10
VPN Router hinter Kabel Fritzbox
Hallo zusammen,
wir haben in einer unserer Filialen aus Kosten- und Performance-gründen damals einen Unitymedia Kabel Anschluss gebucht.
Dieser Anschluss (50 Mbit) war der Beste im Preis-Leistungs-Vergleich.
Ich möchte nun aber gerne diese Filiale an unser Firmen VPN anbinden. Wir haben hier Lancom Router im Einsatz.
Das ganze läuft sehr stabil, ohne Ausfälle.
Wäre es möglich, die Unitymedia Fritzbox als reines Modem zu nutzen und dahinter ebenfalls einen Lancom VPN Router zu installieren?
Wäre schön, wenn jemand eine Idee dazu hat!
Noch einen schönen Feiertag wünscht
Thomas
wir haben in einer unserer Filialen aus Kosten- und Performance-gründen damals einen Unitymedia Kabel Anschluss gebucht.
Dieser Anschluss (50 Mbit) war der Beste im Preis-Leistungs-Vergleich.
Ich möchte nun aber gerne diese Filiale an unser Firmen VPN anbinden. Wir haben hier Lancom Router im Einsatz.
Das ganze läuft sehr stabil, ohne Ausfälle.
Wäre es möglich, die Unitymedia Fritzbox als reines Modem zu nutzen und dahinter ebenfalls einen Lancom VPN Router zu installieren?
Wäre schön, wenn jemand eine Idee dazu hat!
Noch einen schönen Feiertag wünscht
Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 236973
Url: https://administrator.de/contentid/236973
Printed on: April 25, 2024 at 09:04 o'clock
10 Comments
Latest comment
Mahlzeit.
Da die Fritz!Box nicht nur Router ist, sondern auch das Kabelmodem enthält, kannst du auch nicht einfach nen Router dahinterklemmen; insbesondere hat UM jetzt angefangen, seinen Kunden nicht routbare IP-Adressen zu verpassen, ähnlich wie das in Mobilfunknetzen gemacht wird - für ein VPN-Szenario eine sehr schlechte Ausgangssituation.
Wenn das ne "Business-Line" von UM ist (bzw. auch wenn nicht, dir bleibt nix anderes übrig), ruf bei UM an und schildere deine Situation. Du benötigst ein reines Kabelmodem, an welches du dann einen x-beliebigen Router (LANCOM ist btw ne gute Wahl) anschliesen kannst und bestenfalls eine statische, öffentliche IP-Adresse für deinen Anschluss. Wenn man diese Anforderungen den UM-Callcenter-Agents mitteilt hat man i.d.R. das Glück, dass dem Wunsch nachgekommen wird.
Ich wünsche viel Erfolg und gutes Gelingen.
Cheers,
jsysde
Zitat von @DerAllesMachenMuss:
[...]Wäre es möglich, die Unitymedia Fritzbox als reines Modem zu nutzen und dahinter ebenfalls einen Lancom VPN Router zu
installieren?
Nein. Wie du sicher selbst schon festgestellt hast, ist diese Optionen in der Fritz!Box Cable nicht vorhanden bzw. ausgegraut.[...]Wäre es möglich, die Unitymedia Fritzbox als reines Modem zu nutzen und dahinter ebenfalls einen Lancom VPN Router zu
installieren?
Da die Fritz!Box nicht nur Router ist, sondern auch das Kabelmodem enthält, kannst du auch nicht einfach nen Router dahinterklemmen; insbesondere hat UM jetzt angefangen, seinen Kunden nicht routbare IP-Adressen zu verpassen, ähnlich wie das in Mobilfunknetzen gemacht wird - für ein VPN-Szenario eine sehr schlechte Ausgangssituation.
