[Gelöst] LTE Router - Einwahl in Firmennetzwerk

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
N

Netsn00p

Neuer User
Mitglied seit
11 Jan 2010
Beiträge
53
Punkte für Reaktionen
0
Punkte
0
Hi,
ich möchte mich mit einem LTE Router in ein Firmennetzwerk einwählen. Momentan ist eine FritzBox 6842 LTE dafür vorhanden. Um eine VPN Verbindung aufzubauen, muss in der Fritzbox DHCP aktiviert sein. DHCP soll aber nicht aktiviert sein, da es sonst Probleme im Firmennetz gibt. Ohne die Aktivierung von DHCP funktioniert aber die VPN Einwahl nicht, da man dann keine IP bekommt. Ab Firmwareversion größer als 6.32 soll die Fritzbox auch eine IP vergeben, wenn DHCP nicht aktiviert ist. Leider endet der Support der FB 6842 LTE am 31.03.2017 , somit wird es da auch keine neuer Version geben.

Kann mir jemand sagen, mit welchem LTE Router ich bis zu 3 VPN Verbindungen aufbauen kann und der ohne DHCP funktioniert? Evtl. die Fritzbox 6840 LTE ? Ich müsste dann die Routen auch so einstellen können, das ich nach der Einwahl auf alles zugreifen kann als wäre ich vor Ort.


LG Christian
 
Zuletzt bearbeitet:
Es kommt darauf an, welche Art von VPN-Verbindung Dir vorschwebt und/oder wie das Firmen-VPN konfiguriert.
conn_type = conntype_out oder lan wären die Stichworte.
LG
 
Im Prinzip möchte ich mich nur auf einen LTE Router, zum Beispiel eine FB 6820/40 LTE verbinden und danach eine Route in ein Netzwerk haben (das Firma habe ich jetzt mal bewusst weg gelassen). Die FB 6842 LTE kann das leider nicht abbilden. Die Frage wäre hier, ob jemand weiß ob das die oben genannten Fritzboxen können bzw. ob bekannt ist, mit welchem LTE Router sich das realisieren lässt.
 
Gibt es in der 6842 keinen Reiter VPN unter Freigaben und import eigener Dateien? Falls ja, dann musst Du Dir ggfs, nur eine "Stricken" aus den zig Vorlagen hier im Forum und fertisch ;)
LG
 
Ja klar ;-) , das habe ich alles schon gemacht. Aber der VPN Aufbau funktioniert nur, wenn ich den DHCP Server in der FritzBox aktiviere. Das geht aber nicht, da in dem Netzwerk wo ich dann hinmöchte schon ein DHCP existiert und die bekommen sich dann in die Haare. Wenn ich den DHCP nicht aktiviere kann ich mich auch nicht per VPN einwählen, da ich dann je keine IP bekomme. Leider gibt es für die FB 6842 LTE keine höhere Firmware wie die 6.32 und die nächste Version vergibt per VPN auch IP´s wenn der DHCP nicht aktiviert ist. So zumindest die Aussage vom AVM Support. Jetzt möchte ich mir aber nicht unbedingt erst so eine FB kaufen um dann festzustellen das es doch nicht. Daher meine Frage, ob dies jemand mit einer FB LTE Box schon so hinbekommen hat oder einen Router benennen kann mit dem mein Vorhaben funktioniert.
 
@Netsn00p:
Da hat @Micha0815 trotzdem die richtige Frage gestellt.

Du mußt erst einmal (er)klären, was das entfernte Gateway nun bei einer "Einwahl" erwartet ... entweder ein anderes LAN, wo dann eine LAN2LAN-Kopplung erfolgen kann oder einen "host", der dann - sofern es ein Router ist - auch wieder hinter seiner (einzelnen) externen IP-Adresse ein komplettes LAN versammeln kann und seine LAN-Clients per NAT auf diese externe Adresse umsetzt.

Wie verbindet man sich eigentlich auf einen LTE Router? Wieso hat man nach so einer Verbindung dann auf einmal eine zusätzliche Route? Es ist zwar denkbar, daß man auch zusätzliche Routen "lernt" beim Aufbau einer VPN-Verbindung (aber diese besteht ja nicht zwischen Client und FRITZ!Box), aber bei IKEv1/IPSec eher nicht (so etwas geht z.B. bei OpenVPN).

Vielleicht kannst Du bei der Gelegenheit ja auch noch aufzeigen, warum die 6842 das nach Deiner Meinung gar nicht kann ... außer das geht tatsächlich schon aus den Antworten auf die vorhergehenden Fragen hervor.
 
