Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

FritzBox VPN einrichten

Frage Netzwerke

Mitglied: hoenger

hoenger (Level 1) - Jetzt verbinden

07.09.2014 um 23:06 Uhr, 3231 Aufrufe, 16 Kommentare

Hallo,
Ich komme einfach nicht weiter. Diverse Abende habe ich eine Lösung gesucht in verschiedensten Foren. Und bin nicht weiter gekommen. Ich muss anfügen, dass ich nicht der Platzhirsch mit Netzwerken bin.

Ich habe folgende Einrichtung:
Büro: FB7270 V2, DynDns über https://xxxxxxxx.myds.me
Werkstatt: FB7270 V2, an einem Router eines fremden Netzwerkes angeschlossen, erreichbar über https://xxxxxx.yyyyyy.ch:499, also mit einem Port. Der Router des fremden Netzwerks leitet die Anfrage auf meine FB. Die FB ist erreichbar.
Die FB in der Werkstatt ist das Problem. Wenn IPSec für VPN benützt wird, muss dann Port 500 und Port 4500 am vorgeschalteten Router an die FB weitergeleitet werden?
Im Programm 'Fritz!Fernzugang einrichten' kann ich keinen Port angeben.
Ich möchte VPN zwischen den beiden FB einrichten. Geht das? Was muss ich noch machen? Kann ich allenfalls das cfg-File von 'Fritz!Fernzugang einrichten' anpassen?
Vielen Dank.
Mitglied: 108012
07.09.2014 um 23:37 Uhr
Hallo,


ESP basiert direkt auf IP und verwendet die IP-Protokoll Nummer 50.
Nicht zu verwechseln mit TCP Port 50!
  • Port 500
  • Port 4500
  • ESP 50

Ich muss anfügen, dass ich nicht der Platzhirsch mit Netzwerken bin.
Das ist egal aber richtig erklären solltest Du es schon können!

Was mir hier noch nicht ganz klar wird, ist folgendes:
Hast Du zwei AVM FBs und möchtest zwischen denen eine VPN Verbindung aufbauen?
Oder hast Du zwei AVM FBs hinter einander geschaltet und möchtest eine VPN Verbindung
von einer zur anderen einfach durchreichen?

Gruß
Dobby
Bitte warten ..
Mitglied: hoenger
08.09.2014 um 00:06 Uhr
Erst mal, danke, Dobby!
Im Büro steht eine FB, in der Werkstatt (ein paar Kilometer entfernt, über Internet hoffentlich bald mal mit VPN verbunden) kommt zuerst der fremde Router, an welchem die andere FB angeschlossen ist. Alles klar?
Bitte warten ..
Mitglied: 108012
08.09.2014 um 00:58 Uhr
Alles klar?
Nicht ganz kommt in der entfernten Werkstatt die AVM FB zuerst oder als zweites?
Wenn als zweites dann sollte folgendes gemacht werden;
- Am ersten Router sollte eine Portweiterleitung auf die AVM FB gesetzt werden.
Wie schon weiter oben beschrieben mit TCP 500, TCP 4500 und ESP 50!
- Die AVM FB muss dann an dem LAN Port 1 verbunden sein mit diesem Router
und das muss auch so eingestellt werden in den Einstellungen der Fritz!Box!
Sonst macht die dort kein NAT und dann wird es nichts mit dem VPN.
- Ebenso sollte die AVM FB eine statische (feste) IP Adresse haben die
nicht vom DHCP des ersten Routers vergeben wir!!!

Gruß
Dobby
Bitte warten ..
Mitglied: Lochkartenstanzer
08.09.2014 um 08:30 Uhr
Zitat von hoenger:

Im Programm 'Fritz!Fernzugang einrichten' kann ich keinen Port angeben.

Das ist auch der falsche Ort. Du mußt den anderen Router umkonfigurieren, um IPSEC zur Fritzbox durchzulassen. Siehe auch die verlinkten Artikel/Beiträge in meiner ersten Antwort.

lks
Bitte warten ..
Mitglied: aqui
08.09.2014 um 10:22 Uhr
Eigentlich ist auf den AVM Support Seiten doch alles wasserdicht dokumentiert. Damit bekommen auch blutige Laien das hin:
http://avm.de/service/vpn/uebersicht/

Grundlagen zur IPsec Vernetzung findet man hier:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...

Wenn man eine Router Kaskade wie der TO betreibt MUSS auf dem vorgeschalteten Router zwingend VPN Passthrough aktiviert sein !
Für IPsec sind das im Port Forwarding die folgenden Ports:
UDP 500
UDP 4500
ESP Protokoll mit der IP Nummer 50 (kein TCP oder UDP 50 !)
Siehe auch Links vom Kollegen LKS !
Bitte warten ..
Mitglied: Lochkartenstanzer
08.09.2014 um 12:20 Uhr
Zitat von aqui:

Siehe auch Links vom Kollegen LKS !

