VPN über LAN1 angeschlossene FB

[sapper]

Moinmoin,
ich möchte die nächsten Tage ein VPN einrichten, dabei handelt es sich um eine FB3390 die über LAN1 hinter einer 7490 hängt und ihr eigenes Subnetz usw. betreibt. Nun soll die 3390 eine VPN Verbindung mit einer weiteren, an einem anderen Ort stehenden, 7490 zustande kommen.

Soweit ich mich bis jetzt informiert habe, muss die 3390 einen anderen IP bereich zugewiesen bekommen damit sich die IP nicht überschneiden. Kann die 7490(die vor der 3390) Ihren IP Bereich behalten und die VPN Leitung einfach per Portweiterleitung realisiert werden?

Bekomme ich mit der 3390 überhaupt eine DDNS Verbindung hin? Oder bekomme ich dann nur die interne IP der FB7490.

 

[andiling]

Die 7490 kann ihren IP Bereich behalten. Die Portweiterleitung brauchst Du wenn die 3390 die Verbindung annimmt, d.h. von der entfernten Stelle aus die Verbindung aufgebaut wird.

DDNS kannst Du der Einfachheit halber auf der 7490 einrichten. Es geht aber auch auf der 3390 wenn der Dienst die richtige Methode zur IP-Adressermittlung nimmt, kurzum (da keine weiteren Details vorhanden) einfach ausprobieren.

 

[sapper]

Besten Dank für deine Antwort, werde mich dann nächste Woche mal dran versuchen und berichten.

 

[sapper]

Nur mit dem myfritz Dienst wird das glaube ich nicht funktionieren, oder?
Denn sobald man da hinter einem anderen Router sitzt mit der FB gibt der doch nur die interne IP raus? Kann man das umgehen und trotzdem 2 von einander getrennte Netzwerke haben?

 

[andiling]

Du kannst den myFritz Dienst von der ersten Box nutzen und eine Weiterleitung zur zweiten einrichten. Es geht ja nur um einen Dienst (VPN), oder?

 

[sapper]

Wie würde denn eine solche VPN Weiterleitung aussehen? Eine einfache Portweiterleitung?Welchen port nutz VPN?

Hätte aber eigentlich gerne alle 3 Boxen über myfritz eigenständig erreichbar. Die 2 7490 die direkt an der DSL Leitung hängen stellen ja soweit auch kein Problem da. Nur halt die über LAN 1 angebundene BOX.

 

[Tieflieger]

Myfritz geht - ist muss nur die Verbindung von der Box aufgebaut werden die keine öffentliche IP hat.
http://avm.de/nc/service/fritzbox/f...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/

Moinmoin,
FB3390 die über LAN1 hinter einer 7490 hängt und ihr eigenes Subnetz usw. betreibt. Nun soll

Aber du darfst keine VPN Verbindung zur 7490 machen.

Wenn du zusätzlich noch IPv6 einrichtest (so das die 7390 auch eine IPv6 Adresse erhält) dann kannst du Über myfritz beide Boxen per Fernwartung erreichen.

 

[sapper]

Danke, die Seite habe ich bereits schon gelesen. Soweit ist das eigentlich auch alles klar und sollte so funktionieren.

Aber gibt es eine Möglichkeit die MyFritz Funktion der 3390 die über LAN 1 mit eigenem Subnetz läuft zu nutzen? Auf Umwegen mit Weiterleitungen, oder sonstigem?

 

[sapper]

so das die 7390 auch eine IPv6 Adresse erhält

??? Du meinst wohl die 3390

Also an der 7490(1) IPv6 aktivieren, die 3390 über LAN 1 an die 7490(1) anbinden und MyFritz sollte funtkionieren?

 

[Tieflieger]

ja meine die 3390.

bei beiden boxen myfritz.net einrichten. Beide bekommen verschiedene Myfritz-Adressen.

7490 bekommt z.b xyz.myfritz.net

3390 bekommt z.b zyx.myfritz.net (die 3390 hat bei myfritz nur die interne IPv4 Adresse)

Für VPN nimmst du die von der 3390. Das VPN muss die 3390 aufbauen, sonnst kommt es zu keiner Verbindung.

Wenn gewünscht über HTTPS-Zugriff von außen, gibt es 2 Möglichkeiten.

Unterschiedliche Port und eine Postweiterleitung von der 7490 auf die 3390 mit https ://xyz.myfritz.net: port/ der jeweiligen Box.
Bei IPv6 geht dies auch mit gleichen Ports - man muss aber entweder sich über myfritz.net einloggen oder eine Auflösung nach IPV6 erzwingen.

