Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN mit Fritzbox hinter einem Router

Frage Hardware Switche und Hubs

Mitglied: Rocknrolla

Rocknrolla (Level 1) - Jetzt verbinden

19.04.2011, aktualisiert 18.10.2012, 37430 Aufrufe, 23 Kommentare

Wie benutze ich eine FB hinter einem Rotuer damit VPN funktioniert?

Hallo,
ich habe eine Fritzbox 7270 und ein neues Anschluss. Dafür habe ich einen Huawei b390 LTE Router (oder Speedport LTE wenn jemand das bevorzugt).

Übersicht
4a4c1b9d34c362f3349fb9c9d473fe0b - Klicke auf das Bild, um es zu vergrößern
Huawei LTE Konfiguration Ports
71f10a5cce5fafa5500cb8afd4f040e2 - Klicke auf das Bild, um es zu vergrößern
LANCOM Router Lanmonitor
34f41ed61a8cdb6d6debb470b650f687 - Klicke auf das Bild, um es zu vergrößern
Fritzbox
a8a1f33311baca68da09d3ad93e3ac67 - Klicke auf das Bild, um es zu vergrößern

Einstellungen Übersicht
0efb69ce6b114f12eb94f6823579d0cb - Klicke auf das Bild, um es zu vergrößern

"Firewall-Switch" unter Sicherheitseinstellungen
20a104add3193b48fb882c823ddef80b - Klicke auf das Bild, um es zu vergrößern

Über die Funktion Firewall-Switch freigeschaltete Sicherheitseinstellungen
4b79d7bd760d6359066d07a4f9a72e4b - Klicke auf das Bild, um es zu vergrößern

Ich möchte aber, daß mein VPN weiter funktioniert und da der Speedport LTE keine VPN Funktion hat, wollte ich fragen was und wie ich schalten sollte und welche Einstellungen vornehmen, damit ich die Fritzbox hinter dem LTE Router benutzen kann.
Mitglied: Nagus
19.04.2011 um 13:33 Uhr
Moin, warum nimmst Du nicht nur die Fritzbox? Die kann doch alles?
Gruß
Nagus
Bitte warten ..
Mitglied: micneu
19.04.2011 um 14:08 Uhr
@Nagus

Nein die FritzBox 7270 kann kein LTE,

@Rocknrolla

Leite den UDP Port 500 auf die Fritzbox weiter.
oder kauf dir eine "FRITZ!Box 6840 LTE"

gruß michael
Bitte warten ..
Mitglied: Rocknrolla
20.04.2011 um 00:38 Uhr
Hallo Michael,

Es gibt noch keine Fritzbox LTE im Handel. Sonst hätte ich längst zugeschlagen.

Wieso nur Port 500 UDP? Kann sein, daß Port 2003 auch noch geöffnet werden muss?
Bitte warten ..
Mitglied: Nagus
20.04.2011 um 07:58 Uhr
Hm - jetzt müsst Ihr mich erhellen: was zum Teufel ist LTE?

Gruß
Nagus
Bitte warten ..
Mitglied: micneu
20.04.2011 um 09:36 Uhr
@Rocknrolla,

da könntest du recht haben... bin nicht ganz so in dem thema drin.

@Nagus

das ist ähnlich wie UMTS, das kannst du aber auch selber in google suchen die erklärung ich habe dafür gerade keine zeit und müsste genauso suchen.

gruß michael
Bitte warten ..
Mitglied: Nagus
20.04.2011 um 12:27 Uhr
Stimmt - bin erhellt ....

Noch ein Link wegen AVM: da soll es demnächst ein Gerät geben ...

http://www.lte-anbieter.info/lte-hardware/router/lte-router-ratgeber.ph ...

Nagus
Bitte warten ..
Mitglied: aqui
20.04.2011, aktualisiert 18.10.2012
Ist das gleiche Szenario wie hier:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Da die FB aber IPsec mit ESP als VPN Protokoll benutzt musst du folgende Ports an die FB per Port Forwarding weiterreichen:
  • UDP 500
  • UDP 4500
  • ESP Protokoll mit der IP Protokoll Nummer 50 (Achtung NICHT UDP oder TCP 50 !)
Damit kommt das in 5 Minuten zum Fliegen.
Näheres zum IPsec Protkoll findest du hier:
http://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...
Bitte warten ..
Mitglied: Rocknrolla
20.04.2011 um 18:29 Uhr
Hallo und danke natürlich für die Tipps.