Wenn das ne "Business-Line" von UM ist (bzw. auch wenn nicht, dir bleibt nix anderes übrig), ruf bei UM an und schildere deine Situation. Du benötigst ein reines Kabelmodem, an welches du dann einen x-beliebigen Router (LANCOM ist btw ne gute Wahl) anschliesen kannst und bestenfalls eine statische, öffentliche IP-Adresse für deinen Anschluss. Wenn man diese Anforderungen den UM-Callcenter-Agents mitteilt hat man i.d.R. das Glück, dass dem Wunsch nachgekommen wird.
Ich wünsche viel Erfolg und gutes Gelingen.
Cheers,
jsysde
1
Hallo Thomas,
wandel den Anschluss in einen Business-Tarif und du erhältst ein Ciscomodem von denen.
Grüße,
Dani
wandel den Anschluss in einen Business-Tarif und du erhältst ein Ciscomodem von denen.
Grüße,
Dani
1
Hi,
Als Alternative zu einem sicher entsprechend teureren Anschluß, wäre da nur OpenVPN zu nennen.
Wenn Du am Hauptstandort einen OpenVPN-Server laufen lässt und innerhalb Deines Unitymedia Fritzbox-LAN's einen OpenVPN-Client auf einem Server, hättest Du das Problem auch gelöst.
Das funktioniert selbst in einem UMTS-Netz auf Client-Seite problemlos, also sollte das auch bei UM funktionieren.
Die Frage ist nur, was hierfür für Hardware-Änderungen notwendig werden und ob dann nicht ein anderer Anschluss die einfachere Alternative ist.
Gruß orcape
Da die Fritz!Box nicht nur Router ist, sondern auch das Kabelmodem enthält, kannst du auch nicht einfach nen Router dahinterklemmen; insbesondere
hat UM jetzt angefangen, seinen Kunden nicht routbare IP-Adressen zu verpassen, ähnlich wie das in Mobilfunknetzen gemacht wird - für ein
VPN-Szenario eine sehr schlechte Ausgangssituation.
...hier ist wohl wenig hinzu zu fügen.hat UM jetzt angefangen, seinen Kunden nicht routbare IP-Adressen zu verpassen, ähnlich wie das in Mobilfunknetzen gemacht wird - für ein
VPN-Szenario eine sehr schlechte Ausgangssituation.
Als Alternative zu einem sicher entsprechend teureren Anschluß, wäre da nur OpenVPN zu nennen.
Wenn Du am Hauptstandort einen OpenVPN-Server laufen lässt und innerhalb Deines Unitymedia Fritzbox-LAN's einen OpenVPN-Client auf einem Server, hättest Du das Problem auch gelöst.
Das funktioniert selbst in einem UMTS-Netz auf Client-Seite problemlos, also sollte das auch bei UM funktionieren.
Die Frage ist nur, was hierfür für Hardware-Änderungen notwendig werden und ob dann nicht ein anderer Anschluss die einfachere Alternative ist.
Gruß orcape
Oder nutze eine Router Kaskade mit beiden Routern. Die Alternative 2 in diesem Tutorial erklärt wie:
Kopplung von 2 Routern am DSL Port
Wenn du ein IPsec VPN nutzt (was du uns ja leider nicht mitteilst
) forwardest du dann einfach die Ports:
UDP 500
UDP 4500
und das ESP Protokoll mit der Protokoll Nummer 50 (nicht TCP oder UDP 50 !)
auf den dahinterliegenden WAN Port des Lancom Routers !
Eigentlich ist auch das Unsinn, denn die FritzBox supportet selber IPsec VPNs direkt wie jeder weiss:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
(es sei denn du hast so einen kastrierten Zwangsrouter vom Provider der das wieder nicht kann... ?!)
So das man den LANCOM Router dahinter auch gleich weglassen kann, was natürlich technisch gesehen die bessere Lösung ist als ein Kaskade.
Wie man IPsec VPNs zu anderen Herstellern einrichtet mit der Fritzbox erklärt dir dieses Forums Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Damit ist das VPN Setup ins Firmen VPN mit der FB direkt dann ein Kinderspiel.
