21
LAN-to-LAN VPN Draytek Vigor 2910 und FritzBox 7490
Hallo an die VPN Experten,
Szenario:
gehosteter Server, hier steht ein konfigurierter (gemieteter) VPN Router Draytek Vigor 2910.
Büro, hier ist (war) ein Speedport als DSL-Modem konfiguriert und als Router ebenfalls ein Vigor 2910, die beiden Vigor bauen eine LAN-to-LAN VPN auf (PPTP).
Neu:
Im Büro wurde der Telekom DSL Anschluss auf IP basiert umgestellt. Jetzt steht da eine FritzBox 7490, wegen vorhandener ISDN Telefonanlage, die weiter betrieben werden muss. Internet und Telefonie funktionieren bereits wieder.
Aufgabe:
Wie kann ich auf der Fritzbox die VPN Verbindung so einrichten, dass der Tunnel mit dem Vigor hergestellt wird?
Zusätzliche Info: Mit dem Dienstleister, bei dem der Server gehostet ist und der die beiden Vigors damals konfiguriert hat, besteht keine gute Zusammenarbeit mehr und er verweigert Infos raus zu geben.
Vorhanden sind: Netz: 10.114.43.0/255.255.255.0
User: xxxxx
Pass: xxxxx
Transfer: 192.168.114.43-192.168.114.44
Die Verbindung läuft über PPTP, die Adresse des Einwahl-GW ist: xxxx-xxxx und eine IP-Adresse
Wie kann ich mit der FritzBox 7490 eine LAN-to-LAN Verbindung zum vorhandenen Vogor 2910 herstellen?
Danke und Grüße...
Szenario:
gehosteter Server, hier steht ein konfigurierter (gemieteter) VPN Router Draytek Vigor 2910.
Büro, hier ist (war) ein Speedport als DSL-Modem konfiguriert und als Router ebenfalls ein Vigor 2910, die beiden Vigor bauen eine LAN-to-LAN VPN auf (PPTP).
Neu:
Im Büro wurde der Telekom DSL Anschluss auf IP basiert umgestellt. Jetzt steht da eine FritzBox 7490, wegen vorhandener ISDN Telefonanlage, die weiter betrieben werden muss. Internet und Telefonie funktionieren bereits wieder.
Aufgabe:
Wie kann ich auf der Fritzbox die VPN Verbindung so einrichten, dass der Tunnel mit dem Vigor hergestellt wird?
Zusätzliche Info: Mit dem Dienstleister, bei dem der Server gehostet ist und der die beiden Vigors damals konfiguriert hat, besteht keine gute Zusammenarbeit mehr und er verweigert Infos raus zu geben.
Vorhanden sind: Netz: 10.114.43.0/255.255.255.0
User: xxxxx
Pass: xxxxx
Transfer: 192.168.114.43-192.168.114.44
Die Verbindung läuft über PPTP, die Adresse des Einwahl-GW ist: xxxx-xxxx und eine IP-Adresse
Wie kann ich mit der FritzBox 7490 eine LAN-to-LAN Verbindung zum vorhandenen Vogor 2910 herstellen?
Danke und Grüße...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 277885
Url: https://administrator.de/contentid/277885
Printed on: April 18, 2024 at 21:04 o'clock
21 Comments
Latest comment
Ganz salopp hätte ich gesagt, Du musst auf der Fritzbox VPN-Pass-Through aktivieren....
Das sollte eigentlich reichen, um die Vigors mit einander quatschen zu lassen.
Hast Du den Vigor hinter der Fritzbox bereits auf das Netz der Fritzbox konfiguriert?
Das sollte eigentlich reichen, um die Vigors mit einander quatschen zu lassen.
Hast Du den Vigor hinter der Fritzbox bereits auf das Netz der Fritzbox konfiguriert?
Moin,
Wenn beide Standorte unterschiedliche IP Bereiche haben, kannst du eigentlich Problemlos per IPSec oder PPTP eine Standort (LAN to LAN) Verbindung aufbauen. Für die Verbindung brauchst du jedoch das Passwort welches für den Verbindungsaufbau eingestellt wurde.
