27
VPN Kaskade
Einen schönen guten Tag. Ich bin neu hier und hätte ein paar Fragen. Gelesen habe ich schon viel, gebe aber zu, dass es ziemlich verwirrend ist. Auch habe ich diverse Anleitungen von aqui gelesen. Trotzdem ergeben sich Fragen. Da ich nicht immer am PC sitze, können Antworten manchmal länger dauern. Danke schon mal für Eure Aufmerksamkeit.
Seit kurzen habe ich Glasfaser und vom Provider als Miete die Fritzbox 5490, soweit so gut.
Nun will ich eine VPN Verbindung über die Fritzbox zu meinen Netzwerk aufbauen um Kalender und Adressen zu synchroniesieren, die von meiner DSM Synology(darüber kein VPN) kommen, das ganze über Wireguard. Nun hat aber die 5490 kein Wireguard, da Fritz OS 7.31
Ich habe aber noch eine 7590, die ich gern benutzen will, weil da das OS 7.58 drauf ist, ergo Wieguard. Nach viel Lesen weiß ich immerhin, das das nur geht, wenn die 7590 als Router arbeitet.
Nun die Fragen.
Sollte ich die 5490 nur als Modem laufen lassen oder in einer Kaskade, was ist sicherer
Reicht es nun alle PC's, Laptops und NAS im Netzwerk an die 7590 zu hängen und kann ich dann Wireguard benutzen?.
Bleibt meine Telefonie in der 5490 oder soll die auch mit umziehen?
Synchronisieren sich die Adress- und Kalenderdaten dann in beide Richtungen?
Sind Smartphone und Laptop im lokalen Netz, synchronisieren sie sich über VPN oder lokal?
Bei einer Kaskade können sich dann alle Geräte, auch das NAS (an der 7590), die an der 5490 hängen im lokalen Netz mit den Geräten an der 7590 verbinden, in beide Richtungen bzw. können die Netze komplett getrennt voneinander arbeiten und welche Einstellungen(Forwarding) sind vorzunehmen in beiden Fällen?
Seit kurzen habe ich Glasfaser und vom Provider als Miete die Fritzbox 5490, soweit so gut.
Nun will ich eine VPN Verbindung über die Fritzbox zu meinen Netzwerk aufbauen um Kalender und Adressen zu synchroniesieren, die von meiner DSM Synology(darüber kein VPN) kommen, das ganze über Wireguard. Nun hat aber die 5490 kein Wireguard, da Fritz OS 7.31
Ich habe aber noch eine 7590, die ich gern benutzen will, weil da das OS 7.58 drauf ist, ergo Wieguard. Nach viel Lesen weiß ich immerhin, das das nur geht, wenn die 7590 als Router arbeitet.
Nun die Fragen.
Sollte ich die 5490 nur als Modem laufen lassen oder in einer Kaskade, was ist sicherer
Reicht es nun alle PC's, Laptops und NAS im Netzwerk an die 7590 zu hängen und kann ich dann Wireguard benutzen?.
Bleibt meine Telefonie in der 5490 oder soll die auch mit umziehen?
Synchronisieren sich die Adress- und Kalenderdaten dann in beide Richtungen?
Sind Smartphone und Laptop im lokalen Netz, synchronisieren sie sich über VPN oder lokal?
Bei einer Kaskade können sich dann alle Geräte, auch das NAS (an der 7590), die an der 5490 hängen im lokalen Netz mit den Geräten an der 7590 verbinden, in beide Richtungen bzw. können die Netze komplett getrennt voneinander arbeiten und welche Einstellungen(Forwarding) sind vorzunehmen in beiden Fällen?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 14107875163
Url: https://administrator.de/forum/vpn-kaskade-14107875163.html
Ausgedruckt am: 20.04.2025 um 14:04 Uhr
27 Kommentare
Neuester Kommentar
Ich kenne die 5490 nicht ... bei DSL-FBs kann man diese auf - Nur-Modem-Bezrieb schalten ...
