9
VPN-IPSec Ports "doppelt" nutzen?
Hallo in den ruhigen Sonntag Nachmittag,
ist vermutlich ne "dumme" Frage aber ich habe es noch nie probiert und möchte mir mein bestehendes VPN-Setup auch nicht zerschießen.
Folgende Situation:
a) l2tp/IPSec-VPN von Mobil-Clients an den Büro-Router läuft, wie es soll.
b) Nun möchte ich aber zusätzlich noch ein Site2Site vom Büro-Router zu einer Fritzbox aufbauen. EdgeMax bietet mir da auch ein IPSec Site2Site an.
Die Ports sind aber - ja eigentlich - dem l2tp "zugewiesen". Oder kann man das beides parallel einsetzen?
Viele Grüße
PS: Eigentlich kann das nciht funktionieren. Um l2tp "hinter" der Fritze einsetzen zu können musste ich ja auch das eingebaute VPN deaktivieren. Aber evtl. kann mir das trotzdem hier nochmal jemand bestätigen. Dann muss ich mir was anderes überlegen.
ist vermutlich ne "dumme" Frage aber ich habe es noch nie probiert und möchte mir mein bestehendes VPN-Setup auch nicht zerschießen.
Folgende Situation:
a) l2tp/IPSec-VPN von Mobil-Clients an den Büro-Router läuft, wie es soll.
b) Nun möchte ich aber zusätzlich noch ein Site2Site vom Büro-Router zu einer Fritzbox aufbauen. EdgeMax bietet mir da auch ein IPSec Site2Site an.
Die Ports sind aber - ja eigentlich - dem l2tp "zugewiesen". Oder kann man das beides parallel einsetzen?
Viele Grüße
PS: Eigentlich kann das nciht funktionieren. Um l2tp "hinter" der Fritze einsetzen zu können musste ich ja auch das eingebaute VPN deaktivieren. Aber evtl. kann mir das trotzdem hier nochmal jemand bestätigen. Dann muss ich mir was anderes überlegen.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1280282807
Url: https://administrator.de/forum/vpn-ipsec-ports-doppelt-nutzen-1280282807.html
Ausgedruckt am: 07.04.2025 um 21:04 Uhr
9 Kommentare
Neuester Kommentar
Hi,
Port = Anwendung, heißt ein Port pro Anwendung. Da IPSec und L2TP sich UDP 500 und ESP 50 teilen, kannst du es so nicht umsetzen, bzw. du brauchst eine andere Kombination ggf. mit OpenVPN.
VG
Port = Anwendung, heißt ein Port pro Anwendung. Da IPSec und L2TP sich UDP 500 und ESP 50 teilen, kannst du es so nicht umsetzen, bzw. du brauchst eine andere Kombination ggf. mit OpenVPN.
VG
Mist. Der Kopf hat ja eh schon abgewunken ... aber jetzt macht das Herz auch nen Knick 
Danke Dir fürs Feedback.
Danke Dir fürs Feedback.
Der Büro-Router wäre dann gleichzeitig Client und Server? Das sollte an sich gehen, wenn der Büro-Router das supported. Technisch spricht wenig dagegen.
Den Teil verstehe ich gerade nicht - ich blicke auch ehrlich gesagt nicht ganz durch, wo welcher Router wie angeschlossen steht.
Du hast Clients hinter ebendieser FritzBox, zu der das neue Site2Site aufgebaut werden soll? Die verbinden sich ebenfalls zum Büro-Router?
Zitat von @Visucius:
PS: Eigentlich kann das nciht funktionieren. Um l2tp "hinter" der Fritze einsetzen zu können musste ich ja auch das eingebaute VPN deaktivieren. Aber evtl. kann mir das trotzdem hier nochmal jemand bestätigen. Dann muss ich mir was anderes überlegen.
PS: Eigentlich kann das nciht funktionieren. Um l2tp "hinter" der Fritze einsetzen zu können musste ich ja auch das eingebaute VPN deaktivieren. Aber evtl. kann mir das trotzdem hier nochmal jemand bestätigen. Dann muss ich mir was anderes überlegen.
