Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN zu Cisco RV082 hinter Fritz-Box 7390

Frage Netzwerke Router & Routing

Mitglied: Frank.Wolf

Frank.Wolf (Level 1) - Jetzt verbinden

28.12.2013, aktualisiert 19:14 Uhr, 5272 Aufrufe, 41 Kommentare, 1 Danke

Hallo VPN-Cracks,
ich möchte mehrere mobile Anwender über VPN-Tunnels auf einen Server arbeiten lassen.
Der Weg ist folgender:
Client z.B. Shrewsoft - ... - Internet - Fritz Box 7390 - Cisco RV082 - Server
Die Fritz Box bekommt vom Provider eine statische IP.
Derzeit läuft das VPN über die Fritz-Box (und funktioniert). Wegen der Beschränkung auf 8 User bei der Fritz Box soll das VPN nun auf den RV082 "umziehen", der kann max. 50 Tunnel und das reicht allemal. Die Fritz-Box soll demnach zukünftig die Internet-Verbindung mit dem Provider halten, die ISDN-Telefone versorgen und sonst nix. Der Cisco-Router soll das VPN managen in das lokale Netz verwalten.

Die Fritz Box heißt 192.168.0.1, es gibt darauf ein statisches Routing zum Subnetz 192.168.178.0 über den RV082 mit seinem WAN Port 192.168.0.3 damit die bisherigen VPN-Verbindungen (IPSec auf Fritz Box) das Netz 192.168.178.0 finden können.
Der RV082 ist lokal 192.168.178.3 und verwaltet dieses Subnetz 192.168.178.0.

Also bildlich:
Fritz 192.168.0.1 - RV082 WAN 192.168.0.3 - RV082 LAN 192.168.178.3 - Server 192.168.178.xxx

Damit VPN-Pakete an den RV082 gelangen können, habe ich auf der Fritz Box die Ports TCP 1723, GRE, ESP und UDP 500 auf den RV082 weitergeleitet. Dort habe ich für einen neuen User einen Tunnel eingerichtet.

Wenn ich nun mit dem neuen eine Verbindung erstellen möchte, so scheint es, dass die Fritz Box die VPN-Pakete gar nicht an den RV082 weiter gibt. Auf jeden Fall finde ich dort im Log keine Einträge.

Wo ist das Problem? Hat jemand schon einmal eine VPN-Verbindung zu einem Router hinter einer Fritz Box gebaut?

Nachtrag: VPN-Verbindung zur Fritz Box ("alte Lösung") kann ich noch herstellen, komm aber nicht mehr ins 178er Netz.
41 Antworten
Mitglied: Lochkartenstanzer
28.12.2013, aktualisiert um 17:46 Uhr
Zitat von Frank.Wolf:

Damit VPN-Pakete an den RV082 gelangen können, habe ich auf der Fritz Box die Ports TCP 1723, GRE, ESP und UDP 500 auf den
RV082 weitergeleitet. Dort habe ich für einen neuen User einen Tunnel eingerichtet.

GRE und ESP sind IP-Protokolle, keine Ports. Diese kann man an einer fritzbox nicht einfach so weiterleiten, wenn Du nicht direkt mit iptables herumspielst. Du mußt drauf achten, daß Du die protokolle umleitest und nicht die TCP-Ports 47, 50 und 51.

Ich verweise einfach mal auf einen von aquis Antworten aus einem früheren Thread.

lks

PS: Das Forum hat auch eine Suchfunktion.

goodie


Edit: Fritzbox-Aussage aktualisiert.
Bitte warten ..
Mitglied: colinardo
28.12.2013, aktualisiert um 17:21 Uhr
Hallo Frank.Wolf,
TCP 1723, GRE, ESP und UDP 500
was denn jetzt, PPTP oder IPSec oder beides ? Wenns IPSec sein soll dann fehlt dir Port 4500 UDP (NAT-Traveral). Bei zusätzlich verwendetem L2TP noch Port 1701 UDP.

Grüße Uwe
Bitte warten ..
Mitglied: MrNetman
28.12.2013 um 17:18 Uhr
Meine Fritzbox hat es nicht so gern, wenn ich hinter dem Kabelprovider die 192.168.178.x weg nehme und eine andere verwende. Das ist nicht logisch, aber sie tut es so. Evtl muss dein Netz einen anderen IP-Bereich bekommen.

Aber von wo baust du deinen Tunnel auf?
Über UMTS oder hst du einen zweiten Anschluß zur Verfügung.

