VPN durch FB 7170 zu Allnet-Router

[stelu]

Hallo,

bin neu hier und poste hier weil ich- trotz Recherche - keine Lösung für mein Problem finde. Ich bin kein erfahrener Forenbenutzer, sollte ich einen Foren-Fehler begehen: Sorry im Voraus.

Ich bin mit dem WAN über die FBox 7170 verbunden. Ich möchte/muss mich bei meiner Arbeitsstelle über VPN verbinden.

Die VPN-Verbindung wird zwischen zwei Allnet-Routern 0276VPN hergestellt. Dies hat auch bis zum Umzug und dem damit verbundenen Wechsel von freenet mit Modem auf Unitiymedia (FB wegen Kabelinternet und VoIP) funktioniert.

Es scheint jetzt so zu sein, dass die FB den Tunnel nicht durchlässt. Ich habe mich schon an den Einstellung mit Portforwarding probiert (ESP), aber keine Lösung gefunden. Wobei ich nicht weiß ob ich dabei alles richtig gemacht habe.

Die FB hat intern die IP 192.168.178.1. (Die IP im WWW wird über DynDNS vermittelt, was auch korrekt funktioniert (was ich auf der DynDNS homepage nachvollzogen habe).
Mein Router hängt mit der IP 192.168.178.254 im Bereich der FB und vergibt in ihrem Netzbereich die IP´s 192.168.2.100-254. Alle internen IP´s mit Subnet 255.255.255.0
Der andere Router im Geschäft hängt nur hinter einem Modem und hat eine statische IP-Adresse. Die Einstellung der beiden Allnet-Router sind bezgl. der VPN-Verbindung (Verschlüsselung, etc.) unverändert geblieben.

Meiner Meinung nach dürfte die VPN -Tunnelung durch die FB nur funktionieren mit Port-forwarding, ich vermute dort meinen Fehler, deshalb noch diese Einstellungen meiner FB:

Protokoll ESP, Forwarden auf 192.168.178.254.

Ích wäre für Hilfe sehr dankbar.

 

[frank_m24]

Hallo,

die Fritzbox nutzt die 192.168.178.254 als interne Notfall-IP. Von daher solltest du den Allnet Router woanders hin verlegen, z.B. auf die 192.168.178.2.

Dann solltest du neben ESP auch noch UDP 500 (für IKE) und UDP 4500 (für NAT-T) an den Router weiterleiten.

 

[stelu]

Hallo!

Erst einmal vielen Dank Frank für Deine Bemühungen.

Ich habe die IP Adresse verändert auf 192.168.178.2.

ESP freigegeben, UDP Port 500 an 500 vom Allnet-Router (richtig?)
und UDP Port 4500 an 4500 vom Allnet-Router (richtig?). In der Routing-Tabelle habe ich im Drop Down Menu "Andere ANwendung" angegeben. Hat diese Angabe eine Relevanz, oder mus ich "Exposed Host" angeben? Habe dazu nicht viel in der Doku gefunden.

Leider habe ich damit auch noch keinen Erfolg gehabt.

Vielleicht hast du oder jmd anders noch eine Idee.

Viele Grüße,

Steffen Lutzi

 

[frank_m24]

Hallo,

das hört sich soweit richtig an.

Offenbar tun sich da Probleme mit dem VPN Passthrough auf. Von außen sind solche Probleme so gut wie unlösbar. Du solltest auf jeden Fall sehen, ob du in den beteiligten Allnet Routern den Aggressive Mode und NAT-T aktiviert hast. Aber machen wir uns nichts vor: IPSec ist nicht für den Betrieb über NAT Grenzen hinweg erschaffen worden. Die nachträglich angefllanschten Notlösungen sind oft nicht wirklich erfolgreich.

 

[stelu]

Hallo,

ich habe jetzt aggressive mode angeschaltet, sei weniger sicher, aber ich glaube das macht nicht viel aus.

Ich finde leider in der Doku nichts zu NAT-T und habe keinen Button dafür, würde mich aber wundern, wenn er das nicht könnte, da er ziemlich alle features, wie z.B. DMZ auch anbietet und Passthroughs für verschiedene Modi (IPsec, etc) anbietet. Ich glaube ich werde mal anrufen bei ALLNET, obwohl die mein letztes Problem auch nicht lösen konnten.

Ist das meine o.g. Portweiterleitung (500 an 500 und 4500 an 4500) richtig?

Viele Grüße,

Steffen Lutzi

 

[frank_m24]

Hallo,

ich habe jetzt aggressive mode angeschaltet, sei weniger sicher, aber ich glaube das macht nicht viel aus.

Der Main Mode kann meines Wissens über NAT Grenzen hinweg nicht funktionieren.

Ich finde leider in der Doku nichts zu NAT-T und habe keinen Button dafür, würde mich aber wundern, wenn er das nicht könnte, da er ziemlich alle features, wie z.B. DMZ auch anbietet und Passthroughs für verschiedene Modi (IPsec, etc) anbietet.

