Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco VPN Router hinter Fritz!Box

Frage Netzwerke Router & Routing

Mitglied: Roland-Geki

Roland-Geki (Level 1) - Jetzt verbinden

02.01.2014 um 13:57 Uhr, 6311 Aufrufe, 13 Kommentare

Hallo zusammen,
ich habe ein Problem mit dem Anschluß eines VPN Routers hinter einer Fritz!Box mit VDSL.
Bevor ich zuhause alles umbaue wollte ich gerne Eure Meinung dazu in Erfahrung bringen.
CISCO 881 VPN-Router beigestellt von Vodafone mit fester LAN-IP 192.168.x.x und DHCP an.
Wenn ich meine FB jetzt auf 192.178.x.x einstelle und DHCP aktiviere versorgt sie Telefon und Musik aus dem Netz (Sonos)
Rechner mit fester IP 192.178.x.x hinter CISCO Router müsste dann den VPN Zugang versorgen.
Wie verkabele ich? LAN FB an WAN CISCO und LAN CISCO an Rechner?
Mitglied: Lochkartenstanzer
02.01.2014 um 14:01 Uhr
Zitat von Roland-Geki:

Hallo zusammen,
ich habe ein Problem mit dem Anschluß eines VPN Routers hinter einer Fritz!Box mit VDSL.
Bevor ich zuhause alles umbaue wollte ich gerne Eure Meinung dazu in Erfahrung bringen.
CISCO 881 VPN-Router beigestellt von Vodafone mit fester LAN-IP 192.168.x.x und DHCP an.
Wenn ich meine FB jetzt auf 192.178.x.x einstelle und DHCP aktiviere versorgt sie Telefon und Musik aus dem Netz (Sonos)
Rechner mit fester IP 192.178.x.x hinter CISCO Router müsste dann den VPN Zugang versorgen.
Wie verkabele ich? LAN FB an WAN CISCO und LAN CISCO an Rechner?

Moin,

Irgendwie ist das ein bischen wirr, was du da schreibst. versuch mal ein Schaubild zu malen udn heir reinzustellen, damit das klarer wird.

Fragen:

  • Welche Router hängt am Provider-Anschluß?
  • Was hat der für Aufgaben?
  • Warum wird ein zweiter Router genommen und welcher ist das?
  • Was soll der alles machen
  • Wer soll das VPN aufbauen udn wo ist der ander VPn-endpunkt?
  • Soll das ein client-toSite oder site-to-Site VPN sein?

Grüße,

lks
Bitte warten ..
Mitglied: Roland-Geki
02.01.2014 um 14:15 Uhr
Mahlzeit,
am 1&1 ISP hängt eine Fritz!Box 7360 SL als Router, die man mit neuester Firmware ja auch nicht mehr zum Modem degradieren kann.
Aufgabe der Fritz!Box ist VOIP und Internet für die Familie. Der VPN CISCO 881 ist mit einem eToken ausgerüstet und ermöglicht den Zugang
zum Firmennetzwerk über MPLS-Backbone. Der Aufbau des VPN übernimmt also der CISCO. Dieser routet also meine Anfrage mit seiner
Verschlüsselung über meine Fritz!Box nach außen. Wenn ich hier nicht schief liege reden wir von einer Site-to-Site VPN Verbindung
Bitte warten ..
Mitglied: aqui
02.01.2014, aktualisiert um 14:46 Uhr
Das ist technisch unmöglich...vergiss das gleich !
Vodafone wird niemals Zugang zu seinen MPLS Netz über einen 1&1 Account zulassen bzw. lässt es auch nicht zu, da das ein Provider internes Netzwerk ist !
Das wird also schon im Grundsatz scheitern.
Wie man sowas lösen würde erklärt dir dieses Tutorial in der Alternative 2:
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Das würde aber erzwingen, das du den WAN Port des 881 entsprechend umkonfigurierst um ihn mit der 1&1 FritzBox kaskadieren zu können wie im Tutorial beschrieben !
Also wie du oben schon richtig geschrieben hast:
(Internet)===(FritzBox)---192.168.178.0/24---(WAN*Cisco881*LAN)---LokalesLAN---PC
Allein daran wirst du schon scheitern weil du gar keinen Konfig Zugriff hast auf den 881 Router, oder ? Müsstest aber dem Cisco WAN Port auf DHCP schalten oder ihm eine statische IP aus dem 192.168.178.0er Netz konfigurieren, da du ja damit an den LAN Port der FB gehst..logo !

