15
VPN über die Fritzbox auf Lancom WLC zugreifen
Hallo Zusammen,
bin neu hier und habe eine Frage.
Ich möchte gerne per VPN (MyFritz) über meine Fritzbox Cable auf meinen Lancom WLC zugreifen.
Wann muss ich den genau beachten bzw. einrichten?
Von meinem internen LAN kann ich über den Lancom WLC auf die Fritzbox zugreifen.
Aber wenn ich mich direkt an die Fritzbox stecke habe ich keinen Zugriff auf den Lancom WLC.
Die Fritzbox hat das Netzwerk 10.0.10.0/24, DHCP Server ist aus. Der Lancom hängt mit LAN 1 an der Fritzbox mit der Statischen IP 10.0.10.254/24 und der Lancom stellt dann das lokale Netzwerk zur Verfügung (192.168.200.0/24, mit DHCP Server)
Ich habe schon das ganze per statischer Route in der Fritzbox versucht aber leider ohne Erfolg.
Würde mich freuen wenn es klappen könnte.
Gruß
Jan
bin neu hier und habe eine Frage.
Ich möchte gerne per VPN (MyFritz) über meine Fritzbox Cable auf meinen Lancom WLC zugreifen.
Wann muss ich den genau beachten bzw. einrichten?
Von meinem internen LAN kann ich über den Lancom WLC auf die Fritzbox zugreifen.
Aber wenn ich mich direkt an die Fritzbox stecke habe ich keinen Zugriff auf den Lancom WLC.
Die Fritzbox hat das Netzwerk 10.0.10.0/24, DHCP Server ist aus. Der Lancom hängt mit LAN 1 an der Fritzbox mit der Statischen IP 10.0.10.254/24 und der Lancom stellt dann das lokale Netzwerk zur Verfügung (192.168.200.0/24, mit DHCP Server)
Ich habe schon das ganze per statischer Route in der Fritzbox versucht aber leider ohne Erfolg.
Würde mich freuen wenn es klappen könnte.
Gruß
Jan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 397206
Url: https://administrator.de/contentid/397206
Printed on: April 18, 2024 at 10:04 o'clock
15 Comments
Latest comment
Moin...
das ist eine Router Kaskade, du musst eine portweiterleitung einrichten!
Port 1723 TCP
Port 500 UDP
für IPSec noch Port 50 TCP und UDP
nutze mal die Forums suche!
Frank
das ist eine Router Kaskade, du musst eine portweiterleitung einrichten!
Port 1723 TCP
Port 500 UDP
für IPSec noch Port 50 TCP und UDP
nutze mal die Forums suche!
Frank
du musst eine portweiterleitung einrichten!
Eigentlich nicht...!So wie man die Beschreibung richtig versteht will er das IPsec VPN ja auf der FritzBox selber terminieren und nicht auf dem Lancom. Dann muss er die IPsec VPN Pakete eigentlich nicht weiterleiten.
Dafür reicht es eigentlich eine statische Route in der FB zu konfigurieren:
Zielnetz: 192.168.200.0, Maske: 255.255.255.0, Gateway: 10.0.10.254
Ferner muss die Firewall am Lancom angepasst werden das diese Pakete von außen am WAN Port nach innen passieren dürfen !!
Und....der Lancom darf KEIN NAT (IP Adress Translation) an seinem WAN Port machen.
Das muss ein rein geroutetes Design ohne NAT am Lancom WAN Port sein wie es hier beschrieben ist:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Nur dann ist das so machbar.
Die andere Option ist tatsächlich das IPsec VPN per Port Forwarding via FB dann auf dem Lancom zu terminieren. Der kann ja wie die FB auch IPsec.
Und dann von dort direkt ins lokale LAN.
Besser wäre es hier auch wenn die Kaskade ohne das überflüssige NAT arbeiten würde also rein geroutet.