Ok, ich habe einen Client (Laptop) und möchte mit diesem einen VPN Tunnel zu einer LTE Box aufbauen, in diesem Falle eine FritzBox. Diese Fritzbox LTE ist an ein Netzwerk angeschlossen auf welches ich zugreifen möchte. Bei mir zu Hause funktioniert das mit einer FB 7390 über DSL wunderbar, aber die FB ist auch der DHCP Server in meinem Heimnetzwerk. Daher brauch ich auch kein Routing, da ich eine IP aus meinem Heimnetz bekomme. Bei der LTE Box muss ich mir eine feste IP aus dem Netzwerk geben wo ich hin möchte. Da dort schon ein DHCP Server existiert, darf bei der LTE Box DHCP nicht aktiviert sein. Der VPN Aufbau funktionierte nach Aussage von AVM bis zur Firmware 6.32 nur bei aktiviertem DHCP. Ich kann das aber leider bei der FritzBox LTE nicht testen, da es für diese nur die Firmware 6.32 gibt. Wenn mir allerdings jemand sagt, das er ohne aktiviertem DHCP bei einer neueren Firmware als 6.32 eine VPN Verbindung aufgebaut bekommt, dann wäre ich auch schon weiter und würde das zum Anlass nehmen mir eine aktuellere FritzBox LTE zu kaufen.
 
Zuletzt bearbeitet:
Netsn00p schrieb:
Ok, ich habe einen Client (Laptop) und möchte mit diesem einen VPN Tunnel zu einer LTE Box aufbauen
Zum Vergrößern anklicken....
Ich gehe davon aus, dass der Client nicht in einem der "Netzwerke" hängt, sondern "von aussen" einen Tunnel aufbauen möchte.

Diese Fritzbox LTE ist an ein Netzwerk angeschlossen auf welches ich zugreifen möchte...
Zum Vergrößern anklicken....

Baut die LTE-FB die Internetverbindung auf und soll als "Tunneleingang" dienen, oder ist sie Teil eines anderen "Netzwerkes" quasi zum "switch" degradiert?

Bedenke, dass LTE-Verbindungen zumeist CGN nutzen und keine public IPv4 haben, weshalb LTE-FBs nur VPN-Initiator zu einer public IPv4 spielen können.
LG
 
Das dürfte bereits daran scheitern, daß nur in sehr seltenen Fällen über eine LTE-Verbindung auch eingehender Datenverkehr möglich ist.

Bei einer FRITZ!Box funktioniert das VPN ohnehin nur über IPv4-Verbindungen und damit wäre die allererste Voraussetzung schon einmal, daß die LTE-Box eine öffentliche IPv4-Adresse erhält vom Provider.

Das hat noch gar nichts mit DHCP oder nicht DHCP zu tun, abgesehen davon ist auch an dieser Stelle die Beschreibung etwas wirr und die Aussage des AVM-Support nicht unbedingt nachvollziehbar. Wobei man den Leuten dort auch wenige Vorwürfe machen kann, denn Deine Beschreibung in #1 klingt eben auch nicht so, daß da die 6842 das Gateway sein soll, wo sich ein Client einwählt - wenn das dem Support ebenfalls so übermittelt wurde, ist der auch mit Volldampf in die falsche Richtung marschiert.

Da bringst Du auch weiterhin wenig Licht ins Dunkel, denn wenn ich mir
NetSn00p schrieb:
Wenn mir allerdings jemand sagt, das er ohne aktiviertem DHCP bei einer neueren Firmware als 6.32 eine VPN Verbindung aufgebaut bekommt, dann wäre ich auch schon weiter und würde das zum Anlass nehmen mir eine aktuellere FritzBox LTE zu kaufen.
Zum Vergrößern anklicken....
durchlese, dann hast Du bereits irgendwelche falschen Vorstellungen "verinnerlicht". Was wäre denn, wenn Dir jemand erklärt, daß ihm das (in der umgekehrten Richtung, wo die 6842 der Client ist - so, wie das "normalerweise" aus #1 herausgelesen würde) auch mit der 6842 und Firmware 06.32 gelungen ist? Kaufst Du dann trotzdem eine neuere Box? Der Witz an der Sache ist, daß man eben "ergebnisoffen" an so eine Sache herangehen muß.