Gruß
Netman
Bitte warten ..
Mitglied: colinardo
28.12.2013, aktualisiert um 17:33 Uhr
Zitat von Lochkartenstanzer:
GRE und ESP sind IP-Protokolle, keine Ports. Diese kann man an einer fritzbox nicht einfach so weiterleiten, wenn Du nicht direkt
mit iptables herumspielst.
geht inzwischen simpel
23341c11a78abde3d726ba8070188561 - Klicke auf das Bild, um es zu vergrößern

Grüße Uwe
Bitte warten ..
Mitglied: Lochkartenstanzer
28.12.2013 um 17:34 Uhr
Zitat von colinardo:

> Zitat von Lochkartenstanzer:
> GRE und ESP sind IP-Protokolle, keine Ports. Diese kann man an einer fritzbox nicht einfach so weiterleiten, wenn Du nicht
direkt
> mit iptables herumspielst.
geht inzwischen simpel
23341c11a78abde3d726ba8070188561 - Klicke auf das Bild, um es zu vergrößern


Ups, ziehe meien Aussage zurück. habe da eine ganze Weile schon nicht mehr reingeschaut. Meine Ausrede ist: Früher war das so. .-)

lks
Bitte warten ..
Mitglied: Frank.Wolf
28.12.2013 um 18:20 Uhr
Der andere Thread passt nicht so ganz, dort ist die Fritz Box HINTER einem Kabel-Model. Bei mir ist die Fritz Box außen und er Router dahinter.
Bitte warten ..
Mitglied: Frank.Wolf
28.12.2013 um 18:23 Uhr
Zitat von colinardo:

Hallo Frank.Wolf,
> TCP 1723, GRE, ESP und UDP 500
was denn jetzt, PPTP oder IPSec oder beides ? Wenns IPSec sein soll dann fehlt dir Port 4500 UDP (NAT-Traveral). Bei
zusätzlich verwendetem L2TP noch Port 1701 UDP.

Grüße Uwe
Ist mir zunächst egal, wenn nur erst mal funktioniert. Nur die Option "VPN Group" des RV082 kann ich nicht gebrauchen, da der nur 2 Gruppen kann. Verzeih mir meine teilweise dummen Antworten, ich bin nicht firm in dem Gebiet.
Bitte warten ..
Mitglied: Frank.Wolf
28.12.2013 um 18:24 Uhr
Zitat von MrNetman:

Meine Fritzbox hat es nicht so gern, wenn ich hinter dem Kabelprovider die 192.168.178.x weg nehme und eine andere verwende. Das
ist nicht logisch, aber sie tut es so. Evtl muss dein Netz einen anderen IP-Bereich bekommen.

Aber von wo baust du deinen Tunnel auf?
Über UMTS oder hst du einen zweiten Anschluß zur Verfügung.

Gruß
Netman
Ich teste das mit einem zweiten Rechner, der als remote client über einen Telekom-UMTS-Stick im Internet ist.
Bitte warten ..
Mitglied: Frank.Wolf
28.12.2013 um 18:26 Uhr
Zitat von colinardo:

> Zitat von Lochkartenstanzer:
> GRE und ESP sind IP-Protokolle, keine Ports. Diese kann man an einer fritzbox nicht einfach so weiterleiten, wenn Du nicht
direkt
> mit iptables herumspielst.
geht inzwischen simpel
23341c11a78abde3d726ba8070188561 - Klicke auf das Bild, um es zu vergrößern

Grüße Uwe
Genau so hab ichs gemacht.
Bitte warten ..
Mitglied: 104286
28.12.2013, aktualisiert um 18:57 Uhr
Colinardo meinte, dass du die Ports UDP/500 und UDP/4500 auf die 192.168.0.3 weiterleiten musst. Diese beiden Ports sind wichtig.
Und du musst darauf achten, dass in Shrew und auf dem RV die Option NAT-T aktiv ist.
Bitte warten ..
Mitglied: colinardo
28.12.2013, aktualisiert um 19:18 Uhr
Verzeih mir meine teilweise dummen Antworten, ich bin nicht firm in dem Gebiet.
kein Problem
Hast du auf dem Cisco zusätzlich sichergestellt das auf dem WAN-Port der Zugriff auf private IP-Ranges nach RFC1918 erlaubt ist? Manche Router blocken dies. Auf dem CISCO sollte ebenfalls NAT-Traversal aktiviert sein. Firewall Access Rules auf dem CISCO passen ? Ansonsten => RV082 Handbuch
Bitte warten ..
Mitglied: Pjordorf
28.12.2013 um 18:57 Uhr
Hallo,

Zitat von Frank.Wolf:
einen Telekom-UMTS-Stick im Internet ist.
Und dein Tarif oder gewählter APN lässt es auch zu das du einen VPN Tunnel wie von dir gewünscht ohne behinderung (z.B. NAT) aufbauen kannst?

