6
Probleme mit schwieriger Konfiguration ThomsonCM zur FritzBox7270 zur Monowall zum Netgear Wlan Router
Hallo, bin ja schon lange Fan der Seite und hab viel gelesen und hoffentlich auch verstanden. Jetzt steh ich jedoch vor einer mir unlösbaren Aufgabe. Diese Netzwerkkonfiguration, mag dem Einen oder Anderen vielleicht unsinnig vorkommen, ich denke jedoch wenn ich das mit eurer Hilfe hinkriege, erlededigen sich viele weitere Fragen.
Hoffe auf positive und hilfreiche Antworten.
Also, ich habe eine I-Net Zugang über die Kevag, entspricht mit 26 Mbit ungefähr der Konfig von KDG.
Also zuerst öffentliche IP der KDG auf mein CM Thomson TWG850 mit Coax, dieses Modem hat einen integrierten Router (192.168.0.1) und Firewall, vergibt IP Adresse per DHCP auf Lan1 der (192.168.0.14) FritzBox 7270, nötig wegen der Telefonie. Nach der FritzBox per Lan2 auf WanPort (192.168.178.26) der Monowall, die läuft auch als DHCP (10.0.0.1) und vergibt die IP Adressen für mein Captive Portal, in dem Fall der Netgear WGR 614 v6.
Soweit, so gut. Funktioniert auch alles, Internet übers Portal Telefonie usw.
Jetzt zu meinem Problem.
Ich möchte mich gerne per Dyndns von ausserhalb auf die eingesetzten Geräte einloggen können.
Ausserdem hab ich 2 IP Cams, die bis dato über die FB (DynDns) und Portweiterleitung erreichbar waren. Dazu aber später, ist erstmal nicht so wichtig und klärt sich auch wenn ich bis zur Monowall komme.
Den Dyndns könnte ich auf der FB und der MW aktivieren.
Das Thomson Cm unterstützt jedoch keinen Dyndns.
Möglichkeiten die mir dort gegeben sind siehe Screen Shot
Welche Möglichkeiten der Portweiterleitung über das Cm hinweg zur FB und zur MW gibt es dort?
Wenn ich zur Zeit den Dydndns Aktualisiere, komm ich zwar im interen Lan auf die FB aber nur über die private IP Adresse (192.168.0.14) der Box , da die auch beim Dyndns so aktualisiert wird
Gibt es da eine Möglichkeit mit den bescheidenen Mitteln des CM.
So, ich hoffe ihr habt reichlich was zu denken und vor allem eine nachvollziehbare Lösung.
Über Sinn und Unsinn der Konfiguration kann man streiten, muß man aber nicht. Dies gilt nur zur Übung und zu Testzwecken.
Danke für die zahlreichen Hilfestellungen. Hoffe das angehängte Bild kommt rüber.
Ralph
Also zuerst öffentliche IP der KDG auf mein CM Thomson TWG850 mit Coax, dieses Modem hat einen integrierten Router (192.168.0.1) und Firewall, vergibt IP Adresse per DHCP auf Lan1 der (192.168.0.14) FritzBox 7270, nötig wegen der Telefonie. Nach der FritzBox per Lan2 auf WanPort (192.168.178.26) der Monowall, die läuft auch als DHCP (10.0.0.1) und vergibt die IP Adressen für mein Captive Portal, in dem Fall der Netgear WGR 614 v6.
Soweit, so gut. Funktioniert auch alles, Internet übers Portal Telefonie usw.
Jetzt zu meinem Problem.
Ich möchte mich gerne per Dyndns von ausserhalb auf die eingesetzten Geräte einloggen können.
Ausserdem hab ich 2 IP Cams, die bis dato über die FB (DynDns) und Portweiterleitung erreichbar waren. Dazu aber später, ist erstmal nicht so wichtig und klärt sich auch wenn ich bis zur Monowall komme.
Den Dyndns könnte ich auf der FB und der MW aktivieren.
