16
FritzBox VPN einrichten
Hallo,
Ich komme einfach nicht weiter. Diverse Abende habe ich eine Lösung gesucht in verschiedensten Foren. Und bin nicht weiter gekommen. Ich muss anfügen, dass ich nicht der Platzhirsch mit Netzwerken bin.
Ich habe folgende Einrichtung:
Büro: FB7270 V2, DynDns über https://xxxxxxxx.myds.me
Werkstatt: FB7270 V2, an einem Router eines fremden Netzwerkes angeschlossen, erreichbar über https://xxxxxx.yyyyyy.ch:499, also mit einem Port. Der Router des fremden Netzwerks leitet die Anfrage auf meine FB. Die FB ist erreichbar.
Die FB in der Werkstatt ist das Problem. Wenn IPSec für VPN benützt wird, muss dann Port 500 und Port 4500 am vorgeschalteten Router an die FB weitergeleitet werden?
Im Programm 'Fritz!Fernzugang einrichten' kann ich keinen Port angeben.
Ich möchte VPN zwischen den beiden FB einrichten. Geht das? Was muss ich noch machen? Kann ich allenfalls das cfg-File von 'Fritz!Fernzugang einrichten' anpassen?
Vielen Dank.
Ich komme einfach nicht weiter. Diverse Abende habe ich eine Lösung gesucht in verschiedensten Foren. Und bin nicht weiter gekommen. Ich muss anfügen, dass ich nicht der Platzhirsch mit Netzwerken bin.
Ich habe folgende Einrichtung:
Büro: FB7270 V2, DynDns über https://xxxxxxxx.myds.me
Werkstatt: FB7270 V2, an einem Router eines fremden Netzwerkes angeschlossen, erreichbar über https://xxxxxx.yyyyyy.ch:499, also mit einem Port. Der Router des fremden Netzwerks leitet die Anfrage auf meine FB. Die FB ist erreichbar.
Die FB in der Werkstatt ist das Problem. Wenn IPSec für VPN benützt wird, muss dann Port 500 und Port 4500 am vorgeschalteten Router an die FB weitergeleitet werden?
Im Programm 'Fritz!Fernzugang einrichten' kann ich keinen Port angeben.
Ich möchte VPN zwischen den beiden FB einrichten. Geht das? Was muss ich noch machen? Kann ich allenfalls das cfg-File von 'Fritz!Fernzugang einrichten' anpassen?
Vielen Dank.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 248566
Url: https://administrator.de/contentid/248566
Printed on: April 19, 2024 at 11:04 o'clock
16 Comments
Latest comment
Hallo,
ESP basiert direkt auf IP und verwendet die IP-Protokoll Nummer 50.
Nicht zu verwechseln mit TCP Port 50!
Was mir hier noch nicht ganz klar wird, ist folgendes:
Hast Du zwei AVM FBs und möchtest zwischen denen eine VPN Verbindung aufbauen?
Oder hast Du zwei AVM FBs hinter einander geschaltet und möchtest eine VPN Verbindung
von einer zur anderen einfach durchreichen?
Gruß
Dobby
ESP basiert direkt auf IP und verwendet die IP-Protokoll Nummer 50.
Nicht zu verwechseln mit TCP Port 50!
- Port 500
- Port 4500
- ESP 50
Ich muss anfügen, dass ich nicht der Platzhirsch mit Netzwerken bin.
Das ist egal aber richtig erklären solltest Du es schon können!Was mir hier noch nicht ganz klar wird, ist folgendes:
Hast Du zwei AVM FBs und möchtest zwischen denen eine VPN Verbindung aufbauen?
Oder hast Du zwei AVM FBs hinter einander geschaltet und möchtest eine VPN Verbindung
von einer zur anderen einfach durchreichen?
Gruß
Dobby
Erst mal, danke, Dobby!
Im Büro steht eine FB, in der Werkstatt (ein paar Kilometer entfernt, über Internet hoffentlich bald mal mit VPN verbunden) kommt zuerst der fremde Router, an welchem die andere FB angeschlossen ist. Alles klar?
Im Büro steht eine FB, in der Werkstatt (ein paar Kilometer entfernt, über Internet hoffentlich bald mal mit VPN verbunden) kommt zuerst der fremde Router, an welchem die andere FB angeschlossen ist. Alles klar?
Alles klar?
