thorstenbr
Goto Top

Verbindung zweier Netze via Lancom VPN-Router . Problem

Hallo Leute,

mein erster Post hier im Forum ...... ich versuche mich gerade in Lancom Router ein zu arbeiten.

Dafür habe ich mir zwei 1781A besorgt, einen in mein Elternhaus hinter den VDSL-Router gehängt und so programmiert das der Lan-Port 1 die Internetverbindung über den Router aufbaut.

Konfiguriert habe ich folgendes:
IP-Adresse Lancom: 192.168.0.11
Lan-Port 1 als WAN Port mit der Adresse 192.168.0.6
Netzmaske 255.255.255.0
Gateway und DNS-Server: 192.168.100.100

IKE1 VPN-Tunnel mit "IPSec-over-HTTPS aktivier" eingerichtet, das Netz auf der Gegenseite ist 192.168.100.0.

Die Firewall habe ich ausgestellt, die Standard-Routingeinträge 192.168.0.0, 172.16.0.0 und 10.0.0 habe ich gelöscht.

Die VPN LEDs gehen an ...... aber das war es auch ...... hat jemand von euch einen Tipp, warum ich nicht pingen/auf das Netz der Gegenseite zugreifen kann?

Der andere Router steht übrigens bei mir in der Wohnung, ebenfalls hinter einem VDSL-Router.
An beiden Standorten wurden die UDP-Ports 500 und 4500 auf die WAN-IPs der Router geroutet.

Wenn ihr noch mehr Infos braucht schreibt es mir, ich vermute mal die Lösung ist nur eine Kleinigkeit, da die VPN-LEDs an sind und der Tunnel damit ja auch zu stehen scheint.

Danke im Voraus für eure Hilfe.

Thorsten

Content-Key: 396029

Url: https://administrator.de/contentid/396029

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.12.2018 aktualisiert um 06:39:29 Uhr
Goto Top
Moin,

Was für DSL-Router hängen denn vor den LanComs? Fritzboxen? Speedports? Hast Du dort auch ESP und GRE weitergeleitet? Machen die ggf auch IPSEC, so daß Dein Tunnel an den DSL-Routern häbgenbleibt?
Mußt Du u.U. Firewallregeln an den DSL-Routern anpassen?

Deine Informationen sind zu wenig, damit meine Kristallkugel eine vernünftige Antwort liefern kann.

lks
Mitglied: Tektronix
Tektronix 19.12.2018 um 07:50:51 Uhr
Goto Top
Moin,
Du musst die IPsec Ports in der FB freigeben im Port Forwarding auf die WAN IP des Lancom der an der FB angeschlossen ist.
Banale Lösung:
Gehe in das Port Forwarding Menü der FB und gebe dort ganz einfach die folgenden Ports frei auf die WAN IP des Lancom:
ESP Protokoll (IP Protokoll Nummer 50, Achtung nicht TCP oder UDP 50 !)
IKE UDP 500
NAT Traversal UDP 4500
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.12.2018 um 07:56:56 Uhr
Goto Top
Zitat von @Tektronix:

Moin,
Du musst die IPsec Ports in der FB freigeben.

Woraus folgerst Du, daß der TO Fritzboxen hat? Könnten genauso Seedports sein.

lks
Mitglied: NixVerstehen
NixVerstehen 19.12.2018 um 09:46:10 Uhr
Goto Top
Guten Morgen,

wie LKS schon geschrieben hat...deine Informationen sind nicht ausreichend.

Verwendest du die VDSL-Router als reine "dumme" Modems und alles andere hängt hinter den Lancom's?
Um welche Art von VDSL-Routern handelt es sich?

Die Firewall abzuschalten ist keine gute Idee. Die Standard-Routing-Einträge sind "Sperr-Routen" und sollten ebenso nicht gelöscht werden.
Die stören nicht, weil feinere Routing-Regeln vor den allgemeineren abgearbeitet werden.Ebenso lass alle Default-Einträge so wie sie sind.