Kopplung von 2 Routern am DSL Port
Wenn du ein IPsec VPN nutzt (was du uns ja leider nicht mitteilst
) forwardest du dann einfach die Ports:UDP 500
UDP 4500
und das ESP Protokoll mit der Protokoll Nummer 50 (nicht TCP oder UDP 50 !)
auf den dahinterliegenden WAN Port des Lancom Routers !
Eigentlich ist auch das Unsinn, denn die FritzBox supportet selber IPsec VPNs direkt wie jeder weiss:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
(es sei denn du hast so einen kastrierten Zwangsrouter vom Provider der das wieder nicht kann... ?!)
So das man den LANCOM Router dahinter auch gleich weglassen kann, was natürlich technisch gesehen die bessere Lösung ist als ein Kaskade.
Wie man IPsec VPNs zu anderen Herstellern einrichtet mit der Fritzbox erklärt dir dieses Forums Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Damit ist das VPN Setup ins Firmen VPN mit der FB direkt dann ein Kinderspiel.
1
Mahlzeit.
OpenVPN ist ein rechtes Gebastel, vor allem, wenn man es das erste Mal implementieren muss. Davon abgesehen wird das VPN dabei _nicht!_ auf dem Router terminiert, sondern erst auf einem Server dahinter - was eine entsprechende Konfiguration der Clients für die Nutzung des VPN erzwingt usw. Klar, es funktioniert, aber der Weg ist steinig und lang....
Router-Kaskade ist auch nicht das, was man will - auch dieses Konstrukt funktioniert, sicher, aber es führt auch einem sehr komplexen System, dessen Troubleshooting einiges an Wissen und Erfahrung vorraussetzt. Und ernst gemeint kann der Vorschlag, statt nem LANCOM-Router die Witzbox zu nehmen, ja nicht sein, oder @aqui?
Ich täte erst mal mit UM klären, was hier machbar ist (Modem ja/nein) und dann entscheiden....
Cheers,
jsysde
OpenVPN ist ein rechtes Gebastel, vor allem, wenn man es das erste Mal implementieren muss. Davon abgesehen wird das VPN dabei _nicht!_ auf dem Router terminiert, sondern erst auf einem Server dahinter - was eine entsprechende Konfiguration der Clients für die Nutzung des VPN erzwingt usw. Klar, es funktioniert, aber der Weg ist steinig und lang....
Router-Kaskade ist auch nicht das, was man will - auch dieses Konstrukt funktioniert, sicher, aber es führt auch einem sehr komplexen System, dessen Troubleshooting einiges an Wissen und Erfahrung vorraussetzt. Und ernst gemeint kann der Vorschlag, statt nem LANCOM-Router die Witzbox zu nehmen, ja nicht sein, oder @aqui?
Ich täte erst mal mit UM klären, was hier machbar ist (Modem ja/nein) und dann entscheiden....
Cheers,
jsysde
2OpenVPN ist ein rechtes Gebastel, vor allem, wenn man es das erste Mal implementieren muss
Unsinn und zeugt eher von Unkenntniss. Mit einem WebGUI wie z.B. es Komponenten wie z.B. hier und andere haben ist das in 5 Minuten zusammengeklickt. Das bekommt auch ein Dummie hin, deshalb und weil es sicher ist und nix kostet ist OVPN ja auch so populär.Davon abgesehen wird das VPN dabei _nicht!_ auf dem Router terminiert, sondern erst auf einem Server dahinter
Auch Unsinn wenn man einen "richtigen" Router oder mindestens eine gescheite Firewall hat. Jeder halbwegs kundige Netzwerker implementiert das immer da weil VOR der NAT Firewall und ohne Löcher im Port Forwarding !Generell ist das einfacher mit OVPN da es ein SSL basiertes VPN ist und nur ein Port geforwardet werden muss. Hinter der NAT Firewall bleibt aber immer ein Restrisiko, deshalb gehören VPN Server niemals ins interne Netz !
