7
Zyxel USG20 VPN hinter Fritzbox als Bridge
Hallo zusammen,
ich werd mich mit folgender Frage als kompletter noob disqualifizieren, aber was solls ;)
Bisher habe ich Site2Site VPNs immer so aufgebaut:
Subnetz1 - VPN Hardware1 - Modem1 <-> Modem2 - VPN Hardware2 - Subnetz2
Jetzt habe ich eine Situation wo das Modem eine Fritzbox ist, aber lt. Telekomtechniker "als Bridge konfiguriert und sollte auch funktionieren".
Während in obiger Variante die WAN IP immer an der VPN Hardware angedockt ist, kriege ich aber von der Fritzbox
ein interne zugewiesen, also genauer:
Subnetz192.168.0.0 - VPN Hardware1 (WAN IP1) - Modem1 <-> Fritzbox (WAN IP2) - VPN Hardware2 (192.168.178.22 von der Fritzbox) - Subnetz192.168.2.0
Zu allem Überfluß ist VPN Hardware 1 ein Sophos Xg135 und VPN Hardware 2 ein Zyxel USG20.
Die Sophos hat ihre lokale WANIP und als Remote Gateway die WANIP2 Adresse der Fritzbox.
Das Zyxel "denkt" ja die 192.168.178.22 ist die WANIP2 und hat als RemoteGateway die WAN IP1
Geht so eine Konfiguration überhaupt ? (also bei mir gehts jedenfalls aktuell nicht, ich krieg nur ein timeout)
Vielleicht hat ja jemand noch einen Tipp oder ein Modem parat ;)
ich werd mich mit folgender Frage als kompletter noob disqualifizieren, aber was solls ;)
Bisher habe ich Site2Site VPNs immer so aufgebaut:
Subnetz1 - VPN Hardware1 - Modem1 <-> Modem2 - VPN Hardware2 - Subnetz2
Jetzt habe ich eine Situation wo das Modem eine Fritzbox ist, aber lt. Telekomtechniker "als Bridge konfiguriert und sollte auch funktionieren".
Während in obiger Variante die WAN IP immer an der VPN Hardware angedockt ist, kriege ich aber von der Fritzbox
ein interne zugewiesen, also genauer:
Subnetz192.168.0.0 - VPN Hardware1 (WAN IP1) - Modem1 <-> Fritzbox (WAN IP2) - VPN Hardware2 (192.168.178.22 von der Fritzbox) - Subnetz192.168.2.0
Zu allem Überfluß ist VPN Hardware 1 ein Sophos Xg135 und VPN Hardware 2 ein Zyxel USG20.
Die Sophos hat ihre lokale WANIP und als Remote Gateway die WANIP2 Adresse der Fritzbox.
Das Zyxel "denkt" ja die 192.168.178.22 ist die WANIP2 und hat als RemoteGateway die WAN IP1
Geht so eine Konfiguration überhaupt ? (also bei mir gehts jedenfalls aktuell nicht, ich krieg nur ein timeout)
Vielleicht hat ja jemand noch einen Tipp oder ein Modem parat ;)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 400002
Url: https://administrator.de/contentid/400002
Printed on: April 26, 2024 at 22:04 o'clock
7 Comments
Latest comment
Hi,
Jup, du musst der Zyxel lediglich eine statische IP-Adresse aus dem Fritten-Netz zuweisen und in der Fritzbox das entsprechende Port-Forwarding auf die Zyxel konfigurieren
Für IPSec-VPN z.B. UDP 500, UDP 4500 und IP-Protokoll 50 ESP
Jetzt habe ich eine Situation wo das Modem eine Fritzbox ist, aber lt. Telekomtechniker "als Bridge konfiguriert und sollte auch funktionieren".
Vergiss das, AVM hat den Bridge-Mode schon vor längerem aus allen Fritten "herausgekillt". Du hast nur die Option mit NAT und Portforward.Geht so eine Konfiguration überhaupt ? (also bei mir gehts jedenfalls aktuell nicht, ich krieg nur ein timeout)
Jup, du musst der Zyxel lediglich eine statische IP-Adresse aus dem Fritten-Netz zuweisen und in der Fritzbox das entsprechende Port-Forwarding auf die Zyxel konfigurieren
Für IPSec-VPN z.B. UDP 500, UDP 4500 und IP-Protokoll 50 ESP
1000 Dank,
das mach ich sofort.
das mach ich sofort.
Hi,
wenn hinter einer FritzBox eine UTM/USG werkelt, kann an der Fritzbox auch die Funktion "Exposed Host" genutzt werden, um sämtlichen Verkehr aus dem Internet an die UTM/USG durchzuleiten, auch VPN-Anfragen. Telefonieren und Faxen geht dennoch mit der Fritzbox.
Das interne Netz der FB ist dann das externe Netz der UTM/USG und diese stellt ein eigenes internes netz für die Nutzer zur Verfügung. Diese Zwischennetz ist für die Nutzer nicht erreichbar und dient nur der Kommunikation zwischen FB und UTM/USG.