Alzernativ du ie nachfolgende FB in der 5490 Ort-Weizerleitung als "Exposed Host" konfigurieren ... sollte auch gehen 😉
"Bessere" Antworten folgen sicher bald
Alzernativ du ie nachfolgende FB in der 5490 Ort-Weizerleitung als "Exposed Host" konfigurieren ... sollte auch gehen 😉
"Bessere" Antworten folgen sicher bald
Hallo,
Vielleicht erwägst Du obendrein, das Setup zu überdenken. Warum eine zweite Fritzbox in Kaskade? Für privat tut es auch ein Wireguard-Server in Form eines (alten) Raspberry Pi (z.B.).
Viele Grüße, commodity
Sollte ich die 5490 nur als Modem laufen lassen oder in einer Kaskade, was ist sicherer
Es gibt bei Fritzboxen schon lange keinen Nur-Modem-Betrieb mehr. Ich denke, das ist bei der 5490 nicht anders. Kaskade schadet nicht. Sicherer ist es nicht, unsicherer auch nicht. Nur umständlicher Reicht es nun alle PC's, Laptops und NAS im Netzwerk an die 7590 zu hängen und kann ich dann Wireguard benutzen?
JaBleibt meine Telefonie in der 5490 oder soll die auch mit umziehen?
egalSynchronisieren sich die Adress- und Kalenderdaten dann in beide Richtungen?
Wenn Du den Tunnel so einrichtestSind Smartphone und Laptop im lokalen Netz, synchronisieren sie sich über VPN oder lokal?
Schwer zu sagen, weil Du nicht sagst, wie die Synchronisierung abläuft bzw. Du sie einrichten magst.Bei einer Kaskade können sich dann alle Geräte, auch das NAS (an der 7590), die an der 5490 hängen im lokalen Netz mit den Geräten an der 7590 verbinden, in beide Richtungen bzw. können die Netze komplett getrennt voneinander arbeiten und welche Einstellungen(Forwarding) sind vorzunehmen in beiden Fällen?
Das sind drei Fragen in einer und wirr obendrein. Leg vielleicht klarer dar, was Du fragen magst.Vielleicht erwägst Du obendrein, das Setup zu überdenken. Warum eine zweite Fritzbox in Kaskade? Für privat tut es auch ein Wireguard-Server in Form eines (alten) Raspberry Pi (z.B.).
Viele Grüße, commodity
Zitat von @commodity:
Hallo,
Hallo,
Sollte ich die 5490 nur als Modem laufen lassen oder in einer Kaskade, was ist sicherer
Es gibt bei Fritzboxen schon lange keinen Nur-Modem-Betrieb mehr. Ich denke, das ist bei der 5490 nicht anders.Warum nicht? 😉
PPPoE geht noch immer ...
und zwingt mich ja keiner, der FB selbst Zugangsdaten zu geben ...
In dem Fall - PPPoE-Passthrough und keine Zugangsdaten - ist es ein reiner Modem-Betrieb ...
Beschreibt auch AVM für die 5490 so ...
TitelFB5490: PPPoE-Passthrough
Zitat von AVM
Die FRITZ!Box [5490] verhält sich dabei den Geräten gegenüber wie ein Glasfasermodem.
Die FRITZ!Box [5490] verhält sich dabei den Geräten gegenüber wie ein Glasfasermodem.
Moin,
der PPPoE Passthrough Mode ist nicht zu wechseln mit dem früheren Bridge Mode.
Als ich noch ein FB hatte reichte es, diese schlicht nicht am WAN zu konfigurieren. Daraufhin war die PPPoE Anmeldung von einem Gerät hinter der FB möglich (Bridge Mode).
Gruß
Spirit
der PPPoE Passthrough Mode ist nicht zu wechseln mit dem früheren Bridge Mode.
Als ich noch ein FB hatte reichte es, diese schlicht nicht am WAN zu konfigurieren. Daraufhin war die PPPoE Anmeldung von einem Gerät hinter der FB möglich (Bridge Mode).
Gruß
Spirit
1Zitat von @Spirit-of-Eli:
Moin,
der PPPoE Passthrough Mode ist nicht zu wechseln mit dem früheren Bridge Mode.
Als ich noch ein FB hatte reichte es, diese schlicht nicht am WAN zu konfigurieren. Daraufhin war die PPPoE Anmeldung von einem Gerät hinter der FB möglich (Bridge Mode).
