15
VPN Tunnel zwischen zwei Privaten Netzwerken aufbauen
Hallo,
ich möchte gerne einen VPN-Tunnel zwischen dem PC meines Vaters und meinem PC aufbauen. Jetzt ist es so das mein Vater Telekom Kunde ist und einen AVM Router besitzt, ich allerdings Unitymedia Kunde und ne Connectbox besitze der nachflogend noch eine Fritzbox geschaltet ist. Diese benutze ich für NAS. Ich habe noch eine alte IPv4 Adresse von Unitymedia die nicht per Dual Stack zugewiesen wird. Ich habe gelesen das es eventuell relevant sein soll.
Jetzt möchte ich gerne wissen ob ich einen Tunnel aufbauen kann unter Windows 10, welches auf beiden Rechner Installiert ist, ohne extra einen Server dafür zu konfigurieren?
Ich möchte nur ein gemeinsames Netzwerk aufbauen um Datein auszutauschen oder das ich mich per Reomtedesktopverbindung auf den PC meines Vater schalten kann um kleiner Probleme von Zuhause aus zu lösen. Dann muss ich nicht jedesmal ins Auto steigen und zu ihm hin fahren
Ich bin auf der Suche nach einer Anleitung oder Hilfestellung in diesem Problem.
Ich stecke zwar gerade in der Ausbildung zum FISI aber VPN sind für mich noch Böhmische Dörfer.. ^^
Alles was ich so an Anleitungen im Netz finde ist für mich so LALA! Also schlecht zu verstehen oder schlicht unbrauchbar.
Ich habe schon mal die Idee aufgefangen ein Raspi zu nutzen um einen VPN Server aufzusetzen.... Aber ist das wirklich dafür notwendig ?
Ich würde mich über Ratschläge, Tipps und Anregungen freuen.... Und ganz wichtig, was ist nötig um einen Tunnel aufzubauen? Stehe da ein bisschen auf dem Schlauch ..
MFG
Tobi
ich möchte gerne einen VPN-Tunnel zwischen dem PC meines Vaters und meinem PC aufbauen. Jetzt ist es so das mein Vater Telekom Kunde ist und einen AVM Router besitzt, ich allerdings Unitymedia Kunde und ne Connectbox besitze der nachflogend noch eine Fritzbox geschaltet ist. Diese benutze ich für NAS. Ich habe noch eine alte IPv4 Adresse von Unitymedia die nicht per Dual Stack zugewiesen wird. Ich habe gelesen das es eventuell relevant sein soll.
Jetzt möchte ich gerne wissen ob ich einen Tunnel aufbauen kann unter Windows 10, welches auf beiden Rechner Installiert ist, ohne extra einen Server dafür zu konfigurieren?
Ich möchte nur ein gemeinsames Netzwerk aufbauen um Datein auszutauschen oder das ich mich per Reomtedesktopverbindung auf den PC meines Vater schalten kann um kleiner Probleme von Zuhause aus zu lösen. Dann muss ich nicht jedesmal ins Auto steigen und zu ihm hin fahren
Ich bin auf der Suche nach einer Anleitung oder Hilfestellung in diesem Problem.
Ich stecke zwar gerade in der Ausbildung zum FISI aber VPN sind für mich noch Böhmische Dörfer.. ^^
Alles was ich so an Anleitungen im Netz finde ist für mich so LALA! Also schlecht zu verstehen oder schlicht unbrauchbar.
Ich habe schon mal die Idee aufgefangen ein Raspi zu nutzen um einen VPN Server aufzusetzen.... Aber ist das wirklich dafür notwendig ?
Ich würde mich über Ratschläge, Tipps und Anregungen freuen.... Und ganz wichtig, was ist nötig um einen Tunnel aufzubauen? Stehe da ein bisschen auf dem Schlauch ..
MFG
Tobi
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 437270
Url: https://administrator.de/forum/vpn-tunnel-zwischen-zwei-privaten-netzwerken-aufbauen-437270.html
Ausgedruckt am: 23.04.2025 um 19:04 Uhr
15 Kommentare
Neuester Kommentar
Hallo,
Das hier sollte ausreichen.
