VPN für FritzBox 7490 hinter Kabelrouter

kuki3112

Neuer User
Mitglied seit
15 Apr 2017
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Hi

kann man das VPN der FritzBox auch hinter einen Kabelrouter nutzen?

genutzt wird:
- Kabelrouter CH7485E
- FritzBox 7490 mit [FONT=&quot]FRITZ!OS: [/FONT]06.83
- Android-Handy S5 mit VPN-Cilla
- VPN-Anbieter: dyndns.org

Das Android-VPN läuft schon auf einer anderen FritzBox (7390)
und beide Boxen sind mit einen VPN-Tunnel verbunden.

Nur die Verbindung mit der FritzBox 7490 hinter dem Kabelrouter will nicht klappen.


Gruß
David
 
Baut die 7490 eine eigene Internetverbindung auf ?

Wie genau sehen bei dieser die Einstellungen unter " Internet " aus ?
 
da hab ich mich schlecht ausgedrückt, der Kabelrouter läuft als Router und stellt die Internetverbindung her,
die Fritzbox ist mit LAN1 am Kabelrouter angeschlossen.

Ich verwende dyndns.org als VPN Dienst, auf dem Android-Handy ist nur VPN-Cilla als App und die Verbindungsdaten von dyndns.org
(keine verschiedene VPN-Dienste)

Ich bekomme vom Kabelanbieter nur
[FONT=&quot]IPv4.[/FONT]

 
Welcher Kabelanbieter ? Kabel Deutschland / Vodafone ??
Wenn ja dann schalte dein Kabelmodem im Kundenportal in den Bridge Modus. Dann fungiert das Kabelmodem nur als reines Modem.
In den Zugangsdaten stellst einfach "Kabel Deutschland" ein:
Zugangsdaten.jpg
Sämtliche Einstellungen sind dann in der 7490 einzustellen (DHCP, WLAN, VPN,....) und Du bist unabhängig vom Kabel Router (So habs zumindest ich gemacht)
 
Ist kein großer Anbieter, Win@net Magdeburg. Ein Kundenmenü gibt es nicht. Gibt es keine Variante mit Portfreigaben oder sowas ähnliches?
 
Wie kommst du darauf, dass das Portforwarding sein soll? Steht das irgendwo unter 01.04?
 
Zuletzt bearbeitet:
Gibt es keine Variante mit Portfreigaben oder sowas ähnliches?
IMHO: die Technik, die dem AVM Begriff "Portfreigaben" im IPv4-Umfeld entspricht, wird bei anderen Router-Hersteller auch "Portforwarding" genannt, und da https://de.wikipedia.org/wiki/Portweiterleitung gibt es keine Möglichkeit "Protokollnummern: 50 und 51" an einen kaskadierten Router zu NATen. sachliche Diskussion gerne genommen; bitte auch gerne Screenshots der Fritzbox für IPv4 Portfreigabe von "Protokollnummern: 50 und 51" beifügen.
 
Das Port Forwarding und das Protocol Forwarding muss natürlich nicht in der Fritzbox, sondern in der Firewall des davor geschalteten Routers erfolgen.
Siehe Beispiel im Anhang. Der ist zwar nicht von einem Compal Kabelrouter, aber da sollte es ähnlich aussehen.
Screen Shot 2017-04-15 at 1.59.41 PM.png
 
OK, Protokoll Nummer 47 (GRE), 50 (ESP) finde ich bei Fritzbox; jedoch bietet meine FB im WebIF die in #7 genannte Portfreigabe für Protokoll Nummer 51 (AH) nicht, üblicherweise macht dies doch nicht der vorgelagerte Router sondern die UDP NAT-T Erweiterung für IPsec/IKEv1 am VPN Endknoten, d.h. am nachgelagerten Router.
 
Willst du damit sagen, dass in dem vorgeschalteten Kabel-Router üblicherweise gar nichts vorgeleistet werden muss, damit eine IPsec/IKEv1 Verbindung zur nachgeschalteten Fritzbox aufgebaut werden kann? Das wäre ja umso besser.
 
Willst du damit sagen, dass in dem vorgeschalteten Kabel-Router üblicherweise gar nichts vorgeleistet werden muss
IMHO: Sofern der nachgeschaltete Router die VPN-Initiator Rolle übernimmt und beide Seiten die IPsec-NAT-T Erweiterung (RFC 3947) beherrschen, gibt es keine keine Notwendigkeit eine Portfreigabe/Portforwading am vorgelagerten Router einzustellen, insbesondere bei Public-IP bei vorgelagertem Router; nur bei einigen Providern (UnityMedia, M-Net, ...) gibt es gemäß div. Userberichten Probleme im Zusammenhang mit DS-Lite nach ca. 54min bei "Re-Keying-Problem".Quelle:
Außer "Portforwarding" klingt das zumindest alles noch nachvollziehbar - ich habe mich ja bemüht zu betonen (und zu erläutern), daß es so etwas im Speedport für das VPN gar nicht brauchen würde
 
Den Beiträgen des TE habe ich mit einiger Mühe entnommen, dass er sich, genauso wie zu einer anderen Fritzbox, mit einem VPN-Client auf dem Handy zu seiner Fritzbox hinter dem Kabelrouter verbinden will. Diese Fritzbox wird dabei sicher nicht die VPN-Initiator Rolle übernehmen können, während das bei seinem funktionierenden VPN-Tunnel zu einer anderen Fritzbox wohl der Fall ist.
Fälschlicherweise nimmt er nebenbei auch noch an, dass dyndns.org ein VPN Dienst wäre, was auch immer damit gemeint sein könnte.
 
Ich finde die Freigabe für die Protokoll Nummern nicht.

Unbenannt.png


 
500 und 4500 UDP langt auch aus für IPsec VPN was FB verwendet.
 
Firewall-Ruleset für Dial-Out/Dial-In bei vorgelagertem Router

entweder "UDP/Port 500" und "ESP (Protokoll Nummer 50)" oder nur "UDP/Port 4500"Quelle:
Die Erkennung eines NAT-Gateway "im Weg" einer solchen VPN-Verbindung funktioniert eigentlich auch recht gut ... manchmal bietet es sich halt an, auch ohne explizite Notwendigkeit auf NAT-T zu setzen, weil dann anstelle von UDP-500 und ESP nur UDP-4500 "freigegeben" werden muß in irgendwelchen Firewalls. Aber das kann man auf der FRITZ!Box-Seite m.W. ohnehin nicht "erzwingen" ... beim Shrewsoft-Client ginge das z.B. mit einer entsprechenden Einstellung (force NAT-T).

- - - Aktualisiert - - -

d.h. Portforwarding für UDP/500 bei Telecolumbus herausnehmen!!!, das macht nur Probleme wenn 2 Alternativen eingerichtet sind und eine davon nur halb (UDP/500 ohne ESP)
 
Im Kabelrouter CH7485E ist die Portforwarding für UDP Port 4500 eingestellt.

[FONT=&amp]In der FritzBox steht unter Internet/Freigaben/VPN (Profil: Android) [/FONT][FONT=&amp]Adresse im [/FONT][FONT=&amp]Internet[/FONT][FONT=&amp] 0.0.0.0

[/FONT]
für den Tunnel zur anderen FritzBox ist der Status grün und die Adressen sind vorhanden.

 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.