Gruß,
Peter
Bitte warten ..
Mitglied: 104286
28.12.2013, aktualisiert um 19:27 Uhr
Pjordorf, kennst du einen Tarif, in dem die Ports 500/4500 "gesperrt" sind?
Bitte warten ..
Mitglied: Lochkartenstanzer
28.12.2013 um 19:11 Uhr
Zitat von 104286:

Pjordorf, kennst du einen Tarif, in dem die Ports 500/4500 ausgehend "gesperrt" sind?

bei Mobilfunk-verbindungen sperren die Provider alles mögliche und setzen (transparente) zwangsproxies ein, ganz abgesehen von provider-grade-NAT. Da muß man sich auf viele Überaschungen gefaßt machen, wenn man sich vorher nicht genau den Tarif rausgepickt hat, der die gewünschten Features beinhaltet.

lks
Bitte warten ..
Mitglied: 104286
28.12.2013 um 19:15 Uhr
LKS, kennst du so einen?
Bitte warten ..
Mitglied: Lochkartenstanzer
28.12.2013 um 19:30 Uhr
Zitat von 104286:

LKS, kennst du so einen?

Carrier grade NAT machen soweit ich weiß, alle Provder, allerdings nicht in jedem "Sendegebiet".

gbei der telekom hatte ich schon diverse Male effekte, die ich mir nur durch eine Zwangsproxy erklären kann (Zertifikate paßten nicht). Allerdings nichts greifbares. würde mich jedenfalls nicht wundern, wenn die (und andere) es machen.

Wenn aber das VPn zu der frotzbox funktioniert heißt das erstmal, daß Du zu deinem Netz druchkommst.

Hier noch ein Thread zum NAT-Traversal, daß du benötigst, wieder mit wertvollen Hinweisen von aqui.

lks

PS: VPN zu einem VPN-Server hinter eine NAT-Router funktioniert im wesentlichen immer gleich, egal welche Router "vornedran" und "hintendran" sitzen.
Bitte warten ..
Mitglied: Frank.Wolf
28.12.2013 um 19:47 Uhr
Alle Einstellungen:

Shrew:
NAT traversal: enable, port 4500

Fritz:
IPV4: 192.168.0.1 255.255.155.0
Statische Route: 192.168.178.0 255.255.255.0 192.168.0.3
DHCP an, 192.168.0.50-99 aber kein Client außer dem Router mit fixer IP dran.

Cisco-Router RV082:
Device IP: 192.168.178.3 255.255.255.0
Multiple Subnet: aus
Dual WAN mode
WAN1:
Static IP: 192.168.0.3 255.255.255.0 angeschlossen an LAN1 der Fritz Box
Default Gateway: 192.168.0.1
DDNS aus
WAN2 nicht angeschlossen, nicht konfiguriert

1to1 NAT: 192.168.178.200-209 => 192.168.0.200-209

DHCP: 192.168.178.220-250, da hängen interne Clients dran, Server mit fixer IP 192.168.178.106
DNS: 192.168.0.1

Firewall an
Allow any LAN to any
Deny any WAN1 to any

VPN:
1 Tunnel WAN1 local IP 192.168.178.211


Interne Clients am Cisco kommen auf Fritz Box und ins Internet und freilich auch in lokale LAN des Cisco-Routers. Können Mails empfangen und senden...

Aber von draußen bleibt die Tür zu. Was ist falsch? Auch im Cisco Log findet sich NICHTS.
Bitte warten ..
Mitglied: Frank.Wolf
28.12.2013 um 19:48 Uhr
Nachtrag: früher konnte ich über die Fritz Box (da hing alles über einen Switch dran) VPN machen.
Bitte warten ..
Mitglied: Lochkartenstanzer
28.12.2013, aktualisiert um 19:52 Uhr
Zitat von Frank.Wolf:


Interne Clients am Cisco kommen auf Fritz Box und ins Internet und freilich auch in lokale LAN des Cisco-Routers. Können
Mails empfangen und senden...