was eine entsprechende Konfiguration der Clients für die Nutzung des VPN erzwingt
Auch das ist barer Unsinn, denn es wäre wenn dem so wäre einzig nur die Ziel IP oder Hostname des Servers. Für den Client spielt das aber keine Rolle dort wird die IP Adresse angegeben und dann ist das für alle Clients identisch.Du solltest besser mal etwas lesen über OVPN als hier im Forum solche halbgaren und laienhaften Mutmaßungen anzustellen die bar jeglicher Realität sind, sorry !
Router-Kaskade ist auch nicht das, was man will
Yepp, die erste richtige Aussage hier !!sehr komplexen System, dessen Troubleshooting einiges an Wissen und Erfahrung vorraussetzt.
Schade...fing so gut an aber das macht es wieder zunichte. In einer 2er Kaskade ist das ja nun simpel. Jeder mit nur einigermassen Netzwerk Grundkenntniss hat das in 5 Minuten durchschaut. Deine Behauptung ist auch aus Laiensicht masslos übertrieben.Das alles lässt erhebliche Zweifel aufkommen ob du überhaupt in der Lage bist den Unterschied zw. deinen Lancom und der FB beurteilen zu können. Das ist jetzt nicht böse gemeint aber vermutlich hast du eine vollkommen andere Sichtweise auf die Technik die eher nicht Administrator bezogen ist.
Grob gesagt ist der Einwand bzgl. der Routerplattformen berechtigt, denn FritzBox ist ja nicht gerade eine Hardware die für Performance und Feature Reichtum steht. Das ist ein Consumer Produkt für zuhause und hat in einem Firmenumfeld eigentlich rein gar nichts zu suchen wenn man mal ehrlich ist.
Sieht man aber mal etwas auf die Details in deinem Szenario kommts drauf an. Die Kabel FB verarbeitet 100 Mbit mit PPPoE und NAT (Download) nahezu in Wirespeed, wobei hier PPPoE als Encapsulation noch wegfällt bei einem Kabelzugang was der Systemperformance zugute kommt. 50% der Bandbreite wird sie sicher als VPN Encapsulation schaffen wenn man MD5 als Hashing bei IPsec wählt.
Da du bei Kabel (100 Mbit/s) auch nur 5 Mbit/s Upload hast kann die FB ja nie mehr als 5 Mbit/s bidirektional schaufeln im VPN.
Das sollte sie locker schaffen, denn das kann auch ein 5 Jahre alter Linksys WRT54 mit OpenVPN.
Es lohnt also genauer hinzusehen und zu analysieren WAS dort übers VPN geht.
Außerdem.... Was hindert dich daran es ganz einfach mal zu machen und mit NetIO oder IPerf mal den realen VPN Durchsatz zu messen.
Statt wild rumzumutmaßen im freien Fall (nach unten) hast du dann harte Fakten auf dem Tisch mit denen du argumentieren kannst !
So macht man es...eigentlich ?!
3
N'Abend.
Danke, @aqui, für die wieder einmal völlig überflüssige, herablassende, arrogante und inhaltlich völlig unsinnige Belehrung.
Wenn du in der Lage bist, OpenVPN "in 5 Minuten" einzurichten und auch eine Router-Kaskade im Schlaf beherrschst - schön für dich, aber setze das nicht für alle anderen vorraus. Ich mache den Job seit > 15 Jahren und weiß sehr genau, was ich tue, sage und schreibe und ich kenne die Probleme, mit denen man sich herumschlagen muss, wenn mal etwas außerhalb der gewohnten Umgebung zu implementieren/administrieren ist.