Fazit: Gleich vergessen ! Ein Lösung ist so nicht möglich da du unterschiedliche Provider hast oder den 881 umkonfigurieren müsstest. Das gesamte VPN Kozept ist Murks.
Auch ein umgedrehtes Szenario mit dem Cisco als Zugangsrouter und der FB dahinter ist chancenlos, da du wieder den Cisco entsprechend anpassen musst in dessen Konfig.
Einzige Lösung für dich:
Besorg dir parallel einen Vodafone DSL Anschluss zusätzlich zu deinem. Verbinde da den 881 Router mit.
Wenn du es dann ganz toll haben willst nimmst du einen Dual Port WAN Router wie z.B. einen Draytek_29xx an dem du dann beide Provider Router zusammenführst auf ein einziges Heimnetz.
Das wäre die Deluxe Lösung !
Anderes ist unter deiner Provider Policy nicht möglich !
Bitte warten ..
Mitglied: Lochkartenstanzer
02.01.2014, aktualisiert um 15:05 Uhr
Zitat von Roland-Geki:

Mahlzeit,
am 1&1 ISP hängt eine Fritz!Box 7360 SL als Router, die man mit neuester Firmware ja auch nicht mehr zum Modem
degradieren kann.
Aufgabe der Fritz!Box ist VOIP und Internet für die Familie. Der VPN CISCO 881 ist mit einem eToken ausgerüstet und
ermöglicht den Zugang
zum Firmennetzwerk über MPLS-Backbone. Der Aufbau des VPN übernimmt also der CISCO. Dieser routet also meine Anfrage mit
seiner
Verschlüsselung über meine Fritz!Box nach außen. Wenn ich hier nicht schief liege reden wir von einer Site-to-Site
VPN Verbindung

Abgesehen von den ganzen Erläuterungen von Aqui:

Was hat Dir Vodafone (oder Deine Firma) geasgt, wo der Route rangeschlossen wird? An einem (beliebigen) DSL-Anschluß? An irgendeinen Internet-zugang? An einen Vodafone-Anschluß? Hast Du überhaupt offiziell zugriff auf die Konfiguration des Cisco, oder ist das Ding "dicht"?

Sofern Du Möglichkeiten hast, an dem Ding zu "drehen", wäre die Lösung die klassische Routerkaskade mit passenden Weiterleitung von Ports und Protokollen auf der Fritzbox wie sie hier (gefühlt) jede Woche mindestens einmal druchgekaut wird.

lks
Bitte warten ..
Mitglied: Roland-Geki
02.01.2014, aktualisiert um 15:19 Uhr
Laut Aussage von VF ist der Zugang über jeden Profider möglich. Das "MPLS" beginnt ja auch erst am Ingress-Router des VPN-Anbieters. Wie ich bis dahin komme müsste doch eigentlich egal sein. Den eigentlichen "Schlüssel" zum MPLS gibt der CISCO ja mit. (meine ich zumindest) Ich habe schon vier andere Niederlassungen ins CompanyNet eingebunden, allerdings muss ich zugeben, dass dies alles eigenständige VF-Leitungen waren und keine Dialog-Einbindung über einen fremden ISP. Um auf Aqui zurückzukommen, am CISCO ist DHCP aktiv. Ansonsten ist das Ding dicht und ich habe keinerlei Konfigurationsmöglichkeiten geschweige denn Erfahrungen mit IOS

Gruß Roland
Bitte warten ..
Mitglied: Lochkartenstanzer
02.01.2014, aktualisiert um 18:01 Uhr
Zitat von Roland-Geki:

Laut Aussage von VF ist der Zugang über jeden Profider möglich. Das "MPLS" beginnt ja auch erst am
Ingress-Router des VPN-Anbieters. Wie ich bis dahin komme müsste doch eigentlich egal sein. Den eigentlichen
"Schlüssel" zum MPLS gibt der CISCO ja mit. (meine ich zumindest) Ich habe schon vier andere Niederlassungen ins
CompanyNet eingebunden, allerdings muss ich zugeben, dass dies alles eigenständige VF-Leitungen waren und keine
Dialog-Einbindung über einen fremden ISP. Um auf Aqui zurückzukommen, am CISCO ist DHCP aktiv. Ansonsten ist das Ding
dicht und ich habe keinerlei Konfigurationsmöglichkeiten geschweige denn Erfahrungen mit IOS