Aber von draußen bleibt die Tür zu. Was ist falsch? Auch im Cisco Log findet sich NICHTS.

vielleicht hier ein wenig "auflockern" würde ich auf Anhieb sagen:

Deny any WAN1 to any

Irgendiwe mußt Du dem Cisco ja sagen, das VPn-Päckchen von außen rein dürfen


lks
Bitte warten ..
Mitglied: Pjordorf
28.12.2013 um 19:54 Uhr
Hallo,

Zitat von Frank.Wolf:
WAN1:
Static IP: 192.168.0.3 255.255.255.0 angeschlossen an LAN1 der Fritz Box
OK. Portforwarding auf deiner Fritz korrekt eingetrragen?

Deny any WAN1 to any
Sicher?

Gruß,
Peter
Bitte warten ..
Mitglied: Pjordorf
28.12.2013 um 19:55 Uhr
Hallo,

Zitat von Frank.Wolf:
früher konnte ich über die Fritz Box (da hing alles über einen Switch dran) VPN machen.
Und warum heute nicht mehr? Hat AVM das VPN gesperrt oder entfernt?

Gruß,
Peter
Bitte warten ..
Mitglied: Frank.Wolf
28.12.2013 um 20:13 Uhr
vielleicht hier ein wenig "auflockern" würde ich auf Anhieb sagen:

> Deny any WAN1 to any

Irgendiwe mußt Du dem Cisco ja sagen, das VPn-Päckchen von außen rein dürfen


lks
Okay der Deny ist Standard und konnte nur ausgeschaltet werden, indem ich die Firewall abgeschaltet habe. Hat nichts gebracht.
Bitte warten ..
Mitglied: Frank.Wolf
28.12.2013 um 20:15 Uhr
Zitat von Pjordorf:

Hallo,

> Zitat von Frank.Wolf:
> früher konnte ich über die Fritz Box (da hing alles über einen Switch dran) VPN machen.
Und warum heute nicht mehr? Hat AVM das VPN gesperrt oder entfernt?

Gruß,
Peter
Nein, es gibt noch einen "alten" VPN-Eintrag in der Fritz Box. Da kann ich mich anmelden, also VPN-Verbindung klappt, ich komme aber nicht rüber an den Server im 178er Netz.
Bitte warten ..
Mitglied: Lochkartenstanzer
28.12.2013, aktualisiert um 20:29 Uhr
Zitat von Frank.Wolf:

Okay der Deny ist Standard und konnte nur ausgeschaltet werden, indem ich die Firewall abgeschaltet habe. Hat nichts gebracht.

Dann solltest du vielleicht davor eine regel einfügen, die eingehenden VPN-Verkehr zuläßt?

lks

nachtrag:

Vielleicht solltest Du einfach mal einen Client in das Netz zwischen FB und Cisco (=192.168.0.0/24) hinstellen und schauen, ob dieser ein VPN zu der Cisco aufbauen kann. wenn es da schon scheitert, suchst Du an der falschen Baustelle.
Bitte warten ..
Mitglied: Pjordorf
28.12.2013 um 20:36 Uhr
Hallo,

Zitat von Frank.Wolf:
Nein, es gibt noch einen "alten" VPN-Eintrag in der Fritz Box. Da kann ich mich anmelden, also VPN-Verbindung klappt,
Welches VPN Protokoll klappt?

ich komme aber nicht rüber an den Server im 178er Netz.
Wie soll das gehen ohne Portforwarding? Deine VPN Anfragen (Gleiches VPN wie schon auf der Frittenschmiede?) werden doch gar nicht erst zur deinem RV... geleitet. Wie soll diese dann auf VPN Anfragen reagieren können? Und ja, es darf nicht das gleiche VPN Protokoll sein auf das deinen Frittenschmiede jetzt noch reagiert.

Ofer du machst VPN auf deiner Frittenschmiede und nur noch eine Route (und auch Rückroute) zu deinem anderen Netz durch dein RV... auf. das hat aber dann nmit VPN nichts am Hut bzw. dessen Hutständer

Gruß,
Peter
Bitte warten ..
Mitglied: aqui
28.12.2013, aktualisiert 29.12.2013
Der Cisco RV supportet nur IPsec außerdem ist mit dem Shrew Client auch IPsec dann vorgegeben.
Auf der Fritzbox müssen dafür wie immer die folgenden Protokolle geforwardet werden damit IPsec dort ankommt.
  • UDP 500 (IKE)
  • UDP 4500 (NAT-T)
  • ESP Protokoll mit der IP Nummer 50 (Achtung: ESP ist ein eigenständiges Protokoll also nicht TCP oder UDP 50 !)
Wie immer hast du vermutlich vergessen ESP zu forwarden, dann kommt kein IPsec Tunnel zustande…logisch !
Ist wie immer der klassische Fehler hier.

