41
VPN zu Cisco RV082 hinter Fritz-Box 7390
Hallo VPN-Cracks,
ich möchte mehrere mobile Anwender über VPN-Tunnels auf einen Server arbeiten lassen.
Der Weg ist folgender:
Client z.B. Shrewsoft - ... - Internet - Fritz Box 7390 - Cisco RV082 - Server
Die Fritz Box bekommt vom Provider eine statische IP.
Derzeit läuft das VPN über die Fritz-Box (und funktioniert). Wegen der Beschränkung auf 8 User bei der Fritz Box soll das VPN nun auf den RV082 "umziehen", der kann max. 50 Tunnel und das reicht allemal. Die Fritz-Box soll demnach zukünftig die Internet-Verbindung mit dem Provider halten, die ISDN-Telefone versorgen und sonst nix. Der Cisco-Router soll das VPN managen in das lokale Netz verwalten.
Die Fritz Box heißt 192.168.0.1, es gibt darauf ein statisches Routing zum Subnetz 192.168.178.0 über den RV082 mit seinem WAN Port 192.168.0.3 damit die bisherigen VPN-Verbindungen (IPSec auf Fritz Box) das Netz 192.168.178.0 finden können.
Der RV082 ist lokal 192.168.178.3 und verwaltet dieses Subnetz 192.168.178.0.
Also bildlich:
Fritz 192.168.0.1 - RV082 WAN 192.168.0.3 - RV082 LAN 192.168.178.3 - Server 192.168.178.xxx
Damit VPN-Pakete an den RV082 gelangen können, habe ich auf der Fritz Box die Ports TCP 1723, GRE, ESP und UDP 500 auf den RV082 weitergeleitet. Dort habe ich für einen neuen User einen Tunnel eingerichtet.
Wenn ich nun mit dem neuen eine Verbindung erstellen möchte, so scheint es, dass die Fritz Box die VPN-Pakete gar nicht an den RV082 weiter gibt. Auf jeden Fall finde ich dort im Log keine Einträge.
Wo ist das Problem? Hat jemand schon einmal eine VPN-Verbindung zu einem Router hinter einer Fritz Box gebaut?
Nachtrag: VPN-Verbindung zur Fritz Box ("alte Lösung") kann ich noch herstellen, komm aber nicht mehr ins 178er Netz.
ich möchte mehrere mobile Anwender über VPN-Tunnels auf einen Server arbeiten lassen.
Der Weg ist folgender:
Client z.B. Shrewsoft - ... - Internet - Fritz Box 7390 - Cisco RV082 - Server
Die Fritz Box bekommt vom Provider eine statische IP.
Derzeit läuft das VPN über die Fritz-Box (und funktioniert). Wegen der Beschränkung auf 8 User bei der Fritz Box soll das VPN nun auf den RV082 "umziehen", der kann max. 50 Tunnel und das reicht allemal. Die Fritz-Box soll demnach zukünftig die Internet-Verbindung mit dem Provider halten, die ISDN-Telefone versorgen und sonst nix. Der Cisco-Router soll das VPN managen in das lokale Netz verwalten.
Die Fritz Box heißt 192.168.0.1, es gibt darauf ein statisches Routing zum Subnetz 192.168.178.0 über den RV082 mit seinem WAN Port 192.168.0.3 damit die bisherigen VPN-Verbindungen (IPSec auf Fritz Box) das Netz 192.168.178.0 finden können.
Der RV082 ist lokal 192.168.178.3 und verwaltet dieses Subnetz 192.168.178.0.
Also bildlich:
Fritz 192.168.0.1 - RV082 WAN 192.168.0.3 - RV082 LAN 192.168.178.3 - Server 192.168.178.xxx
Damit VPN-Pakete an den RV082 gelangen können, habe ich auf der Fritz Box die Ports TCP 1723, GRE, ESP und UDP 500 auf den RV082 weitergeleitet. Dort habe ich für einen neuen User einen Tunnel eingerichtet.
Wenn ich nun mit dem neuen eine Verbindung erstellen möchte, so scheint es, dass die Fritz Box die VPN-Pakete gar nicht an den RV082 weiter gibt. Auf jeden Fall finde ich dort im Log keine Einträge.
Wo ist das Problem? Hat jemand schon einmal eine VPN-Verbindung zu einem Router hinter einer Fritz Box gebaut?
Nachtrag: VPN-Verbindung zur Fritz Box ("alte Lösung") kann ich noch herstellen, komm aber nicht mehr ins 178er Netz.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 225482
Url: https://administrator.de/contentid/225482
Printed on: April 19, 2024 at 03:04 o'clock
41 Comments
Latest comment
Zitat von @Frank.Wolf:
Damit VPN-Pakete an den RV082 gelangen können, habe ich auf der Fritz Box die Ports TCP 1723, GRE, ESP und UDP 500 auf den
RV082 weitergeleitet. Dort habe ich für einen neuen User einen Tunnel eingerichtet.
Damit VPN-Pakete an den RV082 gelangen können, habe ich auf der Fritz Box die Ports TCP 1723, GRE, ESP und UDP 500 auf den
RV082 weitergeleitet. Dort habe ich für einen neuen User einen Tunnel eingerichtet.
GRE und ESP sind IP-Protokolle, keine Ports.
Ich verweise einfach mal auf einen von Thread.
lks
PS: Das Forum hat auch eine Suchfunktion.
goodie
Edit: Fritzbox-Aussage aktualisiert.