Die To Dos für diese Setup Version erklärt dieses Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mit beiden Optionen ist das problemlos zu machen. Option 2 wäre etwas einfacher umzusetzen.
https://www2.lancom.de/kb.nsf/1275/80B757214B07D6FCC12580B200504338?Open ...
https://www.benjaminluebbe.de/pages/it-hilfethemen/netzwerk/vpn/lancom-u ...
@Vision2015
Port 1723 TCP
Nein ! Den braucht er nicht.Wäre sogar ziemlich kontraproduktiv. TCP 1723 ist Teil des PPTP VPN Protokolls und das ist megatot:
VPNs einrichten mit PPTP
Zudem supporten die Fritz Gurken gar kein PPTP.
UDP 4500 (NAT Traversal) bräuchte er bei IPsec VPNs noch zusätzlich hier. Siehe Tutorial oben !
Hallo,
danke für eure Antworten.
@aqui
Ja, so war es auch gemeint. Ich möchte per VPN auf die Fritzbox zugreifen.
Habe ich eingerichtet.
Ist eingerichtet und sollte passen. Habe die Firewall auch mal kurz deaktiviert.
Habe ich abgeschaltet.
Leider bekomme ich keine Verbindung zum Lacom. Ich stecke zum Testen direkt an der Fritzbox.
Gruß
Jan
danke für eure Antworten.
@aqui
Ja, so war es auch gemeint. Ich möchte per VPN auf die Fritzbox zugreifen.
Dafür reicht es eigentlich eine statische Route in der FB zu konfigurieren:
Zielnetz: 192.168.200.0, Maske: 255.255.255.0, Gateway: 10.0.10.254
Zielnetz: 192.168.200.0, Maske: 255.255.255.0, Gateway: 10.0.10.254
Habe ich eingerichtet.
Ferner muss die Firewall am Lancom angepasst werden das diese Pakete von außen am WAN Port nach innen passieren dürfen !!
Ist eingerichtet und sollte passen. Habe die Firewall auch mal kurz deaktiviert.
Und....der Lancom darf KEIN NAT (IP Adress Translation) an seinem WAN Port machen.
Habe ich abgeschaltet.
Leider bekomme ich keine Verbindung zum Lacom. Ich stecke zum Testen direkt an der Fritzbox.
Gruß
Jan
In diesem Fall würde ich den WLC ohne konfiguriertes WAN betreiben.
Schritt 1: du löscht sämtliche Routen und WAN-Gegenstellen auf dem LANCOM
Schritt 2: du legst ein weiteres IP-Netzwerk an mit den Einstellungen des Netzwerks zwischen Fritzbox und WLC, also 10.0.10.254/24
Schritt 3: du legst auf dem WLC eine Route an (Defaultroute bzw. 255.255.255.255 0.0.0.0 auf 10.0.10.1 (vermute mal davon aus, dass das die IP der FBox ist, die hast du oben nicht angegeben)
Schritt 4: du legst auf der FBox eine statische Route an, die 192.168.200.0/24 auf die 10.0.10.254 zeigen lässt
Schritt 5: du musst vermutlich das Fritzbox-VPN neu anlegen, da du die SA-Erzeugung ändern musst. Dieses geht nur durch den Import einer Konfigurationsdatei, welche früher von dem entsprechenden AVM Programm erzeugt wurde. In der VPN-Konfigurationsdatei gibt es irgendwo den Punkt phase2localid, dieser muss so angepasst werden, dass sowohl 10.0.10.0/24 als auch 192.168.200.0/24 enthalten ist. Das AVM Tool legt immer nur das lokale Netzwerk der Fritzbox an.