Jepp. Auch wenn spacyfreaks Zusammenfassung schon 7 Jahre auf dem Buckel hat, ist sie immer noch aktuell.

lks
Bitte warten ..
Mitglied: hoenger
08.09.2014 um 23:06 Uhr
Zitat von 108012:

> Alles klar?
Nicht ganz kommt in der entfernten Werkstatt die AVM FB zuerst oder als zweites?
Als zweite, so wie von dir vermutet
Wenn als zweites dann sollte folgendes gemacht werden;
- Am ersten Router sollte eine Portweiterleitung auf die AVM FB gesetzt werden.
Wie schon weiter oben beschrieben mit TCP 500, TCP 4500 und ESP 50!
- Die AVM FB muss dann an dem LAN Port 1 verbunden sein mit diesem Router
und das muss auch so eingestellt werden in den Einstellungen der Fritz!Box!
Sonst macht die dort kein NAT und dann wird es nichts mit dem VPN.
- Ebenso sollte die AVM FB eine statische (feste) IP Adresse haben die
nicht vom DHCP des ersten Routers vergeben wir!!!
Alles genau so gemacht.
Bitte warten ..
Mitglied: hoenger
08.09.2014 um 23:09 Uhr
Das ist auch der falsche Ort. Du mußt den anderen Router umkonfigurieren, um IPSEC zur Fritzbox durchzulassen. Siehe auch
die verlinkten Artikel/Beiträge in meiner ersten Antwort.
Die Beiträge habe ich auch gefunden und mich daran gehalten. Danke.
Bitte warten ..
Mitglied: aqui
09.09.2014 um 09:03 Uhr
Nimm dir einen Wireshark Sniffer und checke ob dein vorgeschalteter Router wirklich alle 3 Protokolle forwardet.
Bei Billigsystemen scheitert das oft am ESP Protokoll, denn das ist kein TCP IP sondern ein eigenes IP Protokoll mit der Nummer 50.
(Encapsulation Security Payload).
Viele Billigrouter forwarden zwar UDP 500 und UDP 4500 aber ignorieren ESP. Klar das dann IPsec niemals funktionieren kann.
Sniffer also den Verbindungsaufbau mal mit mit dem kostenlosen Wireshark. Der zeigt dir in 3 Minuten sofort ob der vorgeschaltete NAT Router das macht was er auch soll !
Wenn nicht hilft nur der Austausch. Am besten dann gleich gegen einen vollständigen VPN Router damit du dir die Frickelei mit der leidigen Router Kaskade gleich ganz sparen kannst !
Bitte warten ..
Mitglied: hoenger
09.09.2014 um 09:30 Uhr
Der vorgeschaltete Router ist nicht in meinem Einflussbereich. Ich geb's den Leuten vom anderen Netz mal weiter; an denen liegt's nicht, die helfen auch sehr. Vermutlich muss ich aber halt ein paar Schweizerfränkli aufwerfen für einen eigenen DSL-Anschluss.
An allen besten Dank für die Hilfe.
Bitte warten ..
Mitglied: aqui
09.09.2014 um 11:14 Uhr
Der vorgeschaltete Router ist nicht in meinem Einflussbereich.
Dann kannst du solch ein Vorhaben eigentlich gleich ganz vergessen !!
Wie willst du denn sicherstellen das das Port Forwarding dort absolut richtig konfiguriert ist ?? Das geht gar nicht außer du snifferst es mit dem Wireshark mit und hälst es dem unter die Nase der diesen Router konfiguriert !
Das ist deine einzige Chance !

Oder du nimmst den umständlichen Weg und machst alles mit einem separaten Anschluss nach dem Motto "Warum einfach machen wenn es umständlich auch geht !"
Deine Entscheidung....!


Wenns das denn war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: Lochkartenstanzer
09.09.2014 um 12:31 Uhr
Zitat von aqui:

> Der vorgeschaltete Router ist nicht in meinem Einflussbereich.
Dann kannst du solch ein Vorhaben eigentlich gleich ganz vergessen !!
Wie willst du denn sicherstellen das das Port Forwarding dort absolut richtig konfiguriert ist ?? Das geht gar nicht außer
du snifferst es mit dem Wireshark mit und hälst es dem unter die Nase der diesen Router konfiguriert !
Das ist deine einzige Chance !

Oder du nimmst den umständlichen Weg und machst alles mit einem separaten Anschluss nach dem Motto "Warum einfach
machen wenn es umständlich auch geht !"

Deine Entscheidung....!


Oder eine VPN-Protokoll nehmen, daß ohne Protokoll-Forwarding auskommt wie z.B, openVPN, das nur ein Portfaorwarding für TCP braucht.

lks
Bitte warten ..
Mitglied: 108012
09.09.2014 um 12:59 Uhr
Der vorgeschaltete Router ist nicht in meinem Einflussbereich.
Bei einem VPN muss aber eben zwingend auf beiden Seiten das selbe konfiguriert werden!
Das ist wie mit Schlüsseln und Schlössern die müssen auch zu einander passen.