Ich habe trotzdem eine Schemazeichnung vorbereitet, damit die Konfiguration der Netzwerke gut zu erkennen ist. Ich hoffe es wird hilfreich sein.

http://img196.imageshack.us/i/meinvpnproblem.jpg/

Ich habe auch screenshosts zum Abwinken.

Ich würde am liebsten den Lancom ganz rausschmeissen und nur noch auf der anderen Seite 2 Router benutzen. Also den B390 und die Frtizbox 7170.
Bitte warten ..
Mitglied: aqui
21.04.2011 um 08:42 Uhr
Gibt es einen Grund warum du die Bilder Upload Funktion hier im Forum nicht benutzt ??
(Ursprungsthread oben mit Klick auf "bearbeiten" editieren, Bild hochladen Button klicken und das Bild hochladen und den gesendeten Bilder URL hier per Cut and Paste einfügen.)
Schafft jeder Grundschüler auf Anhieb und erspart den Forumsusern hier den Klick auf externe Seiten mit Zwangswerbung

Zurück zu deinem Problem:
Auf beiden Huawei LTE Routern muss zwingend das Port Forwarding für die oben genannten 3 IPsec Ports auf die statische IP Adresse der VPN Router dahinter (WAN/DSL Port) gemacht werden. Andernfalls ist die IPsec VPN Tunnelsession nicht in der Lage die beiden NAT Firewalls in den Huawei LTE Routern zu überwinden.
Den Rest wie man die VPN Kopllung auf den Lancomacht beschreibt AVM selber auf seinen VPN Portalseiten:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Das klappt also fehlerfrei !
2te Voraussetzung ist noch das im LTE Netz keine RFC 1918 IP Adressen verwendet werden ( private IP Netze) denn damit wäre eine VPN Session generell nicht möglich, da das NAT auf der Providerseite gemacht wird. Dazu machst du allerdings auch keinerlei Aussagen so das eine qualifizierte Hilfe fast nicht möglich ist.
Die LTE IP Adressen kannst du auf den Huawei Routern ablesen.
Wenn du diese o.a. punkte beachtest funktioniert das vollkommen problemlos auf Anhieb !!
Bitte warten ..
Mitglied: Rocknrolla
21.04.2011 um 13:57 Uhr
Hi aqui, ich fand die Bildfunktion eben nicht. Das ich das nur im ersten post machen kann war mir nicht bekannt. Tschuldiguuung!

Bei der Sache mit den Port "ESP 50" gibt es ein Problem. Es gibt nur 3 Positionen in der Protokollauswahl des Huawei b390. Entweder "TCP" oder "UDP" oder "ALLE"

Ich schreib mal auf welche Einstellungen es dort gibt
- Proto TCP/UDP/ALLE
- IP-Filter Modus Zulassen/Verweigern
- Quell IP Adresse ( welche denn für Außen? 0.0.0.0 - klappt nicht, dafür aber wird keine Eintragung akzeptiert)
- Ziel IP Adresse ( die von der Fritzbox)
- Quell Port
- Ziel Port

<quote>Dazu machst du allerdings auch keinerlei Aussagen so das eine qualifizierte Hilfe fast nicht möglich ist</quote>

Der LTE Router "Büro 1" hat die IP 192.168.20.1 und im "Büro 2" die IP 192.168.40.10 - ist alles auf der Grafik (siehe Bilder in meinem post #1).

Die IP der LTE Router dürfen also nicht 192.168.x.x sein?

