Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SHDSL Konfiguration Cisco Router - AVM Fritz!box 7170 mit VPN

Mitglied: lernZeit

lernZeit (Level 1) - Jetzt verbinden

25.06.2010 um 00:21 Uhr, 11420 Aufrufe, 9 Kommentare

Guten Tag, die Herausforderung vor der ich stehe zeigt mir meine Grenzen auf. Vielleicht lassen sich diese mit Ihrer/eurer Hilfe erweitern.

Unser System: 1 MS-Server 2008, 1 Exchange-Server 2007 sind mit einer ADSL-Leitung über eine AVM Fritz!Box 7170 mit dem Internet verbunden.
8 Außenstellen greifen auf die Server per AVM VPN Client zu (überall steht eine AVM 7170).
Nun ist bei O2 eine SHDSL 2,3 Mbit Leitung eingekauft worden.
Ein vorkonfigurierter Cisco SHDSL Router 878 wurde mitgeliefert.
Der Cisco Router verbindet sich automatisch mit dem Internet.
Die VPN Verbindungen werden nicht zugelassen, OWA funktioniert ebenfalls nicht.
Der Versuch (von 2 Firmen - eine auf Cisco spezialisiert), die Verbindungen zu konfigurieren, scheiterten.
Der Support von AVM sagt, dass die 7170 die Verbindung aufbauen muss, damit die VPN Verbindung zustande kommen kann.
Der Cisco-Router lässt sich nicht zum Modem umkonfigurieren.

Meine Fragen:
1. Gibt es ein Gerät, dass so konfiguriert werden kann, dass es lediglich als SHDSL-Modem arbeitet und 1:1 alles durchreicht was über die VPN Verbindungen an die Server gerichtet ist?
2. Nutzt jemand eine vergleichbare Netzkonfiguration, wo VPN-Verbindungen über eine AVM Fritz!Box hinter einem SHDSL Modem/Router eingerichtet sind?

Vielen Dank für die Aufmerksamkeit.
Mitglied: Patrick-R
25.06.2010 um 01:06 Uhr
Hi,

also ich würde den AVM ausrangieren.
und auf dem MS-Server eine RAS einwahl einrichten.
dann auf dem cisco im IOS einfach inbound-NAT für IPsec, l2TP, PPTP und fürs owa SSL forwarden.
dann bist du auch nicht mehr auf denn AVM VPN Clienten angewiesen und es kann von jedem windows-, linux-, macrechner die verbindung aufgebaut werden
fertig!!

wenn du wirklich den AVM behalten willst:
bei AVM in erfahrung bringen welche ports für die VPN Verbindung gebraucht werden,
den wan port an den cisco, fritzox auf static oder dhcp umstellen und die server an die lan ports der fritzbox
dann die vpn-port im cisco wieder per port-forward an die FB weitergeben.
Nachteil: owa ist nur über vpn erreichbar.
abhilfe: zweites privates netz.


viele grüße
patrick
Bitte warten ..
Mitglied: lernZeit
25.06.2010 um 08:38 Uhr
Guten Morgen und danke für die Anregung.
Die AVM muss bleiben, da 8 bis 10 Außenstellen über AVM VPN auf die Server zugreifen.
Festgelegt ist, dass ohne VPN eine Zugriff auf den Exchange und den Server nicht erfolgen soll.
OWA muss für ca 25 User, die nur Zugriff auf ihr Exchangekonto haben, ohne VPN funktionieren.