Lade dir bei Lancom die Tools "Lanconfig" und "Lanmonitor" herunter. Mit Lanconfig richtest du über den Setupassistenten
die Site-to-Site-Verbindung bequem ein.

lancom_setup

In der Lancom-Firewall mußt du die IPSec-Ports freigeben. Die sind als Dienst-Object bereits angelegt. Auf deinen VDSL-Routern
natürlich auch. IPSec-over-HTTPS brauchst du nicht.

firewall

vpn

Schau dir auch mal die Artikel von aqui hierzu an:
Standort-Kopplung VPN

Routerkaskade

Gruß NV
Mitglied: erikro
erikro 19.12.2018 um 09:48:56 Uhr
Goto Top
Moin,

wenn ich das richtig interpretiere, hängt vor den Lancoms noch ein anderer Router an der DSL-Leitung. Unsinn! Weg mit dem anderen Router. Die Lancoms direkt mit der DSL-Leitung verbinden. Nach der Einrichtung des Internetzugangs den Assistenten für das IPsec-VPN (nicht over HTTPS) laufen lassen. Mit der Datei zum anderen Router laufen. Dort die Konfiguration einspielen und schon läuft das wie Schmitts Katze.

Und schalte die Firewalls in den Routern wieder ein!

hth

Erik
Mitglied: NixVerstehen
NixVerstehen 19.12.2018 aktualisiert um 09:59:18 Uhr
Goto Top
Moin,

@erik: Prinzipiell richtig, allerdings kann der 1781A kein VDSL. Dafür bräuchte er den 1781VA. Aber wenn er z.B. Fritten vor den Lancoms hat, dann entweder die Fritten als hohles Modem nehmen oder direkt mit den Fritten die VPN-Verbindung aufbauen. Soweit ich weiß, können die das.

@Thorsten: Und mach die Firewall wieder an!!!! Du baust dir ja auch kein Sicherheitsschloss in die Haustür, um den Schlüssel stecken zu lassen!

Hier ist die Doku zur Lancom-Firewall: klick mich

Gruß NV
Mitglied: erikro
erikro 19.12.2018 aktualisiert um 10:02:53 Uhr
Goto Top
Moin,

Zitat von @NixVerstehen:

Moin,

@erik: Prinzipiell richtig, allerdings kann der 1781A kein VDSL. Dafür bräuchte er den 1781VA. Aber wenn er z.B. Fritten vor den Lancoms hat, dann entweder die Fritten als hohles Modem nehmen oder direkt mit den Fritten die VPN-Verbindung aufbauen. Soweit ich weiß, können die das.

Stimmt. Dann hat er die falschen Router besorgt. Ich bin natürlich davon ausgegangen, dass wenn er VDSL hat, er sich auch entsprechende HW dazu kauft. Aber grundsätzlich ist Routerkaskade sowieso Murks und bei VPN kompletter Unsinn. Warum soll ich denn die Sicherheit von IPsec herabsetzen, damit ich mit zwei Lancom-Routern via NAT über zwei andere wahrscheinlich Spuckebilligroutern komme. Das ist ungefähr so als würde ich einen Ferrarie höher legen, damit ich damit über Feldwege fahren kann. face-wink

Liebe Grüße

Erik
Mitglied: aqui
aqui 19.12.2018 aktualisiert um 11:01:53 Uhr
Goto Top
und so programmiert das der Lan-Port 1 die Internetverbindung über den Router aufbaut.
Wie immer dazu die Kardinalsfrage...
  • Arbeitet der davor kaskadierte VDSL Router als NAT Router. Sprich also du hast eine Router Kaskade mit doppeltem NAT wie sie HIER beschrieben ist ??
  • Oder arbeitet der VDSL Router davor als reines NUR VDSL Modem mit PPPoE Passthrough, macht also KEIN aktives IPv4 Forwarding. (Login Credentials hält der dahinter angeschlossene Router, hier der Lancom)
Konfiguriert habe ich folgendes:
Ist irgendwie wirr und vermutlich falsch ! face-sad
Wie es aussehen muss kannst du in dem o.a. Kaskaden Tutorial ja genau sehen:
Beispiel:
IP-Adresse Lancom am lokalen LAN: 172.16.0.1 /24 (Maske: 255.255.255.0)
WAN Port Lancom (Kaskade auf vorliegenden VDSL Router): 192.168.178.254 /24 (Maske: 255.255.255.0)
Gateway und DNS-Server Lancom: 192.168.178.1 /24 (Maske: 255.255.255.0)