Das Thomson Cm unterstützt jedoch keinen Dyndns.
Möglichkeiten die mir dort gegeben sind siehe Screen Shot
Welche Möglichkeiten der Portweiterleitung über das Cm hinweg zur FB und zur MW gibt es dort?
Wenn ich zur Zeit den Dydndns Aktualisiere, komm ich zwar im interen Lan auf die FB aber nur über die private IP Adresse (192.168.0.14) der Box , da die auch beim Dyndns so aktualisiert wird
Gibt es da eine Möglichkeit mit den bescheidenen Mitteln des CM.
So, ich hoffe ihr habt reichlich was zu denken und vor allem eine nachvollziehbare Lösung.
Über Sinn und Unsinn der Konfiguration kann man streiten, muß man aber nicht. Dies gilt nur zur Übung und zu Testzwecken.
Danke für die zahlreichen Hilfestellungen. Hoffe das angehängte Bild kommt rüber.
Ralph
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 161251
Url: https://administrator.de/contentid/161251
Printed on: April 25, 2024 at 13:04 o'clock
6 Comments
Latest comment
Der Screenshot ist wenig hilfreich, denn was du auf dem Thompson zwingend benötigst ist ein Port Forwarding wenn du es mit so oder mit VPN machen willst.
Das verbirgt sich aber vermutlich links sinnigerweise hinter Forwarding was du nicht zeigst hier. : - (
Remote Management und UPnP einzuschalten wäre aus Sicherheitsgründen auch ein absolutes "No Go" auf dem Thompson aber vermutlich bist du da wohl aus Unwissenheit schmerzfrei....
Das einfachste ist du öffnest ein VPN auf die FB oder auf die MW auf: Einfacher ist hier aber die FB da ein PFW Hop weniger.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
erstellst dann eine entsprechende FW Regel auf der MW um auch aufs innere Netz von dort zugreifen zu können und fertig ist der Lack... Ist eigentlich relativ einfach sowas.
Über das VPN hast du den Vorteil, das du je nach FW Regel transparent alles in den jeweiligen Netzen erreichen kannst und das auch noch sicher verschlüsselt.
Mit Portforwarding gehts auch allerdings musst du dann für jegliche Applikation eine Loch in deine Firewall bohren und spätestens dann wenn du z.B. 3 mal ein internes WebGUI erreichen musst hast du ein problem, da PFW immer nur portbezogen funktioniert. Du müsstest dann Port Translation machen was die Sache erheblich komplizierter und unübersichtlicher macht.
Dein Zauberwort heisst also VPN.
Das verbirgt sich aber vermutlich links sinnigerweise hinter Forwarding was du nicht zeigst hier. : - (
Remote Management und UPnP einzuschalten wäre aus Sicherheitsgründen auch ein absolutes "No Go" auf dem Thompson aber vermutlich bist du da wohl aus Unwissenheit schmerzfrei....
Das einfachste ist du öffnest ein VPN auf die FB oder auf die MW auf: Einfacher ist hier aber die FB da ein PFW Hop weniger.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
erstellst dann eine entsprechende FW Regel auf der MW um auch aufs innere Netz von dort zugreifen zu können und fertig ist der Lack... Ist eigentlich relativ einfach sowas.
Über das VPN hast du den Vorteil, das du je nach FW Regel transparent alles in den jeweiligen Netzen erreichen kannst und das auch noch sicher verschlüsselt.
Mit Portforwarding gehts auch allerdings musst du dann für jegliche Applikation eine Loch in deine Firewall bohren und spätestens dann wenn du z.B. 3 mal ein internes WebGUI erreichen musst hast du ein problem, da PFW immer nur portbezogen funktioniert. Du müsstest dann Port Translation machen was die Sache erheblich komplizierter und unübersichtlicher macht.
Dein Zauberwort heisst also VPN.
Also danke für die schnelle Antwort.