Unabhängig davon ist es (theoretisch) durchaus denkbar, daß man eine FRITZ!Box auf diese Weise in ein weiteres LAN integriert ... solange man dafür eine "conntype_user"-Verbindung verwendet, weil für diese dann die FRITZ!Box tatsächlich Proxy-ARP macht und daher die Daten von den Clients im entfernten LAN auch zum VPN-Client "hinter" der 6842 gelangen könnten.

Das hat aber mit irgendwelchen Firmware-Versionen wenig bis nichts zu tun und am Ende ist dann hier eben erst einmal zu klären, ob der verwendete Mobilfunk-Vertrag eine öffentliche IPv4-Adresse umfaßt. Ohne eine solche geht es gar nicht - zumindest dann nicht mit einer FRITZ!Box. Wenn es eine öffentliche IPv6-Adresse geben sollte (und irgendetwas mit CGN resp. DS-Lite), dann funktionieren event. andere VPN-Lösungen, wobei das i.d.R. dann auch voraussetzt, daß der VPN-Client (also hier irgendein Laptop) seinerseits ebenfalls eine IPv6-Adresse hat (das Tunneln von IPv6 in IPv4-Paketen verringert die nutzbare Datenmenge in einem Paket zusätzlich und das dann notwendige Segmentieren in mehrere Pakete bringt in den allermeisten Fällen die Gültigkeitsprüfung für VPN-Pakete vollkommen durcheinander).
 
Mit aktiviertem DHCP kann man ohne Probleme eine VPN Verbindung zur LTE Box aufbauen. Die LTE Box bekommt eine öffentliche IPv4 Adresse. Zum besseren Verständnis habe ich eine Zeichnung angehangen. (Sorry schonmal für die Lichtreflektionen, das Whiteboard hängt etwas bescheiden.)

Hier nochmal die Antwort von AVM bezüglich der Softwareversion und DHCP. Vorab, die manuelle Konfiguration funktioniert da leider nicht.

Code: 
Guten Tag Herr XXX,

mir liegt nun eine Rückmeldung zu Ihrer Anfrage vor. Bei den neueren Boxen mit einer FRITZ!OS > 06.32 wird trotzdem eine IP-Adresse ( *.128 ) für den VPN-Benutzer angelegt, wenn  der DHCP der FRITZ!Box deaktiviert ist.

Für die FRITZ!Box 6842 LTE werden keine Updates mehr entwickelt, Sie können jedoch die VPN-Konfiguration mit Hilfe des [URL="https://avm.de/service/fritzbox/fritzbox-6842-lte/wissensdatenbank/publication/show/49_VPN-Verbindung-zur-FRITZ-Box-unter-Windows-einrichten-FRITZ-Fernzugang/"]Fritz!Fernzugang[/URL] erstellen und im Programm selbst eine IP-Adresse für den VPN-Client festlegen.

Ich hoffe, diese Antwort hilft Ihnen weiter und wünsche eine sonnige Woche.

Freundliche Grüße aus Berlin
(AVM Support)

VPN.jpg
 
Dann einfach erst einmal die FRITZ!Box als ganz normalen Router konfigurieren (die .251 läßt der "Automatik" der FRITZ!Box bei einer Adressvergabe ohnehin kaum noch Luft, da wäre es erst einmal schlau, die Box als .1 zu konfigurieren ohne Verbindung auf der LAN-Seite und erst später auf die .251 umzustellen) und einen Benutzer (mit aktivierter "Checkbox") pro VPN-Zugang zur Box anlegen. Diese müssen allerdings auch jeder eine reservierte statische Adresse kriegen (zusätzlich zur .251, welche die Box selbst hat) und dann kann man die VPN-Konfiguration (z.B. aus einer Sicherungsdatei) passend modifizieren und importieren.

Was nicht funktionieren wird (das liegt daran, wie das VPN bei der FRITZ!Box arbeitet), ist die Zuweisung einer dynamischen IP-Adresse an einen VPN-Client (wenn Du etwas von "bis zu drei" schreibst, braucht auch jeder Client seine eigene Reservierung einer statischen IP) per DHCP-Server auf der Firewall.

Was Du unter "die manuelle Konfiguration funktioniert da leider nicht" verstehst, wird (mir) hier auch nicht klar - sollte es tatsächlich die Unmöglichkeit beschreiben, eine entsprechende Anzahl von statischen Adressen (1x FRITZ!Box + 1x für jeden potentiellen Client) zu reservieren, dann geht das auch mit einer späteren FRITZ!Box nicht (jedenfalls nicht daß ich wüßte oder mir vorstellen könnte, wie das funktionieren sollte). Wenn das nur beschreibt, daß Du die manuelle Konfiguration der VPN-Verbindung nicht gebacken bekommst, kann man sicherlich helfen ... Du kannst ja mal spekulieren, was Du dazu am besten "veröffentlichen" müßtest.