Nicht ganz kommt in der entfernten Werkstatt die AVM FB zuerst oder als zweites?Wenn als zweites dann sollte folgendes gemacht werden;
- Am ersten Router sollte eine Portweiterleitung auf die AVM FB gesetzt werden.
Wie schon weiter oben beschrieben mit TCP 500, TCP 4500 und ESP 50!
- Die AVM FB muss dann an dem LAN Port 1 verbunden sein mit diesem Router
und das muss auch so eingestellt werden in den Einstellungen der Fritz!Box!
Sonst macht die dort kein NAT und dann wird es nichts mit dem VPN.
- Ebenso sollte die AVM FB eine statische (feste) IP Adresse haben die
nicht vom DHCP des ersten Routers vergeben wir!!!
Gruß
Dobby
Das ist auch der falsche Ort. Du mußt den anderen Router umkonfigurieren, um IPSEC zur Fritzbox durchzulassen. Siehe auch die verlinkten Artikel/Beiträge in meiner ersten Antwort.
lks
Eigentlich ist auf den AVM Support Seiten doch alles wasserdicht dokumentiert. Damit bekommen auch blutige Laien das hin:
http://avm.de/service/vpn/uebersicht/
Grundlagen zur IPsec Vernetzung findet man hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Wenn man eine Router Kaskade wie der TO betreibt MUSS auf dem vorgeschalteten Router zwingend VPN Passthrough aktiviert sein !
Für IPsec sind das im Port Forwarding die folgenden Ports:
UDP 500
UDP 4500
ESP Protokoll mit der IP Nummer 50 (kein TCP oder UDP 50 !)
Siehe auch Links vom Kollegen LKS !
http://avm.de/service/vpn/uebersicht/
Grundlagen zur IPsec Vernetzung findet man hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Wenn man eine Router Kaskade wie der TO betreibt MUSS auf dem vorgeschalteten Router zwingend VPN Passthrough aktiviert sein !
Für IPsec sind das im Port Forwarding die folgenden Ports:
UDP 500
UDP 4500
ESP Protokoll mit der IP Nummer 50 (kein TCP oder UDP 50 !)
Siehe auch Links vom Kollegen LKS !
Jepp. Auch wenn spacyfreaks Zusammenfassung schon 7 Jahre auf dem Buckel hat, ist sie immer noch aktuell.
lks
Zitat von @108012:
> Alles klar?
Nicht ganz kommt in der entfernten Werkstatt die AVM FB zuerst oder als zweites?
Als zweite, so wie von dir vermutet> Alles klar?
Nicht ganz kommt in der entfernten Werkstatt die AVM FB zuerst oder als zweites?
Wenn als zweites dann sollte folgendes gemacht werden;
- Am ersten Router sollte eine Portweiterleitung auf die AVM FB gesetzt werden.
Wie schon weiter oben beschrieben mit TCP 500, TCP 4500 und ESP 50!
- Die AVM FB muss dann an dem LAN Port 1 verbunden sein mit diesem Router
und das muss auch so eingestellt werden in den Einstellungen der Fritz!Box!
Sonst macht die dort kein NAT und dann wird es nichts mit dem VPN.
- Ebenso sollte die AVM FB eine statische (feste) IP Adresse haben die
nicht vom DHCP des ersten Routers vergeben wir!!!
Alles genau so gemacht.- Am ersten Router sollte eine Portweiterleitung auf die AVM FB gesetzt werden.
Wie schon weiter oben beschrieben mit TCP 500, TCP 4500 und ESP 50!
- Die AVM FB muss dann an dem LAN Port 1 verbunden sein mit diesem Router
und das muss auch so eingestellt werden in den Einstellungen der Fritz!Box!
Sonst macht die dort kein NAT und dann wird es nichts mit dem VPN.
- Ebenso sollte die AVM FB eine statische (feste) IP Adresse haben die
nicht vom DHCP des ersten Routers vergeben wir!!!
Das ist auch der falsche Ort. Du mußt den anderen Router umkonfigurieren, um IPSEC zur Fritzbox durchzulassen. Siehe auch
die verlinkten Artikel/Beiträge in meiner ersten Antwort.
Die Beiträge habe ich auch gefunden und mich daran gehalten. Danke.die verlinkten Artikel/Beiträge in meiner ersten Antwort.
Nimm dir einen Wireshark Sniffer und checke ob dein vorgeschalteter Router wirklich alle 3 Protokolle forwardet.