Gruß
Spirit
Moin,
der PPPoE Passthrough Mode ist nicht zu wechseln mit dem früheren Bridge Mode.
Als ich noch ein FB hatte reichte es, diese schlicht nicht am WAN zu konfigurieren. Daraufhin war die PPPoE Anmeldung von einem Gerät hinter der FB möglich (Bridge Mode).
Gruß
Spirit
Naja, ist halt heute wie von mir beschrieben "quasi" genauso möglich ...
Zitat von @MirkoKR:
Naja, ist halt heute wie von mir beschrieben "quasi" genauso möglich ...
Zitat von @Spirit-of-Eli:
Moin,
der PPPoE Passthrough Mode ist nicht zu wechseln mit dem früheren Bridge Mode.
Als ich noch ein FB hatte reichte es, diese schlicht nicht am WAN zu konfigurieren. Daraufhin war die PPPoE Anmeldung von einem Gerät hinter der FB möglich (Bridge Mode).
Gruß
Spirit
Moin,
der PPPoE Passthrough Mode ist nicht zu wechseln mit dem früheren Bridge Mode.
Als ich noch ein FB hatte reichte es, diese schlicht nicht am WAN zu konfigurieren. Daraufhin war die PPPoE Anmeldung von einem Gerät hinter der FB möglich (Bridge Mode).
Gruß
Spirit
Naja, ist halt heute wie von mir beschrieben "quasi" genauso möglich ...
Nein, im Bridge Mode kann die FB selbst keine Verbindung aufbauen. Im Passthrough Mode logischerweise ja schon.
Bridge = dummer Medien Wandler.
2Zitat von @Spirit-of-Eli:
Nein, im Bridge Mode kann die FB selbst keine Verbindung aufbauen. Im Passthrough Mode logischerweise ja schon.
Bridge = dummer Medien Wandler.
Nein, im Bridge Mode kann die FB selbst keine Verbindung aufbauen. Im Passthrough Mode logischerweise ja schon.
Bridge = dummer Medien Wandler.
Naja, haarspalterei ... 😉
Gibt halt keinen expliziten Bridge Modus mehr,...
... wenn aber keine Zugangsdaten eingetragen werden, ist die FB genauso dumm ...
kann also nur bridgen 😛😉
... alao nur Glasfaser- bzw. DSL-Modem mit Einwahl duech nachgeschaltetem PC oder Router, etc ...
Was aber nicht klärt, ob/das die FB auch PPPoE bereit stellt, obwohl sie selber gar nicht angemeldet ist.
M.W. ist PPPoE-Pathrough, wenn aktiviert, als Modem vollkommen unabhängig voon den FB-eigenen Funktionen ...
... so war zumindest auch mal eine Tedt-Config mit einer damaligen FB7490:
- FB: Passthrough aktiviert
- FB: keine Zuhangsdaten (hier damdals 1undQ)
- PC: Einwahl mit 1und1-Zugangsdaten per PPPoE
Ich habe aktuell jein DSL/kabel/Glasfaser, kann das also nicht nochmal testen ...
... aber der TO kann es ja:
- FB 5490 ohne Zugangsdaten
- FB 5490 mit aktiviertem Passthrough
- FB 7490 mit LAN/WAN Einwahl am LAN der FB 5490 angeschlossen
- FB 7490 mit Glasfaser-Zugangsdaten als PPPoE
Alternativ kann ja mal jemand, die Einwahl in seiner YfB abschalten, PPPoE aktivieren ...
... und mit PPPoE vom PC oder anderer HW oder SW-Firewall einwählen ...
Bin mal gespannt ... 😉🤓
Nachtrag:
MEIN Vorschlag wird z.B. hier fenau soo beachrieben:
https://ubiquiti-networks-forum.de/wiki/entry/55-fritz-box-dsl-modem-aka ...
MEIN Vorschlag wird z.B. hier fenau soo beachrieben:
https://ubiquiti-networks-forum.de/wiki/entry/55-fritz-box-dsl-modem-aka ...
