Forwarding entfernen, richtig.
Mitglied: stephan902
stephan902 19.03.2015 um 16:03:06 Uhr
Goto Top
Also nochmal: Mein Netzwerk ist so aufgebaut:

Speedport Hybird als Modem und Router mit DHCP (192.168.10.0/24) gewährt Internetzugriff. An einem LAN-Anschluss des Speedports hängt der Cisco RV325 (Speedport-Lan-Anschluss ---> Cisco RV WAN Anschluss). Ja, so wie die Router-Kaskade in Beispiel 2. Der Cisco RV325 ist dabei der VPN-Server.
LAN-Netz des RV325 unter anderem 192.168.1.0/24, wobei der RV325 selbst die IP 192.168.1.1 hat.

Das, was du schreibst, bzgl. wechselnder IP-Adressen, ist ja schön und gut, aber deshalb müsste ich doch unter Remote Group 0.0.0.0 eintragen (hier benutze ich aber FQDN, was einwandfrei funktioniert) und nicht unter Local Group oder?

Local Group: Meiner Meinung nach gehört hier 192.168.1.0/255.255.255.0 rein, denn Local Group bezieht sich doch überhaupt nicht auf die Remote Geräte, sondern auf das lokale Netzwerk. Wie ich das verstanden habe, gebe ich hier den LOKALEN IP Bereich an, der auf den Tunnel zugreifen kann.

Remote Group: Hier gebe ich doch eigentlich die IP-Adressen der Remote Geräte an? Hier würde also 0.0.0.0/0 Sinn machen, würde ich nicht FQDN benutzen.

Dass NAT-T ausreicht sollte aber bei zukünftigen Fragestellern erwähnt werden, da die sonst wie ich davon ausgehen, dass sie hinter einem Speedport kein VPN IPsec betreiben können, was aber nicht stimmt.
Mitglied: stephan902
stephan902 20.03.2015 aktualisiert um 01:26:11 Uhr
Goto Top
Eine Gateway zu Gateway Verbindung zu einem LANCOM Router funktioniert übrigens auch nicht:

http://fs2.directupload.net/images/150320/m7b7guz8.jpg

Auf dem LANCOM:
Lokale Identität: IPv4 Adresse: hier habe ich die feste IP des LANCOMs eingegeben.
Entfernte Identität: Domänen-Name (FQDN): hier habe ich das gleiche eingetragen, wie bei Domain-Name unter Local Group Setup im Screenshot wo "beliebiges Wort" steht.

Ansonten hab ich auf dem Lancom alles entsprechend konfiguriert: Gleiche Verschlüsselungen, NAT-T aktiviert, als entferntes Gateway habe ich die dyn. IP des Cisco RVs angegeben, etc.

Ich bin mir 99,9% sicher, dass der Lancom richtig konfiguriert ist.

Eins weiß ich inzwischen, VPN ist ein schlechter Witz. Inkompatibilitäten, nicht ordentlich standardisiert (jeder Hersteller macht was er will), instabil.
Mitglied: BirdyB
BirdyB 20.03.2015 um 10:13:49 Uhr
Goto Top
Zitat von @stephan902:
Eins weiß ich inzwischen, VPN ist ein schlechter Witz. Inkompatibilitäten, nicht ordentlich standardisiert (jeder
Hersteller macht was er will), instabil.
Das kann ich so nicht unterschreiben... Ich nutze selbst VPN-Verbindungen, sowohl Einwahl, als auch Site-to-Site und habe (eine korrekte Konfiguration vorausgesetzt) keine Probleme damit...
Ausserdem kenne ich auch noch genügend andere Unternehmen, die regulär mit VPNs arbeiten und auch bei denen funktioniert es recht gut...
Mitglied: keine-ahnung
keine-ahnung 20.03.2015 um 10:27:50 Uhr
Goto Top
Eins weiß ich inzwischen, VPN ist ein schlechter Witz. Inkompatibilitäten, nicht ordentlich standardisiert (jeder Hersteller macht was er will), instabil.
Watt'n Quatsch. Es gibt Leute, die können das einrichten und Leute, die müssen sich das einrichten lassen ;-) face-wink

Und hör bitte mal auf, diesen kilometerlangen Fred zu befeuern --> das hat alles nix mit Deiner Ursprungsfrage zu tun!
Mitglied: Lochkartenstanzer
Lochkartenstanzer 20.03.2015 um 10:42:08 Uhr
Goto Top
Zitat von @keine-ahnung:

Und hör bitte mal auf, diesen kilometerlangen Fred zu befeuern --> das hat alles nix mit Deiner Ursprungsfrage zu tun!