Was ich noch erwähnen möchte - vor der Anschaffung der beiden LTE Router, funktionierte die Verbindung zwischen der Fritzbox und LANCOM, die Einstellungen der beiden Geräte sind seither auch nicht verändert worden.
Bitte warten ..
Mitglied: aqui
22.04.2011, aktualisiert 18.10.2012
Der "Filter für lokale IP Adressen" ist schlicht falsch, wie der Name schon sagt. Du musst in den Bereich Port Forwarding (Port Weiterleitung) gehen und DORT diese Einstellungen machen. Nicht bei lokaeln IP Adressen...das ist natürlich Unsinn.
Was auch Quatsch ist, ist die Tatsache das die WAN Ports der lokalen Router die gleiche IP Adresse bzw. das gleiche IP Netz haben wie die LTE Router. Damit wären sie gar keine Router sondern nur simple Bridges auf Mac Basis und damit wäre die gesamte Diskussion hier so oder so technischer Blödsinn.
Korrigiere also deine Angaben (IP Adressen bzw. Netze) dementsprechend einmal richtig ! Bedenke auch den Check der internen Adressen im LTE Netz ob das RFC 1918 IPs (private IPs) sind ! Dazu auch keine Angabe deinerseuts
So hat das auszusehen:
f889c4ce171ffe1560f10baad4aa7775 - Klicke auf das Bild, um es zu vergrößern
Welche IP Netze du zwischen LTE Router (LAN Port) und lokalem VPN Router (WAN Port) verwendest erwähnst du mit keinem Wort. Auch die müssen unterschiedlich sein logischerweise.
Mehr oder weniger ist es exakt dieses Szenario hier:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Nur das du eben für IPsec (statt OpenVPN) andere Protokoll Ports verwenden musst. Der Rest ist absolut identisch ! Halte dich also daran !
Bitte warten ..
Mitglied: Rocknrolla
22.04.2011 um 16:40 Uhr
Jetzt verstehe ich was du mit "keine Angabe meinerseits" meinst. Ich führchte, dass die Router über LAN Ports zusammengeschaltet sind und nicht über WAN.

Bei den LTE B390 Routern gibt es das Problem, daß es nur Sicherheitseinstellungen gibt und darin kann man verschiedene Funktionen unter "Firewall-Switch" ein- und ausschalten. Eine Davon ist "IP-Filter". Sonst gibt es da nichts was auch nur an sowas erinnern würde wie ein NAT.

Was mich interessiert - ich habe von jemanden gehört, daß man beim Mobilen Internet (also wohl natürlich auch LTE), keine öffentliche IP bekommt. Könnte dies der Grund dafür sein, daß dieser Router keine Port Forwarding Funktion zu besitzen scheint?
Bitte warten ..
Mitglied: aqui
23.04.2011 um 11:48 Uhr
Ob der WAN Port ein Ethernet Port ist ist mehr oder weniger nur kosmetisch ! Es ist aber der Port an dem die Internet oder Weitverkehrsverbindung ankommt am Lancom oder FritzBox.
Dort muss zwingend ein IP Netz vergeben werden.
Ebenso zwingend ist Port Weiterleitung erforderlich auf den Huaweis für die VPN IPsec Tunnelverbindung.
Desweiteren sind öffentliche IPs notwendig. Ggf. sofern FritzBox und Lancom die IPsec Funktion NAT Traversal supporten geht es auch ohne.
All das muss gegeben sein sonst wirst du kein VPN mit diesem Design hinbekommen !!
Bitte warten ..
Mitglied: Rocknrolla
26.04.2011 um 15:58 Uhr
Ich habe nochmal genau nachgeschaut in der Config. Die B390 Router haben die externe IP - 10.x.x.x

Es ist also eine private IP Adresse !

Damit wird ein VPN Tunnel so nicht funktinoieren oder irre ich mich?
Bitte warten ..
Mitglied: aqui
26.04.2011 um 16:26 Uhr
Dazu müssen die VPN Funktionen auf den VPN Routern dahinter zwingend die Funktion NAT Traversal supporten. Ist das der Fall klappts mit dem VPN trotzdem.
Die FB hat diese Funktion bzw. Man kann es im Konfig Setup explizit einstellen:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Da es bei der Gegenstelle sich um einen Lancom handelt supportet der das vermutlich auch. Es besteht also berechtigte Hoffnung das es klappt.
Wichtig ist das du die lokalen Kopplungs Netze zw. Huawei LTU und den jeweiligen VPN Routern auch entsprechend korrekt konfigurierst. Diese müssen ebenfalls einzigartig sein !
Bitte warten ..
Mitglied: Rocknrolla
27.04.2011 um 20:04 Uhr
Ok, ok - ich bin jetzt durcheinander.

Also der b390 hat keine port forwarding oder sonstige Funktionen wie du oben siehst.

Mit Traversal NAT kommt also ein spezielles Paket (soviel ich bei der Wikipedia lesen konnte) trotzdem durch den B390 Router durch (bzw. durch beide) und erreicht sein Ziel? Und die Fritzbox sowie der Lancom beherrschen diese Technik?