Hinter der Fritz!Box steht noch eine Firebox, die ein zweites Netzwerk eingetragen hat, um einen Zugang zum Internet für einige öffentlich zugängliche Räume (Gemeindezentrum einer Kirchengemeinde) sicher zu stellen.
Bitte warten ..
Mitglied: Arch-Stanton
25.06.2010 um 11:07 Uhr
Das ist eigentlich standard bei SHDSL, man hat einen Router vom Provider, welcher transparent alles durchlässt. Auf der eigenen Firewall werden dann die VPN-Endpunkte gesetzt. Du hast doch sicherlich eine öffentliche IP für Deine Fritzbox bekommen? Ganz abgesehen davon, daß ich niemals solch ein Szenario mit Fritzboxen durchführen würde, sollte es so klappen. Am Ciso-Router kann man nichts ändern, der verbindet nur das Trnasfernetz mit dem Provider.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: aqui
25.06.2010 um 17:53 Uhr
@lernZeit
Eins ist bei dir ziemlich unklar, nämlich wie das derzeitige Design aussieht ??
Hast du aktuell 2 Leitungen also die VDSL Leitung UND die SHDSL Leitung oder ist die VDSL Leitung mit letzterer ersetzt worden und du betreibst quasi 2 kaskadierte Router ??
Letzteres klingt sehr wahrscheinlich nach deiner etwas undeutlichen Beschreibung ?! D.h. dann müsste dein netz so aussehen, oder ?

67596ec288012a486494b5ebb21b6f37 - Klicke auf das Bild, um es zu vergrößern

Wenn dem so ist kann man das auf Anhieb ohne Probleme zum Fliegen bringen ! Unverständlich warum "eine auf Cisco spezialisierte" Firma sowas nicht hinbekommt ?? Normalerweise ist das in 10 Minuten erledigt...nundenn.
Da der AVM VPN Client IPsec VPN Tunnel im ESP Modus benutzt musst du auf dem Cisco nur simpel und einfach ein Port Forwarding konfigurieren auf die IP Adresse der FritzBox 7190.
Diese muss vorher zwingend auf den LAN-1 Port Betreib umkonfiguriert werden, damit das interne DSL Modem abgeschaltet wird !
Dann stellt man sie auf statische IP Adress Betrieb am LAN-1 Port ein und gibt ihr eine feste IP Adresse aus dem Cisco 878 Transfer Netz zw. Cisco und FB !
In der Cisco Konfig sieht das so aus:
ip nat inside source static esp 172.16.1.1 <öffentliche SHDSL IP oder Int Cisco> extendable
ip nat inside source static udp 172.16.1.1 500 <öffentliche SHDSL IP oder Int Cisco> 500 extendable
ip nat inside source static udp 172.16.1.1 4500 <öffentliche SHDSL IP oder Int Cisco> 4500 extendable

Oder ganz einfach (für Dummies) als "Schrotschuss NAT" was ALLES von der Cisco SHDSL IP Adresse an die AVM forwardet:
ip nat inside source static 172.16.1.1 <öffentliche SHDSL IP oder Int Cisco>

Je nachdem wie der Cisco konfiguriert ist, mit oder ohne Firewall Featureset, muss ggf. noch eine ACL für den SHDSL Port erstellt werden ala:
access-list 110 permit esp any any
access-list 110 permit udp any eq 500
access-list 110 permit udp any eq 4500
!
interface Dialer0
description SHDSL Verbindung O2
ip address negotiated
ip access-group 110 in

Fertich ist der Lack und die AVM VPN Verbindungen rennen wieder..!
Bitte warten ..
Mitglied: lernZeit
26.06.2010 um 12:26 Uhr
Hallo Aqui,
vielen Dank. Entschuldigung für die undeutliche Beschreibung, das ist dem engagierten Laien geschuldet, der ich nun einmal bin.

Im Prinzip ist das System richtig erkannt. Hinter der Fritz!box steht eine Firebox Hardware-Firewall.
Zwei Server - Exchange und File - stehen in einem Netzwerk. Hier ist der VPN Zugriff erforderlich, hier greifen 8 - 10 Außenstellen per VPN und 8 Arbeitsplätze im Netzwerk drauf zu.
Ein zweites Netz ohne Server bekommt über die Firebox die auch DHCP kann, ihre Adressen. Dieses Netz ist theoretisch für Jedermann und zur Internetnutzung bestimmt.

