VPN in etwas ungewöhnlicherer Konfiguration

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
D

demofreak

Neuer User
Mitglied seit
16 Mrz 2006
Beiträge
53
Punkte für Reaktionen
0
Punkte
0
Moin,

(am besten gleich den Anhang anschauen, das erleichtert mir das Erläutern ;))

ich möchte gern einen VPN-Zugang für die Clients in den Räumlichkeiten der Firma einrichten, damit von dort aus Zugriff auf mein Heimnetz möglich ist. Nun habe ich allerdings die zusätzliche Hürde, dass der Internetzugang in der Firma nur "mitbenutzt" wird, d.h. ich durfte netterweise bei einer benachbarten Firma einen Accesspoint ins LAN stellen, um den dortigen Internetzugang via WLAN mitzunutzen.

In meinem jugendlichen Leichtsinn dachte ich mir, dass ich mit den AVM-Bordmitteln einfach zwischen dem als "Repeater" bezeichneten Gerät und meiner FB7270 im Heimnetz eine VPN-Verbindung mittels "Fritz! Fernzugang einrichten" konfigurieren kann, das scheitert aber an zwei Kleinigkeiten: a) kann ich keine Portweiterleitung auf dem DSL-Router der Fremdfirma einrichten und b) hat mein Repeater auch keine Kennung über die derzeitige externe IP-Adresse und daher funktioniert die firmware-interne DynDNS-Aktualisierung nicht.

Auf die 3020 wollte ich eh Freetz packen, um mit iptables den Zugriff der Fremdfirma-PCs auf meine PCs (und damit das VPN) zu verhindern. In diesem Aufwasch liesse sich das DynDNS-Teilproblem einfach mit ddclient auf der 3020 mit erledigen (ich hoffe mal, dass das da noch mit draufpasst).

Wie würdet ihr die VPN-Geschichte am geschicktesten/mit dem geringsten Aufwand lösen? Brauche ich überhaupt eine Portweiterleitung auf den Repeater, oder wird die Verbindung irgendwie automagisch über den NAT-Router hinweg aufgebaut (ich habe da unter dem Stichwort IPsec-NAT-Traversal verschiedenes gelesen, es aber nicht wirklich verstanden ;)).

EDIT: öhm, falsches Forum. Kann das mal bitte einer verschieben? Sorry...
 

Anhänge

  • VPN.pdf
    23.3 KB · Aufrufe: 28
Hallo,

ich habe das Thema mal in "Fritz"->"Internet" verschoben, die Heimat der VPN Lösung.

Zu deinem Problem: Das lässt sich so gar nicht lösen, denn du hast die dritte Kleinigkeit vergessen, die dir fehlt: Du hast keinen Router in dem Szenario, also keinerlei Möglichkeit, ein Gateway für einen VPN Tunnel bereit zu stellen. Solange es das nicht gibt, brauchst du dir über alle anderen Dinge keine Sorgen zu machen.

Darüber hinaus wage ich zu bezweifeln, dass dyndns dir überhaupt weiterhilft. Einen VPN Server kannst du auf Firmenseite von vornherein vergessen, wegen der fehlenden Portweiterleitungen. Warum also willst du einen dyndns Account für einen VPN Client?

Zwei Möglichkeiten: Dein PC, µC-Board und Notebook sind jeder für sich in der Lage, eine VPN Verbindung zu dir zu Hause aufzubauen, oder du bringst einen gescheiten Router ins Szenario, der die VPN Verbindung aufbauen kann, z.B. an die Stelle, die momentan die 3020 inne hat. Wenn du das Ding als NAT Router einrichtest, hast du auch direkt dein iptables Problem gelöst, da der NAT Router den Zugriff von außen blockt. Eine Lösung könnte also sein, die Rollen der 7170 und der 3020 zu tauschen, und dann die 7170 für NAT Router über IP zu konfigurieren. Dann kann sie auch VPN. Beachte, dass der Verbindungsaufbau aber nur aus dem Firmennetz aktiv getriggert werden kann, da dein Router zu Hause die 7170 im Firmennetz nicht erreichen kann.
 
