Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SHDSL Konfiguration Cisco Router - AVM Fritz!box 7170 mit VPN

Frage Netzwerke

Mitglied: lernZeit

lernZeit (Level 1) - Jetzt verbinden

25.06.2010 um 00:21 Uhr, 11191 Aufrufe, 9 Kommentare

Guten Tag, die Herausforderung vor der ich stehe zeigt mir meine Grenzen auf. Vielleicht lassen sich diese mit Ihrer/eurer Hilfe erweitern.

Unser System: 1 MS-Server 2008, 1 Exchange-Server 2007 sind mit einer ADSL-Leitung über eine AVM Fritz!Box 7170 mit dem Internet verbunden.
8 Außenstellen greifen auf die Server per AVM VPN Client zu (überall steht eine AVM 7170).
Nun ist bei O2 eine SHDSL 2,3 Mbit Leitung eingekauft worden.
Ein vorkonfigurierter Cisco SHDSL Router 878 wurde mitgeliefert.
Der Cisco Router verbindet sich automatisch mit dem Internet.
Die VPN Verbindungen werden nicht zugelassen, OWA funktioniert ebenfalls nicht.
Der Versuch (von 2 Firmen - eine auf Cisco spezialisiert), die Verbindungen zu konfigurieren, scheiterten.
Der Support von AVM sagt, dass die 7170 die Verbindung aufbauen muss, damit die VPN Verbindung zustande kommen kann.
Der Cisco-Router lässt sich nicht zum Modem umkonfigurieren.

Meine Fragen:
1. Gibt es ein Gerät, dass so konfiguriert werden kann, dass es lediglich als SHDSL-Modem arbeitet und 1:1 alles durchreicht was über die VPN Verbindungen an die Server gerichtet ist?
2. Nutzt jemand eine vergleichbare Netzkonfiguration, wo VPN-Verbindungen über eine AVM Fritz!Box hinter einem SHDSL Modem/Router eingerichtet sind?

Vielen Dank für die Aufmerksamkeit.
Mitglied: Patrick-R
25.06.2010 um 01:06 Uhr
Hi,

also ich würde den AVM ausrangieren.
und auf dem MS-Server eine RAS einwahl einrichten.
dann auf dem cisco im IOS einfach inbound-NAT für IPsec, l2TP, PPTP und fürs owa SSL forwarden.
dann bist du auch nicht mehr auf denn AVM VPN Clienten angewiesen und es kann von jedem windows-, linux-, macrechner die verbindung aufgebaut werden
fertig!!

wenn du wirklich den AVM behalten willst:
bei AVM in erfahrung bringen welche ports für die VPN Verbindung gebraucht werden,
den wan port an den cisco, fritzox auf static oder dhcp umstellen und die server an die lan ports der fritzbox
dann die vpn-port im cisco wieder per port-forward an die FB weitergeben.
Nachteil: owa ist nur über vpn erreichbar.
abhilfe: zweites privates netz.


viele grüße
patrick
Bitte warten ..
Mitglied: lernZeit
25.06.2010 um 08:38 Uhr
Guten Morgen und danke für die Anregung.
Die AVM muss bleiben, da 8 bis 10 Außenstellen über AVM VPN auf die Server zugreifen.
Festgelegt ist, dass ohne VPN eine Zugriff auf den Exchange und den Server nicht erfolgen soll.
OWA muss für ca 25 User, die nur Zugriff auf ihr Exchangekonto haben, ohne VPN funktionieren.

Hinter der Fritz!Box steht noch eine Firebox, die ein zweites Netzwerk eingetragen hat, um einen Zugang zum Internet für einige öffentlich zugängliche Räume (Gemeindezentrum einer Kirchengemeinde) sicher zu stellen.
Bitte warten ..
Mitglied: Arch-Stanton
25.06.2010 um 11:07 Uhr
Das ist eigentlich standard bei SHDSL, man hat einen Router vom Provider, welcher transparent alles durchlässt. Auf der eigenen Firewall werden dann die VPN-Endpunkte gesetzt. Du hast doch sicherlich eine öffentliche IP für Deine Fritzbox bekommen? Ganz abgesehen davon, daß ich niemals solch ein Szenario mit Fritzboxen durchführen würde, sollte es so klappen. Am Ciso-Router kann man nichts ändern, der verbindet nur das Trnasfernetz mit dem Provider.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: aqui
25.06.2010 um 17:53 Uhr
@lernZeit
Eins ist bei dir ziemlich unklar, nämlich wie das derzeitige Design aussieht ??
Hast du aktuell 2 Leitungen also die VDSL Leitung UND die SHDSL Leitung oder ist die VDSL Leitung mit letzterer ersetzt worden und du betreibst quasi 2 kaskadierte Router ??
Letzteres klingt sehr wahrscheinlich nach deiner etwas undeutlichen Beschreibung ?! D.h. dann müsste dein netz so aussehen, oder ?