Hallo Frank.Wolf,
Grüße Uwe
TCP 1723, GRE, ESP und UDP 500
was denn jetzt, PPTP oder IPSec oder beides ? Wenns IPSec sein soll dann fehlt dir Port 4500 UDP (NAT-Traveral). Bei zusätzlich verwendetem L2TP noch Port 1701 UDP.Grüße Uwe
1
Meine Fritzbox hat es nicht so gern, wenn ich hinter dem Kabelprovider die 192.168.178.x weg nehme und eine andere verwende. Das ist nicht logisch, aber sie tut es so. Evtl muss dein Netz einen anderen IP-Bereich bekommen.
Aber von wo baust du deinen Tunnel auf?
Über UMTS oder hst du einen zweiten Anschluß zur Verfügung.
Gruß
Netman
Aber von wo baust du deinen Tunnel auf?
Über UMTS oder hst du einen zweiten Anschluß zur Verfügung.
Gruß
Netman
Zitat von @Lochkartenstanzer:
GRE und ESP sind IP-Protokolle, keine Ports. Diese kann man an einer fritzbox nicht einfach so weiterleiten, wenn Du nicht direkt
mit iptables herumspielst.
geht inzwischen simpel GRE und ESP sind IP-Protokolle, keine Ports. Diese kann man an einer fritzbox nicht einfach so weiterleiten, wenn Du nicht direkt
mit iptables herumspielst.
Grüße Uwe
Zitat von @colinardo:
> Zitat von @Lochkartenstanzer:
> GRE und ESP sind IP-Protokolle, keine Ports. Diese kann man an einer fritzbox nicht einfach so weiterleiten, wenn Du nicht
direkt
> mit iptables herumspielst.
geht inzwischen simpel
> Zitat von @Lochkartenstanzer:
> GRE und ESP sind IP-Protokolle, keine Ports. Diese kann man an einer fritzbox nicht einfach so weiterleiten, wenn Du nicht
direkt
> mit iptables herumspielst.
geht inzwischen simpel
Ups, ziehe meien Aussage zurück. habe da eine ganze Weile schon nicht mehr reingeschaut. Meine Ausrede ist: Früher war das so. .-)
lks
Der andere Thread passt nicht so ganz, dort ist die Fritz Box HINTER einem Kabel-Model. Bei mir ist die Fritz Box außen und er Router dahinter.
Zitat von @colinardo:
Hallo Frank.Wolf,
> TCP 1723, GRE, ESP und UDP 500
was denn jetzt, PPTP oder IPSec oder beides ? Wenns IPSec sein soll dann fehlt dir Port 4500 UDP (NAT-Traveral). Bei
zusätzlich verwendetem L2TP noch Port 1701 UDP.
Grüße Uwe
Ist mir zunächst egal, wenn nur erst mal funktioniert. Nur die Option "VPN Group" des RV082 kann ich nicht gebrauchen, da der nur 2 Gruppen kann. Verzeih mir meine teilweise dummen Antworten, ich bin nicht firm in dem Gebiet.Hallo Frank.Wolf,
> TCP 1723, GRE, ESP und UDP 500
was denn jetzt, PPTP oder IPSec oder beides ? Wenns IPSec sein soll dann fehlt dir Port 4500 UDP (NAT-Traveral). Bei
zusätzlich verwendetem L2TP noch Port 1701 UDP.
Grüße Uwe
Zitat von @MrNetman:
Meine Fritzbox hat es nicht so gern, wenn ich hinter dem Kabelprovider die 192.168.178.x weg nehme und eine andere verwende. Das
ist nicht logisch, aber sie tut es so. Evtl muss dein Netz einen anderen IP-Bereich bekommen.
Aber von wo baust du deinen Tunnel auf?
Über UMTS oder hst du einen zweiten Anschluß zur Verfügung.
Gruß
Netman
Ich teste das mit einem zweiten Rechner, der als remote client über einen Telekom-UMTS-Stick im Internet ist.Meine Fritzbox hat es nicht so gern, wenn ich hinter dem Kabelprovider die 192.168.178.x weg nehme und eine andere verwende. Das
ist nicht logisch, aber sie tut es so. Evtl muss dein Netz einen anderen IP-Bereich bekommen.
Aber von wo baust du deinen Tunnel auf?
Über UMTS oder hst du einen zweiten Anschluß zur Verfügung.
Gruß
Netman
Zitat von @colinardo:
> Zitat von @Lochkartenstanzer:
> GRE und ESP sind IP-Protokolle, keine Ports. Diese kann man an einer fritzbox nicht einfach so weiterleiten, wenn Du nicht
direkt
> mit iptables herumspielst.
geht inzwischen simpel
Grüße Uwe
Genau so hab ichs gemacht.> Zitat von @Lochkartenstanzer:
> GRE und ESP sind IP-Protokolle, keine Ports. Diese kann man an einer fritzbox nicht einfach so weiterleiten, wenn Du nicht
direkt
> mit iptables herumspielst.
geht inzwischen simpel
Grüße Uwe
Colinardo meinte, dass du die Ports UDP/500 und UDP/4500 auf die 192.168.0.3 weiterleiten musst. Diese beiden Ports sind wichtig.
Und du musst darauf achten, dass in Shrew und auf dem RV die Option NAT-T aktiv ist.
Und du musst darauf achten, dass in Shrew und auf dem RV die Option NAT-T aktiv ist.
Verzeih mir meine teilweise dummen Antworten, ich bin nicht firm in dem Gebiet.
kein Problem Hast du auf dem Cisco zusätzlich sichergestellt das auf dem WAN-Port der Zugriff auf private IP-Ranges nach RFC1918 erlaubt ist? Manche Router blocken dies. Auf dem CISCO sollte ebenfalls NAT-Traversal aktiviert sein. Firewall Access Rules auf dem CISCO passen ? Ansonsten => RV082 Handbuch
Hallo,
Und dein Tarif oder gewählter APN lässt es auch zu das du einen VPN Tunnel wie von dir gewünscht ohne behinderung (z.B. NAT) aufbauen kannst?