Also PFW ist sicher möglich auf dem CM , aber nur im IP Bereich des CM (192.168.0.0)
Hatte ich auch soweit eingetragen, zur FB mit der 0.14
Aber trotzdem bekommt die Fb die DNS Auflösung und routet zur 0.14. und nicht zur öffentlichen IP.
VPN hab ich auch schon in Betracht gezogen, scheitere jedoch immer an der AVM-Konfiguration. Connect übers iPhone hat noch nie geklappt.
Shit, wie kann ich jetzt in dem Beitrag weitere Bilder hochladen.
Über den Sicherheitsaspekt, bin ich wie du schon festgestellt hast doch recht schmerzfrei, soll ja auch nicht immer so bleiben, mich interessiert ja nur das wie. Nicht wie unsicher mein Netz dann ist. Ich hab hier ja auch keine wichtigen Daten, die strengster Geheimhaltung unterliegen.
ein PFW vom Cm auf die interne IP der Fb habe ich eingetragen, aber ohne erfolg, ausserdem hab ich FB noch in die DMZ eingetragen, das hilft mir auch nicht. Kann nicht über dyndns drauf zugreifen, da wie ich denke, der Lan1 ja jetzt als Wan Port dient und evtl. blockt. Ein Abschalten der Firewall in der FB ist auch nicht möglich, es sei denn ich flashe ein Freetz auf die 7270, dann hab ich aber Probleme mit den Sip Accounts.
Also erklär mir doch mal wie ich über PFW im CM die öffentliche IP des ISP weiterleite.
Aber sag mir auch wo ich was eintragen soll, den Rest kann ich dann analog so machen um auf die MW zu gelangen. Denke ich.
Ich könnte doch verschiedene Ports auf dem Account weiterleiten, nach der FB meine ich. Hab ich vorher auch gehabt, Port 82 zu ipcam 1 und 4009 zur ipcam2 und 5900 zum Powerbook usw.. Das hat einwandfrei gelaufen. Man muß aber wissen, das mein CM nur eine Lan hat und der DHCP wohl für einen Switch und für das WLan gedacht sind. Das WLan des CM möchte ich nicht aktivieren.
Mir gehts da also in erster Linie nicht um die Sicherheit, sondern die Funktion an sich.
Also hast du noch Tricks parat?
Danke für weitere Antworten, der Rest der Spezies darf sich ruhig dazugessellen.
Also PFW ist sicher möglich auf dem CM , aber nur im IP Bereich des CM (192.168.0.0)
Hatte ich auch soweit eingetragen, zur FB mit der 0.14
Aber trotzdem bekommt die Fb die DNS Auflösung und routet zur 0.14. und nicht zur öffentlichen IP.
VPN hab ich auch schon in Betracht gezogen, scheitere jedoch immer an der AVM-Konfiguration. Connect übers iPhone hat noch nie geklappt.
Shit, wie kann ich jetzt in dem Beitrag weitere Bilder hochladen.
Über den Sicherheitsaspekt, bin ich wie du schon festgestellt hast doch recht schmerzfrei, soll ja auch nicht immer so bleiben, mich interessiert ja nur das wie. Nicht wie unsicher mein Netz dann ist. Ich hab hier ja auch keine wichtigen Daten, die strengster Geheimhaltung unterliegen.
ein PFW vom Cm auf die interne IP der Fb habe ich eingetragen, aber ohne erfolg, ausserdem hab ich FB noch in die DMZ eingetragen, das hilft mir auch nicht. Kann nicht über dyndns drauf zugreifen, da wie ich denke, der Lan1 ja jetzt als Wan Port dient und evtl. blockt. Ein Abschalten der Firewall in der FB ist auch nicht möglich, es sei denn ich flashe ein Freetz auf die 7270, dann hab ich aber Probleme mit den Sip Accounts.
Also erklär mir doch mal wie ich über PFW im CM die öffentliche IP des ISP weiterleite.
Aber sag mir auch wo ich was eintragen soll, den Rest kann ich dann analog so machen um auf die MW zu gelangen. Denke ich.