So wäre die IP Adressierung in deiner Kaskade korrekt !
Ein Bild sagt mehr als 1000 Worte...

vpn
(Die Firewall in der Zeichnung entspricht deinem Lancom Router !)

Da du auch VPN Betrieb machst solltest du dringenst diese Regeln zur VPN IP Adressierung lesen:
VPNs einrichten mit PPTP
Hier die dümmlichen 192.168.0 0der .1 Allerwelts IPs zu verwenden ist also hochgradig kontraproduktiv !!
An beiden Standorten wurden die UDP-Ports 500 und 4500 auf die WAN-IPs der Router geroutet.
Das ist technischer Quatsch und weisst du vermutlich auch selber.
Geroutet wird da gar nichts, sondern in dem kaskadierten Router wird Port Forwarding für diese Ports eingerichtet !! Mit Routing hat das nix zu tun.
Und wie du selber sehen kannst FEHLT bei dir dort das wichtigste Portokoll, nämlich das ESP Protokoll mit der IP Nummer 50. (Achtung NICHT TCP oder UDP 50 !, ESP ist ein eigenes IP Protokoll)
ESP transportiert den eigentlichen VPN Tunnel Wenn du den also nicht per Port Forwarding eingerichtet hast ist klar das das VPN scheitern muss.
Lange Rede:
Lies dir die ToDos von solchen Router Kaskaden im VPN Umfeld durch im hiesigen Foren Tutorial. Konfiguriere deine Systeme entsprechend, dann klappt das auch sofort !!
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mitglied: goscho
goscho 19.12.2018 um 10:38:45 Uhr
Goto Top
Zitat von @erikro:

Moin,

Zitat von @NixVerstehen:

Moin,

@erik: Prinzipiell richtig, allerdings kann der 1781A kein VDSL. Dafür bräuchte er den 1781VA. Aber wenn er z.B. Fritten vor den Lancoms hat, dann entweder die Fritten als hohles Modem nehmen oder direkt mit den Fritten die VPN-Verbindung aufbauen. Soweit ich weiß, können die das.

Stimmt. Dann hat er die falschen Router besorgt. Ich bin natürlich davon ausgegangen, dass wenn er VDSL hat, er sich auch entsprechende HW dazu kauft. Aber grundsätzlich ist Routerkaskade sowieso Murks und bei VPN kompletter Unsinn.
Es muss nicht immer unsinnig sein und manchmal ist es gar nicht anders möglich.
Bspw. gab es bis vor wenigen Tagen kein freies Kabel-Modem, welches an einem Vodafone-Kabelanschluss genutzt werden konnte. Als Business-Kunde musste man zwangsläufig eine Fritzbox Cabel nutzen, egal ob man dahinter noch Business-Hardware hatte oder nicht.

Dann könnte es auch sein, dass die VDSL-Router gleichzeitig VOIP-TK-Anlagen sind (wie bspw. die meisten Fritzboxen auch noch mit DECT-Basis) und für die Telefonie weiter genutzt werden, weil das der 1781A so nicht beherrscht.
Mitglied: erikro
erikro 19.12.2018 um 11:08:51 Uhr
Goto Top
Moin,

Zitat von @goscho:

Zitat von @erikro:
Stimmt. Dann hat er die falschen Router besorgt. Ich bin natürlich davon ausgegangen, dass wenn er VDSL hat, er sich auch entsprechende HW dazu kauft. Aber grundsätzlich ist Routerkaskade sowieso Murks und bei VPN kompletter Unsinn.
Es muss nicht immer unsinnig sein und manchmal ist es gar nicht anders möglich.