Schritt 1: du löscht sämtliche Routen und WAN-Gegenstellen auf dem LANCOM
Schritt 2: du legst ein weiteres IP-Netzwerk an mit den Einstellungen des Netzwerks zwischen Fritzbox und WLC, also 10.0.10.254/24
Schritt 3: du legst auf dem WLC eine Route an (Defaultroute bzw. 255.255.255.255 0.0.0.0 auf 10.0.10.1 (vermute mal davon aus, dass das die IP der FBox ist, die hast du oben nicht angegeben)
Schritt 4: du legst auf der FBox eine statische Route an, die 192.168.200.0/24 auf die 10.0.10.254 zeigen lässt
Schritt 5: du musst vermutlich das Fritzbox-VPN neu anlegen, da du die SA-Erzeugung ändern musst. Dieses geht nur durch den Import einer Konfigurationsdatei, welche früher von dem entsprechenden AVM Programm erzeugt wurde. In der VPN-Konfigurationsdatei gibt es irgendwo den Punkt phase2localid, dieser muss so angepasst werden, dass sowohl 10.0.10.0/24 als auch 192.168.200.0/24 enthalten ist. Das AVM Tool legt immer nur das lokale Netzwerk der Fritzbox an.
Hallo tikayevent,
also meinst du so? Die Fritzbox hat die IP: 10.0.10.254
Altes Routing (Sollten diese nicht drin bleiben da es die Standart Routen sind ?)
Neues Routing
IP-Netzwerke
Das habe ich schon so drin
Das mache ich dann wenn ich von der Fritzbox auf den Lancom zugreifen kann.
Gruß
Jan
also meinst du so? Die Fritzbox hat die IP: 10.0.10.254
Schritt 1: du löscht sämtliche Routen und WAN-Gegenstellen auf dem LANCOM
Schritt 2: du legst ein weiteres IP-Netzwerk an mit den Einstellungen des Netzwerks zwischen Fritzbox und WLC, also 10.0.10.254/24
Schritt 4: du legst auf der FBox eine statische Route an, die 192.168.200.0/24 auf die 10.0.10.254 zeigen lässt
Das habe ich schon so drin
Schritt 5: du musst vermutlich das Fritzbox-VPN neu anlegen, da du die SA-Erzeugung ändern musst. Dieses geht nur durch den Import einer Konfigurationsdatei, welche früher von dem entsprechenden AVM Programm erzeugt wurde. In der VPN-Konfigurationsdatei gibt es irgendwo den Punkt phase2localid, dieser muss so angepasst werden, dass sowohl 10.0.10.0/24 als auch 192.168.200.0/24 enthalten ist. Das AVM Tool legt immer nur das lokale Netzwerk der Fritzbox an.
Das mache ich dann wenn ich von der Fritzbox auf den Lancom zugreifen kann.
Gruß
Jan
Moin...
da ich von einem äteren WLC ausgegangen bin, wäre da PPTP möglich gewesen....
natürlich nicht...
aus aus mir noch unerfindlichen Gründen, hatte ich gelesen und verstanden, das das VPN über den WLC aufgebaut werden soll...
Frank
Zitat von @aqui:
So wie man die Beschreibung richtig versteht will er das IPsec VPN ja auf der FritzBox selber terminieren und nicht auf dem Lancom. Dann muss er die IPsec VPN Pakete eigentlich nicht weiterleiten.
dann natürlich nicht, das hatte ich anders gelesen!du musst eine portweiterleitung einrichten!
Eigentlich nicht...!So wie man die Beschreibung richtig versteht will er das IPsec VPN ja auf der FritzBox selber terminieren und nicht auf dem Lancom. Dann muss er die IPsec VPN Pakete eigentlich nicht weiterleiten.
@Vision2015
Wäre sogar ziemlich kontraproduktiv. TCP 1723 ist Teil des PPTP VPN Protokolls und das ist megatot:
das istauch richtig, allerdings nutzen viele noch PPTP... und wer hört schon, was wir sagen... Port 1723 TCP
Nein ! Den braucht er nicht.Wäre sogar ziemlich kontraproduktiv. TCP 1723 ist Teil des PPTP VPN Protokolls und das ist megatot:
da ich von einem äteren WLC ausgegangen bin, wäre da PPTP möglich gewesen....
natürlich nicht...