Wenn der TO bisher LANCOM einsetzt, gehe ich mal davon aus, dass da ein gewisser Sinn hinter steckt und es für ihn das einfachste wäre, einfach bei LANCOM zu bleiben (weil es zum "Rest" passt, weil er es "kennt" etc.). Der einfachste Weg dorthin ist der Austausch der FB gegen ein Kabelmodem und den LANCOM direkt dahinter zu hängen - das auch andere Wege ans Ziel führen, habe ich nirgends bestritten, sondern nur die Stolperfallen aufgezählt (unabhängig davon, dass ich ebenfalls sehr gut weiß, wie man diese umgeht), die einen so erwarten können.
Cheers,
jsysde
Danke, @aqui, für die wieder einmal völlig überflüssige, herablassende, arrogante und inhaltlich völlig unsinnige Belehrung.
Wenn du in der Lage bist, OpenVPN "in 5 Minuten" einzurichten und auch eine Router-Kaskade im Schlaf beherrschst - schön für dich, aber setze das nicht für alle anderen vorraus. Ich mache den Job seit > 15 Jahren und weiß sehr genau, was ich tue, sage und schreibe und ich kenne die Probleme, mit denen man sich herumschlagen muss, wenn mal etwas außerhalb der gewohnten Umgebung zu implementieren/administrieren ist.
Wenn der TO bisher LANCOM einsetzt, gehe ich mal davon aus, dass da ein gewisser Sinn hinter steckt und es für ihn das einfachste wäre, einfach bei LANCOM zu bleiben (weil es zum "Rest" passt, weil er es "kennt" etc.). Der einfachste Weg dorthin ist der Austausch der FB gegen ein Kabelmodem und den LANCOM direkt dahinter zu hängen - das auch andere Wege ans Ziel führen, habe ich nirgends bestritten, sondern nur die Stolperfallen aufgezählt (unabhängig davon, dass ich ebenfalls sehr gut weiß, wie man diese umgeht), die einen so erwarten können.
Cheers,
jsysde
3
Hi,
@jsysde
zum Thema OpenVPN muss ich Aqui leider Recht geben. Wer das einmal konfiguriert hat, für den ist das kein Hexenwerk mehr.
Deine Abneigung dagegen, ist definitiv unbegründet.
Ein IPSec-Tunnel ist da bedeutend aufwendiger, finde ich und da geht es mir so, wie Dir bei OpenVPN, da fehlt mir einfach die Routine.
Wenn man die Vorbereitung mit Keys erstellen usw. nicht rechnet, ist das Ding wirklich in ein paar Minuten zusammengeklickt.
Das @aqui, was die Normzeiten betrifft, manchmal etwas übertreibt, wissen wir hier im Forum doch alle und ich für meinen Teil sehe das nicht so eng.
Letztendlich muss sich der TO dann selbst entscheiden, ist ja auch eine Frage der Sichtweise und der Geldbörse.
Gruß orcape
@jsysde
zum Thema OpenVPN muss ich Aqui leider Recht geben. Wer das einmal konfiguriert hat, für den ist das kein Hexenwerk mehr.
Deine Abneigung dagegen, ist definitiv unbegründet.
Ein IPSec-Tunnel ist da bedeutend aufwendiger, finde ich und da geht es mir so, wie Dir bei OpenVPN, da fehlt mir einfach die Routine.
Wenn man die Vorbereitung mit Keys erstellen usw. nicht rechnet, ist das Ding wirklich in ein paar Minuten zusammengeklickt.
Das @aqui, was die Normzeiten betrifft, manchmal etwas übertreibt, wissen wir hier im Forum doch alle und ich für meinen Teil sehe das nicht so eng.
Letztendlich muss sich der TO dann selbst entscheiden, ist ja auch eine Frage der Sichtweise und der Geldbörse.
Gruß orcape
1
@jsysde
Niemand zweifelt hier die von dir genannten technischen Fakten an und natürlich hast du absolut Recht was die Kopplung anbetrifft. Unrichtig ist aber die generelle Aussage des TO das FB per se lahm und Lancom blitzschnell ist im VPN.