Doch und doch. face-wink Wenn ich IPsec-VPN von Router zu Router aufbaue, dann ist es unsinnig die beiden Router hinter einem anderen NAT-Router hängen. Bekanntlich ist IPsec nur bedingt kompatibel zu NAT. Deshalb ist ein VPN via NAT-Traversal nicht so sicher wie ein VPN direkt von öffentlicher IP zu öffentlicher IP-

Bspw. gab es bis vor wenigen Tagen kein freies Kabel-Modem, welches an einem Vodafone-Kabelanschluss genutzt werden konnte.
Als Business-Kunde musste man zwangsläufig eine Fritzbox Cabel nutzen, egal ob man dahinter noch Business-Hardware hatte oder nicht.

Echt? An unserem Kabel hängt schon immer eine Watchguard hinter dem Modem. Ein Modem, das ja nichts weiter tut, als das DSL-Signal aufzubereiten, vor dem VPN ist ja kein Problem. Das macht ja kein NAT.

Dann könnte es auch sein, dass die VDSL-Router gleichzeitig VOIP-TK-Anlagen sind (wie bspw. die meisten Fritzboxen auch noch mit DECT-Basis) und für die Telefonie weiter genutzt werden, weil das der 1781A so nicht beherrscht.

Auch das lässt sich anders regeln. Das ist bei AVM ausführlich beschrieben, wie man die FB einrichten muss, um hinter einem NAT-Router die Box für VoIP zu benutzen. Also in dem Fall eben nicht den VPN-Router hinter die FB, sondern den FB hinter den VPN-Router.

Liebe Grüße

Erik
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.12.2018 um 11:24:40 Uhr
Goto Top
Zitat von @erikro:

Doch und doch. face-wink Wenn ich IPsec-VPN von Router zu Router aufbaue, dann ist es unsinnig die beiden Router hinter einem anderen NAT-Router hängen. Bekanntlich ist IPsec nur bedingt kompatibel zu NAT. Deshalb ist ein VPN via NAT-Traversal nicht so sicher wie ein VPN direkt von öffentlicher IP zu öffentlicher IP-

zwischen dem was optimal und dem was man mit den vorgegebenen Randbedingungen machen muß, gibt es manchmal himmelweite Unterschiede. Nicht immer kann man das so umsetzen, wie es wüschenswert wäre.

Echt? An unserem Kabel hängt schon immer eine Watchguard hinter dem Modem. Ein Modem, das ja nichts weiter tut, als das DSL-Signal aufzubereiten, vor dem VPN ist ja kein Problem. Das macht ja kein NAT.

Kabelanbieter sind da anders aufgestellt. Bis alle Anbieter soweit sind, daß die einem einer RJ45-Dose mit Ethernet hinstellen werden noch ein paar Jahrzehnte vergehen. Und Kabelanbieter sind da sehr restriktiv mit dem rausrücken der Konfigurationsdaten.


Auch das lässt sich anders regeln. Das ist bei AVM ausführlich beschrieben, wie man die FB einrichten muss, um hinter einem NAT-Router die Box für VoIP zu benutzen. Also in dem Fall eben nicht den VPN-Router hinter die FB, sondern den FB hinter den VPN-Router.


Natürlich geht das. Aber es ist müßig darüber zu spekulieren, bevor der TO sich äußert. Villeicht hat ja der Papa verboten, daß er irgendetwas an der Konfiguration seines Fritzports ändert. face-smile

