.titleBar { margin-bottom: 5px!important; }

Multiple PPTP via Fritz!Box 7170 nicht möglich

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von boulder87, 1 Feb. 2007.

  1. boulder87

    boulder87 Neuer User

    Registriert seit:
    17 Jan. 2007
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Heidelberg und dann südlich
    Hallo,

    ich bin neu im Forum und ebenso Newie im Umgang mit der Fritz!Box 7170.
    Ich habe die FBP7170 auch im Büro, wo wir mit mehreren VPN-Tunnels (PPTP) über die FBP7170 auf unsere Remote Server zugreifen möchten.

    Leider läßt die FBP7170 nur einen VPN-Tunnel (PPTP) zu, dies hat AVM bestätigt.

    Hat jemand von Euch eine Idee, wie wir dieses Problem lösen können? Gibt es vielleicht etwas "Selbstgebasteltes"? Bin trotz Suche hier im Forum auf nix gestoßen, was ich verstanden hätte.

    Besten Dank,
    Karl-Heinz
     
  2. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    Deine Formulierung ist ein wenig unklar. Geht es um einen VPN Server oder um mehrere? Deshalb einige generelle Bemerkungen:

    Die Box verhindert keinesfalls mehrere PPTP Verbindungen gleichzeitig aus ihrem Netz heraus. Zu unterschiedlichen Servern ist das kein Problem, hab ich selbst schon mehrfach praktiziert.

    Was aber evtl. nicht funktioniert, sind mehrere gleichzeitige Verbindungen zum selben Server. Das liegt aber nicht an der Fritzbox, sondern an PPTP:
    Code:
    The PPTP RFC specifies in section 3.1.3 that there may only be one
    control channel connection between two systems.
    This should mean that you can only masquerade one PPTP session
    at a time with a given remote server.
    Obwohl also PPTP laut Spezifikation von hinter einem NAT Router tatsächlich nur eine Verbindung zu einem Server erlaubt, gibt es VPN Implementierungen, die das trotzdem machen. Zu meinem Draytek Vigor 2500 z.B. konnte ich damals 2 PPTP Tunnel gleichzeitig von hinter einer Fritzbox aufbauen. Zum Cisco 3000 VPN Concentrator bei uns in der Firma geht es nicht. Es hängt also in erster Linie vom PPTP Server ab, ob es geht, oder nicht. Cisco scheint sich so streng an die Spezifikation zu halten, dass sie zwei PPTP Tunnel aus einem NAT Netzwerk heraus unterbinden. Andere erlauben es.

    Willst du also mehrere PCs an einen PPTP Server bringen, dann brauchst du einen VPN Router. Das kann z.B. auch ein Windows PC sein. Mindestens XP Professional und die "großen" Vistas können eine VPN Verbindung für andere Benutzer zur Verfügung stellen. Es ist aber für die Clients nicht ganz einfach einzurichten, bei der Verteilung der Routen und Gateways für die VPN-Subnetze ist Handarbeit und Köpfchen gefragt. Besser fährt man wohl mit einer integrierten Lösung, die Internetzugang und VPN Tunnel "aus einer Hand" liefert.

    Viele Grüße

    Frank
     
  3. boulder87

    boulder87 Neuer User

    Registriert seit:
    17 Jan. 2007
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Heidelberg und dann südlich
    Hallo Frank,

    besten Dank für die schnelle Antwort!! :) Du hast Recht, ich habe es nicht genau beschrieben. Allerdings liegst du mit deiner Vermutung richtig, dass wir mehrere Verbindungen gleichzeitig zum selben Server aufbauen wollen, und genau das funktioniert nicht. Habe auch verstanden, dass es nicht an der Fritz liegt sondern am PPTP Protokoll.

    Ich brauche also einen Router hinter der Fritz!Box. Habe noch einen älteren Linksys WRT54G ver1.1 greifbar, wobei ich nicht weiß, ob es mit dem WRT54G überhaupt geht, und schon gar nicht wie ich das konfigurieren müßte.

    Zusätzlich hätte ich Zugriff auf einen Draytek Vigor 2800. Der sollte eigentlich die gleichen Features aufweisen, wie der 2500. Allerdings weiß ich nicht, wie ich den hinter einer Fritz!Box überhaupt konfigurieren muss, damit ich gleichzeitig mehrere VPN-Verbindungen zum selben Server aufbauen kann. Ist nicht so ganz einfach mit der Fritz!Box 7170, hatte es zuhause schon mit dem Linksys WRT54G probiert und bin gescheitert.

    Wir haben zwar jeder von uns XP Professional auf unseren Laptops, sind aber direkt via LAN-Kabel an die Fritz angeschlossen. Da wüßte ich jetzt nicht, wie wir uns gegenseitig via Clients die Verbindungen aufbauen sollten. Was meinst du mit "Lösungen aus einer Hand"? SW oder HW?

    Nochmals DANKE!

    Gruß,
    Karl-Heinz
     
  4. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    Nicht zwangsläufig hinter der Fritzbox - es kann auch anstatt der Fritzbox sein.

    Das weiß ich leider auch nicht, denn den habe ich nicht.