Zumindest die 150 sollte man aber noch vollmachen. :-) face-smile

lks

PS: Es gibt Standards für VPN . Und in diesen Standards gitb es gewisse "Freiräume", die die verschiedenen Hersteller verschieden interpretieren. Deswegen gibt es Leute wie aqui, Thomas & Co. die Erfahrung haben und das in 5 Minuten einrichten können und andere Leute, die sich die Erfahrung erst aneignen müssen. :-) face-smile
Mitglied: 114757
114757 20.03.2015 aktualisiert um 11:21:46 Uhr
Goto Top
Zumindest die 150 sollte man aber noch vollmachen
Wenn ich das hier so durchlese, kommt mir dieser Thread in den Kopf geschossen. Selbe Couleur ;-) face-wink ... das gibt kein Ende mehr.
Mitglied: stephan902
stephan902 20.03.2015 um 11:23:27 Uhr
Goto Top
Die 167 müssen wir schon knacken.

Wenn es doch so einfach ist und ich nur zu blöd, dann sagt mir doch einfach was in die Felder im Screenshot rein muss.
Mitglied: 114757
114757 20.03.2015 um 11:43:05 Uhr
Goto Top
Mit dem Speedport wirst du da mit einer LAN-LAN-Kopplung nicht weit kommen. ESP kommt durch den nicht durch das ist der Hauptgrund. Werf das Teil weg oder degradiere es als Modem und mach den Cisco zum Border-Router. Fertig.
Da ist die ganze Diskussion obsolet ...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 20.03.2015 um 11:46:57 Uhr
Goto Top
Zitat von @stephan902:

Die 167 müssen wir schon knacken.

Wenn es doch so einfach ist und ich nur zu blöd, dann sagt mir doch einfach was in die Felder im Screenshot rein muss.

Leider sieht man schon seit einiger zeit in der obigen Übersicht nicht mehr, wie der Thread verlauf ist, d.h. wer auf wen antwortet. Sollte ich gemeint sein:

Erstens habe ich gerade bein durchscrollen keinen Screenshot gesehen.

Zweitens baue ich meine VPNs im "Eigenbau" mit Linux-kisten.

Daher kann ich Dir in diesem speziellen Fall nicht weiterhelfen, sonst hätte schon früher hilfreicher eingegriffen. So konnte ich bisher nur "allgemeine" Hilfen geben. Der Spezialist ist eher aqui.

Solle ich nicht gemeint sein:

Jetzt sind wir wieder einen Kommentar weiter. :-) face-smile

lks
Mitglied: aqui
aqui 20.03.2015 um 12:03:31 Uhr
Goto Top
Eins weiß ich inzwischen, VPN ist ein schlechter Witz. Inkompatibilitäten, nicht ordentlich standardisiert (jeder Hersteller macht was er will),
Wirklich totaler Quatsch ! Alle diese Protokolle sind vollständig standartisiert. Das wäre so als wenn einer sich hinstellt und sagt alle Benzinhersteller sind nicht kompatibel. Da würde man auch gefragt werden was man geraucht hat....
Dem Kommentar des Kollegen k.A. ist nichts mehr hinzuzufügen.

Hoffentlich reichts jetzt endlich zum
https://www.administrator.de/faq/32
Mitglied: stephan902
stephan902 20.03.2015 um 14:03:33 Uhr
Goto Top
Kannst du mir vlt. noch bei meinem Gateway to Gateway VPN-Problem helfen.

Dann beende ich das hier auch garantiert.
Mitglied: aqui
aqui 20.03.2015 um 14:11:43 Uhr
Goto Top
Kannst du mir vlt. noch bei meinem Gateway to Gateway VPN-Problem helfen.
Was meinst du damit genau ?? LAN to LAN Kopplung per VPN ??
Mitglied: stephan902
stephan902 20.03.2015 aktualisiert um 14:20:11 Uhr
Goto Top
Exakt.