Wo genau klemmts denn bei dir?
Schau doch sonst mal bei aqui in die Anleitung:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
VG
Val
Mit dem Dienstleister, bei dem der Server gehostet ist und der die beiden Vigors damals konfiguriert hat, besteht keine gute Zusammenarbeit mehr und er verweigert Infos raus zu geben.
Wie geht das denn? Ihr bezahlt doch monatlich Geld und die stellen sich quer?Die Verbindung läuft über PPTP
Das sollte nur IPSec sein!Wenn beide Standorte unterschiedliche IP Bereiche haben, kannst du eigentlich Problemlos per IPSec oder PPTP eine Standort (LAN to LAN) Verbindung aufbauen. Für die Verbindung brauchst du jedoch das Passwort welches für den Verbindungsaufbau eingestellt wurde.
Wo genau klemmts denn bei dir?
Schau doch sonst mal bei aqui in die Anleitung:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
VG
Val
Für eine IPSec Verbindung zwischen einer Fritte und einem Vigor sollte folgende VPN-Config auf der Fritte laufen (Rote Stellen entsprechend anpassen):
Eine passende IPSec-Config auf dem Vigor vorausgesetzt läuft das problemlos.
AVM hat dazu eine Support-Seite mit einer Anleitung:
http://at.avm.de/service/vpn/tipps-tricks/vpn-verbindung-zwischen-fritz ...
Gruß grexit
Eine passende IPSec-Config auf dem Vigor vorausgesetzt läuft das problemlos.
AVM hat dazu eine Support-Seite mit einer Anleitung:
http://at.avm.de/service/vpn/tipps-tricks/vpn-verbindung-zwischen-fritz ...
connections { enabled = yes; conn_type = conntype_lan; name = "NAME DES VPN"; always_renew = no; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = [IP DES VIGOR]; remote_virtualip = 0.0.0.0; localid { fqdn = "[LOCAL FQDN]"; } remoteid { ipaddr = [IP DES VIGOR]; } mode = phase1_mode_aggressive; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared; key = "[PRESHARED KEY]"; cert_do_server_auth = no; use_nat_t = no; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = [LOCAL IP NETWORK ADDRESS]; mask = [LOCAL NETWORK MASK]; } } phase2remoteid { ipnet { ipaddr = [REMOTE IP NETWORK ADDRESS]; mask = [REMOTE NETWORK MASK]; } } phase2ss = "esp-3des-sha/ah-no/comp-no/pfs"; accesslist = "permit ip any [REMOTE IP NETWORK ADDRESS] [REMOTE NETWORK MASK]"; }Gruß grexit
Hallo,
werden.
Gruß
Dobby
Wie kann ich mit der FritzBox 7490 eine LAN-to-LAN Verbindung zum vorhandenen
Vogor 2910 herstellen?
Wie schon angesprochen die AVM FB kann nur IPSec! Also mittels PPTP wird das nichtsVogor 2910 herstellen?
werden.
Gruß
Dobby
besteht keine gute Zusammenarbeit mehr und er verweigert Infos raus zu geben.
Keine gute sondern eher sehr schlechte Voraussetzung ein VPN zu betreiben, denn du benötigst dafür detailierte Infos beider Netzwerk Seiten !Die Verbindung läuft über PPTP,
Wie Kollege Dobby schon sagt: PPTP ist NICHT supportet auf der FritzBox, damit scheidet diese Option aus technischer Sicht gleich von vorn herein aus !Außerdem solltest du das hier lesen zum Thema PPTP:
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
In puncto Datenschutz also ein absolutes NoGo !
Der Vigor ist noch so konfiguriert wie er war, als noch der Speedport als Modem davor war, also noch mit ISDN und Splitter. Ist aber zur Zeit nicht angekabelt, sonst machen 2 Router DHCP. Ich kenne mich leider zu wenig aus, mit Vigor gar nicht und mit VPN nur Grundkenntnisse. Ich versuche nur zu helfen, dass da nach der IP-Umstellung wieder gearbeitet werden kann.