Was der tiefere Sinn der Routerkaskade mit der FritBox und RV sein soll ist schleierhaft, denn die FB supportet ja direkt selber IPsec VPNs, da könnte man sich das ganze Gefrickel sparen !
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Bei mehreren Netzen hinter der FB gibt es ebenso ein HowTo:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...

Weitere Grundlagen kannst du hier nachlesen:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Hier steht auch detailliert welche Einstellungen am Shrew zu machen sind !
bzw.
http://www.administrator.de/contentid/73117
Damit bekommt man eigentlich jedes IPsec VPN zum Fliegen…

Andere sinnvolle Alternative um das gesamte Gefrickel (denn da liegt schon das ursächliche Problem !) mit einer sauberen Lösung zu ersetzen ist einen Router zu verwenden der alles in einer Box vereint wie z.B. dieser hier:
http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
Bitte warten ..
Mitglied: Lochkartenstanzer
28.12.2013, aktualisiert um 21:12 Uhr
Zitat von Frank.Wolf:

Derzeit läuft das VPN über die Fritz-Box (und funktioniert). Wegen der Beschränkung auf 8 User bei der Fritz Box

Mal eine ganz andere Baustelle:

Die Fritzbox erlaubt auch mehr als 8 VPN-Verbindungen. Nur supportet AVM dies nicht, weil die fritzbox dann Performanceprobleme bekommen kann.

Sofern Du nur ein paar mehr brauchst, wäre die Option einfach die Fritte weiterzubenutzen gegeben.

Die andere Möglichkeit ist, die fritzbox einfach durch ein ADSL/VDSL-modem zu ersetzen, so daß die Cisco das gleich ordentlich machen kann. damit hast Due kein Port udn Protokoll-Forwarding mehr und damit auch weniger Fehlerquellen.

lks
Bitte warten ..
Mitglied: Frank.Wolf
28.12.2013 um 21:13 Uhr
Zitat von Pjordorf:

Hallo,

> Zitat von Frank.Wolf:
> Nein, es gibt noch einen "alten" VPN-Eintrag in der Fritz Box. Da kann ich mich anmelden, also VPN-Verbindung
klappt,
Welches VPN Protokoll klappt?
Das, was die Fritz-Box standardmäßig fährt (Fritz Fernzugang), ich glaube IPsec.

> ich komme aber nicht rüber an den Server im 178er Netz.
Wie soll das gehen ohne Portforwarding? Deine VPN Anfragen (Gleiches VPN wie schon auf der Frittenschmiede?) werden doch gar nicht
erst zur deinem RV... geleitet. Wie soll diese dann auf VPN Anfragen reagieren können? Und ja, es darf nicht das gleiche VPN
Protokoll sein auf das deinen Frittenschmiede jetzt noch reagiert.
Das könnte die Ursache sein. Wie kann ich der Fritz beibringen, die Finger vom VPN-Kram wegzulassen? Derzeit sind es nur unterschiedliche Credentials. Lässt sie das, wenn ich alle VPN-User deaktiviere? Oder muss ich die löschen? Oder lauscht sie dann immer noch?

Ofer du machst VPN auf deiner Frittenschmiede und nur noch eine Route (und auch Rückroute) zu deinem anderen Netz durch dein
RV... auf. das hat aber dann nmit VPN nichts am Hut bzw. dessen Hutständer
das will ich net, denn die Frittenbude hat nur 8 Sitzplätze, deswegen der Wechsel auf den Cisco.

Gruß,
Peter
Bitte warten ..
Mitglied: Frank.Wolf
28.12.2013 um 21:23 Uhr
Zitat von Lochkartenstanzer:

> Zitat von Frank.Wolf:
>
> Derzeit läuft das VPN über die Fritz-Box (und funktioniert). Wegen der Beschränkung auf 8 User bei der Fritz
Box

Mal eine ganz andere Baustelle:

Die Fritzbox erlaubt auch mehr als 8 VPN-Verbindungen. Nur supportet AVM dies nicht, weil die fritzbox dann Performanceprobleme
bekommen kann.

Sofern Du nur ein paar mehr brauchst, wäre die Option einfach die Fritte weiterzubenutzen gegeben.
Wie geht das?