Gruß,
Peter
Und dein Tarif oder gewählter APN lässt es auch zu das du einen VPN Tunnel wie von dir gewünscht ohne behinderung (z.B. NAT) aufbauen kannst?
Gruß,
Peter
Pjordorf, kennst du einen Tarif, in dem die Ports 500/4500 "gesperrt" sind?
Zitat von @104286:
Pjordorf, kennst du einen Tarif, in dem die Ports 500/4500 ausgehend "gesperrt" sind?
Pjordorf, kennst du einen Tarif, in dem die Ports 500/4500 ausgehend "gesperrt" sind?
bei Mobilfunk-verbindungen sperren die Provider alles mögliche und setzen (transparente) zwangsproxies ein, ganz abgesehen von provider-grade-NAT. Da muß man sich auf viele Überaschungen gefaßt machen, wenn man sich vorher nicht genau den Tarif rausgepickt hat, der die gewünschten Features beinhaltet.
lks
LKS, kennst du so einen?
Zitat von @104286:
LKS, kennst du so einen?
LKS, kennst du so einen?
Carrier grade NAT machen soweit ich weiß, alle Provder, allerdings nicht in jedem "Sendegebiet".
gbei der telekom hatte ich schon diverse Male effekte, die ich mir nur durch eine Zwangsproxy erklären kann (Zertifikate paßten nicht). Allerdings nichts greifbares. würde mich jedenfalls nicht wundern, wenn die (und andere) es machen.
Wenn aber das VPn zu der frotzbox funktioniert heißt das erstmal, daß Du zu deinem Netz druchkommst.
Hier noch ein Thread zum NAT-Traversal, daß du benötigst, wieder mit wertvollen Hinweisen von aqui.
lks
PS: VPN zu einem VPN-Server hinter eine NAT-Router funktioniert im wesentlichen immer gleich, egal welche Router "vornedran" und "hintendran" sitzen.
Alle Einstellungen:
Shrew:
NAT traversal: enable, port 4500
Fritz:
IPV4: 192.168.0.1 255.255.155.0
Statische Route: 192.168.178.0 255.255.255.0 192.168.0.3
DHCP an, 192.168.0.50-99 aber kein Client außer dem Router mit fixer IP dran.
Cisco-Router RV082:
Device IP: 192.168.178.3 255.255.255.0
Multiple Subnet: aus
Dual WAN mode
WAN1:
Static IP: 192.168.0.3 255.255.255.0 angeschlossen an LAN1 der Fritz Box
Default Gateway: 192.168.0.1
DDNS aus
WAN2 nicht angeschlossen, nicht konfiguriert
1to1 NAT: 192.168.178.200-209 => 192.168.0.200-209
DHCP: 192.168.178.220-250, da hängen interne Clients dran, Server mit fixer IP 192.168.178.106
DNS: 192.168.0.1
Firewall an
Allow any LAN to any
Deny any WAN1 to any
VPN:
1 Tunnel WAN1 local IP 192.168.178.211
Interne Clients am Cisco kommen auf Fritz Box und ins Internet und freilich auch in lokale LAN des Cisco-Routers. Können Mails empfangen und senden...
Aber von draußen bleibt die Tür zu. Was ist falsch? Auch im Cisco Log findet sich NICHTS.
Shrew:
NAT traversal: enable, port 4500
Fritz:
IPV4: 192.168.0.1 255.255.155.0
Statische Route: 192.168.178.0 255.255.255.0 192.168.0.3
DHCP an, 192.168.0.50-99 aber kein Client außer dem Router mit fixer IP dran.
Cisco-Router RV082:
Device IP: 192.168.178.3 255.255.255.0
Multiple Subnet: aus
Dual WAN mode
WAN1:
Static IP: 192.168.0.3 255.255.255.0 angeschlossen an LAN1 der Fritz Box
Default Gateway: 192.168.0.1
DDNS aus
WAN2 nicht angeschlossen, nicht konfiguriert
1to1 NAT: 192.168.178.200-209 => 192.168.0.200-209
DHCP: 192.168.178.220-250, da hängen interne Clients dran, Server mit fixer IP 192.168.178.106
DNS: 192.168.0.1
Firewall an
Allow any LAN to any
Deny any WAN1 to any
VPN:
1 Tunnel WAN1 local IP 192.168.178.211
Interne Clients am Cisco kommen auf Fritz Box und ins Internet und freilich auch in lokale LAN des Cisco-Routers. Können Mails empfangen und senden...
Aber von draußen bleibt die Tür zu. Was ist falsch? Auch im Cisco Log findet sich NICHTS.
Nachtrag: früher konnte ich über die Fritz Box (da hing alles über einen Switch dran) VPN machen.
Zitat von @Frank.Wolf:
Interne Clients am Cisco kommen auf Fritz Box und ins Internet und freilich auch in lokale LAN des Cisco-Routers. Können
Mails empfangen und senden...
Aber von draußen bleibt die Tür zu. Was ist falsch? Auch im Cisco Log findet sich NICHTS.
Interne Clients am Cisco kommen auf Fritz Box und ins Internet und freilich auch in lokale LAN des Cisco-Routers. Können
Mails empfangen und senden...
