15
VPN Router für Site2Site gesucht
Hallo,
ich möchte zwei Netzwerke miteinander verbinden und stoße dabei auf folgendes Problem:
Die zwei Netzwerke sind in verschiedenen Ortschaften und habe jeweils Internetzugang mit fester öffentlicher IP. Momentan sind diese über Fritzboxen (je 7490) mittels Lan-to-Lan VPN verbunden. Ping funktioniert in beide Richtungen. Ich kann die Fritten und auch die Srv/Clients jeweils vom anderen Netz erreichen. Allerdings reden die beiden Server (2x Microsoft Srv 2019) nicht miteinander. D.h. der erste DC läuft am Standort 1. Nun soll am Standort 2 ein weiterer DC in die Domäne aufgenommern werden. Im Servermanager kann ich die Domäne angeben, aber sobald DC2 die Daten von DC1 holen soll um in die Domäne aufgenommen zu werden, findet DC2 den Netzwerkpfad nicht mehr.
Ich vermute, dass es am Fritzbox-VPN liegt.
Jetzt suche ich VPN-Router, mit denen ich eine Site2Site (Lan-to-Lan) -Verbindung herstellen kann.
Konfig:
2x Windows Server 2019 (gleicher Stand)
jeweils feste, öffentliche IP-Adressen
2x Fritzbox 7490 (gleiche Firmware)
Ich bin mir nicht sicher, ob z.B. der TP-Link R605 mein Problem beheben kann. Von der Anbindung: WAN - Fritzbox - TP-Link - Netzwerkswitch - Clients?
Danke
-Andre
ich möchte zwei Netzwerke miteinander verbinden und stoße dabei auf folgendes Problem:
Die zwei Netzwerke sind in verschiedenen Ortschaften und habe jeweils Internetzugang mit fester öffentlicher IP. Momentan sind diese über Fritzboxen (je 7490) mittels Lan-to-Lan VPN verbunden. Ping funktioniert in beide Richtungen. Ich kann die Fritten und auch die Srv/Clients jeweils vom anderen Netz erreichen. Allerdings reden die beiden Server (2x Microsoft Srv 2019) nicht miteinander. D.h. der erste DC läuft am Standort 1. Nun soll am Standort 2 ein weiterer DC in die Domäne aufgenommern werden. Im Servermanager kann ich die Domäne angeben, aber sobald DC2 die Daten von DC1 holen soll um in die Domäne aufgenommen zu werden, findet DC2 den Netzwerkpfad nicht mehr.
Ich vermute, dass es am Fritzbox-VPN liegt.
Jetzt suche ich VPN-Router, mit denen ich eine Site2Site (Lan-to-Lan) -Verbindung herstellen kann.
Konfig:
2x Windows Server 2019 (gleicher Stand)
jeweils feste, öffentliche IP-Adressen
2x Fritzbox 7490 (gleiche Firmware)
Ich bin mir nicht sicher, ob z.B. der TP-Link R605 mein Problem beheben kann. Von der Anbindung: WAN - Fritzbox - TP-Link - Netzwerkswitch - Clients?
Danke
-Andre
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1598699368
Url: https://administrator.de/forum/vpn-router-fuer-site2site-gesucht-1598699368.html
Ausgedruckt am: 20.04.2025 um 12:04 Uhr
15 Kommentare
Neuester Kommentar
Moin,
das Konzept läuft auch mit den beiden Fritten.
Wenn du einen 2ten DC betreiben willst, ist die Empfehlung die DNS-Dienste jeweils über Kreuz beim anderen DC einzutragen, d.h. DC1 hat DC2 als primären DNS und umgekehrt.
Mit den Einstellungen sollte das eigentlich rennen.
Gruß
Looser
das Konzept läuft auch mit den beiden Fritten.
Wenn du einen 2ten DC betreiben willst, ist die Empfehlung die DNS-Dienste jeweils über Kreuz beim anderen DC einzutragen, d.h. DC1 hat DC2 als primären DNS und umgekehrt.
Mit den Einstellungen sollte das eigentlich rennen.
Gruß
Looser
Moin
Deine Vermutung ist wahrscheinlich falsch. Einen transparenten Site2Site-Tunnel bekommst du mit ner Fritzbox problemlos (über Sinn/Unsinn einer Fritzbox in einer solchen Umgebung kann man natürlich streiten) aufgebaut.
Können sich die beiden Server gegeneinander anpingen? Sind die Firewall-Einstellungen korrekt?
Cheers,
jsysde
Deine Vermutung ist wahrscheinlich falsch. Einen transparenten Site2Site-Tunnel bekommst du mit ner Fritzbox problemlos (über Sinn/Unsinn einer Fritzbox in einer solchen Umgebung kann man natürlich streiten) aufgebaut.
Können sich die beiden Server gegeneinander anpingen? Sind die Firewall-Einstellungen korrekt?