Auch du wirst zugeben müssen das direkt die FB als VPN Router einzusetzen noch einfacher ist als der Tausch des Modems. Natürlich ist der Lancom ein Business Router und keine Consumer Plastikbox. Per se also allemal das richtige System für den Firmeneinsatz, keine Frage ! Aber einen Versuch wäre es ja allemal wert, da der Aufwand gegen Null geht und es das Risiko eines teureren Provider Businesstarifs erstmal umgeht.
Egal...es gibt viele Wege. Soll der TO entscheiden was er macht.
Ich mache den Job seit > 15 Jahren und weiß sehr genau, was ich tue, sage und schreibe und ich kenne die Probleme, mit denen man sich herumschlagen muss, wenn mal etwas außerhalb der gewohnten Umgebung zu implementieren/administrieren ist.
Scheinbar hier aber nicht, denn warum hast du dann das obige geschrieben ?? Wenn du mal fair sein würdest, müsstest du zugeben das das schon übertrieben und etwas realitätsfremd ist....verwunderlich nach den 15 Jahren Erfahrung und als Statement in einem Administrator Forum... Ignorieren wir das aber mal.Niemand zweifelt hier die von dir genannten technischen Fakten an und natürlich hast du absolut Recht was die Kopplung anbetrifft. Unrichtig ist aber die generelle Aussage des TO das FB per se lahm und Lancom blitzschnell ist im VPN.
Auch du wirst zugeben müssen das direkt die FB als VPN Router einzusetzen noch einfacher ist als der Tausch des Modems. Natürlich ist der Lancom ein Business Router und keine Consumer Plastikbox. Per se also allemal das richtige System für den Firmeneinsatz, keine Frage ! Aber einen Versuch wäre es ja allemal wert, da der Aufwand gegen Null geht und es das Risiko eines teureren Provider Businesstarifs erstmal umgeht.
Egal...es gibt viele Wege. Soll der TO entscheiden was er macht.
Zitat von @aqui:
Unrichtig ist aber die generelle Aussage des TO das FB per se lahm und Lancom blitzschnell ist im VPN.
Unrichtig ist aber die generelle Aussage des TO das FB per se lahm und Lancom blitzschnell ist im VPN.
Und so Lancom-Dosen haben noch gaaaanz andere Probleme, die Fritten einfach nicht haben.
Aber man ist bei diesem HW-Hersteller ja schon immer herablassend gegenüber findigen Kunden gewesen; ein Dialog konnte somit nie entstehen.
Und wenn ich mir die Offenheit und Reaktionszeit bei der letzten Lücke der FB im Vergleich zu Lancom ansehe: ich rate daher allen Kunden davon ab.
Das waren schon einige; das ist MEINE Art, den Freunden bei Lancom zu zeigen, daß nicht deren tolle Vertriebsmannschaft die Kaufentscheidung gibt.
Ich erinnere mich da an meinen Kunden, dessen Lancom dicht war, weil der letzte Dienstleister (übrigens Lancom-Irgendwas-Partner) das Kennwort für die Dose nicht rausrückte. Zu Zeiten, als man noch 4 Tage auf die DSL-Zugangsdaten warten mußte ist das schon geschäftsschädigend.
Und da mußte man halt zu unorthodoxen Mitteln greifen, um sich wieder Zugriff zu verschaffen, obwohl das nette Forums-Geschwader einen ausgelacht hat, daß man NIEMALS so Zugriff auf eine Büchse von denen erhalten könnte.
Seitdem ist es mir nach jedem Update immer wieder eine Freude, zu testen, was man noch so alles anstellen kann.
Natürlich ist der Lancom ein Business Router und keine Consumer Plastikbox. Per se also allemal das richtige System für
den Firmeneinsatz, keine Frage!
den Firmeneinsatz, keine Frage!
Nö, da würde ich persönlich lieber auf funkwerk setzen.
Lonesome Walker