Wäre es möglich, den Vigor etwas umzukonfigurieren und ihn hinter der Fritzbox "nur" für VPN zu gebrauchen?
Auf der Gegenstelle ist leider PPTP eingerichtet und ich komme da nicht ran, das zu ändern, ich weiß, dass das nicht mehr sicher ist und es IPsec sein sollte. Aber wie gesagt, der Dienstleister ist sauer weil der Kunde ihn nicht mehr für Service und Wartung bezahlt, sondern lediglich die Mietkosten.
Wäre es möglich, den Vigor etwas umzukonfigurieren und ihn hinter der Fritzbox "nur" für VPN zu gebrauchen?
Auf der Gegenstelle ist leider PPTP eingerichtet und ich komme da nicht ran, das zu ändern, ich weiß, dass das nicht mehr sicher ist und es IPsec sein sollte. Aber wie gesagt, der Dienstleister ist sauer weil der Kunde ihn nicht mehr für Service und Wartung bezahlt, sondern lediglich die Mietkosten.
Danke grexit, der Name passt ja Super in die aktuelle Zeit ;.) wird bloß leider nicht kommen, wir verbrennen weiterhin Milliarden Steuergelder...
Ich kann leider kein IPsec machen, da ich keinen Zugriff auf den 2. Vigor habe. Muss ich erst beim Dienstleister erbetteln, dass der das umstellt, der ist aber nicht mehr gut zu sprechen und kommt uns da gar nicht entgegen. PPTP ist sowieso nicht mehr sicher und das Passwort hat auch nur 8 Stellen.
Haben auch schon bei der Telekom nachgefragt, ob sie den Anschluss vorübergehend noch mal auf ISDN zurück stellen, könnten sie machen, das dauert aber auch mind. 10 Tage...
Gruß, bobbele
Ich kann leider kein IPsec machen, da ich keinen Zugriff auf den 2. Vigor habe. Muss ich erst beim Dienstleister erbetteln, dass der das umstellt, der ist aber nicht mehr gut zu sprechen und kommt uns da gar nicht entgegen. PPTP ist sowieso nicht mehr sicher und das Passwort hat auch nur 8 Stellen.
Haben auch schon bei der Telekom nachgefragt, ob sie den Anschluss vorübergehend noch mal auf ISDN zurück stellen, könnten sie machen, das dauert aber auch mind. 10 Tage...
Gruß, bobbele
Dann ruf dort an, lass das teil von denen auf IPsec konfigurieren und bezahl die Leute dafür!
Dann klappts auch mit der Fritzbox und viel kosten wird das nich.
Oder aktiviere VPN Passthrough und betreib den DreckTek dahinter.
VG
Val
Dann klappts auch mit der Fritzbox und viel kosten wird das nich.
Oder aktiviere VPN Passthrough und betreib den DreckTek dahinter.
VG
Val
Hallo Val,
VPN Passthrough ist auf der Fritzbox standardmäßig aktiviert, da muss man laut AVM FAQ nichts einstellen.?
Wenn ich den Vigor jetzt an eine LAN Buchse der FB anschließe, welche Einstellungen am Vigor muss ich dann ändern, denn jetzt macht ja die FB DHCP und nicht mehr der Vigor. Ich nehme an, dem Vigor vergebe ich eine feste IP aus dem Bereich des lokalen LAN und DHCP wird einfach deaktiviert und das war´s?
Der Provider hat inzwischen schon gemailt, dass er es gegen Rechnung ändert, habe aber jetzt erfahren, dass es noch einen weiteren Standort, der ebenfalls mit einem Vigor eine VPN Verbindung zum gehosteten Server herstellt, gibt, der müsste dann auch die Konfig ändern und das möchte der Chef vor Ort nicht, weil er Angst hat, dass dann an dem Standort auch nichts mehr geht.
Ich bin da leider zu blöd und habe keine Ahnung von VPN und kann ihm die Befürchtung auch nicht ausräumen.