67596ec288012a486494b5ebb21b6f37 - Klicke auf das Bild, um es zu vergrößern

Wenn dem so ist kann man das auf Anhieb ohne Probleme zum Fliegen bringen ! Unverständlich warum "eine auf Cisco spezialisierte" Firma sowas nicht hinbekommt ?? Normalerweise ist das in 10 Minuten erledigt...nundenn.
Da der AVM VPN Client IPsec VPN Tunnel im ESP Modus benutzt musst du auf dem Cisco nur simpel und einfach ein Port Forwarding konfigurieren auf die IP Adresse der FritzBox 7190.
Diese muss vorher zwingend auf den LAN-1 Port Betreib umkonfiguriert werden, damit das interne DSL Modem abgeschaltet wird !
Dann stellt man sie auf statische IP Adress Betrieb am LAN-1 Port ein und gibt ihr eine feste IP Adresse aus dem Cisco 878 Transfer Netz zw. Cisco und FB !
In der Cisco Konfig sieht das so aus:
ip nat inside source static esp 172.16.1.1 <öffentliche SHDSL IP oder Int Cisco> extendable
ip nat inside source static udp 172.16.1.1 500 <öffentliche SHDSL IP oder Int Cisco> 500 extendable
ip nat inside source static udp 172.16.1.1 4500 <öffentliche SHDSL IP oder Int Cisco> 4500 extendable

Oder ganz einfach (für Dummies) als "Schrotschuss NAT" was ALLES von der Cisco SHDSL IP Adresse an die AVM forwardet:
ip nat inside source static 172.16.1.1 <öffentliche SHDSL IP oder Int Cisco>

Je nachdem wie der Cisco konfiguriert ist, mit oder ohne Firewall Featureset, muss ggf. noch eine ACL für den SHDSL Port erstellt werden ala:
access-list 110 permit esp any any
access-list 110 permit udp any eq 500
access-list 110 permit udp any eq 4500
!
interface Dialer0
description SHDSL Verbindung O2
ip address negotiated
ip access-group 110 in

Fertich ist der Lack und die AVM VPN Verbindungen rennen wieder..!
Bitte warten ..
Mitglied: lernZeit
26.06.2010 um 12:26 Uhr
Hallo Aqui,
vielen Dank. Entschuldigung für die undeutliche Beschreibung, das ist dem engagierten Laien geschuldet, der ich nun einmal bin.

Im Prinzip ist das System richtig erkannt. Hinter der Fritz!box steht eine Firebox Hardware-Firewall.
Zwei Server - Exchange und File - stehen in einem Netzwerk. Hier ist der VPN Zugriff erforderlich, hier greifen 8 - 10 Außenstellen per VPN und 8 Arbeitsplätze im Netzwerk drauf zu.
Ein zweites Netz ohne Server bekommt über die Firebox die auch DHCP kann, ihre Adressen. Dieses Netz ist theoretisch für Jedermann und zur Internetnutzung bestimmt.

Ich werde deinen Lösungsansatz weiter leiten. Herzlichen Dank.
Bitte warten ..
Mitglied: aqui
26.06.2010 um 22:31 Uhr
Generell ist deine Konfig unproduktiv, denn ALLES sollte auf der Firebox landen aber egal...mit der umständlichen Variante von dir funktioniert es auch !
Noch was wichtiges:
Der Vorschlag von oben gilt nur wenn auf dem LAN Interfaces des Cisco Routers ein privates RFC_1918_IP_Netzwerk ist. Also ein Netzwerk was eine private IP Adresse aus dem 10er, 172, oder 192.168er Bereich konfiguriert hat.
Hat dir dein Provider (O2) am LAN Port aber ein kleines öffentliches Subnetz konfiguriert am Cisco Router, dann musst du selbstverständlich dieses o.a. IP Port Forwarding auf dem Cisco NICHT machen !!
Logisch, denn dann hast du auf dem LAN ja ein öffentliches Subnetz was über das Internet direkt erreichbar ist.
In diesem Falle ist dann die statische Fritzbox WAN IP an LAN-1 Port (die Umstellung an der FB musst du in jedem Falle machen !!) am Cisco LAN deine VPN Zieladresse !

Wie gesagt das ganze Design ist totaler Murks ! Die FB kannst du eigentlich entsoregn und die Firebox direkt an den Cisco hängen. Alle VPN Verbindungen sollten dann auf der Firebox terminiert werden. Dafür ist sie eigentlich ja auch gemacht.
Die kann sowohl mobile VPN User z.B. mit dem kostenlosen Shrew Client bedienen:
http://www.shrew.net oder das bordeigene PPTP also auch LAN zu LAN VPNs.
Das wäre dann ein sinnvolles VPN Design.
Bitte warten ..
Mitglied: lernZeit
27.06.2010 um 19:54 Uhr
Danke für deine Empfehlung. Ich werde sie mit unserem Dienstleister besprechen.
Bitte warten ..
Mitglied: aqui
30.06.2010 um 16:14 Uhr
Wenns das denn war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: lernZeit
10.07.2010 um 11:24 Uhr
An dieser Stelle möchte ich "aqui" danken für den Lösungsansatz. Seit gestern Nachmittag (9.7.) läuft alles. Alle VPN Verbindungen können realisiert werden. Der Geschwindigkeitsvorteil ist messbar.
Auf Nachfrage bei dem von o2 beauftragten IT Unternehmen, ob der Lösungsansatz aus diesem Thread stammt, wurde dies bejaht.
Herzlichen Dank.

Die Anregungen für ein neues VPN System verstehen wir als Diskussionsgrundlage mit unserem örtlichen IT Partner.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Cisco langsam hinter Fritz!box (5)

Frage von PharIT zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Cisco hinter Fritz!box, vom VLAN kein Internet (3)

Frage von PharIT zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Cisco hinter Kabelmodem oder Fritz!box (3)

Frage von PharIT zum Thema LAN, WAN, Wireless ...

Router & Routing
Übungen zu Cisco Router Konfiguration (3)

Frage von M.Marz zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...