Ich geb's den Leuten vom anderen Netz mal weiter; an denen liegt's nicht,
Wenn auf beiden Seiten alles richtig konfiguriert wurde wäre dieser Beitrag nicht
entstanden.

die helfen auch sehr.
Das man auch sicher alles sein nur das kannst Du auch nicht sehen und dann kann man
auch nicht sagen was dort läuft! Denn in der Regel ist es doch so wenn solche Konstrukte
wie Routerkaskaden entstehen hat das schon einen Sinn, nur muss dann auch dieser Sinn
bewahrt werden und nicht einfach umgesetzt werden was realisiert werden kann!!!

Normalerweise terminiert man das VPN immer an dem ersten Router um etwas
dahinter liegendes zu erreichen, und der zweite Router schirmt dann das LAN
dahinter ab mit der zweiten NAT Schnittstelle (WAN Interface), fertig.

Wenn man nun davon ausgeht das man Dir keinen Zugriff erlaubt gehe ich jetzt erst
einmal davon aus das man dort selber einen Cisco Router von der Telekom erhalten
hat und auch dort selber nicht den zugriff darauf hat, um sicher zu stellen dass man
alles Ports weitergeleitet und alle Dienste verfügbar gemacht hat!

Vermutlich muss ich aber halt ein paar Schweizerfränkli aufwerfen für einen
eigenen DSL-Anschluss.
Aber dann gleich mit statische (fester) IP Adresse.

Gruß
Dobby
Bitte warten ..
Mitglied: hoenger
11.09.2014 um 23:17 Uhr
Zitat von aqui:

> Der vorgeschaltete Router ist nicht in meinem Einflussbereich.
Dann kannst du solch ein Vorhaben eigentlich gleich ganz vergessen !!
Wie willst du denn sicherstellen das das Port Forwarding dort absolut richtig konfiguriert ist ?? Das geht gar nicht außer
du snifferst es mit dem Wireshark mit und hälst es dem unter die Nase der diesen Router konfiguriert !
Das ist deine einzige Chance !
Die Leute haben alles richtig gemacht, man sollte nicht allen mistrauen.
Oder du nimmst den umständlichen Weg und machst alles mit einem separaten Anschluss nach dem Motto "Warum einfach
machen wenn es umständlich auch geht !"

Deine Entscheidung....!

Danke! Das hat mich angestachelt, es nochmals zu versuchen. Siehe die Lösung unten.

Wenns das denn war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: hoenger
11.09.2014 um 23:24 Uhr
Also, die Lösung habe ich hier
http://avm.de/nc/service/fritzbox/fritzbox-7490/wissensdatenbank/public ...
gefunden. Zuunterst. Dort steht:

Ist in einer FRITZ!Box sowohl MyFRITZ! als auch Dynamic DNS aktiv, muss bei der Einrichtung der VPN-Verbindung zwingend der MyFRITZ!-Domainname als "Internetadresse" eingetragen werden.
Soll bei der VPN-Verbindung als "Internetadresse" eine feste ("statische") öffentliche IP-Adresse verwendet werden, darf in der FRITZ!Box weder MyFRITZ! noch Dynamic DNS aktiv sein.

In der einen Box, die hinter dem Router, habe ich MyFritz! deaktiviert, in der anderen den MyFritz!-Domainnamen im 'Fritz Fernzugang einrichten' angegeben. Und es geht.
Nochmals allen vielen Dank.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Fritzbox 6490 Cable VPN einrichten
Frage von Haoz64Router & Routing4 Kommentare

Hi Leute, ich erkläre mal kurz was ich vor habe. Ich bin zurzeit in der Türkei und möchte hier ...

Router & Routing
VPN Verbindung einrichten mit Fritzbox 7490 für Zugang zu Netzwerk
Frage von LoveAndHappinessRouter & Routing3 Kommentare

Hallo Freunde, ich möchte meinen Laptop mit meinem Server über VPN verbinden, so dass mein Laptop Zugang zum Netzwerk ...

LAN, WAN, Wireless
VPN einrichten mit zwei Routern Asus und Fritzbox
Frage von toobbi84LAN, WAN, Wireless1 Kommentar

Guten Abend zusammen, ich bin Kunde bei einem Kabelanbieter in unserer Gegend ( NRW ). Ich habe seinerzeit eine ...

LAN, WAN, Wireless
FritzBOX VPN FritzBox kein Verbindungsaufbau
gelöst Frage von Dett18LAN, WAN, Wireless17 Kommentare

Einen schönen Sonnigen guten Tag liebe Gemeinde. Leider habe ich ein VPN Problem zwischen zwei Fritz!Boxen. Nach einer Woche ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 5 StundenErkennung und -Abwehr1 Kommentar

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücke Spectre und ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...