Aber von draußen bleibt die Tür zu. Was ist falsch? Auch im Cisco Log findet sich NICHTS.
vielleicht hier ein wenig "auflockern" würde ich auf Anhieb sagen:
Deny any WAN1 to any
Irgendiwe mußt Du dem Cisco ja sagen, das VPn-Päckchen von außen rein dürfen
lks
Hallo,
OK. Portforwarding auf deiner Fritz korrekt eingetrragen?
Gruß,
Peter
OK. Portforwarding auf deiner Fritz korrekt eingetrragen?
Deny any WAN1 to any
Sicher?Gruß,
Peter
Hallo,
Gruß,
Peter
Zitat von @Frank.Wolf:
früher konnte ich über die Fritz Box (da hing alles über einen Switch dran) VPN machen.
Und warum heute nicht mehr? Hat AVM das VPN gesperrt oder entfernt? früher konnte ich über die Fritz Box (da hing alles über einen Switch dran) VPN machen.
Gruß,
Peter
vielleicht hier ein wenig "auflockern" würde ich auf Anhieb sagen:
> Deny any WAN1 to any
Irgendiwe mußt Du dem Cisco ja sagen, das VPn-Päckchen von außen rein dürfen
lks
Okay der Deny ist Standard und konnte nur ausgeschaltet werden, indem ich die Firewall abgeschaltet habe. Hat nichts gebracht.> Deny any WAN1 to any
Irgendiwe mußt Du dem Cisco ja sagen, das VPn-Päckchen von außen rein dürfen
lks
Zitat von @Pjordorf:
Hallo,
> Zitat von @Frank.Wolf:
> früher konnte ich über die Fritz Box (da hing alles über einen Switch dran) VPN machen.
Und warum heute nicht mehr? Hat AVM das VPN gesperrt oder entfernt?
Gruß,
Peter
Nein, es gibt noch einen "alten" VPN-Eintrag in der Fritz Box. Da kann ich mich anmelden, also VPN-Verbindung klappt, ich komme aber nicht rüber an den Server im 178er Netz.Hallo,
> Zitat von @Frank.Wolf:
> früher konnte ich über die Fritz Box (da hing alles über einen Switch dran) VPN machen.
Und warum heute nicht mehr? Hat AVM das VPN gesperrt oder entfernt?
Gruß,
Peter
Zitat von @Frank.Wolf:
Okay der Deny ist Standard und konnte nur ausgeschaltet werden, indem ich die Firewall abgeschaltet habe. Hat nichts gebracht.
Okay der Deny ist Standard und konnte nur ausgeschaltet werden, indem ich die Firewall abgeschaltet habe. Hat nichts gebracht.
Dann solltest du vielleicht davor eine regel einfügen, die eingehenden VPN-Verkehr zuläßt?
lks
nachtrag:
Vielleicht solltest Du einfach mal einen Client in das Netz zwischen FB und Cisco (=192.168.0.0/24) hinstellen und schauen, ob dieser ein VPN zu der Cisco aufbauen kann. wenn es da schon scheitert, suchst Du an der falschen Baustelle.
Hallo,
Ofer du machst VPN auf deiner Frittenschmiede und nur noch eine Route (und auch Rückroute) zu deinem anderen Netz durch dein RV... auf. das hat aber dann nmit VPN nichts am Hut bzw. dessen Hutständer
Gruß,
Peter
Zitat von @Frank.Wolf:
Nein, es gibt noch einen "alten" VPN-Eintrag in der Fritz Box. Da kann ich mich anmelden, also VPN-Verbindung klappt,
Welches VPN Protokoll klappt?Nein, es gibt noch einen "alten" VPN-Eintrag in der Fritz Box. Da kann ich mich anmelden, also VPN-Verbindung klappt,
ich komme aber nicht rüber an den Server im 178er Netz.
Wie soll das gehen ohne Portforwarding? Deine VPN Anfragen (Gleiches VPN wie schon auf der Frittenschmiede?) werden doch gar nicht erst zur deinem RV... geleitet. Wie soll diese dann auf VPN Anfragen reagieren können? Und ja, es darf nicht das gleiche VPN Protokoll sein auf das deinen Frittenschmiede jetzt noch reagiert.Ofer du machst VPN auf deiner Frittenschmiede und nur noch eine Route (und auch Rückroute) zu deinem anderen Netz durch dein RV... auf. das hat aber dann nmit VPN nichts am Hut bzw. dessen Hutständer
Gruß,
Peter
Der Cisco RV supportet nur IPsec außerdem ist mit dem Shrew Client auch IPsec dann vorgegeben.
Auf der Fritzbox müssen dafür wie immer die folgenden Protokolle geforwardet werden damit IPsec dort ankommt.
Ist wie immer der klassische Fehler hier.
Was der tiefere Sinn der Routerkaskade mit der FritBox und RV sein soll ist schleierhaft, denn die FB supportet ja direkt selber IPsec VPNs, da könnte man sich das ganze Gefrickel sparen !
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Bei mehreren Netzen hinter der FB gibt es ebenso ein HowTo:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
Weitere Grundlagen kannst du hier nachlesen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Hier steht auch detailliert welche Einstellungen am Shrew zu machen sind !
bzw.
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Damit bekommt man eigentlich jedes IPsec VPN zum Fliegen…
Andere sinnvolle Alternative um das gesamte Gefrickel (denn da liegt schon das ursächliche Problem !) mit einer sauberen Lösung zu ersetzen ist einen Router zu verwenden der alles in einer Box vereint wie z.B. dieser hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Auf der Fritzbox müssen dafür wie immer die folgenden Protokolle geforwardet werden damit IPsec dort ankommt.
- UDP 500 (IKE)
- UDP 4500 (NAT-T)
- ESP Protokoll mit der IP Nummer 50 (Achtung: ESP ist ein eigenständiges Protokoll also nicht TCP oder UDP 50 !)