Noch'n Nachtrag ,😉
Ein interessanter Beitrag auf goga.de zum
Fritz.Box: Bridge-Mode aktivieren
Wie weit das zutrifft, kann ICH aber nicht prüfwn ...🤓
Ein interessanter Beitrag auf goga.de zum
Fritz.Box: Bridge-Mode aktivieren
Wie weit das zutrifft, kann ICH aber nicht prüfwn ...🤓
Habe bei meinen Eltern mal zum Test das obige Szenario (FB an 1und1 DSL mit PPPoE Passthrough dahinter kleine PFSense Box) abgebildet.
Der Test läuft seit ca. drei Jahren
Netflix, Sky Internetradio und Themomix fühlen sich gut ans Internet angebunden und die 100/40 MBit/s Leitung steht auch voll und konstant zur Verfügung.
Ein VPN Tunnel von meiner Heim-Sense dorthin ist auch ohne Schwierigkeiten aktiv und meine Offsite-Datensicherung klappt seit den genannten drei Jahren.
Falls es Nachteile technischer Natur geben sollte, sind diese bis dato nicht aufgetreten.
Gruß
Marc
Ah, recht vielen Dank für die ganzen Antworten. Heute werde ich wohl nicht mehr dazu kommen, das alles mal auszuprobieren und für mich die beste Lösung zu finden.
Ich werde berichten, wie ich es eingerichtet haben.
Ja, das ist ein bisschen wirr, ich werde das mal genauer beschreiben und die Fragen aufdröseln.
Für heute muss ich das beenden, ich melde mich morgen Nachmittag oder Abend. Ich muss weiterarbeiten.
Danke nochmal für die Antworten.
Ich werde berichten, wie ich es eingerichtet haben.
Bei einer Kaskade können sich dann alle Geräte, auch das NAS (an der 7590), die an der 5490 hängen im lokalen Netz mit den Geräten an der 7590 verbinden, in beide Richtungen bzw. können die Netze komplett getrennt voneinander arbeiten und welche Einstellungen(Forwarding) sind vorzunehmen in beiden Fällen?
Ja, das ist ein bisschen wirr, ich werde das mal genauer beschreiben und die Fragen aufdröseln.
Für heute muss ich das beenden, ich melde mich morgen Nachmittag oder Abend. Ich muss weiterarbeiten.
Danke nochmal für die Antworten.
MEIN Vorschlag ...
Hier will ja jemand unbedingt gern rechthaben Soll er bekommen
Also Mirko, Du hast Recht Der PPPoE Passthrough sollte funktionieren. Hat Heise ja schon vor Ewigkeiten für die 7412 empfohlen. Und mag immer noch gehen.
Ob man ein solches Gewürge als "Modem-Betrieb" ansehen mag, sei mal dahingestellt. Ich hatte das vor Jahren zu Testzwecken vor einer PfSense für ein paar Monate am Laufen. Da gab es auf der Leitung von der 7412 her allerdings Auffälligkeiten im VOiP-Bereich des dahinter liegenden Asterisk, die ich am Ende der FB zugeschrieben habe. Der Rest der Internetanbindung lief korrekt. Nach Installation eines Draytek im Bridge-Betrieb waren die Probleme wie weggeblasen.
Für den TO dürfte ein PPPoE-Passthrough aber auch problematisch sein, weil ihm die vordere FB dazwischenfunken dürfte. Die Telefonie kann er bei dem Konstrukt nicht in der vorderen FB lassen, weil er sonst eine Doppeleinwahl hätte, die IMO illegal ist oder zumindest unterbunden wird. Legt er sie in die hintere FB macht die FB dahinter bei der Telefonie gern Zicken, IMO jedenfalls wenn diese auch auf Port 5060 läuft, was die FB ja nun mal voraus setzt. Meine FB-Zeit ist schon eine Weile her, aber so erinnere ich es - vielleicht kann der Kollege @radiogugu nach seinem Dauertest hier was zu sagen.
So ein Gewürge ist vielleicht nicht die Empfehlung, die diesem Forum gerecht wird. Das ist IMO was für Computerbase, Gutefrage & Co.
Viele Grüße, commodity
1Zitat von @commodity:
Soll er bekommen Also Mirko, Du hast Recht
MEIN Vorschlag ...
Hier will ja jemand unbedingt gern rechthaben Soll er bekommen
Also Mirko, Du hast Recht 😆
Der PPPoE Passthrough sollte funktionieren. Hat Heise ja schon vor Ewigkeiten für die 7412 empfohlen. Und mag immer noch gehen.