frank_m24 schrieb:
Zu deinem Problem: Das lässt sich so gar nicht lösen, denn du hast die dritte Kleinigkeit vergessen, die dir fehlt: Du hast keinen Router in dem Szenario, also keinerlei Möglichkeit, ein Gateway für einen VPN Tunnel bereit zu stellen. Solange es das nicht gibt, brauchst du dir über alle anderen Dinge keine Sorgen zu machen.
Zum Vergrößern anklicken....
Hm, beim Thema VPN schwirrt mir noch bissi der Kopf, zugegebenermaßen. ;)
Ich hatte irgendwie die nebulöse Vorstellung, dass die 7170 als Router für die VPN-Verbindung der Clients fungiert (dass dort also zum Einen eine Route über den Tunnel ins Heimnetz existiert und zum Anderen eine Route in das Firmennetz da für den normalen Internetzugang). Aber klar, dann müsste die 7170 ja als Gateway bei den Clients eingetragen sein, was sie derzeit natürlich nicht ist. :blonk:

frank_m24 schrieb:
Darüber hinaus wage ich zu bezweifeln, dass dyndns dir überhaupt weiterhilft. Einen VPN Server kannst du auf Firmenseite von vornherein vergessen, wegen der fehlenden Portweiterleitungen. Warum also willst du einen dyndns Account für einen VPN Client?
Zum Vergrößern anklicken....
Für einzelne Clients brauch ich das nicht, soweit klar. Ich bin geistig irgendwie immer noch bei dem "Fritz! Fernzugang einrichten", und dort ist ja die Rede von einem DynDNS-Account, wohl weil da eine Verbindung zwischen zwei VPN-Servern auf den beiden beteiligten Firtzboxen eingerichtet wird.

frank_m24 schrieb:
Zwei Möglichkeiten: Dein PC, µC-Board und Notebook sind jeder für sich in der Lage, eine VPN Verbindung zu dir zu Hause aufzubauen,
Zum Vergrößern anklicken....
Nein, so soll es gerade nicht sein. Davon abgesehen kann das µC-Board sowas auch gar nicht... :D

frank_m24 schrieb:
oder du bringst einen gescheiten Router ins Szenario, der die VPN Verbindung aufbauen kann, z.B. an die Stelle, die momentan die 3020 inne hat. Wenn du das Ding als NAT Router einrichtest, hast du auch direkt dein iptables Problem gelöst, da der NAT Router den Zugriff von außen blockt. Eine Lösung könnte also sein, die Rollen der 7170 und der 3020 zu tauschen, und dann die 7170 für NAT Router über IP zu konfigurieren. Dann kann sie auch VPN.
Zum Vergrößern anklicken....
Die beiden Boxen tauschen kann ich nicht, weil ich im nächsten Schritt auf "meiner" Seite des WLAN gern noch den Telefonieteil der 7170 verwenden möchte. Aber vermutlich kann ich mit Freetz die 3020 irgendwie zum Router aufbohren?

frank_m24 schrieb:
Beachte, dass der Verbindungsaufbau aber nur aus dem Firmennetz aktiv getriggert werden kann, da dein Router zu Hause die 7170 im Firmennetz nicht erreichen kann.
Zum Vergrößern anklicken....
Ja, da finde ich dann schon irgendeine Variante, was dort regelmässig einen Verbindungsaufbau auslöst (z.B. das µC-Board, was aller 5 Minuten Temp. und Luftfeuchte in den Munin hier loggen soll).
 