Dein Vater ist Fritzbox A, Du bist Fritzbox B.
Schritt 2.10 beantwortest Du daher für Dich mit nein.
Schritt 3.10 beantwortest Du daher für Dich mit ja.
Das hier sollte ausreichen.
Dein Vater ist Fritzbox A, Du bist Fritzbox B.
Schritt 2.10 beantwortest Du daher für Dich mit nein.
Schritt 3.10 beantwortest Du daher für Dich mit ja.
Wenn der Unitymedia Account ein DS-Lite Account ist kann von dieser Seite wegen der CGN Problematik kein eingehendes IPsec gemacht werden, das scheitert wegen des zentralen NATs beim Provider.
Der DS-Lite Account muss hier also immer die IPsec Verbindung initiieren, was aber kein Problem ist, da bei IPsec beide Seiten versuchen den Tunnel zu etablieren.
Bei einer Router Kaskade (sofern du diese mit den 2 Routern so betreibst, was leider unklar ist ?!) musst du ggf. die IPsec Ports forwarden:
Details dazu findest du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Tue so als ob die Firewall dein 2ter Router ist.
Mit den FritzBoxen ist es dann ideal. Einfach nach Anleitung vorgehen:
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fri ...
und fertig ist der Lack.
Der heilige Andreas oben hat ja schon alles zu dem Thema gesagt.
Auf der Telekom Seite solltest du idealerweise einen DynDNS laufen lassen auf der dortigen FB, damit der IPsec Router immer von der anderen FB unter einen festen Host Adresse erreichbar ist trotz wechselnder Provider IP Adresse.
Mit einem MyFritz Account bietet AVM sowas ja auch kostenlos an:
https://www.meintechblog.de/2012/02/myfritz-dyndns-alternative-fuer-die- ...
Testweise kannst du erstmal mit der nackten IP arbeiten. Welche das ist siehst du im FritzBox Status im Router Setup oder wenn du in Daddies Netz mal zu http://www.myexternalip.com surfst.
Der DS-Lite Account muss hier also immer die IPsec Verbindung initiieren, was aber kein Problem ist, da bei IPsec beide Seiten versuchen den Tunnel zu etablieren.
Bei einer Router Kaskade (sofern du diese mit den 2 Routern so betreibst, was leider unklar ist ?!) musst du ggf. die IPsec Ports forwarden:
Details dazu findest du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Tue so als ob die Firewall dein 2ter Router ist.
Mit den FritzBoxen ist es dann ideal. Einfach nach Anleitung vorgehen:
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fri ...
und fertig ist der Lack.
Der heilige Andreas oben hat ja schon alles zu dem Thema gesagt.
Auf der Telekom Seite solltest du idealerweise einen DynDNS laufen lassen auf der dortigen FB, damit der IPsec Router immer von der anderen FB unter einen festen Host Adresse erreichbar ist trotz wechselnder Provider IP Adresse.
Mit einem MyFritz Account bietet AVM sowas ja auch kostenlos an:
https://www.meintechblog.de/2012/02/myfritz-dyndns-alternative-fuer-die- ...
Testweise kannst du erstmal mit der nackten IP arbeiten. Welche das ist siehst du im FritzBox Status im Router Setup oder wenn du in Daddies Netz mal zu http://www.myexternalip.com surfst.
Super erstmal vielen Dank für die schnellen Antworten... Ich werde es die Tage in Angriff nehmen, sollte ich scheitern, dann werde ich nochmal nachfragen...... Aber vielen Dank für die Hilfe..
Wobei eine Frage habe ich da noch, die Fritzbox ist ja im selben Netz wie die ConnectBox... wenn ich jetzt die Ports freischalte in der ConnectBox? Ist dann nicht mein Gesamtes Netz auf wie ein Scheunentor?
LG Tobi
Wobei eine Frage habe ich da noch, die Fritzbox ist ja im selben Netz wie die ConnectBox... wenn ich jetzt die Ports freischalte in der ConnectBox? Ist dann nicht mein Gesamtes Netz auf wie ein Scheunentor?
LG Tobi
Das solltest du noch einmal ganz genau klären was du hier mit "..im selben Netz" genau meinst ??
Ein Router hat ja immer 2 Ports und damit 2 IP Netze.
Die Frage ist also:
Für das Verständnis was du genau vorhast wäre das wichtig zu wissen. Ggf. kleine Skizze hier posten.
Ein Router hat ja immer 2 Ports und damit 2 IP Netze.
Die Frage ist also:
- Hast du deine Router als sog. Router Kaskade geschaltet wie es hier beschrieben ist ? Oder...
- Hast du den einen Router nur sog. "one armed" sprich also mit einem Bein (LAN Port) im lokalen Netzwerk hängen ?
Für das Verständnis was du genau vorhast wäre das wichtig zu wissen. Ggf. kleine Skizze hier posten.
Wenn ich das richtig verstehe sieht das Netzwerk Vater wie folgt aus
DSL -- FritzBox.Vater -- Computer
Das Netzwerk Sohn wie folgt
Unitymedia -- Connectbox -- Fritzbox.Sohn-- Computer
In diesem Fall muss nur auf der Fritzbox.Sohn der Haken für "VPN-Verbindung dauerhaft halten" gesetzt werden.
Wenn Du Dich dabei an die Anleitung hältst sollte es eigentlich nicht notwendig sein irgendwelche Konfigs an der Connectbox anzupassen.
Wichtig ist nur das Du darauf achtest das die Fritzbox.Vater und Fritzbox.Sohn unterschiedliche interne Netzwerke nutzen (also nicht beide 192.168.178.X)
DSL -- FritzBox.Vater -- Computer
Das Netzwerk Sohn wie folgt
Unitymedia -- Connectbox -- Fritzbox.Sohn-- Computer
In diesem Fall muss nur auf der Fritzbox.Sohn der Haken für "VPN-Verbindung dauerhaft halten" gesetzt werden.
Wenn Du Dich dabei an die Anleitung hältst sollte es eigentlich nicht notwendig sein irgendwelche Konfigs an der Connectbox anzupassen.
Wichtig ist nur das Du darauf achtest das die Fritzbox.Vater und Fritzbox.Sohn unterschiedliche interne Netzwerke nutzen (also nicht beide 192.168.178.X)
Es sollte Ursprünglich als Kaskade geschaltet sein, aber durch mein NOCH nicht vorhandenes Fachwissen habe ich die Connect Box über den LANPort 1 an die Fritzbox angebunden. Die Fritzbox erhält via DHCP ihre Adressierung von der CB. Jetzt habe ich mich gestern abend mal dran gemacht und mich daran versucht. Leider ist es jetzt so das die FB zwar ihr internet über den LANPort 1 bezieht, aber alle Geräte die nach der Fritzbox geschaltet sind, erhalten jetzt keinen Internetzugang. Es ist zum Haareraufen.... ^^ Ich habe gestern versucht via myfritz auf den router zu kommen.
Das Handy aus dem W-Lan genommen und dann mal versucht, geht nicht..
Das sagt mir das die CB es nicht weiterleitet.... Jetzt habe ich die Ports wie in der Anleitung geschrieben in der CB auf gemacht. Habe alle Sicherheitsmaßnahmen wie Firewall und so ausgeschaltet. geht auch dann nicht... Aber um auf deine Frage zurück zukommen, wenn alle Geräte in meinem Heimnetz, einschließlich der CB und der FB im selben Netzsegment liegen, sprich: 192.168.188.X ! Dann ist es für mich keine Kaskade.... Auch wenn ich es Ursprünglich gerne hätte, denn unser Admin in der Schule meinte das es doch schöner sei, wenn Unitymedia nicht sofort in mein Privates Netz schauen könnte.... 
Das hat mir dann zu denken gegeben und daher kam dann auch der Gedanke, einen zweiten Router hinter die CB zu hängen. Allerdings scheitert es glaube ich schon daran die beiden Geräte in Einklang zu bringen... Es ist eine alte Fritzbox 3370...
Das Handy aus dem W-Lan genommen und dann mal versucht, geht nicht..
Das sagt mir das die CB es nicht weiterleitet.... Jetzt habe ich die Ports wie in der Anleitung geschrieben in der CB auf gemacht. Habe alle Sicherheitsmaßnahmen wie Firewall und so ausgeschaltet. geht auch dann nicht... Aber um auf deine Frage zurück zukommen, wenn alle Geräte in meinem Heimnetz, einschließlich der CB und der FB im selben Netzsegment liegen, sprich: 192.168.188.X ! Dann ist es für mich keine Kaskade.... Auch wenn ich es Ursprünglich gerne hätte, denn unser Admin in der Schule meinte das es doch schöner sei, wenn Unitymedia nicht sofort in mein Privates Netz schauen könnte.... Das hat mir dann zu denken gegeben und daher kam dann auch der Gedanke, einen zweiten Router hinter die CB zu hängen. Allerdings scheitert es glaube ich schon daran die beiden Geräte in Einklang zu bringen... Es ist eine alte Fritzbox 3370...
Wie gesagt, meine Fritzbox wird aus dem Internet heraus nicht gefunden.... Es muss ja etwas an der Connect Box eingestellt werden .....
Ich habe jetzt meinen Rechner direkt an die Connect Box angeklemmt, und ich kann nicht mal im eigenen Heimnetz auf die Fritz Box zugreifen...
Anpingen funktioniert , aber weder fritz.box noch die direkte eingabe der IP lässt mich zur Fritz Box kommen
Anpingen funktioniert , aber weder fritz.box noch die direkte eingabe der IP lässt mich zur Fritz Box kommen
durch mein NOCH nicht vorhandenes Fachwissen habe ich die Connect Box über den LANPort 1 an die Fritzbox angebunden.
Was dann eine Router Kaskade ist !! Die Port 1 Kopplung deaktiviert das interne xDSL Modem in der FB und betreibt dan LAN1 Port als WAN/Internet Port im DHCP Client Mode.alle Geräte die nach der Fritzbox geschaltet sind, erhalten jetzt keinen Internetzugang
Da hast du dann was in deiner Unwissenheit grundsätzlich falsch gemacht !!AVM beschreibt wasserdicht wie man es richtig macht:
https://avm.de/service/fritzbox/fritzbox-7270/wissensdatenbank/publicati ...
bzw.
https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/016/hilfe_interne ...
Kapitel: "FRITZ!Box als Router per Netzwerkkabel an einem vorhandenen Internetzugang".
Halte dich daran !
Das musst du als Allererstes sauber zum Fliegen bekommen ansonsten müssen wir erst gar nicht mit dem VPN weitermachen hier !
Ok , es läuft jetzt soweit alles wieder. Internet geht alles wieder und ich kann sowohl aus dem Netz der Connect Box als auch im FritzBox Netz beide Router finden und mit ihnen Arbeiten. Jetzt möchte ich als nächstes die Fritz Box von ausserhalb erreichen !?
Dazu musst du dann auf der "Connect Box" ein Port Forwarding einrichten, das die von außen (Internet) eingehenden VPN Ports bzw. Protokolle auf die dahinter kaskadierte FritzBox weiterleiten, denn die terminiert ja den VPN Tunnel der vom Daddy kommt.
Ohne Port Forwarding würden diese Datenpakete in der NAT Firewall der Connect Box geblockt werden.
Die Protokolle sind wie folgt:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Gleiches Kaskaden Design wie bei dir und auch gleichen einfachen ToDos.
Die da sind für dich:
ACHTUNG:
Die IP Netze auf deiner Seite und die vom Daddy dürfen nicht gleich sein !! Sprich bei deinem Daddy darf es weder das 192.168.0.0 /24 noch das 192.168.188.0 /24 Netz geben !