    Da kommen wir der Sache schon näher. So ein Vigor kann sehr flexibel VPN Tunnel zu diversen Servern aufbauen, auch mehrere gleichzeitig. Er routet für seine Clients den Traffic komplett selbständig - ein Notebook merkt überhaupt nicht, ob Daten jetzt ins Internet oder über VPN gehen, es klappt einfach. Die Frage ist, ob man den hinter einer Fritz betreiben kann. Drayteks mit integriertem DSL Modem kann man meistens nicht hinter einen anderen Router klemmen. Der wäre also eine "anstatt Fritzbox" Lösung.

    Das ist auch nicht einfach. Probiert habe ich es auch noch nie. Es müsste aber gehen, wenn ein Windows Rechner die VPN Verbindung aufbaut, diese per Internetverbindungsfreigabe anderen Benutzern zur Verfügung stellt, und diese Benutzer dann eine statische Route auf das entfernte Subnetz bekommen, und zwar mit dem Windows Rechner als Gateway für diese Route. Wie gesagt: müsste. Bei der Windows Internetverbindungsfreigabe treten evtl. merkwürdige Effekte auf, die zu Veränderung der IP Adresse auf einigen Karten führen und damit das ganze Netzwerk durcheinander bringen. Da muss man am Ende vielleicht an Schrauben drehen, an die man nie dran wollte.

    Damit meine ich, dass ein Gerät DSL- und VPN- (und VoIP-) Router in Personalunion ist. Also nicht zwei Geräte, sondern nur eines.

    Genereller Hinweis: Willst du die Fritzbox behalten und einen VPN Router hinter der Box einsetzen, dann benötigst du ein Gerät mit Ethernet als WAN Port. Geräte, welche nur ein DSL Modem als WAN Port haben, helfen dir nicht weiter. Deshalb bezweifle ich, dass es mit dem Vigor 2800 hinter der Fritz geht. Aber z.B. ein Vigor2910 kann es sicher. Es gibt aber auch andere Produkte, z.B. von Netgear, Linksys oder LANCOM.
    ABER: VPN über NAT Grenzen ist auch nicht unkritisch. PPTP macht da keine Probleme, falls du aber eines Tages auf IPSec umsteigen willst, dann kann ein NAT Router (wie die Fritzbox) zwischen VPN Server und Client ernste Schwierigkeiten machen. Da wäre dann auch wieder die "Lösung aus einer Hand" von Vorteil, weil da der VPN Client direkt an der DSL Leitung sitzt und keine NAT Instanz zwischen sich und dem Server hat.

    Viele Grüße

    Frank
     
  5. boulder87

    boulder87 Neuer User

    Registriert seit:
    17 Jan. 2007
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Heidelberg und dann südlich
    Hallo Frank,
    besten Dank für deine umfassende Antwort!!
    Sorry, wenn ich jetzt erst antworte, war geschäftlich unterwegs.
    Ich werde jetzt erst einmal den Draytek Vigor 2800 ohne Fritz!Box ausprobieren und an nichts weiterem "rumschrauben".
    Melde mich mit den Resultaten.

    Nochmals herzlichen Dank für deine Hilfe!!

    Viele Grüße,
    Karl-Heinz
     
  6. kdd

    kdd Neuer User

    Registriert seit:
    9 Aug. 2005
    Beiträge:
    67
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    #6 kdd, 4 Feb. 2007
    Zuletzt bearbeitet: 5 Feb. 2007
    VPN mit FBF 7170 FW 29.04.29

    Hallo,
    ===================== E D I T =======================
    Alles klar, habe den Vigor mal zurückgesetzt und neu konfiguriert
    und siehe VPN klappt wieder; die FBF wars nicht. Wohl ein Zu-
    fall, dass es mit dem FW Update zusammenhing.
    Weiterlesen daher nicht nötig
    ================== E N D E E D I T ===================

    ich hänge mich aus aktuellem Anlass hier hinein, da das Thema bei mir erneut hochkommt.
    Mit der FW 29.04.25 konnte ich einen PPTP VPN Tunnel von meinem XP Rechner über einen zwischengeschalteten Vigor 2200E+ und danach die FBF als Router/Modem zu einem Server mit einem DYNDNS Namen aufbauen. Allerdings mussten Portfreigaben für den Rückkanal erfolgen, was mir eigentlich auch schon etwas missfiel, aber ohne die ging's gar nicht.
    Nun habe ich die FW 29.04.29 seit einigen Wochen, und kann definitiv keine VPN Verbindung mehr durch die FBF aufbauen.
    Auch dann nicht, wenn ich den Vigor als exposed Host in der FBF angegeben habe.
    Weil ich noch 'ne alte ISDN Karte habe, wurde getestet, ob's damit geht, das war ok.
    Die Einzige Änderung ist der FW Wechsel von 29.04.25 auf 29.04.29. Zwischendrin hatte ich mal 'ne Laborversion drin, die hat mir jedoch noch mehr Ärger gemacht.
    Was ich nicht gemacht habe ist der totale Reset der FBF. Ich schrecke immer vor dem Aufwand der Eingaben und dem Rückspielen der Erweiterungen (Mods) zurück.

    Im Übrigen können, was mit der FW 29.04.25 noch ging, auch keine VPN Verbindungen mehr von aussen zu meinem Vigor aufgebaut werden. Das war der einzige Grund, warum ich den Vigor da noch drin habe. Open VPN mag ich nicht und AVM VPN auch nicht, weil die wieder einen extra VPN Client nutzen. Das ist für mich nicht akzeptabel.