Dann müßt ees prinzipiell so funktionieren, daß Du Den WAN-port Deines Cisco an einen der LAN-Ports von der fritzbox dranklemmst. Wenn dann schon alles geht, weil Vodafone z.B. ein SSL-VPN benutzt, hättest Du Glück. Ansonsten mußt Du wie gehabt die enstsprechenden Protokolle und Ports auf die Cisco weiterleiten, wie in diversen anderen Administrtaor.de-beiträgen erklärt, wie z.B. hier,

  • UDP 500 (IKE)
  • UDP 4500 (NAT-T)
  • ESP Protokoll mit der IP Nummer 50 (Nicht den Port, sondern das Protokoll!)

lks

PS. Obige Angaben isnd natürlich für IPSEC-VPNs gedacht. Wenn Vodafone was anderes benutzt, muß man das entsprechend anpassen.
Bitte warten ..
Mitglied: Roland-Geki
02.01.2014 um 15:42 Uhr
Schon mal vielen Dank euch Beiden für die tatkräftige Unterstützung.
Werde heute Abend mal die Familie aus dem Netz werfen, anrufen braucht keiner - hatten wir Silvester schon zur Genüge.
Melde mich dann mit meinem "Erfahrungsbericht"

Roland sagt DANKE
Bitte warten ..
Mitglied: aqui
02.01.2014 um 17:51 Uhr
OK, generell hat Vodafone Recht (was ist übrigens ein Profider ??)
Aber....
Dann muss der Cisco zwingend ja der initiierende Router sein ! Das kann er aber nur wenn sein WAN/Internet Interface ein Ethernet ! Interface ist und... ! dieses auf DHCP Client eingestellt ist !
Das ist zwingend notwendig wenn dieser Router in ein bestehendes privates Netz integriert wird !
Dann kann das funktionieren...keine Frage. Ob das aber so ist hast du uns ja leider nicht mitgeteilt, da war deine Beschreibung zu oberflächlich !
Also wenn dann kann dein Szenario nur so aussehen:

(Internet 1&!)===DSL===(FritzBox)----Lokales LAN Fritz 192.168.178.0/24---(WAN-Cisco881-LAN)---Lokales LAN---PC

Der PC am lokalen LAN des 881 sollte dann ins Firmennetz kommen.
Voraussetzung ist aber das der 881 sich an seinem WAN/Internet Port (Ethernet !) per DHCP einen IP sowie Gateway und DNS von der FritzBox holen kann.
Ist das so hast du gute Chancen das es klappt !!
Bitte warten ..
Mitglied: Roland-Geki
02.01.2014 um 19:16 Uhr
Ich glaube aqui, Du weißt was ein Pro(f)vider ist. Sorry, in der Eile ein wenig der deutschen Rechtschreibung entmächtigt

WAN des CISCO Routers hängt mit seiner 192.168.7.x am LAN-Port der FB mit ihrer 192.178.7.x (beide DHCP)
Das Firmennetz läßt sich in allen Städten pingen aber ich kann keine Verbindung zum Server aufbauen, da wohl
die Aushandlung in meiner Fritzbox versumpft und nicht zum CISCO durchkommt.
An der FB hatte ich erstmal folgende Einstellungen vorgenommen (leider ohne Erfolg)
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll mit der IP Nummer 50
Danach habe ich den CISCO bzw. meinen Rechner als Exposed Host freigegeben (war leider auch nix)
Jemand noch ne Idee was ich an der FB einstellen müßte?

Gruß Roland
Bitte warten ..
Mitglied: Lochkartenstanzer
02.01.2014 um 19:38 Uhr
Zitat von Roland-Geki:

Ich glaube aqui, Du weißt was ein Pro(f)vider ist. Sorry, in der Eile ein wenig der deutschen Rechtschreibung
entmächtigt

WAN des CISCO Routers hängt mit seiner 192.168.7.x am LAN-Port der FB mit ihrer 192.178.7.x (beide DHCP)

vertipper oder tatsächlch so?