Ich könnte doch verschiedene Ports auf dem Account weiterleiten, nach der FB meine ich. Hab ich vorher auch gehabt, Port 82 zu ipcam 1 und 4009 zur ipcam2 und 5900 zum Powerbook usw.. Das hat einwandfrei gelaufen. Man muß aber wissen, das mein CM nur eine Lan hat und der DHCP wohl für einen Switch und für das WLan gedacht sind. Das WLan des CM möchte ich nicht aktivieren.
Mir gehts da also in erster Linie nicht um die Sicherheit, sondern die Funktion an sich.
Also hast du noch Tricks parat?
Danke für weitere Antworten, der Rest der Spezies darf sich ruhig dazugessellen.
Ist ja klar das deine FB routet, denn sie ist ja auch ein "Router". Das sollte dich also nicht verwundern.
Es ist auch logo das das CM nur aufs lokale LAN forwarden kann. Ein PFW an eine fremde IP geht nur wenn das CM eine statische Route dahin hat, was aber auch nur die wenigsten Consumer Geräte können.
In deinem Falle wäre es so oder so unsinnig, da du ja NAT machst auf der FB und auch auf der MW.
So gesehen also ein Triple NAT (Adress Translation) bei dir CM-FB-MW.
Wenn du mit dem iPhone PPTP als VPN machen willst geht das nicht mit der FB, denn die supportet das nicht, da sie nur IPsec kann. PPTP macht aber die MW wieder.
Du müsstest also die Ports:
TCP 1723
und das GRE Protokoll mit der IP Nummer 47
vom CM an die FB und von da an die MW mit PFW forwarden, dann klappt es problemlos.
Bei der MW musst du dazu das Blocking der RFC 1918 IPs aufheben in den General Settings !! Siehe hier:
VPNs einrichten mit PPTP
Wenn du das VPN auf der FB terminieren willst geht nur IPsec. Dazu musst du dann
UDP 500
UDP 4500
und das ESP Protokoll mit der IP Nummer 50
vom CM an die FB forwarden und dann gemäß diesem Tutorial verfahren:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Beide Optionen sollten problemlos klappen.
Ansonsten immer einen Paket Sniffer wie den Wireshark oder MS netMonitor verwenden und schritt für Schritt hinter den NAT Firewalls messen ob diese Pakete sauber vom PFW geforwardet werden !! Das fürht immer zum Erfolg.
Schwierig ist diese Konfig keinesfalls wenn man denn weiss was man macht...?
Es ist auch logo das das CM nur aufs lokale LAN forwarden kann. Ein PFW an eine fremde IP geht nur wenn das CM eine statische Route dahin hat, was aber auch nur die wenigsten Consumer Geräte können.
In deinem Falle wäre es so oder so unsinnig, da du ja NAT machst auf der FB und auch auf der MW.
So gesehen also ein Triple NAT (Adress Translation) bei dir CM-FB-MW.
Wenn du mit dem iPhone PPTP als VPN machen willst geht das nicht mit der FB, denn die supportet das nicht, da sie nur IPsec kann. PPTP macht aber die MW wieder.
Du müsstest also die Ports:
TCP 1723
und das GRE Protokoll mit der IP Nummer 47
vom CM an die FB und von da an die MW mit PFW forwarden, dann klappt es problemlos.
Bei der MW musst du dazu das Blocking der RFC 1918 IPs aufheben in den General Settings !! Siehe hier:
VPNs einrichten mit PPTP
Wenn du das VPN auf der FB terminieren willst geht nur IPsec. Dazu musst du dann
UDP 500
UDP 4500
und das ESP Protokoll mit der IP Nummer 50
vom CM an die FB forwarden und dann gemäß diesem Tutorial verfahren:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Beide Optionen sollten problemlos klappen.