Legt er sie in die hintere FF [...] macht die FB dahinter bei der Telefonie gern Zicken],
IMO jedenfalls wenn diese auch auf Port 5060 läuft, was die FB ja nun mal voraus setzt.
IMO jedenfalls wenn diese auch auf Port 5060 läuft, was die FB ja nun mal voraus setzt.
Da die hintere FB ja an der vorderen vorbei eine PPPoE Verbindung aufbaut, dürfte das nicht stören ...
... die "passthrough" PPPoE ist ja vollkommen unabhängig von der Routerfunktion und evtl. Einwahl der vorderen FB ...
... zumal sich in der genannten Konfiguratipn ja auch keine IP-Verbindung gibt, die auf 5060 lauschen könnte ...
Der Test läuft seit ca. drei Jahren
Es läuft deshalb weil zu 99% auf der FB selber keine oder bewusst falsche PPPoE Credentials eingetragen sind. 2 parallele PPPoE Sessions auf einem Anschluss supportet bekanntlich keiner der üblichen Provider.Das die dann per PPPoE Passthrough geforwardete PPPoE Session der pfSense problemlos rennt steht außer Frage. Das wird sicher auch die nächsten 3 Jahre noch sauber so laufen!
1Zitat von @aqui:
2 parallele PPPoE Sessions auf einem Anschluss supportet bekanntlich keiner der üblichen Provider.
2 parallele PPPoE Sessions auf einem Anschluss supportet bekanntlich keiner der üblichen Provider.
Bei 1und1 am damals neuen Wohnort konnte ich mit PPPoE Passthrough mit den Zigangsdaten des noch aktiven Anschlusses des alten Wohnorts parallel einwählen - FB und PC mit unterschiedlichen Zugangsdaten ...
... bei beiden war die Telekom Leitungslieferant ...
Ich vermute aber mal, das die Provider das heute strikter steuern ...
... damals las ich im Netz, das tatsächlich jemand eine zusätzliche RG bekam für eine 2te Verbindung mit denselben Zugangsdaten am selben Standort ...
Zitat von @commodity
So ein Gewürge ist vielleicht nicht die Empfehlung, die diesem Forum gerecht wird. Das ist IMO was für Computerbase, Gutefrage & Co.
So ein Gewürge ist vielleicht nicht die Empfehlung, die diesem Forum gerecht wird. Das ist IMO was für Computerbase, Gutefrage & Co.
Würde ich jetzt nicht unbedingt Gewürge bezeichnen, da die Konstellation als "Nur Passthrough als Modem ohne eigene Einwahl" sicher auch in KMU interessant sein kann, wenn man sich nicht ein zusätzliches [Glasfaser-] Modem anschaffen, aber dem Zigang in der FW verwalten will ...
... klar unumstritten: Die FB wird dadurch kastriert ...
1sicher auch in KMU interessant
Das ist verantwortungsloses Palaver und ganz sicher nicht einmal etwas für ein Kleinstunternehmen.Ich gucke fast täglich in die Abgründe, die KU-Admins hinterlassen - aber das habe ich immerhin noch nicht gesehen
Für privat und zu Testzwecken völlig ok, wenn man mit etwaigen Wehwehchen (s.o.) leben kann/will.
Viele Grüße, commodity
2Zitat von @commodity:
sicher auch in KMU interessant
Das ist verantwortungsloses Palaver und ganz sicher nicht einmal etwas für ein Kleinstunternehmen.Das musst du näher begründen 😉
Eine [Glasfaser-] FritzBox, die selber keine IP-Verbindung aufbaut, sondern nur per passtrough - zu deutsch in etwa "unbeachtet vorbei lassen" ...
... sprich: nur Modemfunktion sichtbar, ist ja auf IP-Ebene gar nicht angreifbar.... 🤔
Nachtrag: ... höchstens auf der LAN-Seite der FB ... wo aber nur die Firewall dran hängen sollte, ggf. ohne aktive IP-Konfiguration, weil für den Bezrieb nicht nötig, allenfalls zur [einmaligen] Konfiguration der FB als PPPoE-Passthrough ...