Das Firmennetz läßt sich in allen Städten pingen
Was genau läßt sich anpingen? ein Server im jeweiligen LAN, der Router am standort? Über VPn oder direkt?

aber ich kann keine Verbindung zum Server aufbauen, da wohl
die Aushandlung in meiner Fritzbox versumpft und nicht zum CISCO durchkommt.

Die frage ist doch, wer das VPn Initiiert. ist es Dein Cisco, soltel es problemlos möglich sein. Ist es die gegenstelle, mußt Du ggf. noch per dyndns & Co. noch Deine IP der Gegenstelle bekanntgeben. gemnaueres sagt dir Vodafone.

An der FB hatte ich erstmal folgende Einstellungen vorgenommen (leider ohne Erfolg)
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll mit der IP Nummer 50
Danach habe ich den CISCO bzw. meinen Rechner als Exposed Host freigegeben (war leider auch nix)
Jemand noch ne Idee was ich an der FB einstellen müßte?

Welches VPN-Protokoll verwendet denn Vodafone überhaupt?


lks
Bitte warten ..
Mitglied: aqui
03.01.2014, aktualisiert um 11:18 Uhr
mit seiner 192.168.7.x am LAN-Port der FB mit ihrer 192.178.7.x (beide DHCP)
Da hat Kollege LKS absolut Recht, das wird so nie funktionieren und wäre zudem bei DHCP auch technsich ungewöhnlich !
Oder ist das schon wieder ein Vertipper oder "Profider" Fehler ?? (Der übrigens immer noch oben rumgeistertet weil der TO wohl den "Bearbeiten" Button nicht sieht...aber egal.)
An der FB hatte ich erstmal folgende Einstellungen vorgenommen (leider ohne Erfolg)
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll mit der IP Nummer 50
Das ist per se erstmal auch so richtig allerdings ist vollkommen unklar WAS mit dem ominösen und nichtssagenden Wort "Einstellungen" nun gemeint ist ???
Wenn damit Port Weiterleitung gemeint ist dann wäre es zudem richtig, denn diese Port Weiterleitungen sind zwingend nötig damit der IPsec Tunnel über die FB aufgebaut werden kann...sofern IPsec überhaupt im Einsatz ist bei Vodafone was aber anzunehmen ist. In sofern ist die Frage vom Kollegen LKS berechtigt !
Wichtig ist in diesem Zusammenhang das man in der FritzBox nachsieht WELCHE IP Adresse der WAN Port des Ciscos bekommen hat, denn die Port Weiterleitung in der FB wird ja statisch auf diese IP Adresse konfiguriert.
Übrigens eine potentielle Fehlerquelle, denn sollte sich diese IP einmal ändern durch die Dynamik von DHCP gehen diese Port Forwarding Statements ins Nirwana und nix funktioniert mehr.
Es ist daher dringenst anzuraten die DHCP Nailing Funktion der FB zu nutzen wo man Mac Adressen feste IP außerhalb des DHCP Adressbereichs zuweisen kann.
Hier solltest du die Mac des Ciscos eintragen und ihm immer eine feste IP zuweisen auf die dann auch die Port Weiterleitungs Statements der FB von oben zeigen. So ist das dann wenigstens wasserdicht !
Bitte warten ..
Mitglied: Roland-Geki
11.01.2014 um 14:57 Uhr
Hallo zusammen,

Problem gelöst, war letztendlich auch nicht so kompliziert, wie es hier einige gerne gehabt hätten.

Zweite Netzwerkkarte eingebaut und Batch zum Kartenwechsel geschrieben.
Die erste Karte mit der Fritzbox als Gateway, die zweite mit dem VPN-Router, der wiederum die Fritzbox als Gateway eingetragen hat.
Statische Routen auf meinem Rechner eingetragen für den MPLS-Ingress-Router und die Gegenseite.
So werden die Anfragen sauber getrennt und man erreicht auch den Router der Gegenseite über die Verbindung des VPN-"Profiders"

Danke für Eure Hilfe
Bitte warten ..
Mitglied: aqui
11.01.2014 um 16:45 Uhr
So gehts natürlich auch...etwas ungewöhnliche Frickellösung aber der Erfolg zählt !

Bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Cisco langsam hinter Fritz!box (5)

Frage von PharIT zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst VPN von Fritz!Box zu Windows Server 2012 R2 IPSec (7)

Frage von Andre02 zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst VPN aus Fritz!box Netzwerk (8)

Frage von PharIT zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...