Bei Billigsystemen scheitert das oft am ESP Protokoll, denn das ist kein TCP IP sondern ein eigenes IP Protokoll mit der Nummer 50.
(Encapsulation Security Payload).
Viele Billigrouter forwarden zwar UDP 500 und UDP 4500 aber ignorieren ESP. Klar das dann IPsec niemals funktionieren kann.
Sniffer also den Verbindungsaufbau mal mit mit dem kostenlosen Wireshark. Der zeigt dir in 3 Minuten sofort ob der vorgeschaltete NAT Router das macht was er auch soll !
Wenn nicht hilft nur der Austausch. Am besten dann gleich gegen einen vollständigen VPN Router damit du dir die Frickelei mit der leidigen Router Kaskade gleich ganz sparen kannst !
Bei Billigsystemen scheitert das oft am ESP Protokoll, denn das ist kein TCP IP sondern ein eigenes IP Protokoll mit der Nummer 50.
(Encapsulation Security Payload).
Viele Billigrouter forwarden zwar UDP 500 und UDP 4500 aber ignorieren ESP. Klar das dann IPsec niemals funktionieren kann.
Sniffer also den Verbindungsaufbau mal mit mit dem kostenlosen Wireshark. Der zeigt dir in 3 Minuten sofort ob der vorgeschaltete NAT Router das macht was er auch soll !
Wenn nicht hilft nur der Austausch. Am besten dann gleich gegen einen vollständigen VPN Router damit du dir die Frickelei mit der leidigen Router Kaskade gleich ganz sparen kannst !
Der vorgeschaltete Router ist nicht in meinem Einflussbereich. Ich geb's den Leuten vom anderen Netz mal weiter; an denen liegt's nicht, die helfen auch sehr. Vermutlich muss ich aber halt ein paar Schweizerfränkli aufwerfen für einen eigenen DSL-Anschluss.
An allen besten Dank für die Hilfe.
An allen besten Dank für die Hilfe.
Der vorgeschaltete Router ist nicht in meinem Einflussbereich.
Dann kannst du solch ein Vorhaben eigentlich gleich ganz vergessen !!Wie willst du denn sicherstellen das das Port Forwarding dort absolut richtig konfiguriert ist ?? Das geht gar nicht außer du snifferst es mit dem Wireshark mit und hälst es dem unter die Nase der diesen Router konfiguriert !
Das ist deine einzige Chance !
Oder du nimmst den umständlichen Weg und machst alles mit einem separaten Anschluss nach dem Motto "Warum einfach machen wenn es umständlich auch geht !"
Deine Entscheidung....!
Wenns das denn war bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Zitat von @aqui:
> Der vorgeschaltete Router ist nicht in meinem Einflussbereich.
Dann kannst du solch ein Vorhaben eigentlich gleich ganz vergessen !!
Wie willst du denn sicherstellen das das Port Forwarding dort absolut richtig konfiguriert ist ?? Das geht gar nicht außer
du snifferst es mit dem Wireshark mit und hälst es dem unter die Nase der diesen Router konfiguriert !
Das ist deine einzige Chance !
Oder du nimmst den umständlichen Weg und machst alles mit einem separaten Anschluss nach dem Motto "Warum einfach
machen wenn es umständlich auch geht !"
Deine Entscheidung....!
> Der vorgeschaltete Router ist nicht in meinem Einflussbereich.
Dann kannst du solch ein Vorhaben eigentlich gleich ganz vergessen !!
Wie willst du denn sicherstellen das das Port Forwarding dort absolut richtig konfiguriert ist ?? Das geht gar nicht außer
du snifferst es mit dem Wireshark mit und hälst es dem unter die Nase der diesen Router konfiguriert !
Das ist deine einzige Chance !
Oder du nimmst den umständlichen Weg und machst alles mit einem separaten Anschluss nach dem Motto "Warum einfach
machen wenn es umständlich auch geht !"
Deine Entscheidung....!
Oder eine VPN-Protokoll nehmen, daß ohne Protokoll-Forwarding auskommt wie z.B, openVPN, das nur ein Portfaorwarding für TCP braucht.
lks
Der vorgeschaltete Router ist nicht in meinem Einflussbereich.
Bei einem VPN muss aber eben zwingend auf beiden Seiten das selbe konfiguriert werden!Das ist wie mit Schlüsseln und Schlössern die müssen auch zu einander passen.
