Jul 16, 2015, updated at 16:43:11 (UTC)

6147

Lancom1711 Internet-Verkehr durch VPN Tunnel Routen

Hallo,
es bestehht ein VPN Tunnel zwischen meinem Lancom1711 und einer Fritzbox. Ping auf Geräte der gegenseite funktioniert. Mir gelingt es leider nicht den Gesammten Internetverkehr der am Lancom angeschlossenen Clients über den VPN Tunnel zu leiten. Der Obere Eintrag in der Tabelle ist das Netz der Gegenseite.

Wie stelle ich das routing entsprechend um? Dem 255.255.255.255 die Fritzbox zuweisen, funktioniert nicht. Auch eine Firewallregel habe ich schon versucht. Ich komme da einfach nicht weiter.
Wie muss ich weiter vorgehen?

Folgenden Lösungsansatz habe ich erfolglos abgebrochen:
https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/ba3cd8bf5 ...

Da alle am Lancom angeschlossenen Geräte weitergeleitet werden sollen muss doch eine einfache Regel reichen oder?

Gruss

Please also mark the comments that contributed to the solution of the article

Content-Key: 277562

Url: https://administrator.de/contentid/277562

Printed on: April 16, 2024 at 05:04 o'clock

29 Comments

Latest comment

Hallo,

warum sollte man so etwas denn auch machen wollen?
Eventuell habe ich das auch nur noch nicht ganz verstanden, kann ja auch sein!

Ich verbinde zwei Netzwerke miteinander und dann kann man von dem einen Netzwerk
auf alle Geräte und Dienste in dem anderen Netzwerk zugreifen, wenn die VPN Verbindung steht.

Gruß
Dobby

warum sollte man so etwas denn auch machen wollen?

Ich komme nur über die öffentliche IP der Gegenseite auf diverse benötigte Internetseiten

Zitat von @talentfrei:

> warum sollte man so etwas denn auch machen wollen?

Ich komme nur über die öffentliche IP der Gegenseite auf diverse benötigte Internetseiten

Ahhh, alles klar das wusste ich nicht jetzt ist die Sache schon etwas klarer.

Es geht auf jeden Fall, aber das erklärt Dir der @aqui am besten.

Gruß
Dobby

Wie es auf der Fritzkiste eingerichtet werden muss, ich bin noch strikter Gegner dieser Geräte.

Aber die VPN-Regel muss auf dem LANCOM angelegt werden. Also der Schritt 2 komplett und an der VPN-Verbindung zur Fritzbox muss auf eine manuelle Regelerzeugung eingestellt werden.

Moin,

Der Obere Eintrag in der Tabelle ist das Netz der Gegenseite.

welcher Gegenseite?

Auch eine Firewallregel habe ich schon versucht.

Was hat das mit routing und VPN zu tun?

Dem 255.255.255.255 die Fritzbox zuweisen, funktioniert nicht.

Was?

Da alle am Lancom angeschlossenen Geräte weitergeleitet werden sollen muss doch eine einfache Regel reichen oder?

Ich würde einfach das VPN regelrecht konfigurieren?

LG, Thomas

welcher Gegenseite?

des VPN der anderen Seite (Fristbox) halt. Meine Seite 192.168.177.0 Gegenseite 192.168.178.0

> Auch eine Firewallregel habe ich schon versucht.
Was hat das mit routing und VPN zu tun?

nix hat ja auch nicht funktioniert.

> Dem 255.255.255.255 die Fritzbox zuweisen, funktioniert nicht.
Was?

Screenshot ganz unten. "Router" steht zZ auf "INTERNET" habe versuchsweise auf "FRITZBOX" gestellt

> Da alle am Lancom angeschlossenen Geräte weitergeleitet werden sollen muss doch eine einfache Regel reichen oder?
Ich würde einfach das VPN regelrecht konfigurieren?

Gute Idee !
Die Konfiguration der Fritzbox siehst du im screenshot. Der Lancom ist wie hier konfiguriert. http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lanco ...

Der VPN Tunnel ist aufgebaut. Per Ping kann ich die Fritzbox erreichen.
Somit sollte der VPN Tunnel doch richtig konfiguriert sein oder?

LG

Somit sollte der VPN Tunnel doch richtig konfiguriert sein oder?

keine-ahnung

Dein LANMonitor wird Dir das besser darstellen können ...

LG, Thomas

Dein LANMonitor wird Dir das besser darstellen können ...

Sieht doch gut aus.
#Aber wie das Internet durch den Tunnel routen?

Aber wie das Internet durch den Tunnel routen?

Ich sage doch das wird der @aqui schon noch erklären,
ansonsten haben wir das hier alle drei Monate mal das so etwas oder so ähnlich
hier nachgefragt wird, dann einfach mal die SuFu benutzen.

Gruß
Dobby

Moin,
wie bereits angesprochen ist @aqui hier unser Netzwek-Guru.
Er hat einen ähnlichen Vorfall bereits sehr gut und ausführlich im Forum beschrieben:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Vielleicht hilft dir das ja schon weiter.