lks
Mitglied: aqui
aqui 19.12.2018 aktualisiert um 11:56:37 Uhr
Goto Top
dann ist es unsinnig die beiden Router hinter einem anderen NAT-Router hängen.
Von der Theorie schon, da hast du zweifelsohne Recht. Technisch ist sowas immer kontraproduktiv.
Nur in der Praxis gibt es einige User die sich auf Zwangsrouter vom Provider eingelassen haben oder die sich nicht zutrauen ihre VoIP TK Router im internen LAN zu betreiben.
Diese weichen dann immer auf diese technisch schlechten Router Kaskaden mit doppeltem NAT aus.
Per se ist das technisch aber kein Showstopper, auch wenn es eben nicht das Optimum ist ! Es klappt auch damit.
Nur man muss eben den dafür erhöhten Konfigaufwand, ToDos und auch die erheblichen Einschränkungen durch das Port Forwarding beachten. Von der Performance mal nicht zu reden...
Hat man das alles auf dem Radar und setzt es entsprechend um, wird es auch mit einer Router Kaskade funktionieren.
Natürlich nur sofern auch die davor kaskadierten, billigen Schrottrouter vom Provider mit ESP oder GRE Passthrough umgehen können bei VPN Betrieb face-wink
Mitglied: erikro
erikro 19.12.2018 um 11:42:58 Uhr
Goto Top
Moin,

Zitat von @Lochkartenstanzer:

Zitat von @erikro:

Doch und doch. face-wink Wenn ich IPsec-VPN von Router zu Router aufbaue, dann ist es unsinnig die beiden Router hinter einem anderen NAT-Router hängen. Bekanntlich ist IPsec nur bedingt kompatibel zu NAT. Deshalb ist ein VPN via NAT-Traversal nicht so sicher wie ein VPN direkt von öffentlicher IP zu öffentlicher IP-

zwischen dem was optimal und dem was man mit den vorgegebenen Randbedingungen machen muß, gibt es manchmal himmelweite Unterschiede. Nicht immer kann man das so umsetzen, wie es wüschenswert wäre.

Das stimmt leider. Aber in dem Fall würde ich immer versuchen, das Optimum durchzusetzen.

Echt? An unserem Kabel hängt schon immer eine Watchguard hinter dem Modem. Ein Modem, das ja nichts weiter tut, als das DSL-Signal aufzubereiten, vor dem VPN ist ja kein Problem. Das macht ja kein NAT.

Kabelanbieter sind da anders aufgestellt. Bis alle Anbieter soweit sind, daß die einem einer RJ45-Dose mit Ethernet hinstellen werden noch ein paar Jahrzehnte vergehen. Und Kabelanbieter sind da sehr restriktiv mit dem rausrücken der Konfigurationsdaten.

Nene, das ist schon ein Vodafone ehm. Kabel Deutschland Anschluss.


Auch das lässt sich anders regeln. Das ist bei AVM ausführlich beschrieben, wie man die FB einrichten muss, um hinter einem NAT-Router die Box für VoIP zu benutzen. Also in dem Fall eben nicht den VPN-Router hinter die FB, sondern den FB hinter den VPN-Router.


Natürlich geht das. Aber es ist müßig darüber zu spekulieren, bevor der TO sich äußert. Villeicht hat ja der Papa verboten, daß er irgendetwas an der Konfiguration seines Fritzports ändert. face-smile


Da hast Du natürlich recht. Das Argument "Der Chef (Papa) will das aber so." ist leider oft unschlagbar. face-wink

Liebe Grüße

Erik
Mitglied: ThorstenBr
ThorstenBr 19.12.2018 um 12:13:29 Uhr
Goto Top
Moin moin face-smile

Auf der einen Seite hängt ein Speedport im Routermodus, auf der anderen Seite jetzt testweise (damit ich nicht immer pendeln muss) ein Lancom Router.
Ich habe jetzt mil IKE1 ohne IP Sec programmiert, ebenfalls kein Verkehr, VPN-LED ist an.
Im Speedport habe ich einfach mal alle UDP-Ports von 1-4500 an den Lancom gelassen. Ist aber das gleiche Ergebnis als wenn nur 500 und 4500UDP offen sind.
Im Netgear TCP/UDP 1-1000 + 4000 bis 5000.
Zusätzlich habe ich nun TCP 10000 in beiden Routern weitergeleitet.