Grüße,
bobbele
VPN Passthrough ist auf der Fritzbox standardmäßig aktiviert, da muss man laut AVM FAQ nichts einstellen.?
Wenn ich den Vigor jetzt an eine LAN Buchse der FB anschließe, welche Einstellungen am Vigor muss ich dann ändern, denn jetzt macht ja die FB DHCP und nicht mehr der Vigor. Ich nehme an, dem Vigor vergebe ich eine feste IP aus dem Bereich des lokalen LAN und DHCP wird einfach deaktiviert und das war´s?
Der Provider hat inzwischen schon gemailt, dass er es gegen Rechnung ändert, habe aber jetzt erfahren, dass es noch einen weiteren Standort, der ebenfalls mit einem Vigor eine VPN Verbindung zum gehosteten Server herstellt, gibt, der müsste dann auch die Konfig ändern und das möchte der Chef vor Ort nicht, weil er Angst hat, dass dann an dem Standort auch nichts mehr geht.
Ich bin da leider zu blöd und habe keine Ahnung von VPN und kann ihm die Befürchtung auch nicht ausräumen.
Grüße,
bobbele
Jetzt möchte der Provider für die Umstellung auf IPsec 30 € monatlich netto haben für erhöhten Aufwand. Ist das normal?
...teilte man mir mit, dass der Wartungsaufwand im laufenden Betrieb bei IPSEQ Verbindungen höher wäre.
Deshalb würde die Umstellung auf IPSEQ mit netto 30 Euro /Monat berechnet werden. Die Einrichtung selbst wäre dann allerdings kostenfrei
...teilte man mir mit, dass der Wartungsaufwand im laufenden Betrieb bei IPSEQ Verbindungen höher wäre.
Deshalb würde die Umstellung auf IPSEQ mit netto 30 Euro /Monat berechnet werden. Die Einrichtung selbst wäre dann allerdings kostenfrei
Jetzt möchte der Provider für die Umstellung auf IPsec 30 € monatlich netto haben für erhöhten Aufwand. Ist das normal?
Hä ?? Wat für'n Provider ?Du hast doch beide DSL-Anschlüsse bei der Telekom oder nicht ? Dann brauchst du garnichts zahlen, wenn bei dir kein Provider-Grade NAT gemacht wird und du an beiden Anschlüssen eine öffentliche IP erhältst.
Und was für ein Wartungsaufwand ??? Dder IPSec Tunnel läuft ganz normal übers Internet, dafür 30€ im Monat zu berappen wäre völliger Bullshit !!
Lass dir den Router auf IP-Sec konfigurieren, und dir die Daten schicken wenn du es nicht selber machen kannst. Dann richtest du die Fritte wie oben bereits mehrfach gepostet wurde ein, und fertig ist die Geschichte. Oder lass da jemand ran der Ahnung hat.
Der Provider hat nichts mit dem DSL zu tun, ich erklär das mal zum besseren Verständnis mit fiktiven Namen. Die Firma "XY" mit 2 Standorten, 1x in Bayern und 1x in Sachsen, hat über einen IT-Dienstleister "ABC" vor Jahren einen Server (VM) einrichten lassen, dieser hat den Server bei "WorNet AG" (www.wor.net) gemietet. Zwischen dem Dienstleister ABC und der Firma XY ist seit einigen Monaten dicke Luft.
Die Telekom hat am Standort Sachsen letzte Woche den Anschluß auf IP-basiert umgestellt, der vorhandene Speedport (als DSL Modem) ist nicht IP tauglich und somit kommt die Fritzbox ins Spiel.
Diese Mail bekam die Firma XY vom IT-Dienstleister ABC auf die Bitte, den Vigor auf IPsec umzustellen:
"ich habe soeben mit dem Provider ein sehr interessantes Gespräch geführt.
Die Umstellung auf IPSEQ ist grundsätzlich möglich, jedoch mit einigen Aufwand verbunden, da einige Konfigurationsänderungen im Rechenzentrum, inkl. Geräteumzug damit einhergehen würden. Des Weiteren teilte man mir mit, dass der Wartungsaufwand im laufenden Betrieb bei IPSEQ Verbindungen höher wäre.