Die andere Möglichkeit ist, die fritzbox einfach durch ein ADSL/VDSL-modem zu ersetzen, so daß die Cisco das gleich
ordentlich machen kann. damit hast Due kein Port udn Protokoll-Forwarding mehr und damit auch weniger Fehlerquellen.
Wo schließe ich das Telefon (S0) an? Ich glaube dazu brauche ich die FB weiter.

lks
Bitte warten ..
Mitglied: Frank.Wolf
28.12.2013 um 21:43 Uhr
Ich hatte eben diese Idee, die geht aber nicht, da ich die Telefonnummern als Internet-Nummern registriert habe.
1. Ich kaufe ein gescheites DSL Modem
2. Die ISDN-Telefonanlage kommt an den NTBA, dieser an den Splitter und fertig GENAU DAS GEHT NICHT
3. Der RV082 ist gateway, unterhält die DSL-Verbindung zur T-Com und er macht dann auch VPN und verwaltet das LAN
4. Die Fritz-Box wird eingemottet oder verkauft.

Oder: Wie kann die die Fritz Box degradieren, so dass sie nur DSL-Modem und Internet-Telefonie macht?

Gruß
Frank
Bitte warten ..
Mitglied: Frank.Wolf
29.12.2013 um 00:02 Uhr
In der Fitz-Box-VPN-Config steht ganz unten:
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
Was bedeutet dies? Und könnte man mit anderen Festlegungen hier der FB beibringen, IKE und NAT-T an den Cisco weiterzugeben?
Bitte warten ..
Mitglied: Frank.Wolf
29.12.2013 um 00:04 Uhr
Zitat von Lochkartenstanzer:

> Zitat von Frank.Wolf:
>
> Derzeit läuft das VPN über die Fritz-Box (und funktioniert). Wegen der Beschränkung auf 8 User bei der Fritz
Box

Mal eine ganz andere Baustelle:

Die Fritzbox erlaubt auch mehr als 8 VPN-Verbindungen. Nur supportet AVM dies nicht, weil die fritzbox dann Performanceprobleme
bekommen kann.

Sofern Du nur ein paar mehr brauchst, wäre die Option einfach die Fritte weiterzubenutzen gegeben.
Wie würde das gehen? Wir benötigen etwa 20 von denen aber selten mehr als 3 Online sind.

Die andere Möglichkeit ist, die fritzbox einfach durch ein ADSL/VDSL-modem zu ersetzen, so daß die Cisco das gleich
ordentlich machen kann. damit hast Due kein Port udn Protokoll-Forwarding mehr und damit auch weniger Fehlerquellen.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
29.12.2013 um 10:11 Uhr
Zitat von Frank.Wolf:

> Sofern Du nur ein paar mehr brauchst, wäre die Option einfach die Fritte weiterzubenutzen gegeben.
Wie würde das gehen? Wir benötigen etwa 20 von denen aber selten mehr als 3 Online sind.
>

Ich habe es länger nciht mehr ausprobiert, aber früher gibg das dadruch, indem man einfach weitere Configs dazugemnommen hat, bis man die passende Anzahl hatte.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
29.12.2013 um 10:12 Uhr
Zitat von Frank.Wolf:

In der Fitz-Box-VPN-Config steht ganz unten:
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
Was bedeutet dies? Und könnte man mit anderen Festlegungen hier der FB beibringen, IKE und NAT-T an den Cisco weiterzugeben?

VPN geht entweder nur an der Fritte oder an der Cisco. Wenn Du VPN auf der Cisco haben willst, mußt Du das VPN auf der fritzbox ganz abschalten, was auch bedeutet, daß die ganzen VPN-Configs raus müssen.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
29.12.2013 um 10:15 Uhr
Zitat von Frank.Wolf:

Ich hatte eben diese Idee, die geht aber nicht, da ich die Telefonnummern als Internet-Nummern registriert habe.
1. Ich kaufe ein gescheites DSL Modem

Ack.

2. Die ISDN-Telefonanlage kommt an den NTBA, dieser an den Splitter und fertig GENAU DAS GEHT NICHT

Warum geht das nicht? VOIP? Oder was anderes

3. Der RV082 ist gateway, unterhält die DSL-Verbindung zur T-Com und er macht dann auch VPN und verwaltet das LAN

Ack.

4. Die Fritz-Box wird eingemottet oder verkauft.

Oder macht Telefonie, wenn Du das Ding irgendwie als VOIp-gateway brauchst.