Den Teil verstehe ich gerade nicht - ich blicke auch ehrlich gesagt nicht ganz durch, wo welcher Router wie angeschlossen steht.
Du hast Clients hinter ebendieser FritzBox, zu der das neue Site2Site aufgebaut werden soll? Die verbinden sich ebenfalls zum Büro-Router?
So sieht das aktuell aus (gestrichelte Linie):
Ich muss dann natürlich das l2tp hinter der Fritze und das dortige iPSec-Routing zur Synology deaktivieren. Das wäre aber kein Problem.
Die Frage ist - ob auf der Büro-Seite der Edgerouter sowohl das Client2Server VPN mit l2tp/IPSec als auch das Site2Site IPSec abwickeln kann.
(und nebenbei ob die beiden IPSec-VPNs von EdgeOS und AVM kompatibel sind)
Servus.
Bei Ubiquity sollte man dazu auch mal die CLI hernehmen die UI bietet hier oft nur Standardkost und oft nicht alle Möglichkeiten die sich per CLI realisieren lassen.
https://help.ui.com/hc/en-us/articles/115011377588-EdgeRouter-Route-Base ...
https://help.ui.com/hc/en-us/articles/204950294-EdgeRouter-L2TP-IPsec-VP ...
Grüße Uwe
Zitat von @Visucius:
Die Frage ist - ob auf der Büro-Seite der Edgerouter sowohl das Client2Server VPN mit l2tp/IPSec als auch das Site2Site IPSec abwickeln kann.
In der Regel ist das kein Problem. Auf dem Server sind das nur separate IPSec Profile die nebeneinander existieren und auch laufen können. Bei L2TP kommt dann eben nur noch Port 1701UDP zusätzlich mit ins Spiel "nachdem" der IPSec Tunnel steht.Die Frage ist - ob auf der Büro-Seite der Edgerouter sowohl das Client2Server VPN mit l2tp/IPSec als auch das Site2Site IPSec abwickeln kann.
Bei Ubiquity sollte man dazu auch mal die CLI hernehmen die UI bietet hier oft nur Standardkost und oft nicht alle Möglichkeiten die sich per CLI realisieren lassen.
https://help.ui.com/hc/en-us/articles/115011377588-EdgeRouter-Route-Base ...
https://help.ui.com/hc/en-us/articles/204950294-EdgeRouter-L2TP-IPsec-VP ...
Grüße Uwe
@colinardo:
Danke Dir, dann probiere ich das mal. Das l2tp/IPSec-Setup habe ich schon über die CLI realisiert.
Danke Dir, dann probiere ich das mal. Das l2tp/IPSec-Setup habe ich schon über die CLI realisiert.
Die Kollegen @LordGurke und Uwe haben recht, das klappt (getestet) vollkommen vollkommen problemlos parallel.
Man kann einen IPsec Server ja generell immer als Client Dialin und für zig Site-to-Site VPN Tunnel nutzen. Wenn du 10 Aussenstellen hast hast du ja auch 10 VPN Tunnel parallel.
Du definierst ja auf dem mT für die FritzBox einen vom L2TP Tunnel komplett separaten Site-to-Site Tunnel.
Musst du nicht ! Klappt auch wunderbar über die WinBox. Guckst du hier:
Scheitern am IPsec VPN mit MikroTik
Man kann einen IPsec Server ja generell immer als Client Dialin und für zig Site-to-Site VPN Tunnel nutzen. Wenn du 10 Aussenstellen hast hast du ja auch 10 VPN Tunnel parallel.
Du definierst ja auf dem mT für die FritzBox einen vom L2TP Tunnel komplett separaten Site-to-Site Tunnel.
Das l2tp/IPSec-Setup habe ich schon über die CLI realisiert.
Guckst du hier:Scheitern am IPsec VPN mit MikroTik
Ubiquity und Winbox? Das gibt Abzüg Aqui, du musst mal auf die 🏝️. 🙂
Ooops wie peinlich ! 😵💫
Wer lesen kann.... Ich gehe direkt auf die 🏝️ und nicht über Los !!
Wer lesen kann.... Ich gehe direkt auf die 🏝️ und nicht über Los !!