Gruß
Kümmel

Moin,

versuche mal den Router der letzten Regel auf den Router der ersten zu aendern. Default Gateway ist das Stichwort...

VG,

Thomas

versuche mal den Router der letzten Regel auf den Router der ersten zu aendern. Default Gateway ist das Stichwort...

das war meine erste Eingebung. Habe ich oben bereits geschrieben. Sobald ich umstelle ist keine webweite mehr erreichbar.

wie bereits angesprochen ist @aqui hier unser Netzwek-Guru.
Er hat einen ähnlichen Vorfall bereits sehr gut und ausführlich im Forum beschrieben:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Nach diesem Tut habe ich auch meinen Tunnel aufgebaut. Der Tunnel ist ja auch schon erfolgreich aufgebaut ! Siehe screenshot Lanmonitor. Ich benötige Hilfe bei der Konfiguration, um den Internetverkehr der an dem Lancom angeschlossenen Geräte durch den Tunnel zu leiten. Ziel soll sein, mich über die öffentliche IP der Gegenseite im Internet zu bewegen.

Ziel soll sein, mich über die öffentliche IP der Gegenseite im Internet zu bewegen.

Wozu auch immer ... Du wirst den Geräten aber schon sagen müssen, welches Gateway sie benutzen sollen?

LG, Thomas

Genau das wäre sehr gut!
Client 1 zb. Gateway der Fritzbox = Internet über VPN
Client 2 zb. Gateway des Lancom = Internet über Lokalen router (Cancom)

Soweit bin ich nur leider noch nicht. Mir würde es schon reichen das alle am Lancom angeschlossenen Geräte über die Gegenstelle ins Netz gehen.

Genau das wäre sehr gut!

Ja dann mach es doch ... entweder über einen DHCP-Server oder mit den Patschehändchen?

Zitat von @talentfrei:

das war meine erste Eingebung. Habe ich oben bereits geschrieben. Sobald ich umstelle ist keine webweite mehr erreichbar.

Wie weit kommt denn ein traceroute wenn du das machst? Vielleicht solltest du mal einen DIenstleister hinzuziehen, das kann ja mit Erfahrung nicht laenger als ner Stunde dauern.
Hier steht wie es geht: https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/ba3cd8bf5 ...

VG,

Thomas

Wie weit kommt denn ein traceroute wenn du das machst? Vielleicht solltest du mal einen DIenstleister hinzuziehen, das kann ja mit
Erfahrung nicht laenger als ner Stunde dauern.
Hier steht wie es geht:
https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/ba3cd8bf5 ...

nach dieser Anleitung bin ich ja sowieso vorgegangen! Vielleicht liegt da aber schon der Hund begraben. Letzter Teil "Gegenstelle Filiale".
In meinem Fall habe ich drei Gegenstellen: INTERNET (klar mein Internet Zugang), DEFAULT (Gegenstelle ISDN wurde scheinbar vom router selbst angelegt), FRITZBOX (die Fritzbox der Gegenseite). Mit keiner dieser Gegenstellen komme ich rüber.

ping 8.8.8.8 geht nicht raus!

Muss ich noch eine Gegenstelle "FILIALE" (mein LANCOM) anlegen? (Also einen 2ten Tunnel)

Hi,

du musst vor bzw. über einer "255.255.255.255/0.0.0.0 via VPN"-Regel eine Regel erstellen, die deine VPN-Gegenstelle über Internet erreichbar macht. Also "IP(-Range) der Gegenseite via INTERNET". Denn der Lancom erreicht ja den VPN-Server nicht über VPN sondern übers Internet.

Grüße
Richard

Das hilft mir nicht weiter:.
Wie ist diese Anleitung https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/ba3cd8bf5 ... zu verstehen?

Wieviele Verbindungen müssen in der VPN Verbindungsliste stehen ?

Zitat von @talentfrei:

Das hilft mir nicht weiter:.
Wie ist diese Anleitung
https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/ba3cd8bf5 ... zu verstehen?

Die Anleitung differenziert per Routing-Tag. Finde ich in dem Fall unnötig komplex.

Wieviele Verbindungen müssen in der VPN Verbindungsliste stehen ?

Eine, aber das VPN steht doch schon. Du solltest dir ansehen, ob die Fritzbox überhaupt VPN-Verkehr ins Internet routet (Zeile "accesslist"). Da bin ich überfragt, da ich das nie mit einer FB gemacht habe. Aber ich schätze, deine Konfiguration in accesslist reicht dafür nicht. AVM unterstützt das ja noch nicht so lange und eigentlich eher für Clients. Evtl. ist daher opportun, den Lancom hinter einer Client-IP zu maskieren, und das so einzurichten: http://blog.netplanet.org/2010/09/19/die-avm-fritzbox-als-vpn-secure-ga ...

Wie bereits geschrieben irritiert mich der letzte Schritt in der Lancom Anleitung (Gegenstelle Filiale) Diese kann ich keiner Gegenstelle meiner Konfiguration zuordnen.