UDP 4500 (NAT Traversal) bräuchte er bei IPsec VPNs noch zusätzlich hier. Siehe Tutorial oben !
da hast du natürlich auch mit recht...aus aus mir noch unerfindlichen Gründen, hatte ich gelesen und verstanden, das das VPN über den WLC aufgebaut werden soll...
Frank
Nein, ich hatte gesagt, dass das die Routingtabelle komplett geleert werden muss, auch die Route zu KABELD muss weg. Die von dir angelegte Route ist aber auch nicht korrekt. Ich sagte 255.255.255.255/0.0.0.0 und nicht 255.255.255.0/0.0.0.0. Des Weiteren muss die Maskierung abgeschaltet werden. Bei den vordefinierten Routen handelt es sich um Sperrrouten, die verhindern sollen, dass Anfragen an private IP-Adressen ins Internet geroutet werden. Da der WLC aber nicht direkt im Internet steht, können die weg.
Unter DSL-Gegenstellen musst du dann noch die Gegenstelle KABELD löschen.
Unter DSL-Gegenstellen musst du dann noch die Gegenstelle KABELD löschen.
Hallo tikayevent,
nur zur Sicherheit:
Routingtabelle leer
Gegenstelle DSL
Das neue IP-Netz
Die Route in der Fritzbox steht ja.
Das sollte dann so passen?
Gruß
Jan
nur zur Sicherheit:
Die Route in der Fritzbox steht ja.
Das sollte dann so passen?
Gruß
Jan
So, jetzt wieder die Default-Route anlegen. IP-Adresse 255.255.255.255 Netzmaske 0.0.0.0 Router 10.0.10.1 IP-Maskierung abgeschaltet und dann sollte es klappen.
Leider nicht.
Fritzbox Route:
IP: 192.168.200.0
Subnetz: 255.255.255.0
Gateway: 10.0.10.254
Habe auch die Firewall deaktiviert.
Gruß
Fritzbox Route:
IP: 192.168.200.0
Subnetz: 255.255.255.0
Gateway: 10.0.10.254
Habe auch die Firewall deaktiviert.
Gruß
Leider nicht.
Die Default Route ist ja auch FALSCH !Du hast da eine All Net Broadcast Adresse eingetippt, was Unsinn ist.
Default Routen stellt man in der Regel als 0.0.0.0 /0 oder auch 0.0.0.0 0.0.0.0 dar. Wäre verwunderlich wenn die Weltfirma Lancom das anders machen würde als der gesamte Rest der Welt.
Hallo aqui,
Ok...
Das heißt ich gebe bei dir Routingtabelle 0.0.0.0/0 an und beim Router die 10.0.10.1?
Gruß
Jan
Ok...
Das heißt ich gebe bei dir Routingtabelle 0.0.0.0/0 an und beim Router die 10.0.10.1?
Gruß
Jan
LANCOM ist da anders und die Default-Route lautet dort 255.255.255.255/0.0.0.0.
https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa107939 ...
Wie ermittelst du denn, dass die Verbindun von 10.0.10.0/24 nach 192.168.200.0/24 funktioniert?
https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa107939 ...
Wie ermittelst du denn, dass die Verbindun von 10.0.10.0/24 nach 192.168.200.0/24 funktioniert?
Ich meine eine Ping abfrage und bekomme keine Antwort. Habe schon versucht per Lancon Software auf den WLC zuzugreifen.
LANCOM ist da anders
Sorry für die Verwirrung, war mir nicht bekannt das die ne Extrawurst braten...Wenn dein Ping weiterhin nicht klappt, kommt vermutlich gar kein VPN zustande. Hast du dir da mal die VPN Logs angesehen sowohl von Client als auch Server ? Terminierst du das VPN jetzt auf der FB oder dem Lancom ?
Statt Ping kannst du auch mal Traceroute versuchen. Da wo es hängen bleibt ist meistens auch der Fehler.