Ich geb's den Leuten vom anderen Netz mal weiter; an denen liegt's nicht,
Wenn auf beiden Seiten alles richtig konfiguriert wurde wäre dieser Beitrag nichtentstanden.
die helfen auch sehr.
Das man auch sicher alles sein nur das kannst Du auch nicht sehen und dann kann manauch nicht sagen was dort läuft! Denn in der Regel ist es doch so wenn solche Konstrukte
wie Routerkaskaden entstehen hat das schon einen Sinn, nur muss dann auch dieser Sinn
bewahrt werden und nicht einfach umgesetzt werden was realisiert werden kann!!!
Normalerweise terminiert man das VPN immer an dem ersten Router um etwas
dahinter liegendes zu erreichen, und der zweite Router schirmt dann das LAN
dahinter ab mit der zweiten NAT Schnittstelle (WAN Interface), fertig.
Wenn man nun davon ausgeht das man Dir keinen Zugriff erlaubt gehe ich jetzt erst
einmal davon aus das man dort selber einen Cisco Router von der Telekom erhalten
hat und auch dort selber nicht den zugriff darauf hat, um sicher zu stellen dass man
alles Ports weitergeleitet und alle Dienste verfügbar gemacht hat!
Vermutlich muss ich aber halt ein paar Schweizerfränkli aufwerfen für einen
eigenen DSL-Anschluss.
Aber dann gleich mit statische (fester) IP Adresse.eigenen DSL-Anschluss.
Gruß
Dobby
Zitat von @aqui:
> Der vorgeschaltete Router ist nicht in meinem Einflussbereich.
Dann kannst du solch ein Vorhaben eigentlich gleich ganz vergessen !!
Wie willst du denn sicherstellen das das Port Forwarding dort absolut richtig konfiguriert ist ?? Das geht gar nicht außer
du snifferst es mit dem Wireshark mit und hälst es dem unter die Nase der diesen Router konfiguriert !
Das ist deine einzige Chance !
Die Leute haben alles richtig gemacht, man sollte nicht allen mistrauen.> Der vorgeschaltete Router ist nicht in meinem Einflussbereich.
Dann kannst du solch ein Vorhaben eigentlich gleich ganz vergessen !!
Wie willst du denn sicherstellen das das Port Forwarding dort absolut richtig konfiguriert ist ?? Das geht gar nicht außer
du snifferst es mit dem Wireshark mit und hälst es dem unter die Nase der diesen Router konfiguriert !
Das ist deine einzige Chance !
Oder du nimmst den umständlichen Weg und machst alles mit einem separaten Anschluss nach dem Motto "Warum einfach
machen wenn es umständlich auch geht !"
Deine Entscheidung....!
Also, die Lösung habe ich hier
http://avm.de/nc/service/fritzbox/fritzbox-7490/wissensdatenbank/public ...
gefunden. Zuunterst. Dort steht:
Ist in einer FRITZ!Box sowohl MyFRITZ! als auch Dynamic DNS aktiv, muss bei der Einrichtung der VPN-Verbindung zwingend der MyFRITZ!-Domainname als "Internetadresse" eingetragen werden.
Soll bei der VPN-Verbindung als "Internetadresse" eine feste ("statische") öffentliche IP-Adresse verwendet werden, darf in der FRITZ!Box weder MyFRITZ! noch Dynamic DNS aktiv sein.
In der einen Box, die hinter dem Router, habe ich MyFritz! deaktiviert, in der anderen den MyFritz!-Domainnamen im 'Fritz Fernzugang einrichten' angegeben. Und es geht.
Nochmals allen vielen Dank.
http://avm.de/nc/service/fritzbox/fritzbox-7490/wissensdatenbank/public ...
gefunden. Zuunterst. Dort steht:
Ist in einer FRITZ!Box sowohl MyFRITZ! als auch Dynamic DNS aktiv, muss bei der Einrichtung der VPN-Verbindung zwingend der MyFRITZ!-Domainname als "Internetadresse" eingetragen werden.
Soll bei der VPN-Verbindung als "Internetadresse" eine feste ("statische") öffentliche IP-Adresse verwendet werden, darf in der FRITZ!Box weder MyFRITZ! noch Dynamic DNS aktiv sein.
In der einen Box, die hinter dem Router, habe ich MyFritz! deaktiviert, in der anderen den MyFritz!-Domainnamen im 'Fritz Fernzugang einrichten' angegeben. Und es geht.
Nochmals allen vielen Dank.
