molar88
Goto Top

VPN in LAN-LAN Verbindung zwischen zwei Fritzbox-Netzwerken in DMZ

Zum Einsatz kommen vier Fritzboxen 7490 mit aktueller FW.
Die "äußeren Boxen" mit Internetzugang sind als Modem konfiguriert, die "Inneren Boxen" als Router und diese über LAN1 angeschlossen
Es wurden vier unterschiedliche Adressbereiche eingerichtet.

An sich ein klassisches und schon oft nachgefragter Aufbau eines Portforwarding.
Der VPN-Zugang wurde mittes dem AVM-Tool eingerichtet und funktioniert: die "äußeren Boxen" sind auch jeweils vom entfernten Netzwerk erreichbar.

Nach den im Netz gefundenen und auch in den jeweiligen *.cfg Dateien für den VPN aufgefundenen Portangaben,
werden die Ports UPD 500 und UPD 4500 benutzt. Zusätzlich habe ich noch gefunden, dass ESP Port 50 in den Freigaben der "Äusseren Boxen" freigegeben werden soll. Jeweils weitergeleitet an die Adresse der internen Fritzboxen. Wobei aber bei den Fritzboxen bei ESP kein Port ausgewählt werden kann.

Leider ist es mir mit diesen Einstellungen nicht gelungen, eine Verbindung zu einem Rechner im entfernten Netzwerk hinter der entfernten "inneren Box" herzustellen. Wo liegt mein Fehler?

Rechner1 innere 7490 äußere 7490 Internet äußere 7490 innere 7490 Rechner 2
(192.168.1.0-24) (192.168.2.0-24) (192.168.3.0-24) (192.168.4.0-24)
UDP 500
UDP4500
ESP


danke

Content-Key: 309611

Url: https://administrator.de/contentid/309611

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.07.2016 um 20:34:05 Uhr
Goto Top
Zitat von @Molar88:

Die "äußeren Boxen" mit Internetzugang sind als Modem konfiguriert, die "Inneren Boxen" als Router und diese über LAN1 angeschlossen
Es wurden vier unterschiedliche Adressbereiche eingerichtet.

Die fritzboxen können mit aktueller Firmware nicht als Modem konfiguriert werden, die können per PPPoE-Passthrough die PPP-pakete druchreichen. Dazu mußt aber der "hintere Router die einwahl machen.


An sich ein klassisches und schon oft nachgefragter Aufbau eines Portforwarding.
Der VPN-Zugang wurde mittes dem AVM-Tool eingerichtet und funktioniert: die "äußeren Boxen" sind auch jeweils vom entfernten Netzwerk erreichbar.

Wenn die "äußeren" Boxen erreichbar sind, heißt das, daß diese die einwahl machen und als Router arbeiten, nicht als Modem.


Nach den im Netz gefundenen und auch in den jeweiligen *.cfg Dateien für den VPN aufgefundenen Portangaben,
werden die Ports UPD 500 und UPD 4500 benutzt. Zusätzlich habe ich noch gefunden, dass ESP Port 50 in den Freigaben der "Äusseren Boxen" freigegeben werden soll. Jeweils weitergeleitet an die Adresse der internen Fritzboxen. Wobei aber bei den Fritzboxen bei ESP kein Port ausgewählt werden kann.

ESP ist keoin Port 50 sondern protokoll 50. Das sind zwei verschiedene Paar Stiefel. Da wird alles Portforwarding nichts nutzen. Du kannst höchsten die zweite Fritzbox als exposed host konfigureieren und Du mußt in der ersten fritzbox alles abschalten, was mit IPSEC zu tun hat!


Leider ist es mir mit diesen Einstellungen nicht gelungen, eine Verbindung zu einem Rechner im entfernten Netzwerk hinter der entfernten "inneren Box" herzustellen. Wo liegt mein Fehler?

Daß Du den Unterschied zwischen Protokoll udn Port nicht kennst und außerdem ungeeignete Router nimmst.

warum läßt Du denn die äußeren Fritzbixen nicht die verbindung aufbauen? Oder nimmst vernünftige Router, zur not auch so preiswerte wie einen Microtik oder eine Aölixboard mit pfsense?

lks
Mitglied: aqui
aqui 14.07.2016 um 10:21:31 Uhr
Goto Top
Die "äußeren Boxen" mit Internetzugang sind als Modem konfiguriert,
Wirklich nur als reines Modem ?? Das ist eigentlich schon lange nicht mehr supportet auf aktuellen FBs sondern nur noch bei einigen alten Modellen.
Oder verwechslst du hier wieder mal Laienhaft den Begriff "Router" und "Modem" ??
Ein nur Modem macht KEIN IP Forwarding sondern ist lediglich ein passiver Medienwandler. Sowas hier ist ein reines Modem:
https://www.reichelt.de/WLAN-Router-Access-Point/ALLNET-ALL0333C/3/index ...
Was machst du nun also genau ?? Wirklich nr Modem oder eine klassische Router Kaskade wie sie hier beschrieben ist:
Kopplung von 2 Routern am DSL Port

Die Router Kaskade wäre so oder so keine wahre DMZ in dem Sinne sondern eher einen Bastel DMZ.
Kanckpunkt ist hier immer das die FBs selber aktive VPN Router mit IPsec sind. Man muss also auf dem System was die IPsec Ports UDP 500, UDP 4500 und das ESP Protokoll weiterleiten immer erst aktiv die VPN Funktion deaktivieren.
Andernfalls scheitert das Port Forwarding.
Siehe auch dieser Thread:
Kein VPN möglich mit Zyxel USG110 hinter Fritzbox 7490
Das Thema Port Forwarding sagt aber auch das deinen vorgeschalteten FBs eben KEINE Modems sind sondern auch Router und du oben eine technisch falsche Beschreibung geliefert hast face-sad

Grundlagen zu dem Thema und ToDos findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
und auch:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Mitglied: Lochkartenstanzer
Lochkartenstanzer 14.07.2016 um 10:29:39 Uhr
Goto Top
Zitat von @aqui:

Die "äußeren Boxen" mit Internetzugang sind als Modem konfiguriert,
Wirklich nur als reines Modem ?? Das ist eigentlich schon lange nicht mehr supportet auf aktuellen FBs sondern nur noch bei einigen alten Modellen.

Die aktuellen Fritzboxen haben wieder die Option, daß man damit PPPoE-Passthrough machen kann, allerdings zusätzlich zu der Verbidnung, die die Fritzbox schon aufbaut.

screenshot - 14.07.2016 - 10:27:04

lks