Er hat auch nicht gemeint, dass Du die 7170 mit der 3020 physisch tauschen sollst (oder doch?). Vielmehr hat er gemeint - was Du ja ausch schon richtig erkannt hast -, dass die 7170 als Router für die Clients, die bei Dir im Büro stehen fungieren muss.
Ich würde denken, dass dann die Sache eigentlich kein Problem sein sollte. Wenn Du die Verbindung von Seiten der 7170 in Deinem Büro aus aufbauen (triggern) lässt, dann sollte es auch ohne Portweiterleitungen gehen.

EDIT:
Ahh - Moment - er hat wahrscheinlich doch beides gemeint:
1. Rolle 7170 = NAT-Router
2. 7170 wird per LAN1 an das Netz Deiner Nachbarfirma angeschlossen.

"eigentlich" ist das nicht nötig. Es ist aber doch nötig, weil die FritzBox "internet" nur über DSL oder über LAN1 beziehen kann, nicht aber über WLAN. Die 7170 kann also entweder als AccessPoint/Repeater betrieben werden (also so wie Du es jetzt hast) oder als NAT-Router, dann kann sie Internet nur über LAN1 oder integriertem DSL-Modem beziehen.
Falls Du also tatsächlich die Geräte nicht physisch tauschen kannst, dann könntest Du auch einen AccessPoint vor die FB7170 klemmen, so dass sie über LAN1 ans Internet angeschlossen werden kann.

Gruß,
Pfeffer.
 
Zuletzt bearbeitet:
Hallo,

demofreak schrieb:
Für einzelne Clients brauch ich das nicht, soweit klar. Ich bin geistig irgendwie immer noch bei dem "Fritz! Fernzugang einrichten", und dort ist ja die Rede von einem DynDNS-Account, wohl weil da eine Verbindung zwischen zwei VPN-Servern auf den beiden beteiligten Firtzboxen eingerichtet wird.
Zum Vergrößern anklicken....
Die AVM VPN Lösung geht davon aus, dass die Verbindung von beiden Seiten gleichberechtigt aufgebaut werden kann. Deshalb will sie zwei dyndns Accounts.

demofreak schrieb:
Aber vermutlich kann ich mit Freetz die 3020 irgendwie zum Router aufbohren?
Zum Vergrößern anklicken....
Hmm. Ich denke eher nicht. Das wird jedenfalls extrem schwierig, da der 3020 von Haus aus alle Möglichkeiten dazu fehlen. Vielleicht könnte man was mit iptables bauen, aber ich wage zu bezweifeln, dass du alle erforderlichen Komponenten ins Flash der 3020 kriegst. Das ist ja mit der Freetz Grundausstattung schon voll. Was aber viel schwerwiegender ist: VPN kann sie dann immer noch nicht, und das passt garantiert nicht mehr ins Flash.

Fazit: Die 3020 ist ihre angedachten Aufgabe nicht gewachsen. Sie müsste den VPN Tunnel bereit stellen, denn ein WDS Client kann es nicht aufgrund der fehlenden Router-Funktionalität. Damit scheidet die 7170 in deinen Räumen aus. An die Stelle, an der jetzt die 3020 ist, muss dein VPN Gateway. Oder du musst das komplette Szenario noch mal umstricken, z.B. indem du auf WDS verzichtest mit einer WLAN Bridge am WAN Port der 7170 im Modus "Internet über LAN". Wie dem auch sei: An einer größeren Umbauaktion kommst du nicht vorbei.
 
Also, um die Umbau-Aktion im Rahmen zu halten, besorge ich jetzt noch eine kleine FB WLAN und betreibe die als WDS vor der 7170. Da sollte ja eigentlich noch eine 3020 vollkommen ausreichen.

Langfristig werde ich doch versuchen, eine Kabelverbindung an Stelle der WDS-Strecke zu schaffen.

Danke soweit. ;)
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 579 (Mitglieder: 38, Gäste: 541)

Neueste Beiträge

Statistik des Forums

Themen
246,285
Beiträge
2,249,447
Mitglieder
373,877
Neuestes Mitglied
Bbj
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück