fehlende VPN-Möglichkeit bei Internetzugang über LAN 1

DJB

Neuer User
Mitglied seit
13 Dez 2004
Beiträge
97
Punkte für Reaktionen
0
Punkte
6
Hi,
ich habe schon ein wenig recherchiert und gelesen, dass VPN bei Internetzugang über LAN 1 nicht möglich ist.
Ich verstehe allerdings nicht ganz wieso und bitte um Erleuchtung durch die Profis. ;-)

Folgende Konstellation habe ich:

VDSL-Anschluss -> SP 920 V (Standard IP 192.168.2.1), DHCP AN, Dyndns an, Portweiterleitung auf Fernwartungsport -> 2. SP 920 V (aber gefritzt) , konfiguriert als IP-Client, Adresse also z.B. 192.168.2.108, Fernwartung an (192.168.2.108: Port:1234 (z.B.))

Fernwartung über https://dyndns:1234 klappt auch, nach entsprechender Zertifikatsabfrage und Tweak des Firefox (Danke: http://www.ip-phone-forum.de/showpost.php?p=1409621&postcount=3)

Jetzt mein Problem:
Der SP 920 V muss zwingend als Hauptrouter bestehen bleiben, da es sich um einen Firmenanschluss handelt, an dem speziell auf die Original-Firmware zugeschnittene Messgeräte angeschlossen sind. Daher habe ich einen zweiten Speedport im umgebauten Zustand ins Netz gehängt, der die euch sicherlich bekannten zusätzlichen Features bietet (Faxempfang, AB, e-mail-Protokoll, USB-Fernanschluss etc. und eben auch VPN)

Ich möchte nun gerne den gefritzen Speedport, der " Internetzugang über LAN 1 " konfiguriert ist ein VPN aufbauen, um mehrere Standorte zu einem großen lokalen Netzwerk zusammenzuschließen.

Wie kann ich das realisieren?
Fernzugriff habe ich bereits. Telnet könnte ich auch einrichten, aber der VPN-Reiter fehlt ja bekannterweise.

Danke im Voraus

Grüße
DJB
 
Zuletzt bearbeitet:
ich habe schon ein wenig recherchiert und gelesen, dass VPN bei Internetzugang über LAN 1 nicht möglich ist.
Kann ich so nicht bestätigen.

Meine FB7170 läuft über LAN 1 am Modem und ich habe:
1. AVM-VPN zu einer anderen FB
2. OpenVPN zu einem DD-WRT54GL
 
Bitte erleuchte mich ;-)..

wie geschrieben, die FritzBox wird als IP-Client betrieben (also: Vorhandene Internetverbindung im Netzwerk mitbenutzen (IP-Client))
 
die FritzBox wird als IP-Client betrieben

Das ist warscheinlich der Unterschied. Meine läuft als NAT-Router mit PPPoE.

dann ist aber die Aussage falsch:
dass VPN bei Internetzugang über LAN 1 nicht möglich ist.
sondern ist abhängig von der Betriebsart und/oder der Art der Zugangsdaten.
 
Zuletzt bearbeitet:
Ich verstehe allerdings nicht ganz wieso und bitte um Erleuchtung durch die Profis. ;-)
Ohne jetzt behaupten zu wollen, ein Profi zu sein ;-):

Einer der entscheidenden Unterschiede zwischen der Benutzung als "echter" Router (eigene Verbindung aufbauen) oder als normaler Netzwerkclient (mitbenutzen) ist, dass "als Router" dieses LAN-Interface jetzt als "WAN"-Interface behandelt und vom "dsld" bedient wird. Das ist der AVM Dienst, der NAT, Firewall usw. übernimmt und wohl auch Voraussetzung dafür, dass der avm-VPN-Dienst an dem Interface läuft.

Du kannst in der Betriebsart Router dann VPN nutzen (das stellt AVM halt nur auf dem Interface zum Internet zur Verfügung), allerdings über das Interface nicht mehr auf die Box zugreifen, weil daran dann eben die Firewall gebunden wird...

Jörg
 
Hi,
Danke für die Erklärung.
Gibt es denn eine Möglichkeit, die Fritzbox, unter Beibehaltung der Funktionalitäten (VOIP, Fernzugriff, USB-Fernanschluss) hinter dem Speedport W920V zu betreiben und trotzdem Zugriff auf das WEBIF beider Boxen zu haben? ggf. über Portweiterleitungen etc?
 
Was du versuchen könntest:

- Dem Speedport-Netz auf dem "ersten" (unmodifizierten) 920 ein weiteres IP-Netz zuordnen (sowas wie "ifconfig lan:3 192.168.123.1") und dem "internet-over LAN1" Speedport dort die IP 192.168.123.2 mit Gateway 192.168.123.1 fest eingeben.
- Im "normalen" Netz dann die richtige IP vergeben (natürlich DHCP aus).
- letztlich weden damit LAN1 und die anderen LANs "außen" wieder verbunden, sind aber in verscheidenen IP Netzen

Das könnte gehen (muss es aber nicht, weil m.W. die FB immer die gleiche MAC-Adresse nimmt).


Jörg
 
Danke für den Versuch, aber Du hast mich abgehangen ;-)

Der unmodifizierte Sp 920 hat ja nur Boardmittel. Was muss ich hier einstellen, oder mache ich nur Änderungen an der "Fritzbox" ?
 
Habe auch eine zweite Box als IP-Client am Laufen. Dort ist auch alles mögliche deaktiviert. Da es ja nur IP-Client ist, können DHCP, VPN, Portfreigaben nicht eingerichtet werden.

Mir fällt nur ein, dass du den ersten Speedport auch fritzisierst / fritzt und dort dann PPPoE-Passthrough aktivierst. Dann könnte der zweite Speedport eine weitere DSL-Session aufbauen (als Router, NICHT IP-Client, ggf. dann aber DHCP-Server deaktivieren!). Dann solltest du dort auch VPN etc. einrichten können.
 
@DJB: Hat ein 920 telnet? Dann kannst du dich dort anmelden und diesen Befehl absetzen
Code:
ifconfig lan:3 192.168.123.1

Damit wird auf dem LAN quasi ein zweites IP-Netz aufgespannt, ein Gerät mit einer Adresse aus dem Netz (z.B. 192.168.123.123) sollte dann den "ersten" Speedport über 192.168.123.1 ansprechen können.

Danach kann der gefritzte 920 auf "eigene Verbindung aufbauen" eingerichtet werden, mit einer "festen" IP (z.B. 192.168.123.2) und als Gateway 192.168.123.1.

Über die LAN Interfaces <> 1 sollte die Kiste dann noch weiterhin erreichbar sein...

Falls du zufällig 192.168.123.x als "normales" Netz nutzt, musst du das natürlich auf ein ungenutzes Netz ändern.

Jörg
 
Mir fällt nur ein, dass du den ersten Speedport auch fritzisierst / fritzt und dort dann PPPoE-Passthrough aktivierst. Dann könnte der zweite Speedport eine weitere DSL-Session aufbauen (als Router, NICHT IP-Client, ggf. dann aber DHCP-Server deaktivieren!). Dann solltest du dort auch VPN etc. einrichten können.
Der erste Speedport muss im Ursprungszustand verbleiben (s. Beitrag 1) und direkt die Internetverbindung aufbauen.
 
@DJB: Hat ein 920 telnet? Dann kannst du dich dort anmelden und diesen Befehl absetzen
Code:
ifconfig lan:3 192.168.123.1

Werde ich mal ausprobieren. Denke aber nicht, dass der 920er im Originalzustand telnet hat.
Danke
 
Hat leider nicht geklappt. Hat noch jemand einen Tip für mich?
 
Wenn du den ersten Router so nicht "anpacken" kannst: Portweiterleitungen kann er aber, oder?

Dann könntest du ein OpenVPN-VPN per freetz auf dem zweiten Router nutzen.

Oder (wenn es IPSec sein muss) versuchen, dass nicht mit dem AVM-VPN sondern mit ipsec-tools zu machen, was momentan nur mit dem Trunk und dem Patch aus dem Ticket #854 geht.

Jörg
 
Oder für das private eigenen DSL-Zugang sich beschaffen.

Bevor mich hier alle steinigen: Wenn der Firmenzugang so sensibel ist, das da nichts am Router geändert werden darf und sensible Geräte dran hängen und da vielleicht eine oder mehrere Existenz/en von abhängen, würde ich nicht mit Beta- und / oder experimenteller Firmware rum basteln.
Aber ist auch nur meine Meinung.
 
da würde ich dir eigentlich zustimmen, ist aber hier unkritisch. Es hängen keinerlei Existenzen dran (außer meine ;-) ) und experimentiert wird ja deswegen auch nicht am Haupt-Router. Dieser hat nur die Aufgabe, die Verbindung zur Außenwelt zu schaffen. Ich brauche halt nur eine Verbindung von der Außenwelt in mein "Subnetz" (auch wenn es kein Subnetz im eigentlichen Sinne ist)
 
War gerade eh am rumexperimentieren an meinen Boxen. Habe folgendes herausgefunden:

Wenn ich meine Fritzbox 7270 (die wäre vergleichbar mit deinem Speedport, den du gefritzt hast) als IP-Client laufen habe, kann ich weder VPN- noch Fernwartung etc. einstellen. Das ganze Netzwerkzeug ist deaktiviet.

Wenn ich aber so tue, als ob die Fritzbox 7390 (die wäre dann vergleichbar mit deinem Speedport, wo du nix ändern willst / kannst) Kabelmodem wäre, sprich bei der Fritzbox 7270 Zugang über LAN1 / Internetverbindung selbst aufbauen / Zugangsdaten werden nicht benötigt (IP), dann habe ich die 7270 über LAN1 (fungiert dann als WAN Port) im Netz der 7390 und die 7270 in einem anderen Netzwerk. Bei mir schaut das dann so aus:

Fritzbox 7390 stellt Verbindung zum DSL her hat (bei mir) interne IP 192.168.1.253. Die 7270 hat eine WAN-Verbindung ins 192.168.1.x Netzwerk mit der IP 192.168.1.1 und eine lokale IP mit 192.168.178.1.
Jetzt tut die 7270 so, als wäre sie mit einem Provider verbunden, der feste IP-Adresse vergibt. Nur statt einer öffentlichen IP habe ich einfach eine lokale IP-Adresse aus dem 192.168.1.x Netzwerk, die nicht per DHCP von der 7390 vergeben wird und auch nicht manuell von mir vergeben wurde.
Und siehe da, alles an Netzwerk wieder da (VPN, DHCP, Fernwartung...)

Zum besseren Verständnis habe ich mal Screenshots beigefügt.

Ergänzung:

Also nur noch mal zur Sicherheit:
Die IP-Adresse bei der Einrichtung des Internetzugangs (WAN-IP) des gefritzten Speedports, muss aus dem gleichen IP-Adressbereich sein wie dein erster Speedport.
Die lokale IP-Adresse deines gefritzten Speedports (Einstellungen -> Netzwerk -> IP-Adressen) muss dann einen anderen IP-Nummernkreis haben.
Bei den DNS-Servern habe ich die Google DNS-Server 8.8.8.8 bzw. 8.8.4.4 eingetragen, da kannst du aber auch die von T-Online / T-Com oder auch OpenDNS nehmen.
 

Anhänge

  • FB_7270_via_Lan1_WAN_Port_7390.JPG
    FB_7270_via_Lan1_WAN_Port_7390.JPG
    136.1 KB · Aufrufe: 160
  • 7270_VPN.JPG
    7270_VPN.JPG
    106.5 KB · Aufrufe: 61
Zuletzt bearbeitet:
[klugscheiß] ... und in #5 steht sogar, warum ;-) [/klugscheiß]
 
Entschuldigänse, könnten auch Enten sein.
:groesste:

Mir war schon klar, dass der LAN1 sich als WAN-Port umkonfigurieren lässt.
Nur war mir nicht klar, dass man dem WAN-Port so einfach eine Lokale IP-Adresse geben kann. Ich lerne ja auch nie aus.

Außerdem war die Anleitung mit ifconfig und weiss der Kuckuck viel zu umständlich.:p

Das ganze lässt sich ja auch via Webinterface einrichten. Und da habe ich halt nur beschrieben, wie und was genau. Du hast es ja sehr allgemein gehalten. Und wenn ich das richtig interpretiere hast du ja mit ifconfig lan3 ja lediglich ein weitere NIC lokal eingerichtet, aber so fit bin ich in Linux nicht.

Außerdem schrieb der TO ja, das es mit dem ifconfig bei ihm nicht geklappt hat. Daher habe ich das Problem noch als ungelöst erachtet.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.