http://fs2.directupload.net/images/150320/m7b7guz8.jpg

Hier war mein Konfigurationsvorschlag für den Cisco RV.
Mitglied: aqui
aqui 20.03.2015 aktualisiert um 21:26:19 Uhr
Goto Top
Bitte lasse den Unsinn mit externen Bilderlinks und damit verbundenen Zwangswerbung hier im Forum !
Das Forum hat eine komfortable Bilder Upload Funktion ! Dürfte dir beim Erstellen des Threads nicht entgangen sein, ansonsten mit "Meine Fragen" deinen o.a. Thread auswählen und "Bearbeiten" klicken.
Da siehst du dann diese Hochladen Buttons unter "Bilder" wenn man nicht gerade Tomaten....
Den Bilderlink nach dem Hochladen mit Rechtsklick und Copy und Paste sichern und dann kannst du den hier in jeglichen Text bringen.
Ja, auch Antworten !
Statt des Links kommt dann...et voila immer dein Bild.
Kann man übrigens auch wunderbar noch nachträglich machen.
Die Forumsgemeinde wird es dir danken !
Mitglied: keine-ahnung
keine-ahnung 20.03.2015 um 21:32:04 Uhr
Goto Top
#158! Mal gucken ... ;-) face-wink
Mitglied: stephan902
stephan902 21.03.2015 um 15:53:44 Uhr
Goto Top
471754859f14ac0716c1660042598869
Mitglied: 114757
114757 21.03.2015 aktualisiert um 16:41:11 Uhr
Goto Top
Da fehlt ja die komplette Config deines LANCOM, wie sollen wir dir da helfen bitteschön ???
Wenn du meinst du hättest auf dem LANCOM alles richtig eingestellt checke die LOGs beider Router beim Verbindungsaufbau und poste sie hier, sie geben dir mehr Hinweise warum es nicht läuft!, aber wie gesagt mit einem Speedport dazwischen, Chancen = 0 wenn du den Speedport nicht als dummes Modem konfigurierst.
Mitglied: stephan902
stephan902 21.03.2015 aktualisiert um 17:36:24 Uhr
Goto Top
Wie oft soll ich es noch wiederholen. VPN funktioniert auch hinter dem Speedport. VPN zu mobilen Clients läuft bereits. Stichwort: NAT-T!

Am Lancom kann ich eigentlich nichts falsch gemacht haben, aber ich reiche die Einstellungen nach. Da es sich beim Lancom über x Seiten verteilt, dauert das etwas.
Mitglied: stephan902
stephan902 21.03.2015 aktualisiert um 18:13:05 Uhr
Goto Top
ddd2629ee160fb1a7a5680b6fd640b9c
8cf8ddd6c3be2667d9ea4795b71a1d16

58cb26e39381f0635a132aa3691ef0a7
582df5436294a9a7b8d575b39dffdd62
01908faa40a879de369531d8e8e5f706
a36be02342ec884ec71cc60bf4d27647
Mitglied: aqui
aqui 22.03.2015 aktualisiert um 10:52:55 Uhr
Goto Top
Hast du auf beiden Endene eine feste FQDN ?? (Domain Namen)
Wenn nicht dann kannst di oben die Phase 1 Local Group nucht mit Dyn.IP und FQDN machen.
Das geht nur wenn du die Tunnelendpunkte über einen DynDNS Hostnamen erreichst. Ansonsten schlägt die Authentisierung fehl bei IPsec !
Was sagen die Router Logs ??
Mitglied: stephan902
stephan902 22.03.2015 um 18:01:46 Uhr
Goto Top
Den Aufbau des Netzwerks auf der Seite des Cisco RV kennst du ja (hab ich oben beschrieben). Dieses Netzwerk ist von außen per DynDns zu erreichen.

Der Lancom auf der anderen Seite ist gleichzeitig Modem, hängt also direkt am Internet und hat auch eine feste IP-Adresse.

FQDN sind doch einfach nur willkürliche Namen, die auf beiden Seiten gleich sein müssen oder?

"Hast du auf beiden Endene eine feste FQDN ?? (Domain Namen)" versteh ich nicht? Du siehst doch an den Screenshots alle gemachten Einstellungen.

Lancom und Cisco haben keine ordentlichen Logs, woraus man irgendetwas ablesen könnte.

Das einzige, was vlt. irgendwie hilft ist auf der Cisco Seite: [g2gips0]: [Tunnel Disconnected]
Mitglied: aqui
aqui 22.03.2015 aktualisiert um 18:17:22 Uhr
Goto Top
Dieses Netzwerk ist von außen per DynDns zu erreichen.
OK, dann ist das OK. Das MUSS aber auf beiden Seiten dann identisch sein. Es geht nicht das du eine Seite mit FQDN und die andere über die IP oder mit einer IP Wildcard authentisierst.
FQDN sind doch einfach nur willkürliche Namen, die auf beiden Seiten gleich sein müssen oder?
Nein, das sind Doamin Namen (Fully Qualified...sagt der Name schon die einzigartig sind pro Seite !) und diese FQDNs werden dann auch benutzt zur Authe tisierung wenn sie vice versa eingetragen werden.
Du siehst doch an den Screenshots alle gemachten Einstellungen.
Ja leider und da ist es eben NICHT konfiguriert, deshalb nochmal die Nachfrage !
Lancom und Cisco haben keine ordentlichen Logs, woraus man irgendetwas ablesen könnte.
Das ist natürlich Unsinn. Mit einem syslog Server kannst du deren Logs zentral sehen. Gerade Lancom hat das vorbildlich gemacht !
http://www.kiwisyslog.com/free-edition.aspx
http://www.mikrotik.com/archive.php
http://www.draytek.com/index.php?lang=en&Itemid=586 --> Syslog Tools
Das einzige, was vlt. irgendwie hilft ist auf der Cisco Seite: [g2gips0]: [Tunnel Disconnected]
Sagt ja das der Tunnel Disconnected wurde und das VPN damit tot ist !
Vermutlich weil die einen Seite mit FQDN und die andere mit IP Wildcard eingestellt ist.
Im Zeifel nimm immer einen Wireshark Sniffer und sieh dir den Verbindungsaufbau an !
Mitglied: stephan902
stephan902 22.03.2015 aktualisiert um 19:08:00 Uhr
Goto Top
Es muss doch nur lokale Identität Lancom identisch sein mit Remote Security Gateway Typ auf dem Cisco und vice versa oder?