Oder: Wie kann die die Fritz Box degradieren, so dass sie nur DSL-Modem und Internet-Telefonie macht?

(Ganz) Alte Firmware draufspielen. Die neueren Firwares erlauben kleider keinen reinem Modembetrieb mehr.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
29.12.2013, aktualisiert um 10:18 Uhr
Zitat von Frank.Wolf:

> Zitat von Pjordorf:
>
> Und ja, es darf nicht das gleiche VPN
> Protokoll sein auf das deinen Frittenschmiede jetzt noch reagiert.
Das könnte die Ursache sein. Wie kann ich der Fritz beibringen, die Finger vom VPN-Kram wegzulassen? Derzeit sind es nur
unterschiedliche Credentials. Lässt sie das, wenn ich alle VPN-User deaktiviere? Oder muss ich die löschen? Oder lauscht
sie dann immer noch?

vermutlich mußt Du alle Configs löschen, aber Du kannst ja einfach mal alel daktivieren, um zu schauen, ob das reicht.

lks
Bitte warten ..
Mitglied: IceBeer
29.12.2013 um 15:55 Uhr
Hallo,

ich habe mal interessehalber bei meiner FB 7390 Benutzer angelegt die alle VPN dürfen sollen. Bei 16 Benutzer hab ich dann die Lust verloren weiter zu machen
Sollte somit die FB die Anzahl deiner VPN Benutzer nicht können? Da du meintest das nur ca. 3 parallel arbeiten sollte das Performance Thema weswegen AVM wohl nur 8 erlaubt auch kein Thema sein?!

Mit freundlichen Grüßen Martin
Bitte warten ..
Mitglied: Dobby
30.12.2013 um 15:15 Uhr
Hallo,

Client z.B. Shrewsoft - ... - Internet - Fritz Box 7390 - Cisco RV082 - Server
Lass das lieber gleich sein und mach es wie folgt:
Gleich ganz und richtig.

Die Fritz Box bekommt vom Provider eine statische IP.
- An der AVM Fritz!Box das VPN terminieren
- Die AVM Fritz!Box zu einem Modem machen und dann das VPN am RV082 terminieren.

Wo ist das Problem?
Das liegt leider bei Dir, zumindest so wie ich das sehe.
Das soll kein Angriff auf Dich darstellen
Eine Routerkaskade kann man unter der Beachtung von drei Regeln recht flott zum fliegen bringen:
- Am Ersten Router wird das VPN terminiert.
- Am Ersten Router kommen die per VPN zu erreichenden Geräte. (Server, NAS,...)
- Der erste Router hat kann oder sollte ein Modem haben und am zweiten Router sollte kein Modem vorhanden sein.

Ist nicht viel und auch nicht schwer, damit bekommt es wirklich jeder Laie hin und auch wenn er das
zum ersten Mal aufsetzt! Klar VPN an sich ist kein schweres Thema und daran beißen sich oftmals
auch gute und langjährige sowie erfahrene Admins die Zähne aus, gar keine Frage.

Nur ich verstehe nicht wie man das dann jedes mal genau anders herum oder sonst irgend wie machen
muss, will, soll oder was weiß ich noch. Man unterscheidet zwischen drei DMZ Hauptvarianten und
was weiß ich noch wie vielen Nebenlösungen:
- Pseudo DMZ durch die Nutzung des "Eposed Host" - Pseudo DMZ wie der Name schon suggeriert
- Eine Firewall oder einen Router mit Hardware DMZ Port - > True & dirty DMZ
- Eine Router- bzw. Firewallkaskade - True & clean DMZ

Wenn man nun alsio den Bedarf einer DMZ hat und sicherlich auch dafür gründe anführt die nicht
von der Hand zu weisen sind, dann entscheidet man sich doch aber bitte für die geeignete Lösung
oder sehe ich das jetzt zu verbissen!? Klar kann man mit einem tiefer gelegtem Auto auch ins schwere Gelände!

In Deinem Fall würde ich dann wohl eher sagen das Du nicht die geeignete Hardware hast
und/oder nicht das Geld Dir solche zu beschaffen, zum Beispiel eine Cisco RV320 und ein (V)DSL Modem.

Dann kann man doch aber mit dem Cisco RV082 und der Fritz!Box die als Modem läuft das
ganze sauber zum fliegen bringen, oder? Das Ganze wird hier im Forum so ca. 150 Mal im
Jahr erfolgreich durch diskutiert und die Suchfunkton lässt grüßen.