Die Box ist im Routerbetrieb (und nur dann funktioniert das VPN von AVM) nicht in der Lage, ihrerseits überhaupt irgendeine LAN-Adresse per DHCP zu beziehen, für die Erreichbarkeit eines über VPN mit ihr verbundenen Clients aus dem LAN ist es zwingend erforderlich, daß sie sich als "zuständig" für die Datenübertragung zu einer solchen Adresse sieht (und eben anstelle dieses Clients auf ARP-Anfragen reagiert -> Proxy-ARP) und das geht hier nur, wenn diese Adresse bekannt ist.

Die FRITZ!Box arbeitet auch nicht als DHCP-Proxy, der einen DHCP-Request eines VPN-Clients vom WAN ins LAN "forwarded" und ggf. dort "mitliest". Das macht m.W. auch kein einziges FRITZ!OS - damit wäre dann auch eine neuere Box und ein neueres FRITZ!OS nicht zielführend. Beim AVM-VPN muß bereits in der Konfigurationsdatei klar sein, welche (statische) LAN-IP jeder einzelne definierte Client haben soll.
 
Zuletzt bearbeitet:
@Netsn00p #10

Wie zu erwarten liefert myfritz 10.74.210.211, was eben keine öffentliche IPv4 ist sondern CGN bedeutet.
Ich frage mich nur, wozu und weshalb Du nicht "von rechts" Internet-WAN1 den VPN-Tunnel aufbaust?

Wie kommt der zentrale Router mit 2 Internet-Verbindungen zurecht bzw. wie managed er die restlichen Clients, worüber die verbunden sind/nach draussen gehen?

Ich verstehe Dein Ansinnen nicht wirklich, ausser die LTE-FB soll Redundanz für die rechte I-Netverbindung herstellen.
LG
 
Zuletzt bearbeitet:
Wenn sich @Netsn00p nicht sehr komisch "ausgedrückt" hat, dann sind nur die DNS-Server auf der LTE-Seite unter einer 10.irgendwas-Adresse erreichbar und das stört eigentlich nicht wirklich. Erst dann, wenn die 37.xxx.yyy.zzz nicht - wie behauptet - eine öffentliche IPv4-Adresse für diesen (LTE-)Client ist, sondern eine Adresse eines CGN-Gateways beim Provider, dann funktioniert das nicht mehr (auf der WAN-Seite).
 
Kurz gesucht ;) und :verdaech:

LG

- - - Aktualisiert - - -

Das Problem scheint im nativ LTE-Netz wohl noch anhängig. Im UMTS -je nach Tarif- könnte es klappen. Die FB6842 beherrscht imho kein Fallback auf UMTS.
 
Ich habe es jetzt mit der manuellen VPN Konfiguration geschafft auch eine VPN Verbindung OHNE DHCP herzustellen. Ich bekomme eine 200ér IP und erreiche auch Server/Clients in dem Netz. Leider komme ich noch nicht ins 210ér Netz trotz eingerichteter Route in der Box.

Eintrag Routingtabelle:

IPv4-Netzwerk: 192.168.210.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.200.1
 
Acesslist angepasst?
Code: 
accesslist = "permit ip any 192.168.200.0 255.255.255.0,"permit ip any 192.168.210.0 255.255.255.0";

Falls die Syntax so stimmt, wie es bei mir funktioniert in ähnlichem Umfeld.
LG

P.S.: Befremdlich dass Du nicht Willens bist, die cfg der LTE-Box -geschwärtz um credentials+fqdn ... hier zu posten?
 
Zuletzt bearbeitet:
Ich habe eben nochmal die Accessliste in der VPN.cfg angepasst und diese neu importiert, jetzt funktioniert es.
Da heißt, ich muss jetzt nur für jede andere Umgebung in der die LTE Box steht das Routing und die Accesslist anpassen.
Irgendwie hab ich da ein Brett vor dem Kopf gehabt...

Danke für Eure Hilfe!
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 824 (Mitglieder: 31, Gäste: 793)

Neueste Beiträge

Statistik des Forums

Themen
244,869
Beiträge
2,219,844
Mitglieder
371,588
Neuestes Mitglied
Was weißich
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück