nullmodem
05.01.2019
view2495
view15
0
Goto Top

VPN über die Fritzbox auf Lancom WLC zugreifen

FrageNetzwerkeRouter, Routing
Hallo Zusammen,

bin neu hier und habe eine Frage.

Ich möchte gerne per VPN (MyFritz) über meine Fritzbox Cable auf meinen Lancom WLC zugreifen.
Wann muss ich den genau beachten bzw. einrichten?
Von meinem internen LAN kann ich über den Lancom WLC auf die Fritzbox zugreifen.
Aber wenn ich mich direkt an die Fritzbox stecke habe ich keinen Zugriff auf den Lancom WLC.

Die Fritzbox hat das Netzwerk 10.0.10.0/24, DHCP Server ist aus. Der Lancom hängt mit LAN 1 an der Fritzbox mit der Statischen IP 10.0.10.254/24 und der Lancom stellt dann das lokale Netzwerk zur Verfügung (192.168.200.0/24, mit DHCP Server)

netz

Ich habe schon das ganze per statischer Route in der Fritzbox versucht aber leider ohne Erfolg.

Würde mich freuen wenn es klappen könnte.

Gruß
Jan
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 397206

Url: https://administrator.de/contentid/397206

Ausgedruckt am: 17.12.2024 um 02:12 Uhr

15 Kommentare
Neuester Kommentar
Goto Top
Vision2015
Vision2015 05.01.2019 um 07:34:22 Uhr
Goto Top
Moin...

das ist eine Router Kaskade, du musst eine portweiterleitung einrichten!
Port 1723 TCP
Port 500 UDP
für IPSec noch Port 50 TCP und UDP

nutze mal die Forums suche!

Frank
aqui
aqui 05.01.2019 aktualisiert um 12:45:14 Uhr
Goto Top
du musst eine portweiterleitung einrichten!
Eigentlich nicht...!
So wie man die Beschreibung richtig versteht will er das IPsec VPN ja auf der FritzBox selber terminieren und nicht auf dem Lancom. Dann muss er die IPsec VPN Pakete eigentlich nicht weiterleiten.
Dafür reicht es eigentlich eine statische Route in der FB zu konfigurieren:
Zielnetz: 192.168.200.0, Maske: 255.255.255.0, Gateway: 10.0.10.254
Ferner muss die Firewall am Lancom angepasst werden das diese Pakete von außen am WAN Port nach innen passieren dürfen !!
Und....der Lancom darf KEIN NAT (IP Adress Translation) an seinem WAN Port machen.
Das muss ein rein geroutetes Design ohne NAT am Lancom WAN Port sein wie es hier beschrieben ist:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Nur dann ist das so machbar.

Die andere Option ist tatsächlich das IPsec VPN per Port Forwarding via FB dann auf dem Lancom zu terminieren. Der kann ja wie die FB auch IPsec.
Und dann von dort direkt ins lokale LAN.
Besser wäre es hier auch wenn die Kaskade ohne das überflüssige NAT arbeiten würde also rein geroutet.
Die To Dos für diese Setup Version erklärt dieses Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Mit beiden Optionen ist das problemlos zu machen. Option 2 wäre etwas einfacher umzusetzen.
https://www2.lancom.de/kb.nsf/1275/80B757214B07D6FCC12580B200504338?Open ...
https://www.benjaminluebbe.de/pages/it-hilfethemen/netzwerk/vpn/lancom-u ...

@Vision2015
Port 1723 TCP
Nein ! Den braucht er nicht.
Wäre sogar ziemlich kontraproduktiv. TCP 1723 ist Teil des PPTP VPN Protokolls und das ist megatot:
VPNs einrichten mit PPTP
Zudem supporten die Fritz Gurken gar kein PPTP.
UDP 4500 (NAT Traversal) bräuchte er bei IPsec VPNs noch zusätzlich hier. Siehe Tutorial oben ! face-wink
nullModem
nullModem 05.01.2019 um 16:02:52 Uhr
Goto Top
Hallo,

danke für eure Antworten.

@aqui

Ja, so war es auch gemeint. Ich möchte per VPN auf die Fritzbox zugreifen.

Dafür reicht es eigentlich eine statische Route in der FB zu konfigurieren:
Zielnetz: 192.168.200.0, Maske: 255.255.255.0, Gateway: 10.0.10.254

Habe ich eingerichtet.

Ferner muss die Firewall am Lancom angepasst werden das diese Pakete von außen am WAN Port nach innen passieren dürfen !!

Ist eingerichtet und sollte passen. Habe die Firewall auch mal kurz deaktiviert.

Und....der Lancom darf KEIN NAT (IP Adress Translation) an seinem WAN Port machen.

Habe ich abgeschaltet.

Leider bekomme ich keine Verbindung zum Lacom. Ich stecke zum Testen direkt an der Fritzbox.

Gruß
Jan
tikayevent
tikayevent 05.01.2019 um 17:15:02 Uhr
Goto Top
In diesem Fall würde ich den WLC ohne konfiguriertes WAN betreiben.

Schritt 1: du löscht sämtliche Routen und WAN-Gegenstellen auf dem LANCOM
Schritt 2: du legst ein weiteres IP-Netzwerk an mit den Einstellungen des Netzwerks zwischen Fritzbox und WLC, also 10.0.10.254/24
Schritt 3: du legst auf dem WLC eine Route an (Defaultroute bzw. 255.255.255.255 0.0.0.0 auf 10.0.10.1 (vermute mal davon aus, dass das die IP der FBox ist, die hast du oben nicht angegeben)
Schritt 4: du legst auf der FBox eine statische Route an, die 192.168.200.0/24 auf die 10.0.10.254 zeigen lässt
Schritt 5: du musst vermutlich das Fritzbox-VPN neu anlegen, da du die SA-Erzeugung ändern musst. Dieses geht nur durch den Import einer Konfigurationsdatei, welche früher von dem entsprechenden AVM Programm erzeugt wurde. In der VPN-Konfigurationsdatei gibt es irgendwo den Punkt phase2localid, dieser muss so angepasst werden, dass sowohl 10.0.10.0/24 als auch 192.168.200.0/24 enthalten ist. Das AVM Tool legt immer nur das lokale Netzwerk der Fritzbox an.
nullModem
nullModem 05.01.2019 aktualisiert um 19:28:27 Uhr
Goto Top
Hallo tikayevent,

also meinst du so? Die Fritzbox hat die IP: 10.0.10.254

Schritt 1: du löscht sämtliche Routen und WAN-Gegenstellen auf dem LANCOM

route alt
Altes Routing (Sollten diese nicht drin bleiben da es die Standart Routen sind ?)

route neu
Neues Routing

Schritt 2: du legst ein weiteres IP-Netzwerk an mit den Einstellungen des Netzwerks zwischen Fritzbox und WLC, also 10.0.10.254/24

ip netz
IP-Netzwerke

Schritt 4: du legst auf der FBox eine statische Route an, die 192.168.200.0/24 auf die 10.0.10.254 zeigen lässt

Das habe ich schon so drin

Schritt 5: du musst vermutlich das Fritzbox-VPN neu anlegen, da du die SA-Erzeugung ändern musst. Dieses geht nur durch den Import einer Konfigurationsdatei, welche früher von dem entsprechenden AVM Programm erzeugt wurde. In der VPN-Konfigurationsdatei gibt es irgendwo den Punkt phase2localid, dieser muss so angepasst werden, dass sowohl 10.0.10.0/24 als auch 192.168.200.0/24 enthalten ist. Das AVM Tool legt immer nur das lokale Netzwerk der Fritzbox an.

Das mache ich dann wenn ich von der Fritzbox auf den Lancom zugreifen kann.

Gruß
Jan
Vision2015
Vision2015 06.01.2019 um 07:47:47 Uhr
Goto Top
Moin...
Zitat von @aqui:

du musst eine portweiterleitung einrichten!
Eigentlich nicht...!
So wie man die Beschreibung richtig versteht will er das IPsec VPN ja auf der FritzBox selber terminieren und nicht auf dem Lancom. Dann muss er die IPsec VPN Pakete eigentlich nicht weiterleiten.
dann natürlich nicht, das hatte ich anders gelesen!

@Vision2015
Port 1723 TCP
Nein ! Den braucht er nicht.
Wäre sogar ziemlich kontraproduktiv. TCP 1723 ist Teil des PPTP VPN Protokolls und das ist megatot:
das istauch richtig, allerdings nutzen viele noch PPTP... und wer hört schon, was wir sagen... face-smile
da ich von einem äteren WLC ausgegangen bin, wäre da PPTP möglich gewesen....
VPNs einrichten mit PPTP
Zudem supporten die Fritz Gurken gar kein PPTP.
natürlich nicht...
UDP 4500 (NAT Traversal) bräuchte er bei IPsec VPNs noch zusätzlich hier. Siehe Tutorial oben ! face-wink
da hast du natürlich auch mit recht...
aus aus mir noch unerfindlichen Gründen, hatte ich gelesen und verstanden, das das VPN über den WLC aufgebaut werden soll...

Frank
tikayevent
tikayevent 06.01.2019 um 12:32:56 Uhr
Goto Top
Nein, ich hatte gesagt, dass das die Routingtabelle komplett geleert werden muss, auch die Route zu KABELD muss weg. Die von dir angelegte Route ist aber auch nicht korrekt. Ich sagte 255.255.255.255/0.0.0.0 und nicht 255.255.255.0/0.0.0.0. Des Weiteren muss die Maskierung abgeschaltet werden. Bei den vordefinierten Routen handelt es sich um Sperrrouten, die verhindern sollen, dass Anfragen an private IP-Adressen ins Internet geroutet werden. Da der WLC aber nicht direkt im Internet steht, können die weg.