Sorry wenn irgend welche Infos fehlen, bin noch recht neu im Thema ;)

VG
Thorsten
Mitglied: erikro
erikro 19.12.2018 um 12:14:45 Uhr
Goto Top
Zitat von @aqui:

dann ist es unsinnig die beiden Router hinter einem anderen NAT-Router hängen.
Von der Theorie schon, da hast du zweifelsohne Recht. Technisch ist sowas immer kontraproduktiv.
Nur in der Praxis gibt es einige User die sich auf Zwangsrouter vom Provider eingelassen haben oder die sich nicht zutrauen ihre VoIP TK Router im internen LAN zu betreiben.
Diese weichen dann immer auf diese technisch schlechten Router Kaskaden mit doppeltem NAT aus.
Per se ist das technisch aber kein Showstopper, auch wenn es eben nicht das Optimum ist ! Es klappt auch damit.

Ja, sicher. Aber, um mal in dem Bild von vorhin zu bleiben, für den Feldweg kaufe ich mir besser den Trecker und den Ferrarie nehme ich lieber für die Autobahn. face-wink

Nur man muss eben den dafür erhöhten Konfigaufwand, ToDos und auch die erheblichen Einschränkungen durch das Port Forwarding beachten. Von der Performance mal nicht zu reden...
Hat man das alles auf dem Radar und setzt es entsprechend um, wird es auch mit einer Router Kaskade funktionieren.
Natürlich nur sofern auch die davor kaskadierten, billigen Schrottrouter vom Provider mit ESP oder GRE Passthrough umgehen können bei VPN Betrieb face-wink

Das ist es ja, was ich nicht wirklich verstehe. Wer sich nicht zutraut, die VoIP-Anlage hinter einem NAT einzurichten, der wird bei der Konstruktion m. E. noch größere Probleme bekommen. M. E. ist es nicht nur technisch besser, sondern auch hinsichtlich der Einrichtung einfacher, wenn der VPN-Router direkt am Internet hängt und die VoIP-Anlage dahinter als umgekehrt. Banal ist sicher beides für Laien nicht unbedingt.
Mitglied: ThorstenBr
ThorstenBr 19.12.2018 um 12:16:59 Uhr
Goto Top
Hi Tektrinix,

was mache ich denn wenn ich davor nen Speedport habe? Habe ich dann nen Problem? :/
Da sehe ich keinen Punkt für IP-Protokoll Nummer 50.

VG
Thorsten
Mitglied: ThorstenBr
ThorstenBr 19.12.2018 um 12:20:07 Uhr
Goto Top
Hi Eriko,

schlechte Idee die anderen Router davor weg zu nehmen, dann habe ich kein Inet mehr :D
Habe an beiden Standorten VDSL50 und das können die 1781A ja leider nicht.

VG
Thorsten
Mitglied: erikro
erikro 19.12.2018 um 12:20:18 Uhr
Goto Top
Moin,

Zitat von @ThorstenBr:

Moin moin face-smile

Auf der einen Seite hängt ein Speedport im Routermodus, auf der anderen Seite jetzt testweise (damit ich nicht immer pendeln muss) ein Lancom Router.

Und der Lancom hängt direkt am Internet? Hinter dem Speedport hängt der andere Lancom?

Ich habe jetzt mil IKE1 ohne IP Sec programmiert, ebenfalls kein Verkehr, VPN-LED ist an.

IKE ohne IPsec? Wie meinst Du das?

Im Speedport habe ich einfach mal alle UDP-Ports von 1-4500 an den Lancom gelassen. Ist aber das gleiche Ergebnis als wenn nur 500 und 4500UDP offen sind.
Im Netgear TCP/UDP 1-1000 + 4000 bis 5000.

Wo kommt der denn jetzt her? Was macht der Netgear? Ist das der Router vor dem zweiten Lancom?

Zusätzlich habe ich nun TCP 10000 in beiden Routern weitergeleitet.