Cheers,
jsysde
Moin,
wichtig: du musst in beiden Lokationen unterschiedliche IP-Netze nutzen.
Wenn du an beiden mit dem Standard-FritzBox-Netz unterwegs bist (192.168.178.0/24) wird das nichts.
Nutze in jedem Fall unterschiedliche. Optimal wäre es, wenn du etwas völlig anderes als 192.168.x.0/24 nimmst:
Lokation A z. B. 10.100.0.0/ 24
Lokation B z. B. 10.200.0.0/ 24
Wichtig ist, du musst im Bereich des RFC1918 bleiben.
Wenn du das zweite Oktett je Standort änderst, hast du es leichter, wenn Später je Standort mal mit VLANs gearbeitet werden soll. dann kannst du die überall gleich setzen.
Dann kannst du in beiden Standort die Gäste ins VLAN 100 setzen, Clients ins VLAN 10, Server ins VLAN 20, ... und es sähe dann so aus
VLAN 10
Edit:
und wichtig ist, dass du die Firewalls auf den Windows-Kisten für die fremden Netze anpasst.
Gruß
em-pie
wichtig: du musst in beiden Lokationen unterschiedliche IP-Netze nutzen.
Wenn du an beiden mit dem Standard-FritzBox-Netz unterwegs bist (192.168.178.0/24) wird das nichts.
Nutze in jedem Fall unterschiedliche. Optimal wäre es, wenn du etwas völlig anderes als 192.168.x.0/24 nimmst:
Lokation A z. B. 10.100.0.0/ 24
Lokation B z. B. 10.200.0.0/ 24
Wichtig ist, du musst im Bereich des RFC1918 bleiben.
Wenn du das zweite Oktett je Standort änderst, hast du es leichter, wenn Später je Standort mal mit VLANs gearbeitet werden soll. dann kannst du die überall gleich setzen.
Dann kannst du in beiden Standort die Gäste ins VLAN 100 setzen, Clients ins VLAN 10, Server ins VLAN 20, ... und es sähe dann so aus
VLAN 10
- Standort A: 10.100.10.0/ 24
- Standort B: 10.200.10.0/ 24
- Standort A: 10.100.20.0/ 24
- Standort B: 10.200.20.0/ 24
- Standort A: 10.100.100.0/ 24
- Standort B: 10.200.100.0/ 24
Edit:
und wichtig ist, dass du die Firewalls auf den Windows-Kisten für die fremden Netze anpasst.
Gruß
em-pie
Die Server können sich anpingen, auch in einer angenehmen Zeit. Bei den Firewalls hab ich mal die ganzen Domain-Ports (DNS, LDAP, Kerberos etc) geöffnet.
Zu meiner Vermutung: ich habe noch eine Synology RS816 Rackstation (Standort beim DC1, eigener Port) als VPN-Server laufen, um dort auf Daten zugreifen zu können. Wenn ich mit DC2 einen OpenVPN Tunnel öffne, findet er auch die Domäne von DC1. Beim Neustart (Konfig von AD) können keine Gruppenrichtlinien übernommen werden, da kein Tunnel mehr besteht. Somit fängt DC2 an, wieder alles zurückzubauen, also kein DC2 mehr.
Zu meiner Vermutung: ich habe noch eine Synology RS816 Rackstation (Standort beim DC1, eigener Port) als VPN-Server laufen, um dort auf Daten zugreifen zu können. Wenn ich mit DC2 einen OpenVPN Tunnel öffne, findet er auch die Domäne von DC1. Beim Neustart (Konfig von AD) können keine Gruppenrichtlinien übernommen werden, da kein Tunnel mehr besteht. Somit fängt DC2 an, wieder alles zurückzubauen, also kein DC2 mehr.
über Sinn/Unsinn einer Fritzbox in einer solchen Umgebung kann man natürlich streiten
Würde sich hier nicht doch ein VPN-Router beszahlt machen?Nutze in jedem Fall unterschiedliche. Optimal wäre es, wenn du etwas völlig anderes als 192.168.x.0/24 nimmst:
Lokation A z. B. 10.100.0.0/ 24
Lokation B z. B. 10.200.0.0/ 24
Wichtig ist, du musst im Bereich des RFC1918 bleiben.
Lokation A z. B. 10.100.0.0/ 24
Lokation B z. B. 10.200.0.0/ 24
Wichtig ist, du musst im Bereich des RFC1918 bleiben.
Netz 1: 192.168.1.0 (DC1)
Netz 2: 192.168.0.0 (DC2)
VLANs sollen nicht eingesetzt werden.
Gruß
Moin.
Klares Jein.
Für einen Business-Setup würde ich auf beiden Seiten ne "echte" Firewall, die dann eben auch VPN macht, hinstellen. Die Fritzboxen sind doch, diplomatisch gesagt, sehr eingeschränkt, was die Firewall-Funktionalität angeht...