Klingt nicht ganz freundlich ist aber durchaus so gemeint und musste einfach mal raus.

Gruß
Dobby
Bitte warten ..
Mitglied: Lochkartenstanzer
30.12.2013, aktualisiert um 15:28 Uhr
Zitat von Dobby:

- Die AVM Fritz!Box zu einem Modem machen und dann das VPN am RV082 terminieren.

Hi Dobby,

Falls Du es nciht mitbekommen haben solltest:

AVM hat seit ein paar Jahren den "Modembetrieb" der Fritzboxen abgestellt. Man kann die nicht mehr als "einfaches Modem" betreiben. Dafür muß man erstmal eine Fritzbox haben, bei dem das irgendwann mal ging und dann noch irgendwoher die alte Firmware holen. Die gibt es aber bei AVM meist nicht mehr zum download, wenn man nicht gerade irgendeine Uralt-Fritzbox hat. Dann hat die aber andere Probleme.

lks
Bitte warten ..
Mitglied: Dobby
30.12.2013 um 15:40 Uhr
Falls Du es nciht mitbekommen haben solltest:
Doch habe ich, nur das ändert nichts daran dass ich eben lieber einen geraden Weg gehe und
auch wenn es denn sehr unpopulär für viele Leute ist, lieber etwas Geld in die Hand zu nehmen
und eine saubere Lösung oder aber nach "best Practice" einzurichten, denn eine Frickellösung
jagt die nächste und ein Workarround ergänzt den nächsten bis es eben einmal richtig kracht
und nichts mehr geht oder sich immer mehr hausgemachte Probleme auftürmen.

AVM hat seit ein paar Jahren den "Modembetrieb" der Fritzboxen abgestellt. Man kann die nicht mehr als "einfaches > Modem" betreiben.
Welche Firmware hat er denn drauf?

Dafür muß man erstmal eine Fritzbox haben, bei dem das irgendwann mal ging und dann noch irgendwoher die alte
Firmware holen.
Was für eine Fritz!Box hat er denn?

Dann hat die aber andere Probleme.
Wohl eher nicht, dann hat er wenigstens ein Modem was er nutzen kann
und zu nichts anderem habe ich Ihm ja auch geraten!

Gruß
Dobby
Bitte warten ..
Mitglied: Lochkartenstanzer
30.12.2013 um 15:46 Uhr
Zitat von Dobby:

> Falls Du es nciht mitbekommen haben solltest:
Doch habe ich, nur das ändert nichts daran dass ich eben lieber einen geraden Weg gehe und
auch wenn es denn sehr unpopulär für viele Leute ist, lieber etwas Geld in die Hand zu nehmen
und eine saubere Lösung oder aber nach "best Practice" einzurichten, denn eine Frickellösung
jagt die nächste und ein Workarround ergänzt den nächsten bis es eben einmal richtig kracht
und nichts mehr geht oder sich immer mehr hausgemachte Probleme auftürmen.

Stimme ich Dir zu, aber die Fritzbox 7390 zum Modem machen funktioniert halt nicht mehr. Da muß er schon sich ein neues modem besorgen (hatte ich weiter oben auch schon irgendwo gesagt).

> AVM hat seit ein paar Jahren den "Modembetrieb" der Fritzboxen abgestellt. Man kann die nicht mehr als
"einfaches > Modem" betreiben.
Welche Firmware hat er denn drauf?

Bei der 7390 unerheblich, weil meines Wissens die noch nie reinem Modembetrieb konnte.


> Dafür muß man erstmal eine Fritzbox haben, bei dem das irgendwann mal ging und dann noch irgendwoher die alte
> Firmware holen.
Was für eine Fritz!Box hat er denn?

s.o. (7390)


> Dann hat die aber andere Probleme.
Wohl eher nicht, dann hat er wenigstens ein Modem was er nutzen kann
und zu nichts anderem habe ich Ihm ja auch geraten!

Die (ur-)alten Fritzboxen machen an aktuellen DSLAMs Probleme. Die kann man meist enstsorgen oder zweckentfremden, wenn der der Provider auf aktuelle Technik umstellt.

lks
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Cisco hinter Fritz!box, vom VLAN kein Internet (3)

Frage von PharIT zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Fritz.Box 7390 blockiert Dektop-PC (5)

Frage von cg1958 zum Thema LAN, WAN, Wireless ...

Router & Routing
Cisco langsam hinter Fritz!box (5)

Frage von PharIT zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...