Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

FritzBox VPN einrichten

Frage Netzwerke

Mitglied: hoenger

hoenger (Level 1) - Jetzt verbinden

07.09.2014 um 23:06 Uhr, 2799 Aufrufe, 16 Kommentare

Hallo,
Ich komme einfach nicht weiter. Diverse Abende habe ich eine Lösung gesucht in verschiedensten Foren. Und bin nicht weiter gekommen. Ich muss anfügen, dass ich nicht der Platzhirsch mit Netzwerken bin.

Ich habe folgende Einrichtung:
Büro: FB7270 V2, DynDns über https://xxxxxxxx.myds.me
Werkstatt: FB7270 V2, an einem Router eines fremden Netzwerkes angeschlossen, erreichbar über https://xxxxxx.yyyyyy.ch:499, also mit einem Port. Der Router des fremden Netzwerks leitet die Anfrage auf meine FB. Die FB ist erreichbar.
Die FB in der Werkstatt ist das Problem. Wenn IPSec für VPN benützt wird, muss dann Port 500 und Port 4500 am vorgeschalteten Router an die FB weitergeleitet werden?
Im Programm 'Fritz!Fernzugang einrichten' kann ich keinen Port angeben.
Ich möchte VPN zwischen den beiden FB einrichten. Geht das? Was muss ich noch machen? Kann ich allenfalls das cfg-File von 'Fritz!Fernzugang einrichten' anpassen?
Vielen Dank.
Mitglied: Dobby
07.09.2014 um 23:37 Uhr
Hallo,


ESP basiert direkt auf IP und verwendet die IP-Protokoll Nummer 50.
Nicht zu verwechseln mit TCP Port 50!
  • Port 500
  • Port 4500
  • ESP 50

Ich muss anfügen, dass ich nicht der Platzhirsch mit Netzwerken bin.
Das ist egal aber richtig erklären solltest Du es schon können!

Was mir hier noch nicht ganz klar wird, ist folgendes:
Hast Du zwei AVM FBs und möchtest zwischen denen eine VPN Verbindung aufbauen?
Oder hast Du zwei AVM FBs hinter einander geschaltet und möchtest eine VPN Verbindung
von einer zur anderen einfach durchreichen?

Gruß
Dobby
Bitte warten ..
Mitglied: hoenger
08.09.2014 um 00:06 Uhr
Erst mal, danke, Dobby!
Im Büro steht eine FB, in der Werkstatt (ein paar Kilometer entfernt, über Internet hoffentlich bald mal mit VPN verbunden) kommt zuerst der fremde Router, an welchem die andere FB angeschlossen ist. Alles klar?
Bitte warten ..
Mitglied: Dobby
08.09.2014 um 00:58 Uhr
Alles klar?
Nicht ganz kommt in der entfernten Werkstatt die AVM FB zuerst oder als zweites?
Wenn als zweites dann sollte folgendes gemacht werden;
- Am ersten Router sollte eine Portweiterleitung auf die AVM FB gesetzt werden.
Wie schon weiter oben beschrieben mit TCP 500, TCP 4500 und ESP 50!
- Die AVM FB muss dann an dem LAN Port 1 verbunden sein mit diesem Router
und das muss auch so eingestellt werden in den Einstellungen der Fritz!Box!
Sonst macht die dort kein NAT und dann wird es nichts mit dem VPN.
- Ebenso sollte die AVM FB eine statische (feste) IP Adresse haben die
nicht vom DHCP des ersten Routers vergeben wir!!!

Gruß
Dobby
Bitte warten ..
Mitglied: Lochkartenstanzer
08.09.2014 um 08:30 Uhr
Zitat von hoenger:

Im Programm 'Fritz!Fernzugang einrichten' kann ich keinen Port angeben.

Das ist auch der falsche Ort. Du mußt den anderen Router umkonfigurieren, um IPSEC zur Fritzbox durchzulassen. Siehe auch die verlinkten Artikel/Beiträge in meiner ersten Antwort.

lks
Bitte warten ..
Mitglied: aqui
08.09.2014 um 10:22 Uhr
Eigentlich ist auf den AVM Support Seiten doch alles wasserdicht dokumentiert. Damit bekommen auch blutige Laien das hin:
http://avm.de/service/vpn/uebersicht/

Grundlagen zur IPsec Vernetzung findet man hier:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...

Wenn man eine Router Kaskade wie der TO betreibt MUSS auf dem vorgeschalteten Router zwingend VPN Passthrough aktiviert sein !
Für IPsec sind das im Port Forwarding die folgenden Ports:
UDP 500
UDP 4500
ESP Protokoll mit der IP Nummer 50 (kein TCP oder UDP 50 !)
Siehe auch Links vom Kollegen LKS !
Bitte warten ..
Mitglied: Lochkartenstanzer
08.09.2014 um 12:20 Uhr
Zitat von aqui:

Siehe auch Links vom Kollegen LKS !