 

[sapper]

So hat alles ein wenig länger gebraucht, daher melde ich mich erst jetzt.

Die Kombination aus der 7490 und einer 3390 hat soweit gut funktioniert. Habe an beiden Boxen jeweils eine ddns von spdns eingerichtet und kann auch beide Boxen erreichen. Die 3390 kann ich dabei entweder über die ddns der 7490 + dem entsprechenden Port erreichen aber auch über die eigene ddns Adresse. Die MyFritz Adresse der 3390 funktioniert aber wie gehabt nicht. Nun möchte ich aber gerne die 3390 als VPN Ziel erreichen können um mich mit meinem Rechner dort ein zu klinken.

VPN scheint bei AVM ja ein kleines Chaos zu sein. Wenn man da im Netz liest gibt es sogar Unterschiede je nach FB Firmware.

Mir ist es bisher nur gelungen die 7490 mit ShrewSoft VPN zu erreichen und mich einzuloggen. Die Standardports hierfür sind ja 500 und 4500, ist von der FB vorgegeben.
Um sicher zu stellen das meinen Versuchen die 3390 zu erreichen diese Ports nicht in der 7490 hängen bleiben habe ich zwei andere Ports gewählt und auf die Ports 500 und 4500 zu der 3390 weitergeleitet. Diese Ports dann auch entsprechen in der VPN Software eingestellt. Aber auch damit bekomme ich keine VPN Verbindung hin.

Hat vielleicht jemand einen Tipp für eine einfache VPN Software mit der das alles funktioniert?
Für die Uni brauche ich Cisco Softwar, AVM hat wiederum sein eigenes Chaos, und zudem möchte ich noch eine Verbindung zu 2 NAS Systemen (Synology und eine Qnap)


Zu der IpV6 Sache, ich habe IpV6 in der 7490 aktiviert bekomme aber seitens der Telekom für die 7490 keine zugewiesen. Aber die 7490 konnte der 3390 eine IpV6 zuweisen, weiss gerade nur nicht ob das irgendwas bringt.

 

[KunterBunter]

Hat vielleicht jemand einen Tipp für eine einfache VPN Software mit der das alles funktioniert?
Für die Uni brauche ich Cisco Softwar, AVM hat wiederum sein eigenes Chaos, und zudem möchte ich noch eine Verbindung zu 2 NAS Systemen (Synology und eine Qnap)

So etwas gibt es nicht. Für jeden Zugang brauchst du eine eigene Anwendung, je nach VPN-Implementierung und verwendetes Protokoll auf der Gegenseite.

 

[sapper]

Nach dem ich hier noch ein wenig herum probiert habe musste ich feststellen das auch die VPN Verbindung zu meiner 7490 nicht funktioniert. Laut ShrewSoft steht die Verbindung zwar, aber in der FB wird im OnlineMonitor "wird aufgebaut " angezeigt und die Ampel leuchtet nicht fertig auf.

Allerdings bin ich nun mit der 3390 genauso weit, das mit dem Portweiterleiten war soweit korrekt, nur muss hier beachtet werden , dass es sich bei den benötigten Ports 500 und 4500 um UDP s handelt und nicht TCP einstellt. Damit lässt sich nun auf anderen Ports eine Verbindung herstellen, aber leider mit dem gleichen Symptom wie bei der 7490

Hier gab es wohl schon einmal einen Thread dazu, leider brachte mich das nicht weiter

 

[sapper]

So nun scheint es fast geschafft, dank dieser Seiter hier:

http://rays-blog.de/2013/11/28/127/...er-vpn-mit-fritzbox-7390-fritzos-6-verbinden/

Da ist vieles gut erklärt und es funktioniert soweit und es funktioniert auch mit beiden Boxen, auch die 3390 die über Lan1 verbunden ist kann man mit der Portweiterleitung erreichen.

Zumindest kann ich sobald ich mich verbinde mit der einfachen örtlichen Ip z.B. in die FB einloggen. Auch Drucker im entfernten VPN Netz kann ich finden wenn ich nach diesen suche. Allerdings hatte ich erwartet das ich das gesamte Netzwerk im Explorer zur Verfügung habe, dort kann ich keine Geräte aus dem entfernten VPN finden??

Auch die Ampel springt nun auf grün wenn ich mich einlogge, aber ich bekomme wohl keine IP im lokalen Netz. Das ganze sieht wie folgt aus.