Der Allnet braucht ja kein Passthrough. Die Fritzbox braucht es, und der Allnet muss damit zurecht kommen.

Ist das meine o.g. Portweiterleitung (500 an 500 und 4500 an 4500) richtig?

Ja.

 

[stelu]

Hallo Frank,

in der zweiten Antwort hast du geschrieben ich solle bei beiden Allnet Routern NAT-T aktivieren, in deiner letzten Antwort habe ich dich so verstanden, als müsse es in der FB aktiviert sein.

Im Allnet Router gibt es auf jeden Fall keine Schaltfläche die mir das aktivieren von NAT-T ermöglicht. Eine Anfrage bei Allnet ergab, dass der Support nicht weiss was NAT-T ist. Daher glaube ich, das die Allnet-Router dieses Protokoll nicht unterstützen können.

Ich frage micht jetzt ob die FB nur als Modem zu nutzen ist, aber dann geht VoIP nicht mehr, wenn ich die Erfahrung aus anderen Threads zugrunde lege. Ob es Sinn macht die FB hinter den Router zu hängen und die Reihenfolge zu ändern? Was macht das mit meinem VoIP.

Oder kann ich die FB weglassen, da meine Telefonanlage VoIP-fähig ist, aber wie schließe ich beides (VoIP und Allnet Router an das Unitymedia-Modem an?)

Ich glaube ich habe noch einiges an Arbeit vor mir .

Viele Grüße,

Steffen Lutzi

 

[frank_m24]

Hallo,

in der zweiten Antwort hast du geschrieben ich solle bei beiden Allnet Routern NAT-T aktivieren, in deiner letzten Antwort habe ich dich so verstanden, als müsse es in der FB aktiviert sein.

Kann es sein, dass du VPN Passthrough mit NAT-T verwechselst?

Zusammenfassend: Die Router, die die Verbindung zum Internet herstellen, müssen VPN Passthrough korrekt implementieren und die erforderlichen Port- und Protokollweiterleitungen haben (500, 4500, ESP).
Die beteiligten VPN Endstellen benötigen die erforderlichen IPSec Funktionen wie Agressive Mode, NAT-T und abschaltbare AH.
Und der Benutzer benötigt eine gehörige Portion Glück, dass all das noch zusammenspielt, da es sich wie gesagt um eine zusammengeflanschte Spezifikation handelt.

Im Allnet Router gibt es auf jeden Fall keine Schaltfläche die mir das aktivieren von NAT-T ermöglicht. Eine Anfrage bei Allnet ergab, dass der Support nicht weiss was NAT-T ist. Daher glaube ich, das die Allnet-Router dieses Protokoll nicht unterstützen können.

Oh Oh.

Ich frage micht jetzt ob die FB nur als Modem zu nutzen ist, aber dann geht VoIP nicht mehr, wenn ich die Erfahrung aus anderen Threads zugrunde lege.

Richtig.

Ob es Sinn macht die FB hinter den Router zu hängen und die Reihenfolge zu ändern? Was macht das mit meinem VoIP.

Ist auch nicht einfach. Auch da warten beliebig viele Probleme auf dich. Aber einen Versuch ist es wert.

Oder kann ich die FB weglassen, da meine Telefonanlage VoIP-fähig ist, aber wie schließe ich beides (VoIP und Allnet Router an das Unitymedia-Modem an?)

Router ans Modem und Anlage an den Router. Aber mach dir nichts vor: Egal, ob Anlage oder Fritzbox, VoIP über NAT Grenzen ist nie einfach. Je nach Provider hat man da mit beliebigen Schwierigkeiten zu kämpfen.
In dem Zusammenhang: Für die Fritzbox gibt es in diesem Forum eine große Sammlung an Lösungen für spezifische Probleme. Die ist deutlich umfangreicher, als für viele andere VoIP Anlagen.

 

[stelu]

Hallo Frank,

ich glaube ich probiere die FB hinter den Allnet Router zu legen oder ganz wegzulassen. (Ich habe ja einen Router). Wobei mir die Einrichtung auc ein kleines Rätsel ist mit dem ich mich auseinandersetzen muss.
In der FB sind als Verbindungsdaten:

Internetzugang über LAN1,
Internetverbindung selbst aufbauen (Nat Router über PPPoE oder IP)
und
Zugangsdaten werden nicht benötigt
und IP über DHCP beziehen
eingegeben.

Wie erkennt Unitymedia mich denn ohne Zugangsdaten?

Bei jedem Lösungsansatz, den man zu denken wagt, wachsen gleich einer Hydras sofort die Fragen und Probleme nach.

Viele Grüße,
Steffen.

 

[frank_m24]

Hallo,

Wie erkennt Unitymedia mich denn ohne Zugangsdaten?

An der MAC Adresse und möglicherweise am Modem.

 

[stelu]

Hallo,

wenns die MAC-Adresse ist, dann kann ich meinen Router nicht nehmen.

Vielen Dank für die Hilfe, ich wünsche schöne Feiertage

Gruß,

Steffen Lutzi