Jepp. Auch wenn spacyfreaks Zusammenfassung schon 7 Jahre auf dem Buckel hat, ist sie immer noch aktuell.

lks
Bitte warten ..
Mitglied: hoenger
08.09.2014 um 23:06 Uhr
Zitat von Dobby:

> Alles klar?
Nicht ganz kommt in der entfernten Werkstatt die AVM FB zuerst oder als zweites?
Als zweite, so wie von dir vermutet
Wenn als zweites dann sollte folgendes gemacht werden;
- Am ersten Router sollte eine Portweiterleitung auf die AVM FB gesetzt werden.
Wie schon weiter oben beschrieben mit TCP 500, TCP 4500 und ESP 50!
- Die AVM FB muss dann an dem LAN Port 1 verbunden sein mit diesem Router
und das muss auch so eingestellt werden in den Einstellungen der Fritz!Box!
Sonst macht die dort kein NAT und dann wird es nichts mit dem VPN.
- Ebenso sollte die AVM FB eine statische (feste) IP Adresse haben die
nicht vom DHCP des ersten Routers vergeben wir!!!
Alles genau so gemacht.
Bitte warten ..
Mitglied: hoenger
08.09.2014 um 23:09 Uhr
Das ist auch der falsche Ort. Du mußt den anderen Router umkonfigurieren, um IPSEC zur Fritzbox durchzulassen. Siehe auch
die verlinkten Artikel/Beiträge in meiner ersten Antwort.
Die Beiträge habe ich auch gefunden und mich daran gehalten. Danke.
Bitte warten ..
Mitglied: aqui
09.09.2014 um 09:03 Uhr
Nimm dir einen Wireshark Sniffer und checke ob dein vorgeschalteter Router wirklich alle 3 Protokolle forwardet.
Bei Billigsystemen scheitert das oft am ESP Protokoll, denn das ist kein TCP IP sondern ein eigenes IP Protokoll mit der Nummer 50.
(Encapsulation Security Payload).
Viele Billigrouter forwarden zwar UDP 500 und UDP 4500 aber ignorieren ESP. Klar das dann IPsec niemals funktionieren kann.
Sniffer also den Verbindungsaufbau mal mit mit dem kostenlosen Wireshark. Der zeigt dir in 3 Minuten sofort ob der vorgeschaltete NAT Router das macht was er auch soll !
Wenn nicht hilft nur der Austausch. Am besten dann gleich gegen einen vollständigen VPN Router damit du dir die Frickelei mit der leidigen Router Kaskade gleich ganz sparen kannst !
Bitte warten ..
Mitglied: hoenger
09.09.2014 um 09:30 Uhr
Der vorgeschaltete Router ist nicht in meinem Einflussbereich. Ich geb's den Leuten vom anderen Netz mal weiter; an denen liegt's nicht, die helfen auch sehr. Vermutlich muss ich aber halt ein paar Schweizerfränkli aufwerfen für einen eigenen DSL-Anschluss.
An allen besten Dank für die Hilfe.
Bitte warten ..
Mitglied: aqui
09.09.2014 um 11:14 Uhr
Der vorgeschaltete Router ist nicht in meinem Einflussbereich.
Dann kannst du solch ein Vorhaben eigentlich gleich ganz vergessen !!
Wie willst du denn sicherstellen das das Port Forwarding dort absolut richtig konfiguriert ist ?? Das geht gar nicht außer du snifferst es mit dem Wireshark mit und hälst es dem unter die Nase der diesen Router konfiguriert !
Das ist deine einzige Chance !

Oder du nimmst den umständlichen Weg und machst alles mit einem separaten Anschluss nach dem Motto "Warum einfach machen wenn es umständlich auch geht !"
Deine Entscheidung....!


Wenns das denn war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: Lochkartenstanzer
09.09.2014 um 12:31 Uhr
Zitat von aqui:

> Der vorgeschaltete Router ist nicht in meinem Einflussbereich.
Dann kannst du solch ein Vorhaben eigentlich gleich ganz vergessen !!
Wie willst du denn sicherstellen das das Port Forwarding dort absolut richtig konfiguriert ist ?? Das geht gar nicht außer
du snifferst es mit dem Wireshark mit und hälst es dem unter die Nase der diesen Router konfiguriert !
Das ist deine einzige Chance !

Oder du nimmst den umständlichen Weg und machst alles mit einem separaten Anschluss nach dem Motto "Warum einfach
machen wenn es umständlich auch geht !"