Ich werde deinen Lösungsansatz weiter leiten. Herzlichen Dank.
Bitte warten ..
Mitglied: aqui
26.06.2010 um 22:31 Uhr
Generell ist deine Konfig unproduktiv, denn ALLES sollte auf der Firebox landen aber egal...mit der umständlichen Variante von dir funktioniert es auch !
Noch was wichtiges:
Der Vorschlag von oben gilt nur wenn auf dem LAN Interfaces des Cisco Routers ein privates RFC_1918_IP_Netzwerk ist. Also ein Netzwerk was eine private IP Adresse aus dem 10er, 172, oder 192.168er Bereich konfiguriert hat.
Hat dir dein Provider (O2) am LAN Port aber ein kleines öffentliches Subnetz konfiguriert am Cisco Router, dann musst du selbstverständlich dieses o.a. IP Port Forwarding auf dem Cisco NICHT machen !!
Logisch, denn dann hast du auf dem LAN ja ein öffentliches Subnetz was über das Internet direkt erreichbar ist.
In diesem Falle ist dann die statische Fritzbox WAN IP an LAN-1 Port (die Umstellung an der FB musst du in jedem Falle machen !!) am Cisco LAN deine VPN Zieladresse !

Wie gesagt das ganze Design ist totaler Murks ! Die FB kannst du eigentlich entsoregn und die Firebox direkt an den Cisco hängen. Alle VPN Verbindungen sollten dann auf der Firebox terminiert werden. Dafür ist sie eigentlich ja auch gemacht.
Die kann sowohl mobile VPN User z.B. mit dem kostenlosen Shrew Client bedienen:
http://www.shrew.net oder das bordeigene PPTP also auch LAN zu LAN VPNs.
Das wäre dann ein sinnvolles VPN Design.
Bitte warten ..
Mitglied: lernZeit
27.06.2010 um 19:54 Uhr
Danke für deine Empfehlung. Ich werde sie mit unserem Dienstleister besprechen.
Bitte warten ..
Mitglied: aqui
30.06.2010 um 16:14 Uhr
Wenns das denn war bitte
https://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: lernZeit
10.07.2010 um 11:24 Uhr
An dieser Stelle möchte ich "aqui" danken für den Lösungsansatz. Seit gestern Nachmittag (9.7.) läuft alles. Alle VPN Verbindungen können realisiert werden. Der Geschwindigkeitsvorteil ist messbar.
Auf Nachfrage bei dem von o2 beauftragten IT Unternehmen, ob der Lösungsansatz aus diesem Thread stammt, wurde dies bejaht.
Herzlichen Dank.

Die Anregungen für ein neues VPN System verstehen wir als Diskussionsgrundlage mit unserem örtlichen IT Partner.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Fritz Box als Telefonanlage an Cisco Router

Frage von DaHuberLAN, WAN, Wireless5 Kommentare

Hallo, habe einen Cisco Router mit fester IP als Internetzugang. Habe dazu auch Telefonnummern die ich verwenden kann. Mein ...

DSL, VDSL

Fritz Box 7170 als ADSL2 Modem

gelöst Frage von zeroblue2005DSL, VDSL2 Kommentare

Hallo Zusammen, ich brauche mal eine Bestätigung von euch! Ich würde gerne an meinem IP-Anschluss der T-Com (16000) (Kein ...

Router & Routing

Cisco langsam hinter Fritz!box

Frage von PharITRouter & Routing5 Kommentare

Hallo allerseits, ich hätte mal kurz Euren Rat nötig. Ich "betreibe" ;-) Hier eine Fritz!box 6490 Routerzwang-Ende sei Dank! ...

Hardware

AVM Fritz Box 7390 gehimmelt

gelöst Frage von PerladdHardware31 Kommentare

Hallo Leute, ich habe bei einer Fritz Box 7390 ein elektronisches Problem, vermutlich durch einen Blitzeinschlag. Ich habe 2 ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 58 MinutenGoogle Android

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 1 StundeSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 4 StundenMicrosoft2 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 22 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server35 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

CPU, RAM, Mainboards
32 gb RAM zu wenig?
Frage von pcguyCPU, RAM, Mainboards13 Kommentare

Hallo zusammen, mein PC verfügt über 32GB Ram. Nun kriege ich bei grossen Dateien im Illustrator die Fehlermeldung das ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing9 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...