Daraufhin habe ich einen zweiten Tunnel erfolgreich eingerichtet. Und somit eine Gegenstelle wie die in der Anleitung beschriebenen Gegenstelle "FILIALE" kreiert.
Dieser Tunnel wurde mit dem Lokalen Netzwerk der beiden Gegenstellen konfiguriert, da diese ja durch den ersten Tunnel bereits bekannt sind. Somit habe ich meine passende Gegenstelle "FILIALE" um genau nach Anleitung vorzugehen.

Sobald beide Tunnel gestartet sind kann ich weder in das Netz der Gegenstelle noch in das Internet (8.8.8.8) pingen.

Wäre dieser Weg also falsch?

Die Anleitung beschreibt die Konfiguration zweier Lancoms. In deiner "Zentrale" (wo die Gegenstelle Filiale konfiguriert wird) steht die Fritzbox. Wie gesagt ist fraglich, ob die Konfiguration der Fritzbox geeignet ist, zwischen dem VPN-Netz (also dem Lancom und aller Clients dort) und dem Internet zu routen bzw. ob die Fritzbox das überhaupt unterstützt. Angesichts der mageren VPN-Leistung einer Fritzbox wäre plausibel, dass dies nur für Clients vorgesehen ist. Was kein Hindernis wäre, denn dann verbindet man eben den Lancom als Client. Der Lancom versteckt sein Netz dann vor der Fritzbox hinter einer Client-IP.
In jedem Fall brauchst du nur zwei Gegenstellen auf dem Lancom: Internet und VPN/Zentrale/Fritzbox.

dann verbindet man eben den Lancom als Client. Der Lancom versteckt sein Netz dann vor der Fritzbox hinter einer
Client-IP.

Wie geht das ?

Zitat von @c.r.s.:

Die Anleitung differenziert per Routing-Tag. Finde ich in dem Fall unnötig komplex.

mMn ist das Policy Routing notwendig damit der Lancom den VPN Tunnel ueber das Internet aufbauen kann wenn das Default Gateway auf den Tunnel zeigt. Sonst hat man ein Henne/Ei Problem...

VG,

Thomas

Zitat von @talentfrei:

Wie bereits geschrieben irritiert mich der letzte Schritt in der Lancom Anleitung (Gegenstelle Filiale) Diese kann ich keiner
Gegenstelle meiner Konfiguration zuordnen.

Du kanst denn ganzen Schritt zwei ignorieren, das ist in deinem Fall ja eine Fritzbox. Vielleicht versuchst du es auch mal statt mit der Defaultroute mit einer Hostroute fuer die Systeme die du ueber den Tunnel erreichen willst.

VG,

Thomas

Zitat von @talentfrei:

Wie geht das ?

Aus dem Kopf würde ich sagen: Einerseits in den Gegenstellen-Einstellungen die Maskierung aktivieren (die VPN-Gegenstelle gleicht dann der WAN-Gegenstelle), andererseits in den VPN-Verbindungseinstellungen die Betriebsart auf "Client-Modus" oder so ähnlich umstellen (wo du die Client-IP einstellen kannst).
Die Fritzbox muss nur so konfiguriert werden, wie auch für ein Smartphone o.ä., also nach den entsprechenden Anleitungen.

Zitat von @Th0mKa:

mMn ist das Policy Routing notwendig damit der Lancom den VPN Tunnel ueber das Internet aufbauen kann wenn das Default Gateway auf
den Tunnel zeigt. Sonst hat man ein Henne/Ei Problem...

Das ist grundsätzlich sicher eleganter und bei umfangreichen Konfigurationen auch einfacher. Wenn ich aber eine VPN-Gegenstelle mit fester IP habe und das VPN damit konfiguriert ist, kann ich diese IP ja auch durch eine vorrangige Routing-Regel über die Gegenstelle INTERNET erreichbar machen. Diese Voraussetzungen müssten vorliegen, weil er bestimmte Webseiten über diese IP erreichen will, und für den Anfang ist das vielleicht eine Konfiguration, die sich leichter erschließt.

Davon abgesehen als Denkanstoß: Wenn ich einen Gateway nur für den Zugriff auf bestimmte Seiten brauche, ist es eine ziemliche Einschränkung, den gesamten Internetverkehr über diesen Gateway zu routen. Lieber setzt man doch hinter die Fritzbox einen Proxy und hat mit diesem Proxy nur noch einen Host, zu dem über VPN geroutet werden muss. Dann kann flexibel auf den Clients entschieden werden, ob man diesen entfernten Proxy (und damit das VPN) nutzt oder nicht, mit FoxyProxy o.ä. sogar URL-abhängig im selben Browser.

Das durchreichen des Internet über den VPN Tunnel konnte letztendlich mit 2x Lancom 1711 realisiert werden.
Mein Ziel ist somit erreicht!
Leider war das mit den Fritzboxen nicht möglich.

Danke für eure Hilfe.

German Question LAN, WAN, Wireless Networks