Ansonsten immer einen Paket Sniffer wie den Wireshark oder MS netMonitor verwenden und schritt für Schritt hinter den NAT Firewalls messen ob diese Pakete sauber vom PFW geforwardet werden !! Das fürht immer zum Erfolg.
Schwierig ist diese Konfig keinesfalls wenn man denn weiss was man macht...?
Hallo aqui,
vielen Dank für die konstruktiven Vorschläge.
hab es nun soweit geschafft, Vpn auf FB oder (und) Monowall funktionieren.
Deine Lösung,
"Das einfachste ist du öffnest ein VPN auf die FB oder auf die MW auf: Einfacher ist hier aber die FB da ein PFW Hop weniger.
http://www.avm.de/de/Service/Service-Port ...
erstellst dann eine entsprechende FW Regel auf der MW um auch aufs innere Netz von dort zugreifen zu können und fertig ist der Lack... Ist eigentlich relativ einfach sowas.
Über das VPN hast du den Vorteil, das du je nach FW Regel transparent alles in den jeweiligen Netzen erreichen kannst und das auch noch sicher verschlüsselt.
Mit Portforwarding gehts auch allerdings musst du dann für jegliche Applikation eine Loch in deine Firewall bohren und spätestens dann wenn du z.B. 3 mal ein internes WebGUI erreichen musst hast du ein problem, da PFW immer nur portbezogen funktioniert. Du müsstest dann Port Translation machen was die Sache erheblich komplizierter und unübersichtlicher macht.
Dein Zauberwort heisst also VPN."
Aber wie richtest soll ich eine VPN Verbindung einrichten, wenn der Dyndns Account nur auf das private Netz aktualisiert?
Aber um dir das nochmal genau zu erklären, das Cm kann kein DynDns!!!
die FB ja und die Monowall auch.
Also egal!!!! bei wem ich den Dyndns Account eintrage, wird immer nur die IP übertragen die der WAN Eingang des jeweiligen Geräts in diesem Moment hat.
Niemals aber die tatsächlich IP des ISP, da die vom Wan IF des CM kommen müsste.
Also nochmal die Frage:
Wie sag ich der Monowall, das die IP nicht sein Wan IF ist sondern die des CM.
Hast du da eine Lösung???
IBin immer noch offen für weitere Vorschläge, Danke vorab
vielen Dank für die konstruktiven Vorschläge.
hab es nun soweit geschafft, Vpn auf FB oder (und) Monowall funktionieren.
Deine Lösung,
"Das einfachste ist du öffnest ein VPN auf die FB oder auf die MW auf: Einfacher ist hier aber die FB da ein PFW Hop weniger.
http://www.avm.de/de/Service/Service-Port ...
erstellst dann eine entsprechende FW Regel auf der MW um auch aufs innere Netz von dort zugreifen zu können und fertig ist der Lack... Ist eigentlich relativ einfach sowas.
Über das VPN hast du den Vorteil, das du je nach FW Regel transparent alles in den jeweiligen Netzen erreichen kannst und das auch noch sicher verschlüsselt.
Mit Portforwarding gehts auch allerdings musst du dann für jegliche Applikation eine Loch in deine Firewall bohren und spätestens dann wenn du z.B. 3 mal ein internes WebGUI erreichen musst hast du ein problem, da PFW immer nur portbezogen funktioniert. Du müsstest dann Port Translation machen was die Sache erheblich komplizierter und unübersichtlicher macht.
Dein Zauberwort heisst also VPN."
Aber wie richtest soll ich eine VPN Verbindung einrichten, wenn der Dyndns Account nur auf das private Netz aktualisiert?
Aber um dir das nochmal genau zu erklären, das Cm kann kein DynDns!!!
die FB ja und die Monowall auch.
Also egal!!!! bei wem ich den Dyndns Account eintrage, wird immer nur die IP übertragen die der WAN Eingang des jeweiligen Geräts in diesem Moment hat.
Niemals aber die tatsächlich IP des ISP, da die vom Wan IF des CM kommen müsste.