Deshalb würde die Umstellung auf IPSEQ mit netto 30 Euro /Monat berechnet werden. Die Einrichtung selbst wäre dann allerdings kostenfrei.
Bitte teilen Sie mir mit ob wir das beauftragen sollen."
Wie Valexus schreibt, kann ich den Vigor an die FB hängen und der baut weiterhin den Tunnel auf, aber wie stelle ich das an?
Die Telekom hat am Standort Sachsen letzte Woche den Anschluß auf IP-basiert umgestellt, der vorhandene Speedport (als DSL Modem) ist nicht IP tauglich und somit kommt die Fritzbox ins Spiel.
Diese Mail bekam die Firma XY vom IT-Dienstleister ABC auf die Bitte, den Vigor auf IPsec umzustellen:
"ich habe soeben mit dem Provider ein sehr interessantes Gespräch geführt.
Die Umstellung auf IPSEQ ist grundsätzlich möglich, jedoch mit einigen Aufwand verbunden, da einige Konfigurationsänderungen im Rechenzentrum, inkl. Geräteumzug damit einhergehen würden. Des Weiteren teilte man mir mit, dass der Wartungsaufwand im laufenden Betrieb bei IPSEQ Verbindungen höher wäre.
Deshalb würde die Umstellung auf IPSEQ mit netto 30 Euro /Monat berechnet werden. Die Einrichtung selbst wäre dann allerdings kostenfrei.
Bitte teilen Sie mir mit ob wir das beauftragen sollen."
Wie Valexus schreibt, kann ich den Vigor an die FB hängen und der baut weiterhin den Tunnel auf, aber wie stelle ich das an?
D.h. der Vigor steht in einem Rechenzentrum bei wornet ? oder woanders?
Wie Valexus schreibt, kann ich den Vigor an die FB hängen und der baut weiterhin den Tunnel auf, aber wie stelle ich das an?
Klar wenn du unbedingt weiterhin das unsichere PPTP nutzen willst, musst du auf der Fritte den PPTP Port 1723 auf den Vigor weiterleiten(wenn der Tunnel auch aus dem Rechenzentrum initiiert werden soll) und zusätzlich das GRE Protokoll (Nr. 47) ebenfalls auf die interne IP des Vigors leiten, das wars.
Was als VPN Server bei Wornet steht weiß ich nicht, ich vermute aber ja, da steht auch einer. An den beiden Standorten steht/stand jedenfalls jeweils ein Vigor mit vorgeschaltetem DSL Modem.
Ich würde lieber auf IPsec umstellen wolle, die Firma möchte aber nicht jed. Monat 30 € an WorNet abdrücken.
Das heißt, ich konfiguriere den Vigor um, z.B. so:
FB hat 10.114.43.1 -> Clients haben 10.114.43.30 bis 35 Drucker hat 10.114.43.201
Vigor bekommt z.B. die IP 10..14.43.100 mit GW 10.114.43.1, DNS 10.114.43.1
Portweiterleitung 1723 an 10.114.43.100
Portweiterleitung GRE Nr. 47 an 10.114.43.100
Und dann geht das erstmal wieder?
Das heißt, ich konfiguriere den Vigor um, z.B. so:
FB hat 10.114.43.1 -> Clients haben 10.114.43.30 bis 35 Drucker hat 10.114.43.201
Vigor bekommt z.B. die IP 10..14.43.100 mit GW 10.114.43.1, DNS 10.114.43.1
Portweiterleitung 1723 an 10.114.43.100
Portweiterleitung GRE Nr. 47 an 10.114.43.100
Und dann geht das erstmal wieder?
Zitat von @bobbele66:
Was als VPN Server bei Wornet steht weiß ich nicht, ich vermute aber ja, da steht auch einer. An den beiden Standorten
steht/stand jedenfalls jeweils ein Vigor mit vorgeschaltetem DSL Modem.