Habe ich dich richtig verstanden?
Bitte warten ..
Mitglied: aqui
28.04.2011 um 12:05 Uhr
Ja, das hast du richtig so verstanden. Letztlich ist das der tiefere Sinn von der NAT Traversal Erweiterung bei IPsec so vorgelagerte NAT Router (oder NAT Router in der Tunnelstrecke) überwinden zu können ohne Port Forwarding zu benutzen.
Laut AVM und Lancom Doku bzw. AVM Whitepaper supporten das beide Systeme. Kann man auch in den Konfig settings entsprechend sehen wenn du mal ganz genau hingesehen hättest...
Bitte warten ..
Mitglied: rwolpers
22.03.2012 um 10:21 Uhr
Hallo zusammen,

kann mir bitte jemand sagen, wie man das •ESP Protokoll mit der IP Protokoll Nummer 50 durch den Huawei-Router schleust? Ich finde unter Portforwarding keine solche Möglichkeit.

Vielen Dank im Voraus
Bitte warten ..
Mitglied: aqui
22.03.2012 um 12:06 Uhr
Es gibt 2 Möglichkeiten:
1.) Er supportet das nicht !
2.) Er macht es automatisch wenn du UDP 500 (IKE) und ggf. UDP 4500 (NAT Traversal) einträgst.
Letzteres nennt man dann auch "VPN Passthrough" Feature.
Sollte dein IPsec VPN NAT Traversal supporten musst du eigentlich gar nichts machen, aber das ist vom VPN Server abhängig ob der so konfiguriert ist. Ansonsten ist Schritt 2 immer Pflicht.
Hast du Billig Equipment und ist Punkt 1.) der Fall bist du natürlich chancenlos und es ist genaerell aus mit IPsec VPNs...klar !
Bitte warten ..
Mitglied: landy999
23.03.2012 um 18:14 Uhr
Hallo VPN Fans

habe mich mal bei Euch angemeldet.

Bei mir ist ein ähnliches Problem mit dem VPN.
Hatte bislang 2x DSL - Festnetz und VPN zwischen 2 Fritzboxen.
Jetzt habe ich DSL via Funk auf einer Seite und das Problem ging los.
Die Telekom akzeptiert die FB 6840LTE nicht und ich musste mir einen "Speedport LTE" zulegen.
Habe dahinter eine FB 7270.
Intenet ... geht alles aber keine VPN Verbindung.
Ich habe den VPN Tunnel über Selfhost.
In dem Logfile bei meiner Dyn DNS kann man erkennen, das die FB sich über den Speedport mit ihrer internen IP anmeldet.
Diese private IP akzeptiert selfhost nicht und weiß die Verbindung ab.

Daran liegt das problem bei der Anmeldung.
Habe noch keine Lösung dafür gefunden.
AMV schreibt mir, dass sie sich nicht um Fremdanlagen kümmern und die Telekom kennt keine Infos zu VPN über FB.

Gruß Landy999
Bitte warten ..
Mitglied: aqui
23.03.2012, aktualisiert 18.10.2012
@Landy
Leider muss man raten was du für ein VPN Protokoll benutzt aber vermutlich ist es IPsec mit ESP was die FB macht. Du kannst dann nur den FQDN nehmen zum authentisieren wenn die IP nicht akzeptiert wird einen andere Chance hast du dann nicht mehr.
Sinnvoller ist es dann immer auf ein SSL basiertes VPN umzusteigen wie OpenVPN. Da hat man diese ganzen Probleme die IPsec dir bereitet nicht mehr !
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: dirkkk
08.05.2012 um 20:08 Uhr
Also ich kann diesen Router wirklich empfehlen.

http://www.lte-info.at/lte-hardware/router/fritzbox-6840/

Soweit ich weiß, wir das VPN Protokoll kompllet mit IPsec mit ESP unterstütz, oder?

Grüße
Bitte warten ..
Mitglied: aqui
12.05.2012, aktualisiert 18.10.2012
ESP ist IMMER Teil des IPsec Protokolls ! Diese Bemerkung ist also irgendwie sinnfrei Guckst du hier:
http://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Router & Routing
TP-Link Router VPN Verbindung Router Oberfläche nicht erreichbar (3)

Frage von D46505Pl zum Thema Router & Routing ...

Router & Routing
VPN Fritzbox mit Draytek LAN-to-LAN (1)

Frage von macjolo zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (12)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...