Sorry wenn irgend welche Infos fehlen, bin noch recht neu im Thema ;)

Wie wäre es mit einer Zeichnung? Das würde, glaube ich, zum Verständnis erheblich beitragen. face-wink

Liebe Grüße

Erik
Mitglied: erikro
erikro 19.12.2018 um 12:22:47 Uhr
Goto Top
Moin,

Zitat von @ThorstenBr:
schlechte Idee die anderen Router davor weg zu nehmen, dann habe ich kein Inet mehr :D
Habe an beiden Standorten VDSL50 und das können die 1781A ja leider nicht.

Wie schon gesagt: Falsche Hardware. Du hättest den 1781VA nehmen müssen. Schade. Bliebe immer noch, die Router davor in den Modemmodus zu schalten, sofern die das können.

Liebe Grüße

Erik
Mitglied: NixVerstehen
NixVerstehen 19.12.2018 um 12:22:47 Uhr
Goto Top
Mach mal bitte wie Erik bereits sagte, eine Zeichnung, wie die Geräte verkabelt sind. Zur Not auch von Hand, abfotografieren und hochladen. Sonst ist das alles nur "Rate mal mit Rosenthal".

LG Arno
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.12.2018 um 12:23:26 Uhr
Goto Top
Zitat von @ThorstenBr:

Habe an beiden Standorten VDSL50 und das können die 1781A ja leider nicht.

Dann verticker die 1781A wieder und kauf Dir zwei VDSL-fähige LanCom würde ich sagen.

lks
Mitglied: ThorstenBr
ThorstenBr 19.12.2018 um 12:23:42 Uhr
Goto Top
Hi erikro,

ist ja nur eine Teststellung zum üben und rumdaddeln. Dafür kaufe ich nicht superteure Hardware, dafür die 1781A. Evtl. werde ich mir leihweise mal zwei R883+ besorgen. Es wäre trotzdem schön die Stellung mal mit meinen 1781A zum Laufen zu bekommen. Da die VPN-LED an ist kann es ja nicht mehr soooooo viel sein.
VG
Thorsten
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.12.2018 um 12:25:25 Uhr
Goto Top
Zitat von @ThorstenBr:

Es wäre trotzdem schön die Stellung mal mit meinen 1781A zum Laufen zu bekommen. Da die VPN-LED an ist kann es ja nicht mehr soooooo viel sein.

Dann schau in die Logs und wirf mal wireshark zwischen den Routern an. dann sieht man, was vielleicht das Problem sein könnte.

lks
Mitglied: erikro
erikro 19.12.2018 um 12:31:53 Uhr
Goto Top
Moin,

Zitat von @ThorstenBr:
ist ja nur eine Teststellung zum üben und rumdaddeln.

Ich weiß ja nicht, was Dein Ziel ist. Aber wenn Du das lernen willst, dann solltest Du es so lernen, wie es best practice ist und nicht, wie man das im Privatbereich hinbasteln kann. face-wink

Dafür kaufe ich nicht superteure Hardware, dafür die 1781A.

Der VA ist auch nicht viel teurer als der ohne V. Bei Idealo gibt es den VA sogar preiswerter als den anderen. Oder eben die beiden anderen Router zu Modems degradieren, wenn es denn geht.

Liebe Grüße

Erik
Mitglied: shadynet
shadynet 19.12.2018 um 12:37:35 Uhr
Goto Top
Zitat von @ThorstenBr:

Hallo Leute,


Konfiguriert habe ich folgendes:
IP-Adresse Lancom: 192.168.0.11
Lan-Port 1 als WAN Port mit der Adresse 192.168.0.6
Netzmaske 255.255.255.0
Gateway und DNS-Server: 192.168.100.100


Danke im Voraus für eure Hilfe.

Thorsten

Hallo Thorsten,

IP Adresse Lancom und IP Adresse WAN-Port dürfen nicht im gleichen Range liegen. Gateway muss am Lancom dein Speedport/Fritzbox sein
Also meinetwegen:
IP Lancom 192.168.10.1 (DHCP dann auf an, vergibt ohne besondere Einstellungen den Standardkram, sich slebst als GW/DNS)
WAN Lancom 192.168.0.6, Maske 255.255.255.0
GW/DNS 192.168.0.1 (IP Speedport/Fritzbox vorm Lancom)
Und natürlich alle Geräte dann an den Lancom, sonst wird dem nüscht.

Andere Seite genauso:
IP Lancom 192.168.100.1
WAN Lancom 192.168.1.6, Maske 255.255.255.0
GW/DNS 192.168.1.1 (oder was auch immer, ich würds sicherheitshalber anders als an Standort 1 machen)

und dann sollte es in der Theorie laufen...wenn du es richtig "einfach" haben willst, gehen wir davon aus du sitzt an Standort 1, gibst du auf Standort 2 kurz den Port 443 auf den Lancom frei im Router davor, verbindest dich von Standort 1 über die WAN IP von Standort 2 mit Lanconfig, bindest dir über die lokale IP von Standort 1 den dortigen 1781 ein und ziehst beide aufeinander, flupp, VPN.

Eigentlich ist Lancom VPN echt kein Hexenwerk, außer man möchte es gern händisch konfigurieren ;)
Mitglied: goscho
goscho 19.12.2018 um 12:47:04 Uhr
Goto Top
Mahlzeit,

du kannst dir auch einfach VDSL-Modems besorgen. Dann hast du auch kein doppeltes NAT.

Zuerst würde ich mal den Speedport rausnehmen. Kannst du an diesem überhaupt ESP forwarden? Das kann nämlich der Knackpunkt sein.

@erikro
Nene, das ist schon ein Vodafone ehm. Kabel Deutschland Anschluss.
Das ist super für dich. Ich habe meinen Business-100-Anschluss Ende 2016 geschaltet bekommen. Es gab damals keine frei verkäuflichen Modems für diesen Tarif, außer Fritzbox Cable 6490, die nur als Router nutzbar waren.
Mit gebrauchten Cisco-Modems habe ich es versucht, die wurden von KDG/Vodafone nicht registriert.

Erst seit ein paar Monaten gibt es ein freies Kabel-Modem im Handel zu kaufen.
Mitglied: aqui
aqui 19.12.2018 aktualisiert um 13:50:54 Uhr
Goto Top
einfach VDSL-Modems besorgen und Speedport rausnehmen
Wie diese hier:
https://www.reichelt.de/vdsl2-adsl-modem-annex-b-und-j-allnet-allbm200v- ...
oder
https://www.draytek.de/vigor130.html

Der Speedport kann ja nichtmal GRE richtig forwarden (PPTP VPN) Da kann man vermutlich mal davon ausgehen das er es mit ESP wohl auch nicht oder nicht richtig kann. Die Speedports sind so ziemlich das Übelste was man sich als Router antun kann.
ein freies Kabel-Modem im Handel zu kaufen.
Endlich: Reines Kabel-TV Modem in D erhältlich !
Mitglied: erikro
erikro 19.12.2018 um 13:58:16 Uhr
Goto Top
Zitat von @aqui:
Der Speedport kann ja nichtmal GRE richtig forwarden (PPTP VPN) Da kann man vermutlich mal davon ausgehen das er es mit ESP wohl auch nicht oder nicht richtig kann. Die Speedports sind so ziemlich das Übelste was man sich als Router antun kann.

Wenn man danach googelt, kommt man schnell zu dem Schluss, dass der Speedport das nicht kann.
Mitglied: bromierer
bromierer 19.12.2018 um 14:43:43 Uhr
Goto Top
Hallo,

Du sagst also, dass die VPN-Lampe am Lancom leuchtet, dann sollte die VPN-Verbindung eigentlich stehen. Prüfe das bitte trotzdem nochmal mit dem LanMonitor Tool von Lancom; gibts kostenlos zum Download auf deren Homepage. Die Standard-Routingeinträge 192.168.0.0, 172.16.0.0 und 10.0.0 zu löschen ist keine gute Idee; dies sind Standarteinträge, die bestimmen, wie Netzwerkverkehr innerhalb des lokalen Subnetzes behandelt werden soll. Poste doch mal bitte deine Routingtabelle vom Lancom.