Deine Entscheidung....!


Oder eine VPN-Protokoll nehmen, daß ohne Protokoll-Forwarding auskommt wie z.B, openVPN, das nur ein Portfaorwarding für TCP braucht.

lks
Bitte warten ..
Mitglied: Dobby
09.09.2014 um 12:59 Uhr
Der vorgeschaltete Router ist nicht in meinem Einflussbereich.
Bei einem VPN muss aber eben zwingend auf beiden Seiten das selbe konfiguriert werden!
Das ist wie mit Schlüsseln und Schlössern die müssen auch zu einander passen.

Ich geb's den Leuten vom anderen Netz mal weiter; an denen liegt's nicht,
Wenn auf beiden Seiten alles richtig konfiguriert wurde wäre dieser Beitrag nicht
entstanden.

die helfen auch sehr.
Das man auch sicher alles sein nur das kannst Du auch nicht sehen und dann kann man
auch nicht sagen was dort läuft! Denn in der Regel ist es doch so wenn solche Konstrukte
wie Routerkaskaden entstehen hat das schon einen Sinn, nur muss dann auch dieser Sinn
bewahrt werden und nicht einfach umgesetzt werden was realisiert werden kann!!!

Normalerweise terminiert man das VPN immer an dem ersten Router um etwas
dahinter liegendes zu erreichen, und der zweite Router schirmt dann das LAN
dahinter ab mit der zweiten NAT Schnittstelle (WAN Interface), fertig.

Wenn man nun davon ausgeht das man Dir keinen Zugriff erlaubt gehe ich jetzt erst
einmal davon aus das man dort selber einen Cisco Router von der Telekom erhalten
hat und auch dort selber nicht den zugriff darauf hat, um sicher zu stellen dass man
alles Ports weitergeleitet und alle Dienste verfügbar gemacht hat!

Vermutlich muss ich aber halt ein paar Schweizerfränkli aufwerfen für einen
eigenen DSL-Anschluss.
Aber dann gleich mit statische (fester) IP Adresse.

Gruß
Dobby
Bitte warten ..
Mitglied: hoenger
11.09.2014 um 23:17 Uhr
Zitat von aqui:

> Der vorgeschaltete Router ist nicht in meinem Einflussbereich.
Dann kannst du solch ein Vorhaben eigentlich gleich ganz vergessen !!
Wie willst du denn sicherstellen das das Port Forwarding dort absolut richtig konfiguriert ist ?? Das geht gar nicht außer
du snifferst es mit dem Wireshark mit und hälst es dem unter die Nase der diesen Router konfiguriert !
Das ist deine einzige Chance !
Die Leute haben alles richtig gemacht, man sollte nicht allen mistrauen.
Oder du nimmst den umständlichen Weg und machst alles mit einem separaten Anschluss nach dem Motto "Warum einfach
machen wenn es umständlich auch geht !"

Deine Entscheidung....!

Danke! Das hat mich angestachelt, es nochmals zu versuchen. Siehe die Lösung unten.

Wenns das denn war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: hoenger
11.09.2014 um 23:24 Uhr
Also, die Lösung habe ich hier
http://avm.de/nc/service/fritzbox/fritzbox-7490/wissensdatenbank/public ...
gefunden. Zuunterst. Dort steht:

Ist in einer FRITZ!Box sowohl MyFRITZ! als auch Dynamic DNS aktiv, muss bei der Einrichtung der VPN-Verbindung zwingend der MyFRITZ!-Domainname als "Internetadresse" eingetragen werden.
Soll bei der VPN-Verbindung als "Internetadresse" eine feste ("statische") öffentliche IP-Adresse verwendet werden, darf in der FRITZ!Box weder MyFRITZ! noch Dynamic DNS aktiv sein.

In der einen Box, die hinter dem Router, habe ich MyFritz! deaktiviert, in der anderen den MyFritz!-Domainnamen im 'Fritz Fernzugang einrichten' angegeben. Und es geht.
Nochmals allen vielen Dank.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
Fritzbox 6490 Cable VPN einrichten (4)

Frage von Haoz64 zum Thema Router & Routing ...

Router & Routing
gelöst Aus Gastzugang (Fritzbox) VPN Verbdindung nach Hause aufbaue (5)

Frage von duffy6 zum Thema Router & Routing ...

Router & Routing
gelöst FritzBox VPN nur für internes Netz nutzen (15)

Frage von aif-get zum Thema Router & Routing ...

Netzwerke
FritzBox VPN funktioniert zwar, jedoch kein Internetzugriff (1)

Tipp von pelzfrucht zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...