Bei 1und1 am damals neuen Wohnort konnte ich mit PPPoE Passthrough mit den Zigangsdaten des noch aktiven Anschlusses des alten Wohnorts parallel einwählen
Dann gibt es eine Race Condition, sprich der Schnellere gewinnt. Die PPPoE Session der FW ist dann schlicht schneller und kommt öfter so das die der FB dann abgewiesen wird. So oder so klappt das natürlich aber man sollte dann dafür sogen das immer nur einer gewinnen kann wenn man auf Nummer sicher gehen will. 2Zitat von @aqui:
Bei 1und1 am damals neuen Wohnort konnte ich mit PPPoE Passthrough mit den Zigangsdaten des noch aktiven Anschlusses des alten Wohnorts parallel einwählen
Dann gibt es eine Race Condition, sprich der Schnellere gewinnt. Die PPPoE Session der FW ist dann schlicht schneller und kommt öfter so das die der FB dann abgewiesen wird. So oder so klappt das natürlich aber man sollte dann dafür sogen das immer nur einer gewinnen kann wenn man auf Nummer sicher gehen will. Bei Nutzung derselben Einwahldaten (Benutzername/Passwort) sehe ich das auch so ...
... hier gab es aber über längere Zeit 2 parallele Einwahlen mit 2 unterschiedlichen Daten ...
... und das das möglich ist, ist ja auch beschrieben ...
Die Telekom beschreibt, das bei bestimmten Anschlüssen bis zu 10 parallele Einwahlen möglich sind/waren ...
https://www.telekom.de/hilfe/festnetz-internet-tv/anschluss-verfuegbarke ...
Bei Glasfaser las ich irgendwo, das es einen Parameter z.B. CPE+1 (o.ä.) gibt, der die Anzahl paralleler Verbindungen definiert 🤔
Zitat von @commodity:
Meine FB-Zeit ist schon eine Weile her, aber so erinnere ich es - vielleicht kann der Kollege @radiogugu nach seinem Dauertest hier was zu sagen.
Meine FB-Zeit ist schon eine Weile her, aber so erinnere ich es - vielleicht kann der Kollege @radiogugu nach seinem Dauertest hier was zu sagen.
Telefonie ist an der Stelle kein Thema, da nur Mobiltelefone vorhanden.
Das Konstrukt mit aktiv genutztem Festnetz hätte eine sehr viel kürzere Testphase nach sich gezogen
Im KMU Bereich würde man sicherlich die paar € in ein richtiges Modem investieren und so eine Spielerei nicht als "Konstrukt" stehen lassen.
Gruß
Marc
3Das musst du näher begründen 😉
Muss ich nicht. Da halte ich es mit dem Känguru.Ist es dir aufgefallen, dass es manchen Leuten ein Bedürfnis zu sein scheint, das Offensichtliche auch noch in Worte zu fassen?
Und googlen kannst ja auch selbst
Keywords "fritzbox pppoe passthrough voip problem site:www.ip-phone-forum.de"Viele Grüße, commodity
1Zitat von @commodity:
Das musst du näher begründen 😉
Muss ich nicht. Da halte ich es mit dem Känguru.Jaja, die Känguru -Episode ...
guts nächtle 😛
Zitat von @MirkoKR:
Jaja, die Känguru -Episode ...
guts nächtle 😛
Zitat von @commodity:
Das musst du näher begründen 😉
Muss ich nicht. Da halte ich es mit dem Känguru.Jaja, die Känguru -Episode ...
guts nächtle 😛
Hat er doch recht mit
1
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Danke für die Diskussion, ich habe auf jeden Fall wieder mal was gelernt. Die 5490 läuft jetzt als Kaskade vor der 7590. Wenn ich wieder mal mehr Zeit habe kümmere ich mich noch mal um diese Problematik, incl. Firewall.
Ab momentan brauchte es eben eine einfache Lösung mit den Geräten die da sind und jetzt habe ich genügend Arbeit in anderen Bereichen an der frischen Luft.
Einen schönen Tag noch.
Ab momentan brauchte es eben eine einfache Lösung mit den Geräten die da sind und jetzt habe ich genügend Arbeit in anderen Bereichen an der frischen Luft.
Einen schönen Tag noch.