Bitte halte dich an die goldenen Regeln für ein korrektes IP VPN Adress Design ! Guckst du hier dazu:
VPNs einrichten mit PPTP
Ohne Port Forwarding würden diese Datenpakete in der NAT Firewall der Connect Box geblockt werden.
Die Protokolle sind wie folgt:
- UDP 500 (IKE)
- UDP 4500 (NAT Traversal)
- ESP Protokoll (ESP ist ein eigenständiges IP Protokoll mit der Nummer 50)
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Gleiches Kaskaden Design wie bei dir und auch gleichen einfachen ToDos.
Die da sind für dich:
- 1.) Bei dir auf der Connect Box im Setup Port Forwarding (Port Weiterleitung) für die o.a. Protokolle einrichten auf die WAN IP der FritzBox (IP Adresse an LAN1 Port)
- 2.) VPN gemäß der Anleitung von AVM zur Netzwerk Kopplung einrichten: https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fri ...
- Fertisch !
ACHTUNG:
Die IP Netze auf deiner Seite und die vom Daddy dürfen nicht gleich sein !! Sprich bei deinem Daddy darf es weder das 192.168.0.0 /24 noch das 192.168.188.0 /24 Netz geben !
Bitte halte dich an die goldenen Regeln für ein korrektes IP VPN Adress Design ! Guckst du hier dazu:
VPNs einrichten mit PPTP
Ok, bevor ich damit beginne..... Wie muss es denn hier eingetragen werden ?
Muss der Startwert identisch mit dem Endwert sein ?
Und werden diese beiden Regeln noch relevant sein ?
Über dänische Western würde Vatti sich womöglich noch freuen, dürfte dann nur Mutti nicht mitbekommen....
Aber noch mal vielen Dank für die Geduld und Mühe .....
Grüße aus Herten
Und werden diese beiden Regeln noch relevant sein ?
Über dänische Western würde Vatti sich womöglich noch freuen, dürfte dann nur Mutti nicht mitbekommen....
Aber noch mal vielen Dank für die Geduld und Mühe .....
Grüße aus Herten
Wie muss es denn hier eingetragen werden ?
Denk doch bitte auch selber mal etwas nach ! Steht doch oben alles in der Liste ! Lokale IP = Die IP Adresse der kaskadierten FritzBox am LAN1 Port.
Lokaler Start Port = 500
Lokaler End Port = 500
Externer Start Port = 500
Externer End Port = 500
Protokoll = UDP
Aktiviert = JA
Das wiederholst du dann für den Port UDP 4500
Lokale IP = Die IP Adresse der kaskadierten FritzBox am LAN1 Port.
Lokaler Start Port = 4500
Lokaler End Port = 4500
Externer Start Port = 4500
Externer End Port = 4500
Protokoll = UDP
Aktiviert = JA
Dann müsste man das noch für das ESP Protokoll oben machen. Leider hast du den Screenshot nicht mit den ausgeklappten Optionen gepostet
Möglich ist das hier kein ESP zur Auswahl steht. Das ist aber nicht schlimm, denn viele dieser billigen Schrottrouter wie die Connect Box machen das dann automatisch. Wenn du allerdings Pech hast und es wirklich der allerbilligste Schrott ist, dann eben nicht. Dann ists aus mit VPN. Aber auch nur vielleicht....
Da du ja von deiner FB Seite die Connection initiierst kann es sein das es trotzdem funktioniert.
Hier gilt wie immer: "Versuch macht klug !"
Regeln für Port Filter und Triggering brauchst du NICHT setzen. Port Forwarding reicht.
Muss ich mir Sorgen machen, das ich ermahnt werde selber zu denken?
Ich bin dir trotzdem sehr Dankbar für deine Hilfe...
Ich bin dir trotzdem sehr Dankbar für deine Hilfe...
Nein, es ist eine kleine und freundliche Aufforderung auch mal etwas Eigeninitiative walten zu lassen... 