Scheinbar bekomme ich als VPN User also eine IP außerhalb des DHCPs zugewiesen, dieser liegt ja eigentlich zwischen ...188.0 - ...188.200 .
Kann ich die anderen Netzwerkgeräte deshalb nicht automatisch im Explorer sehen/finden?

 

[PeterPawn]

Kann ich die anderen Netzwerkgeräte deshalb nicht automatisch im Explorer sehen/finden?

Vermutlich liegt das eher daran, daß NetBIOS gefiltert wird. VPN-Konfigurations-File für den Client (aus der FRITZ!Box-Sicherung) ansehen ... die Option heißt "dont_filter_netbios" und muß auf "yes" stehen, damit der Windows-Netzwerkzugriff überhaupt funktionieren kann.

Dann am besten noch den WINS-Server im Shrewsoft-Client auf die Adresse eines WINS-Servers im FRITZ!Box-LAN setzen und wenn es einen solchen nicht gibt, aber die FRITZ!Box-Firmware den nmbd enthält, dann eben die Adresse der FRITZ!Box dort eintragen.

 

[sapper]

Also den NetBios Filter habe ich nun an allen 3 Boxen deaktiviert (unter Internet-->Filter-->Listen) und zudem auch mal meine Firewall am Rechner. Leider unverändert, die Verbindung funktioniert sowohl zur 7490 als auch separat zur 3390 aber ich bekomme halt keine Netzwerkgeräte vom VPN Netz im Explorer angezeigt. Auch eine Verbindung zu einem Netzlaufwerk bekomme ich nicht, einen Drucker wiederum kann ich per IP unter Drucker suchen finden.

Mit WINS kann ich leider nichts anfangen. Laut der von mir verlinkten Beschreibung unterscheiden sich die WINS Einstellungen nur darin, ob der gesamte Datenverkehr übers VPN geht oder nur der nötige Netzwerkverkehr. Hatte aber beide probiert, allerdings auf automatisch gestetzt.

 

[PeterPawn]

Mit WINS kann ich leider nichts anfangen.

Das ist der Verzeichnisdienst für Windows-Computer. Nur wenn der per VPN verbundene Computer einen "dedizierten Ansprechpartner" im VPN-Netz hat, kann er die dort vorhandenen Windows-Computer in seiner Netzwerkumgebung anzeigen. Wenn er selbst allgemein nach Computern mit Windows-Dateifreigaben sucht, passiert das per Broadcast und solche Pakete werden beim AVM-VPN nicht auf die andere Seite weitergeleitet. Es braucht also auf der LAN-Seite einen PC (den Master-Browser für die Workgroup), der seinerseits Buch führt über die vorhandenen Windows-PCs und den man als entfernter Client dann dazu befragen kann. In einer "Server-Client-Landschaft" ist das i.d.R. ein Windows-Server, bei gleichberechtigten Clients im Netz wird einer von ihnen per Wahl (master browser election) zum Master-Browser auserkoren (das funktioniert immer pro Workgroup/Arbeitsgruppe, die dann bei allen Mitgliedern, die an der Wahl teilnehmen sollen/wollen, identisch sein muß).

Ohne WINS-Server kannst Du also nur per DNS-Name (das ist etwas anderes als der WINS-Name) oder per IP-Adresse auf andere PCs zugreifen, wenn der lokale PC nur eine IPSec-VPN-Verbindung hat.

Die ausgeführten Tests mußt Du schon etwas genauer beschreiben, sonst weiß kein Mensch, was Du probiert hast, was dabei herauskommen sollte und was da konkret nicht funktioniert hat.

Also den NetBios Filter habe ich nun an allen 3 Boxen deaktiviert (unter Internet-->Filter-->Listen) und zudem auch mal meine Firewall am Rechner.

Sorry, davon habe ich nicht ein Wort geschrieben und das war so ziemlich das Dümmste, was Du überhaupt machen konntest. Wenn Du im Internet suchst und irgendeine Quelle mit irgendwelchen Vorschlägen findest, mußt Du immer noch versuchen zu verstehen, was das eigentlich bringen soll, bevor Du irgendwelche Vorschläge anfängst umzusetzen. Den Spruch mit dem Sprung von der Brücke haben Dir hoffentlich schon Deine Eltern reingedrückt ... der gilt aber auch heute und hier noch.

Der NetBIOS-Filter im GUI der FRITZ!Box hat nur insoweit etwas mit dem Problem gemein, als daß es um dasselbe Protokoll geht ... mit der VPN-Verbindung hat das schlicht gar nichts zu tun.