Ist wie immer der klassische Fehler hier.
Was der tiefere Sinn der Routerkaskade mit der FritBox und RV sein soll ist schleierhaft, denn die FB supportet ja direkt selber IPsec VPNs, da könnte man sich das ganze Gefrickel sparen !
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Bei mehreren Netzen hinter der FB gibt es ebenso ein HowTo:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
Weitere Grundlagen kannst du hier nachlesen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Hier steht auch detailliert welche Einstellungen am Shrew zu machen sind !
bzw.
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Damit bekommt man eigentlich jedes IPsec VPN zum Fliegen…
Andere sinnvolle Alternative um das gesamte Gefrickel (denn da liegt schon das ursächliche Problem !) mit einer sauberen Lösung zu ersetzen ist einen Router zu verwenden der alles in einer Box vereint wie z.B. dieser hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Zitat von @Frank.Wolf:
Derzeit läuft das VPN über die Fritz-Box (und funktioniert). Wegen der Beschränkung auf 8 User bei der Fritz Box
Derzeit läuft das VPN über die Fritz-Box (und funktioniert). Wegen der Beschränkung auf 8 User bei der Fritz Box
Mal eine ganz andere Baustelle:
Die Fritzbox erlaubt auch mehr als 8 VPN-Verbindungen. Nur supportet AVM dies nicht, weil die fritzbox dann Performanceprobleme bekommen kann.
Sofern Du nur ein paar mehr brauchst, wäre die Option einfach die Fritte weiterzubenutzen gegeben.
Die andere Möglichkeit ist, die fritzbox einfach durch ein ADSL/VDSL-modem zu ersetzen, so daß die Cisco das gleich ordentlich machen kann. damit hast Due kein Port udn Protokoll-Forwarding mehr und damit auch weniger Fehlerquellen.
lks
Zitat von @Pjordorf:
Hallo,
> Zitat von @Frank.Wolf:
> Nein, es gibt noch einen "alten" VPN-Eintrag in der Fritz Box. Da kann ich mich anmelden, also VPN-Verbindung
klappt,
Welches VPN Protokoll klappt?
Das, was die Fritz-Box standardmäßig fährt (Fritz Fernzugang), ich glaube IPsec.Hallo,
> Zitat von @Frank.Wolf:
> Nein, es gibt noch einen "alten" VPN-Eintrag in der Fritz Box. Da kann ich mich anmelden, also VPN-Verbindung
klappt,
Welches VPN Protokoll klappt?
> ich komme aber nicht rüber an den Server im 178er Netz.
Wie soll das gehen ohne Portforwarding? Deine VPN Anfragen (Gleiches VPN wie schon auf der Frittenschmiede?) werden doch gar nicht
erst zur deinem RV... geleitet. Wie soll diese dann auf VPN Anfragen reagieren können? Und ja, es darf nicht das gleiche VPN
Protokoll sein auf das deinen Frittenschmiede jetzt noch reagiert.
Ofer du machst VPN auf deiner Frittenschmiede und nur noch eine Route (und auch Rückroute) zu deinem anderen Netz durch dein
RV... auf. das hat aber dann nmit VPN nichts am Hut bzw. dessen Hutständer
Gruß,
Peter
Zitat von @Lochkartenstanzer:
> Zitat von @Frank.Wolf:
>
> Derzeit läuft das VPN über die Fritz-Box (und funktioniert). Wegen der Beschränkung auf 8 User bei der Fritz
Box
Mal eine ganz andere Baustelle:
Die Fritzbox erlaubt auch mehr als 8 VPN-Verbindungen. Nur supportet AVM dies nicht, weil die fritzbox dann Performanceprobleme
bekommen kann.
Sofern Du nur ein paar mehr brauchst, wäre die Option einfach die Fritte weiterzubenutzen gegeben.
Wie geht das?> Zitat von @Frank.Wolf:
>
> Derzeit läuft das VPN über die Fritz-Box (und funktioniert). Wegen der Beschränkung auf 8 User bei der Fritz
Box
Mal eine ganz andere Baustelle:
Die Fritzbox erlaubt auch mehr als 8 VPN-Verbindungen. Nur supportet AVM dies nicht, weil die fritzbox dann Performanceprobleme
bekommen kann.
Sofern Du nur ein paar mehr brauchst, wäre die Option einfach die Fritte weiterzubenutzen gegeben.
Die andere Möglichkeit ist, die fritzbox einfach durch ein ADSL/VDSL-modem zu ersetzen, so daß die Cisco das gleich
ordentlich machen kann. damit hast Due kein Port udn Protokoll-Forwarding mehr und damit auch weniger Fehlerquellen.
lks
Ich hatte eben diese Idee, die geht aber nicht, da ich die Telefonnummern als Internet-Nummern registriert habe.
1. Ich kaufe ein gescheites DSL Modem
2. Die ISDN-Telefonanlage kommt an den NTBA, dieser an den Splitter und fertig GENAU DAS GEHT NICHT
3. Der RV082 ist gateway, unterhält die DSL-Verbindung zur T-Com und er macht dann auch VPN und verwaltet das LAN
4. Die Fritz-Box wird eingemottet oder verkauft.
Oder: Wie kann die die Fritz Box degradieren, so dass sie nur DSL-Modem und Internet-Telefonie macht?
Gruß
Frank
1. Ich kaufe ein gescheites DSL Modem
2. Die ISDN-Telefonanlage kommt an den NTBA, dieser an den Splitter und fertig GENAU DAS GEHT NICHT
3. Der RV082 ist gateway, unterhält die DSL-Verbindung zur T-Com und er macht dann auch VPN und verwaltet das LAN
4. Die Fritz-Box wird eingemottet oder verkauft.
Oder: Wie kann die die Fritz Box degradieren, so dass sie nur DSL-Modem und Internet-Telefonie macht?
Gruß
Frank
In der Fitz-Box-VPN-Config steht ganz unten:
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
Was bedeutet dies? Und könnte man mit anderen Festlegungen hier der FB beibringen, IKE und NAT-T an den Cisco weiterzugeben?
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
Was bedeutet dies? Und könnte man mit anderen Festlegungen hier der FB beibringen, IKE und NAT-T an den Cisco weiterzugeben?
Zitat von @Lochkartenstanzer:
> Zitat von @Frank.Wolf:
>
> Derzeit läuft das VPN über die Fritz-Box (und funktioniert). Wegen der Beschränkung auf 8 User bei der Fritz
Box
Mal eine ganz andere Baustelle:
Die Fritzbox erlaubt auch mehr als 8 VPN-Verbindungen. Nur supportet AVM dies nicht, weil die fritzbox dann Performanceprobleme
bekommen kann.
Sofern Du nur ein paar mehr brauchst, wäre die Option einfach die Fritte weiterzubenutzen gegeben.
Wie würde das gehen? Wir benötigen etwa 20 von denen aber selten mehr als 3 Online sind.> Zitat von @Frank.Wolf:
>
> Derzeit läuft das VPN über die Fritz-Box (und funktioniert). Wegen der Beschränkung auf 8 User bei der Fritz
Box
Mal eine ganz andere Baustelle:
Die Fritzbox erlaubt auch mehr als 8 VPN-Verbindungen. Nur supportet AVM dies nicht, weil die fritzbox dann Performanceprobleme
bekommen kann.
Sofern Du nur ein paar mehr brauchst, wäre die Option einfach die Fritte weiterzubenutzen gegeben.
Die andere Möglichkeit ist, die fritzbox einfach durch ein ADSL/VDSL-modem zu ersetzen, so daß die Cisco das gleich
ordentlich machen kann. damit hast Due kein Port udn Protokoll-Forwarding mehr und damit auch weniger Fehlerquellen.
lks
Zitat von @Frank.Wolf:
> Sofern Du nur ein paar mehr brauchst, wäre die Option einfach die Fritte weiterzubenutzen gegeben.
Wie würde das gehen? Wir benötigen etwa 20 von denen aber selten mehr als 3 Online sind.
>
> Sofern Du nur ein paar mehr brauchst, wäre die Option einfach die Fritte weiterzubenutzen gegeben.
Wie würde das gehen? Wir benötigen etwa 20 von denen aber selten mehr als 3 Online sind.
>
Ich habe es länger nciht mehr ausprobiert, aber früher gibg das dadruch, indem man einfach weitere Configs dazugemnommen hat, bis man die passende Anzahl hatte.
lks
Zitat von @Frank.Wolf:
In der Fitz-Box-VPN-Config steht ganz unten:
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
Was bedeutet dies? Und könnte man mit anderen Festlegungen hier der FB beibringen, IKE und NAT-T an den Cisco weiterzugeben?
In der Fitz-Box-VPN-Config steht ganz unten:
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
Was bedeutet dies? Und könnte man mit anderen Festlegungen hier der FB beibringen, IKE und NAT-T an den Cisco weiterzugeben?
VPN geht entweder nur an der Fritte oder an der Cisco. Wenn Du VPN auf der Cisco haben willst, mußt Du das VPN auf der fritzbox ganz abschalten, was auch bedeutet, daß die ganzen VPN-Configs raus müssen.
lks
Zitat von @Frank.Wolf:
Ich hatte eben diese Idee, die geht aber nicht, da ich die Telefonnummern als Internet-Nummern registriert habe.
1. Ich kaufe ein gescheites DSL Modem
Ich hatte eben diese Idee, die geht aber nicht, da ich die Telefonnummern als Internet-Nummern registriert habe.
1. Ich kaufe ein gescheites DSL Modem
Ack.
2. Die ISDN-Telefonanlage kommt an den NTBA, dieser an den Splitter und fertig GENAU DAS GEHT NICHT
Warum geht das nicht? VOIP? Oder was anderes
3. Der RV082 ist gateway, unterhält die DSL-Verbindung zur T-Com und er macht dann auch VPN und verwaltet das LAN
Ack.
4. Die Fritz-Box wird eingemottet oder verkauft.
Oder macht Telefonie, wenn Du das Ding irgendwie als VOIp-gateway brauchst.
Oder: Wie kann die die Fritz Box degradieren, so dass sie nur DSL-Modem und Internet-Telefonie macht?
(Ganz) Alte Firmware draufspielen. Die neueren Firwares erlauben kleider keinen reinem Modembetrieb mehr.
lks
Zitat von @Frank.Wolf:
> Zitat von @Pjordorf:
>
> Und ja, es darf nicht das gleiche VPN
> Protokoll sein auf das deinen Frittenschmiede jetzt noch reagiert.
Das könnte die Ursache sein. Wie kann ich der Fritz beibringen, die Finger vom VPN-Kram wegzulassen? Derzeit sind es nur
unterschiedliche Credentials. Lässt sie das, wenn ich alle VPN-User deaktiviere? Oder muss ich die löschen? Oder lauscht
sie dann immer noch?
> Zitat von @Pjordorf:
>
> Und ja, es darf nicht das gleiche VPN
> Protokoll sein auf das deinen Frittenschmiede jetzt noch reagiert.
Das könnte die Ursache sein. Wie kann ich der Fritz beibringen, die Finger vom VPN-Kram wegzulassen? Derzeit sind es nur
unterschiedliche Credentials. Lässt sie das, wenn ich alle VPN-User deaktiviere? Oder muss ich die löschen? Oder lauscht
sie dann immer noch?
vermutlich mußt Du alle Configs löschen, aber Du kannst ja einfach mal alel daktivieren, um zu schauen, ob das reicht.
lks
Hallo,
ich habe mal interessehalber bei meiner FB 7390 Benutzer angelegt die alle VPN dürfen sollen. Bei 16 Benutzer hab ich dann die Lust verloren weiter zu machen
Sollte somit die FB die Anzahl deiner VPN Benutzer nicht können? Da du meintest das nur ca. 3 parallel arbeiten sollte das Performance Thema weswegen AVM wohl nur 8 erlaubt auch kein Thema sein?!
MfG Martin
ich habe mal interessehalber bei meiner FB 7390 Benutzer angelegt die alle VPN dürfen sollen. Bei 16 Benutzer hab ich dann die Lust verloren weiter zu machen
Sollte somit die FB die Anzahl deiner VPN Benutzer nicht können? Da du meintest das nur ca. 3 parallel arbeiten sollte das Performance Thema weswegen AVM wohl nur 8 erlaubt auch kein Thema sein?!
MfG Martin
Hallo,
Gleich ganz und richtig.
- Die AVM Fritz!Box zu einem Modem machen und dann das VPN am RV082 terminieren.
Das soll kein Angriff auf Dich darstellen
Eine Routerkaskade kann man unter der Beachtung von drei Regeln recht flott zum fliegen bringen:
- Am Ersten Router wird das VPN terminiert.
- Am Ersten Router kommen die per VPN zu erreichenden Geräte. (Server, NAS,...)
- Der erste Router hat kann oder sollte ein Modem haben und am zweiten Router sollte kein Modem vorhanden sein.
Ist nicht viel und auch nicht schwer, damit bekommt es wirklich jeder Laie hin und auch wenn er das
zum ersten Mal aufsetzt! Klar VPN an sich ist kein schweres Thema und daran beißen sich oftmals
auch gute und langjährige sowie erfahrene Admins die Zähne aus, gar keine Frage.
Nur ich verstehe nicht wie man das dann jedes mal genau anders herum oder sonst irgend wie machen
muss, will, soll oder was weiß ich noch. Man unterscheidet zwischen drei DMZ Hauptvarianten und
was weiß ich noch wie vielen Nebenlösungen:
- Pseudo DMZ durch die Nutzung des "Eposed Host" - Pseudo DMZ wie der Name schon suggeriert
- Eine Firewall oder einen Router mit Hardware DMZ Port - > True & dirty DMZ
- Eine Router- bzw. Firewallkaskade - True & clean DMZ
Wenn man nun alsio den Bedarf einer DMZ hat und sicherlich auch dafür gründe anführt die nicht
von der Hand zu weisen sind, dann entscheidet man sich doch aber bitte für die geeignete Lösung
oder sehe ich das jetzt zu verbissen!? Klar kann man mit einem tiefer gelegtem Auto auch ins schwere Gelände!
In Deinem Fall würde ich dann wohl eher sagen das Du nicht die geeignete Hardware hast
und/oder nicht das Geld Dir solche zu beschaffen, zum Beispiel eine Cisco RV320 und ein (V)DSL Modem.
Dann kann man doch aber mit dem Cisco RV082 und der Fritz!Box die als Modem läuft das
ganze sauber zum fliegen bringen, oder? Das Ganze wird hier im Forum so ca. 150 Mal im
Jahr erfolgreich durch diskutiert und die Suchfunkton lässt grüßen.
Klingt nicht ganz freundlich ist aber durchaus so gemeint und musste einfach mal raus.
Gruß
Dobby
Client z.B. Shrewsoft - ... - Internet - Fritz Box 7390 - Cisco RV082 - Server
Lass das lieber gleich sein und mach es wie folgt:Gleich ganz und richtig.
Die Fritz Box bekommt vom Provider eine statische IP.
- An der AVM Fritz!Box das VPN terminieren- Die AVM Fritz!Box zu einem Modem machen und dann das VPN am RV082 terminieren.
Wo ist das Problem?
Das liegt leider bei Dir, zumindest so wie ich das sehe.Das soll kein Angriff auf Dich darstellen
Eine Routerkaskade kann man unter der Beachtung von drei Regeln recht flott zum fliegen bringen:
- Am Ersten Router wird das VPN terminiert.
- Am Ersten Router kommen die per VPN zu erreichenden Geräte. (Server, NAS,...)
- Der erste Router hat kann oder sollte ein Modem haben und am zweiten Router sollte kein Modem vorhanden sein.
Ist nicht viel und auch nicht schwer, damit bekommt es wirklich jeder Laie hin und auch wenn er das
zum ersten Mal aufsetzt! Klar VPN an sich ist kein schweres Thema und daran beißen sich oftmals
auch gute und langjährige sowie erfahrene Admins die Zähne aus, gar keine Frage.
Nur ich verstehe nicht wie man das dann jedes mal genau anders herum oder sonst irgend wie machen
muss, will, soll oder was weiß ich noch. Man unterscheidet zwischen drei DMZ Hauptvarianten und
was weiß ich noch wie vielen Nebenlösungen:
- Pseudo DMZ durch die Nutzung des "Eposed Host" - Pseudo DMZ wie der Name schon suggeriert
- Eine Firewall oder einen Router mit Hardware DMZ Port - > True & dirty DMZ
- Eine Router- bzw. Firewallkaskade - True & clean DMZ
Wenn man nun alsio den Bedarf einer DMZ hat und sicherlich auch dafür gründe anführt die nicht
von der Hand zu weisen sind, dann entscheidet man sich doch aber bitte für die geeignete Lösung
oder sehe ich das jetzt zu verbissen!? Klar kann man mit einem tiefer gelegtem Auto auch ins schwere Gelände!
In Deinem Fall würde ich dann wohl eher sagen das Du nicht die geeignete Hardware hast
und/oder nicht das Geld Dir solche zu beschaffen, zum Beispiel eine Cisco RV320 und ein (V)DSL Modem.
Dann kann man doch aber mit dem Cisco RV082 und der Fritz!Box die als Modem läuft das
ganze sauber zum fliegen bringen, oder? Das Ganze wird hier im Forum so ca. 150 Mal im
Jahr erfolgreich durch diskutiert und die Suchfunkton lässt grüßen.
Klingt nicht ganz freundlich ist aber durchaus so gemeint und musste einfach mal raus.
Gruß
Dobby
Zitat von @108012:
- Die AVM Fritz!Box zu einem Modem machen und dann das VPN am RV082 terminieren.
- Die AVM Fritz!Box zu einem Modem machen und dann das VPN am RV082 terminieren.
Hi Dobby,
Falls Du es nciht mitbekommen haben solltest:
AVM hat seit ein paar Jahren den "Modembetrieb" der Fritzboxen abgestellt. Man kann die nicht mehr als "einfaches Modem" betreiben. Dafür muß man erstmal eine Fritzbox haben, bei dem das irgendwann mal ging und dann noch irgendwoher die alte Firmware holen. Die gibt es aber bei AVM meist nicht mehr zum download, wenn man nicht gerade irgendeine Uralt-Fritzbox hat. Dann hat die aber andere Probleme.
lks
Falls Du es nciht mitbekommen haben solltest:
Doch habe ich, nur das ändert nichts daran dass ich eben lieber einen geraden Weg gehe undauch wenn es denn sehr unpopulär für viele Leute ist, lieber etwas Geld in die Hand zu nehmen
und eine saubere Lösung oder aber nach "best Practice" einzurichten, denn eine Frickellösung
jagt die nächste und ein Workarround ergänzt den nächsten bis es eben einmal richtig kracht
und nichts mehr geht oder sich immer mehr hausgemachte Probleme auftürmen.
AVM hat seit ein paar Jahren den "Modembetrieb" der Fritzboxen abgestellt. Man kann die nicht mehr als "einfaches > Modem" betreiben.
Welche Firmware hat er denn drauf?Dafür muß man erstmal eine Fritzbox haben, bei dem das irgendwann mal ging und dann noch irgendwoher die alte
Firmware holen.
Was für eine Fritz!Box hat er denn?Firmware holen.
Dann hat die aber andere Probleme.
Wohl eher nicht, dann hat er wenigstens ein Modem was er nutzen kannund zu nichts anderem habe ich Ihm ja auch geraten!
Gruß
Dobby
Zitat von @108012:
> Falls Du es nciht mitbekommen haben solltest:
Doch habe ich, nur das ändert nichts daran dass ich eben lieber einen geraden Weg gehe und
auch wenn es denn sehr unpopulär für viele Leute ist, lieber etwas Geld in die Hand zu nehmen
und eine saubere Lösung oder aber nach "best Practice" einzurichten, denn eine Frickellösung
jagt die nächste und ein Workarround ergänzt den nächsten bis es eben einmal richtig kracht
und nichts mehr geht oder sich immer mehr hausgemachte Probleme auftürmen.
> Falls Du es nciht mitbekommen haben solltest:
Doch habe ich, nur das ändert nichts daran dass ich eben lieber einen geraden Weg gehe und
auch wenn es denn sehr unpopulär für viele Leute ist, lieber etwas Geld in die Hand zu nehmen
und eine saubere Lösung oder aber nach "best Practice" einzurichten, denn eine Frickellösung
jagt die nächste und ein Workarround ergänzt den nächsten bis es eben einmal richtig kracht
und nichts mehr geht oder sich immer mehr hausgemachte Probleme auftürmen.
Stimme ich Dir zu, aber die Fritzbox 7390 zum Modem machen funktioniert halt nicht mehr. Da muß er schon sich ein neues modem besorgen (hatte ich weiter oben auch schon irgendwo gesagt).
> AVM hat seit ein paar Jahren den "Modembetrieb" der Fritzboxen abgestellt. Man kann die nicht mehr als
"einfaches > Modem" betreiben.
Welche Firmware hat er denn drauf?
"einfaches > Modem" betreiben.
Welche Firmware hat er denn drauf?
Bei der 7390 unerheblich, weil meines Wissens die noch nie reinem Modembetrieb konnte.
> Dafür muß man erstmal eine Fritzbox haben, bei dem das irgendwann mal ging und dann noch irgendwoher die alte
> Firmware holen.
Was für eine Fritz!Box hat er denn?
s.o. (7390)
> Dann hat die aber andere Probleme.
Wohl eher nicht, dann hat er wenigstens ein Modem was er nutzen kann
und zu nichts anderem habe ich Ihm ja auch geraten!
Wohl eher nicht, dann hat er wenigstens ein Modem was er nutzen kann
und zu nichts anderem habe ich Ihm ja auch geraten!
Die (ur-)alten Fritzboxen machen an aktuellen DSLAMs Probleme. Die kann man meist enstsorgen oder zweckentfremden, wenn der der Provider auf aktuelle Technik umstellt.
lks