Zum Aufbau einer VPN-Verbindung wird die externe (öffentliche) IP der FB genutzt.
Gruß
wenn hinter einer FritzBox eine UTM/USG werkelt, kann an der Fritzbox auch die Funktion "Exposed Host" genutzt werden, um sämtlichen Verkehr aus dem Internet an die UTM/USG durchzuleiten, auch VPN-Anfragen. Telefonieren und Faxen geht dennoch mit der Fritzbox.
Das interne Netz der FB ist dann das externe Netz der UTM/USG und diese stellt ein eigenes internes netz für die Nutzer zur Verfügung. Diese Zwischennetz ist für die Nutzer nicht erreichbar und dient nur der Kommunikation zwischen FB und UTM/USG.
Zum Aufbau einer VPN-Verbindung wird die externe (öffentliche) IP der FB genutzt.
Gruß
Zitat von @Dilbert-MD:
Hi,
wenn hinter einer FritzBox eine UTM/USG werkelt, kann an der Fritzbox auch die Funktion "Exposed Host" genutzt werden, um sämtlichen Verkehr > aus dem Internet an die UTM/USG durchzuleiten, auch VPN-Anfragen. Telefonieren und Faxen geht dennoch mit der Fritzbox.
Hi,
wenn hinter einer FritzBox eine UTM/USG werkelt, kann an der Fritzbox auch die Funktion "Exposed Host" genutzt werden, um sämtlichen Verkehr > aus dem Internet an die UTM/USG durchzuleiten, auch VPN-Anfragen. Telefonieren und Faxen geht dennoch mit der Fritzbox.
Nur analoges/ISDN-Telefonieren und Faxen. Wenn er an dem Anschluss eine IP-Telefonanlage hat, setzt er diese mit Exposed Host außer Gefecht.
Wie immer stehen alle ToDos in solchen Kaskaden Szenarien hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bei der Nomenklatur sollte man dann wie immer sehr fein differenzieren zw. dem Begriff "Router" und "Modem" !!
Siehe dazu auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und
Kopplung von 2 Routern am DSL Port
Das ist dann so oder so immer der sofortige Todesstoß für VPNs.
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
https://de.wikipedia.org/wiki/Carrier-grade_NAT
Mit dem Wissen im Hinterkopf ist das dann ein Kinderspiel...
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bei der Nomenklatur sollte man dann wie immer sehr fein differenzieren zw. dem Begriff "Router" und "Modem" !!
Siehe dazu auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und
Kopplung von 2 Routern am DSL Port
kriege ich aber von der Fritzbox ein interne zugewiesen, also genauer:
Sollte sowas im Bridge Mode, sprich also reinem Modem Mode passieren wo die Provider IP dann direkt am WAN Port liegt, dann nutzt der Provider DS-Lite mit CGN.Das ist dann so oder so immer der sofortige Todesstoß für VPNs.
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
https://de.wikipedia.org/wiki/Carrier-grade_NAT
Mit dem Wissen im Hinterkopf ist das dann ein Kinderspiel...
Aktueller Stand:
Nachdem ich mich auf die FB aufgeschaltet habe, konnte ich erst mal feststellen das der Techniker nichts in Sachen Bridge bzw. PortForwarding konfiguriert hatte (also ganz entgegen seiner Aussage ;)
In der Fritzbox 7490 habe ich dann unter Internet-Freigaben-VPN auch eine Möglichkeit gefunden das VPN in der Fritzbox mit einer Sophos XG135 zu konfigurieren, da muss man zwar eine Weile testen bis der Tunnelsteht (nicht jede Verschlüsselung wird von der FB unterstützt).
Das reicht jetzt aber als Lösung für die nächsten 2 Monate und dann soll doch tatsächlich Glasfaser bei mir sein und dann hab ich ja wieder mein Modem
Danke euch
Nachdem ich mich auf die FB aufgeschaltet habe, konnte ich erst mal feststellen das der Techniker nichts in Sachen Bridge bzw. PortForwarding konfiguriert hatte (also ganz entgegen seiner Aussage ;)
In der Fritzbox 7490 habe ich dann unter Internet-Freigaben-VPN auch eine Möglichkeit gefunden das VPN in der Fritzbox mit einer Sophos XG135 zu konfigurieren, da muss man zwar eine Weile testen bis der Tunnelsteht (nicht jede Verschlüsselung wird von der FB unterstützt).
Das reicht jetzt aber als Lösung für die nächsten 2 Monate und dann soll doch tatsächlich Glasfaser bei mir sein und dann hab ich ja wieder mein Modem
Danke euch
as der Techniker nichts in Sachen Bridge bzw. PortForwarding konfiguriert hatte
Sowas macht man ja auch immer selber und lässt sich das niemals von anderen machen !!!Allein schon das so jemand dann das Router Password und auch das Provider Passwort kennt ist ein absolutes NoGo !!
Aber gut wenn nun alles klappt wie es soll. Glückwunsch !
Case closed !