Also nochmal die Frage:
Wie sag ich der Monowall, das die IP nicht sein Wan IF ist sondern die des CM.
Hast du da eine Lösung???
IBin immer noch offen für weitere Vorschläge, Danke vorab
Der DynDNS Account aktualisiert IMMER auf die aktive DSL IP ! (Öffentliche IP des Providers).
Dieser Port ist dann auch immer dein Eingangsport bzw. Ziel IP Adresse für den VPN Client und dort musst du alles an Port Weiterleeitung aktivieren.
Das ist in der Regel in 5 Minuten mit ein paar Mausklicks erledigt und funktioniert problemlos.
Hier kannst du global sehen wie das prinzip aussieht
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Natürlich ist es nicht besonders toll wenn der DynDNS Client auf der FB oder auf der MW (es geht nur bei einem zur Zeit !!) arbeitet da dieser ja noch hinter einem NAT arbeitet aber das kann man tolerieren wenn es nicht anders geht.
Es geht ja einzig und allein nur darum deine öffentliche IP Adresse einem Hostnamen zuzuweisen damit diese immer erreichbar...mehr nicht !
Dieses Gerät macht ja dann das Port Forwarding der VPN protokollports so das die VPN Verbindung so immer sauber zustande kommt.
Wie gesagt das ist tolerabel und funktioniert ja auch problemlos....
Dieser Port ist dann auch immer dein Eingangsport bzw. Ziel IP Adresse für den VPN Client und dort musst du alles an Port Weiterleeitung aktivieren.
Das ist in der Regel in 5 Minuten mit ein paar Mausklicks erledigt und funktioniert problemlos.
Hier kannst du global sehen wie das prinzip aussieht
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Natürlich ist es nicht besonders toll wenn der DynDNS Client auf der FB oder auf der MW (es geht nur bei einem zur Zeit !!) arbeitet da dieser ja noch hinter einem NAT arbeitet aber das kann man tolerieren wenn es nicht anders geht.
Es geht ja einzig und allein nur darum deine öffentliche IP Adresse einem Hostnamen zuzuweisen damit diese immer erreichbar...mehr nicht !
Dieses Gerät macht ja dann das Port Forwarding der VPN protokollports so das die VPN Verbindung so immer sauber zustande kommt.
Wie gesagt das ist tolerabel und funktioniert ja auch problemlos....
Hallo Aqui,
soweit so gut läuft meine Monowall jetzt sauber dank deiner zahlreichen Tips.
Danke nochmal für die Hilfestellung!!!
Jetzt hab ich da aber noch eine Frage.
Die Monowall läuft mit der Konfiguration jetzt sauber mit allen Features, Hotspot , VPN usw. auf einem Mini PC von Igel.
Jetzt habe ich das Alix Board mit 3 Netzwerkkarten bestellt, und möchte die Konfigdatei dort einspielen.
Ist das so möglich oder muss ich die ganze Konfiguration auf dem Alix dann neu erstellen?
Da es ja nur die Konfig ist, denke ich das es gehen sollte, hat da jemand Erfahrung, möchte das neue Board nicht direkt schrotten,
Danke für eine schnelle Antwort.
soweit so gut läuft meine Monowall jetzt sauber dank deiner zahlreichen Tips.
Danke nochmal für die Hilfestellung!!!
Jetzt hab ich da aber noch eine Frage.
Die Monowall läuft mit der Konfiguration jetzt sauber mit allen Features, Hotspot , VPN usw. auf einem Mini PC von Igel.
Jetzt habe ich das Alix Board mit 3 Netzwerkkarten bestellt, und möchte die Konfigdatei dort einspielen.
Ist das so möglich oder muss ich die ganze Konfiguration auf dem Alix dann neu erstellen?
Da es ja nur die Konfig ist, denke ich das es gehen sollte, hat da jemand Erfahrung, möchte das neue Board nicht direkt schrotten,
Danke für eine schnelle Antwort.