Aha, eine Dreiecksbeziehung , schön das wir das auch mal erfahren, davon stand nirgendwo was in deinem Post ...Was als VPN Server bei Wornet steht weiß ich nicht, ich vermute aber ja, da steht auch einer. An den beiden Standorten
steht/stand jedenfalls jeweils ein Vigor mit vorgeschaltetem DSL Modem.
Beim nächsten Mal gleich eine Zeichnung machen damit hier alle wissen was Sache ist und nicht alles erraten müssen. Danke.
Zitat von @bobbele66:
Ich würde lieber auf IPsec umstellen wolle, die Firma möchte aber nicht jed. Monat 30 € an WorNet abdrücken.
Das heißt, ich konfiguriere den Vigor um, z.B. so:
FB hat 10.114.43.1 -> Clients haben 10.114.43.30 bis 35 Drucker hat 10.114.43.201
Vigor bekommt z.B. die IP 10..14.43.100 mit GW 10.114.43.1, DNS 10.114.43.1
Portweiterleitung 1723 an 10.114.43.100
Portweiterleitung GRE Nr. 47 an 10.114.43.100
Und dann geht das erstmal wieder?
Das geht so in der Konstellation nur wenn du entweder auf der Fritte eine statische Route für das Remote VPN Netz auf den Vigor als GW zeigen lässt oder die Clients als Default GW den Vigor benutzen !Ich würde lieber auf IPsec umstellen wolle, die Firma möchte aber nicht jed. Monat 30 € an WorNet abdrücken.
Das heißt, ich konfiguriere den Vigor um, z.B. so:
FB hat 10.114.43.1 -> Clients haben 10.114.43.30 bis 35 Drucker hat 10.114.43.201
Vigor bekommt z.B. die IP 10..14.43.100 mit GW 10.114.43.1, DNS 10.114.43.1
Portweiterleitung 1723 an 10.114.43.100
Portweiterleitung GRE Nr. 47 an 10.114.43.100
Und dann geht das erstmal wieder?
D.h. dann den DHCP der Fritte deaktivieren und den des Vigor aktivieren.
Oder gleich eine Routerkaskade bauen und den Vigor mit seinem WAN an die Fritte klemmen und ein zweites Subnetz betreiben.
Sorry, aber ich erfuhr das auch erst so nach und nach, also erst als durch die Umstellung ISDN -> IP, dass der Server bei Wornet steht und nicht beim (ehemaligen) Dienstleister.
Also kann das so funktionieren wie ich es oben beschrieben habe?
PS: Wie bekomme ich einen Kommentar gelb markiert?
Danke für die Online-Hilfe.
Also kann das so funktionieren wie ich es oben beschrieben habe?
PS: Wie bekomme ich einen Kommentar gelb markiert?
Danke für die Online-Hilfe.
Siehe mein letzter Post
Zu Routerkaskaden hat Aqui hier ein Tutorial, da steht alles nötige was du wissen musst:
Kopplung von 2 Routern am DSL Port
PS: Wie bekomme ich einen Kommentar gelb markiert?
Nutze statt Antworten, "Zitieren" unter "mehr".Zu Routerkaskaden hat Aqui hier ein Tutorial, da steht alles nötige was du wissen musst:
Kopplung von 2 Routern am DSL Port
Habe deine 2. Antwort erst gelesen, als ich meine Frage schon gestellt hatte.
Die Fritte muss aber Router bleiben, weil an der FB eine ISDN Anlage am internen ISDN hängt.
Die Fritte muss aber Router bleiben, weil an der FB eine ISDN Anlage am internen ISDN hängt.
Schon klar das habe ich ja auch nicht in Frage gestellt und das bleibt natürlich auch so !
Belese dich erst mal im Tutorial, dir fehlen da anscheinend doch noch mehr Grundlagen.
Auf jeden Fall darf nur auf einem Router der DHCP aktiviert sein, sonst gibt's Hickhack!
Belese dich erst mal im Tutorial, dir fehlen da anscheinend doch noch mehr Grundlagen.
Auf jeden Fall darf nur auf einem Router der DHCP aktiviert sein, sonst gibt's Hickhack!