Unter DSL-Gegenstellen musst du dann noch die Gegenstelle KABELD löschen.
nullModem
nullModem 06.01.2019 um 19:46:31 Uhr
Goto Top
Hallo tikayevent,

nur zur Sicherheit:

route neu
Routingtabelle leer

dsl gegenstelle
Gegenstelle DSL

ip netz
Das neue IP-Netz

Die Route in der Fritzbox steht ja.

Das sollte dann so passen?

Gruß
Jan
tikayevent
tikayevent 06.01.2019 um 20:20:41 Uhr
Goto Top
So, jetzt wieder die Default-Route anlegen. IP-Adresse 255.255.255.255 Netzmaske 0.0.0.0 Router 10.0.10.1 IP-Maskierung abgeschaltet und dann sollte es klappen.
nullModem
nullModem 07.01.2019 um 22:00:44 Uhr
Goto Top
Leider nicht.

route neu

dsl gegenstelle

ip netz

Fritzbox Route:
IP: 192.168.200.0
Subnetz: 255.255.255.0
Gateway: 10.0.10.254

Habe auch die Firewall deaktiviert.

Gruß
aqui
aqui 08.01.2019 um 11:17:41 Uhr
Goto Top
Leider nicht.
Die Default Route ist ja auch FALSCH !
Du hast da eine All Net Broadcast Adresse eingetippt, was Unsinn ist.
Default Routen stellt man in der Regel als 0.0.0.0 /0 oder auch 0.0.0.0 0.0.0.0 dar. Wäre verwunderlich wenn die Weltfirma Lancom das anders machen würde als der gesamte Rest der Welt.
nullModem
nullModem 08.01.2019 um 12:52:12 Uhr
Goto Top
Hallo aqui,

Ok...

Das heißt ich gebe bei dir Routingtabelle 0.0.0.0/0 an und beim Router die 10.0.10.1?

Gruß
Jan
tikayevent
tikayevent 08.01.2019 aktualisiert um 13:19:04 Uhr
Goto Top
LANCOM ist da anders und die Default-Route lautet dort 255.255.255.255/0.0.0.0.

https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa107939 ...

Wie ermittelst du denn, dass die Verbindun von 10.0.10.0/24 nach 192.168.200.0/24 funktioniert?
nullModem
nullModem 09.01.2019 um 01:24:35 Uhr
Goto Top
Ich meine eine Ping abfrage und bekomme keine Antwort. Habe schon versucht per Lancon Software auf den WLC zuzugreifen.
aqui
aqui 09.01.2019 um 08:49:02 Uhr
Goto Top
LANCOM ist da anders
Sorry für die Verwirrung, war mir nicht bekannt das die ne Extrawurst braten...
Wenn dein Ping weiterhin nicht klappt, kommt vermutlich gar kein VPN zustande. Hast du dir da mal die VPN Logs angesehen sowohl von Client als auch Server ? Terminierst du das VPN jetzt auf der FB oder dem Lancom ?
Statt Ping kannst du auch mal Traceroute versuchen. Da wo es hängen bleibt ist meistens auch der Fehler.
FrageNetzwerkeRouter, Routing
Mehr von nullModemnullModemRaspberry Pi Bash Scripts per GIPO ausführennullModem - 2 KommentarenullModemVerständnisfrage zu ACL und Cisco RouternullModem - 18 KommentarenullModemUbuntu Server mit DesktopnullModem - 6 KommentarenullModemPriorisierung mit Wireshark prüfen (Cisco)nullModem - 10 Kommentare
Heiß diskutiert
itzwich1Aktuelle NAS Empfehlungitzwich1 - 52 KommentareKamelleCa. 600.000 Archive in komplexer Ordnerstruktur entpackenKamelle - 46 KommentareCodehunterFlatpak-Downloads extrem langsamCodehunter - 22 KommentareWhiskyServer 2022 aktivierenWhisky - 21 KommentareMysticFoxDEPasswörter - Komplexität und Lebensdauer - aktuelle Empfehlungslage!?MysticFoxDE - 19 KommentarepcpanikVeeam Fehler SOAP fault beim Backup von Win11 Server 22pcpanik - 18 KommentareAvengaAuerswald COMpact 4000 - nach 3 Monaten schon kaputt ?Avenga - 18 KommentareSibelius001Unbekanntes Gerät im WLAN?Sibelius001 - 16 KommentareanteNopeZwangs-Umstellung zu Outlook (new) - Computersabotage nach 303b StGBanteNope - 15 Kommentaretobias3355Chkdsk Neustart ohne Rückfragetobias3355 - 15 Kommentarei4mr00tLiveMigration Hyper-V 2022 zu Hyper-V 2019 (VM-VERSIONEN)i4mr00t - 15 KommentareDSchmolkeEreignis 7, Kerberos-Key-Distribution-CenterDSchmolke - 14 Kommentare