Cheers,
jsysde
Klares Jein.
Für einen Business-Setup würde ich auf beiden Seiten ne "echte" Firewall, die dann eben auch VPN macht, hinstellen. Die Fritzboxen sind doch, diplomatisch gesagt, sehr eingeschränkt, was die Firewall-Funktionalität angeht...
Cheers,
jsysde
Und was würde sich da anbieten?
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Fritzboxen auf Durchzug (wenn möglich, wegen Wlan & Telefonie) und dann die oben genannten Klassiker...
Fritzboxen auf Durchzug (wenn möglich, wegen Wlan & Telefonie) und dann die oben genannten Klassiker...
Ich vermute, dass es am Fritzbox-VPN liegt.
Das könnte sein, denn wenn das der Fall ist hast du sehr wahrscheinlich die FritzBox bzw. deren VPN falsch konfiguriert und vergessen NetBIOS in der Firewall freizugeben, kann das sein ??https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/019/hilfe_howto_v ...
Das ist immer der klassische FritzBox VPN Anfängerfehler wenn es um Winblows SMB/CIFS geht.
Moin
Ähh. Was hast Du wo geöffnet?? Du solltest auf keinen Fall irgendwelche dieser Ports zum Internet öffnen!!
Gruß
Zitat von @Anbo512:
(...) bei den Firewalls hab ich mal die ganzen Domain-Ports (DNS, LDAP, Kerberos etc) geöffnet.
(...) bei den Firewalls hab ich mal die ganzen Domain-Ports (DNS, LDAP, Kerberos etc) geöffnet.
Ähh. Was hast Du wo geöffnet?? Du solltest auf keinen Fall irgendwelche dieser Ports zum Internet öffnen!!
Gruß
Was hast Du wo geöffnet?? Du solltest auf keinen Fall irgendwelche dieser Ports zum Internet öffnen!!
Sind schon wieder zu, nachdem es so nicht funktioniert hat. Hab mittlerweile eine OpenVPN Verbindung hinbekommen und siehe, das Server kommuniziert. Mal sehen, ob auch die Replizierung funktioniert.
Was auch immer es gewesen sein mag, jetzt funktioniert es. Zumindest wird sysvol repliziert. Den Rest teste ich später. Danke für die Tipps.
Ob es die Lösung war weiß ich nicht, aber ich habe
- eine OpenVPN-Verbindung hergestellt, damit den Server in die Domäne gebracht
- NetBIOS in der Fritzbox geöffnet
Ob es die Lösung war weiß ich nicht, aber ich habe
- eine OpenVPN-Verbindung hergestellt, damit den Server in die Domäne gebracht
- NetBIOS in der Fritzbox geöffnet
eine OpenVPN-Verbindung hergestellt, damit den Server in die Domäne gebracht
von wo nach wo?
Die Endpunkte des Tunnels gehören auf den Router/UTM.....und nicht irgendwo ins Netzwerk.
Wie weiter oben geschrieben, läuft auf der NAS ein VPN-Server (war für HomeOffice gedacht, damit auf die Daten zugegriffen werden konnte - Client-Server-Verbindung)
Nun hab ich kurzzeitig einen OpenVPN Client auf dem Server mit automatischem Verbindungsaufbau erstellt, so dass nach dem Reboot (wird beim Betreten der Domäne verlangt) ein Tunnel geöffnet wird. Der VPN-Server ermöglicht das Erreichen des DC1. Dadurch konnten die AD DC Daten repliziert werden.
Der OpenVPN-Tunnel wird nun nicht mehr benötigt, da der Fritzbox-VPN-Tunnel nun die Verbindung von DC2 zu DC1 ermöglicht. Bisher gehts, aber ich werde heute abend weiter testen.
Nun hab ich kurzzeitig einen OpenVPN Client auf dem Server mit automatischem Verbindungsaufbau erstellt, so dass nach dem Reboot (wird beim Betreten der Domäne verlangt) ein Tunnel geöffnet wird. Der VPN-Server ermöglicht das Erreichen des DC1. Dadurch konnten die AD DC Daten repliziert werden.
Der OpenVPN-Tunnel wird nun nicht mehr benötigt, da der Fritzbox-VPN-Tunnel nun die Verbindung von DC2 zu DC1 ermöglicht. Bisher gehts, aber ich werde heute abend weiter testen.
NetBIOS in der Fritzbox geöffnet
Das darfst du keinesfalls machen wenn du KEIN VPN der FritzBox nutzt !!!Damit öffnest du dann ohne VPN den NetBios Port der FB ins Internet was tödlich ist.
Wenn du also jetzt einen separaten OpenVPN Server betreibst wie es z.B. HIER beschrieben ist solltest du zwingend das NetBios an der FB deaktivieren !