Ich habe ja sowohl bei lokale Identität Lancom als auch Remote Security Gateway Typ auf dem Cisco die externe IP-Adresse des Lancoms verwendet? Das kann doch nicht falsch sein?

EDIT: Hab jetzt den Kiwi-Syslog-Server installiert, allerdings ist mir noch nicht klar wie das funktioniert. Syslog auf dem Cisco funktioniert jetzt, aber da bekomme ich auch keine neuen Informationen. Nichtmal Tunnel-Disconnected tritt mehr auf. Also keinerlei Meldungen im Zusammenhang mit VPN!
Mitglied: stephan902
stephan902 22.03.2015 aktualisiert um 21:27:48 Uhr
Goto Top
So, VPN steht.

Der RV325 ist so unendlich dämlich!

Die Lösung des Problems:
Für den Lancom auch eine DDNS-Adrresse anlegen (beim DDNS-Anbieter die statische IP-Adresse des Lancoms eintragen) .
Am Cisco nun bei Remote Security Gateway Type: IP only auswählen (soweit nichts neues).
Nun muss aber statt der statischen IP des Lancoms die DDNS-Adresse des Lancoms eingetragen werden und statt IP Adress nun IP by DNS resolved eingestellt werden.

Defacto ist dies total sinnlos, weil es so oder so die statische IP-Adresse des Lancoms ist, die benutzt wird als Remote Gateway am Cisco. Es wird auch in beiden Fällen die statische IP-Adresse des Lancoms angezeigt in der Verbindugnsübersicht des Lancoms. Nur funktioniert es einfach nicht, wenn die IP-Adresse direkt eingetragen wird.

Das beweist wiedermal, dass VPN einfach inkompatibler und unlogischer Bullshit ist, denn einer statischen IP-Adresse eine DDNS-Adresse verpassen zu müssen ist total sinnlos, aber nur so funktioniert es!

(Am Lancom bleibt selbstverständlich als Lokale Identität eine IPv4-Adresse ausgewählt, nämlich die externe IP-Adresse des Lancoms.)
Mitglied: stephan902
stephan902 22.03.2015 um 22:49:50 Uhr
Goto Top
Problem, was ich jetzt noch habe: Tunnel wird alle 45 sec. neu aufgebaut und Dateiübertragung funktioniert nicht. Zugriff auf Netzwerkgeräte funktioniert aber.
Mitglied: aqui
aqui 22.03.2015 um 23:04:28 Uhr
Goto Top
Das ist vermutlich ein MTU Problem. Die Tunnel MTU solltrest du mal auf 1452 setzen.
Achte auf die gleichen Schlüssel Timer Einstellungen auf beiden Seiten. Dort ist vermutlich ein Mismatch. Das bewirkt dann immer den Sessionabbruch.
Mitglied: stephan902
stephan902 22.03.2015 um 23:50:11 Uhr
Goto Top
Schlüssel-Timer habe ich korrigiert. Trotzdem dauernd reconnects.

MTU kann ich wo einstellen?
Mitglied: stephan902
stephan902 23.03.2015 aktualisiert um 02:26:54 Uhr
Goto Top
03-22-2015 23:59:51 Local1.Warning 192.168.1.1 VPN Log: [g2gips0] #92: [Tunnel Established] sent QI2, IPsec SA established {ESP=> xxxx < xxxx NATOA=0.0.0.0} steht da immer.

xxxx = zensiert (ka, ob sinnvoll)

Allgemein scheint die VPN Verbindung mein ganzes Internetz lahm zu machen. Komisch.

EDIT: Ein letztes mal zu Telekom Hybrid: Ich kann jetzt selbst bestätigen, dass sich die Bandbreiten aus DSL + LTE addieren, sowohl im Down- als auch im Upload!