[Frage] VPN <-> VPN zwischen zwei 7270, aber über Mobilfunkstick

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
L

LarsIP

Neuer User
Mitglied seit
15 Jun 2005
Beiträge
176
Punkte für Reaktionen
0
Punkte
16
Hallo,

ich möchte gerne "in der Pampa" eine 7270 aufstellen, einen Huawei E1750 Mobilfunkstick hineinstecken, über den die Box online gehen soll, DyDNS einrichten und dann eine AVM VPN-Konfiguration in die Box laden.

Meine Frage: Baut die 7270 den VPN-Tunnel zu einer anderen 7270 (die über DSL angebunden ist) dann auch klaglos über die Mobilfunkverbindung auf?
 
Das kommt darauf an, ob die mobile Box eine öffentliche IP erhält und somit per dyndns erreichbar ist. Manche Mobilfunkanbieter vergeben NAT-Adressen, vornehmlich aus dem Bereich 10.x.x.x, die von aussen nicht erreichbar sind.
 
Ich hatte die Frage anders verstanden. Die VPN-Verbindung soll doch die Mobilfunk-Box aus der Pampa aufbauen. So herum sollte es doch eigentlich gehen...
 
Das ist aber abhängig vom Mobilfunkprovider. Bei allen Providern und Resellern im E-Plus-Netz sind keine VPN-Verbindungen möglich. Wie es bei den anderen ist, weiß ich nicht.
 
MeWe schrieb:
So herum sollte es doch eigentlich gehen...
Zum Vergrößern anklicken....
Warum? Beim Tunnelaufbau müssen trotzdem beide Seiten eine öffentliche und somit routingfähige IP haben. Spielen wir das mal durch. Stick rein dyndns einrichten und die fritzbox meldet sich beim Dyndns: "Ich habe die 10.x.x.x (und somit eine private IP) Schau mal in so eine VPN-Konfig rein. da steht Ziel und Quelle drin (der dyndns-name). Die Packete finden schlicht und ergreifend den Rückweg nicht, da private Netze im Internet nicht geroutet werden. Was im Tunnel passiert ist was anderes aber als Endpunkte brauchst nun mal öffentliche IPs
 
mhh, klingt beinahe logisch.
Irgendwie müssen aber doch Pakete wieder in das private Netz des Mobilfunkanbieters und zum richtigen Nutzer zurückfinden, sonst dürfte man dort nicht viel mit dem Internet anfangen können.

Mein PC hier steht auch in einem privaten (naja beinahe) Netz. Meine FB zuhause hat einen VPN-Zugang.
Ich komme da problemlos hin (und auch wieder zurück).

Wenn denn die VPN-Verbindung FB <-> FB nicht geht, dann sollte aber doch zumindest eine Verbindung
PC - <-> irgendein Router <-> FB möglich sein.
 
PuuhBaer schrieb:
Bei allen Providern und Resellern im E-Plus-Netz sind keine VPN-Verbindungen möglich.
Zum Vergrößern anklicken....
Eine VPN Verbindung per UMTS von einem passenden Handy auf eine DSL angebundenen FB, ist (technisch) auch mit Eplus und Resellern ohne Probleme möglich.
Baut die 7270 den VPN-Tunnel zu einer anderen 7270 (die über DSL angebunden ist).....
Zum Vergrößern anklicken....
Also sollte doch zumindest eine VPN Verbindung von der Pampa UMTS FB Box, egal mit welchem "Handy" Provider, zu einer anderen FB auch kein Problem darstellen :gruebel:
 
MeWe schrieb:
Irgendwie müssen aber doch Pakete wieder in das private Netz des Mobilfunkanbieters und zum richtigen Nutzer zurückfinden, sonst dürfte man dort nicht viel mit dem Internet anfangen können.
Zum Vergrößern anklicken....
Dein Provider macht im Prinzip den "Router" und macht dahinter NAT. Er weiß welche IP du hast. Bei dyndns übergehst du ihn aber sozusangen. also dyndns hinter einem Router.
 
Interessant, dass NAT hier der ausschlaggebende Punkt ist. Hierzu kann ich einen anderen Erfahrungsbericht beitragen: Vor einiger Zeit habe ich zwei FB per VPN miteinander verbunden, wobei einer der (DSL-)Standorte "Vodafone-NGN-verseucht" war. Vodafone verrät für die VoIP-Sprachflatrate das Passwort nicht und es gab auch keine Möglichkeit, es mit Brute force-Methoden aus der DSL-EasyBox 802 auszulesen. Daher musste ich die DSL-EasyBox 802 zuerst anschließen, NATen lassen, dahinter die FB. Die FB baut nun hinter der EasyBox das AVM VPN auf und das funktioniert trotz NAT. Allerdings mit einer Einschränkung: Der Tunnel kann nur von dieser Seite aus aufgebaut werden. Danach ist die Kommunikation über den Tunnel aber aus beiden Richtungen möglich.

LediesH2k schrieb:
Beim Tunnelaufbau müssen trotzdem beide Seiten eine öffentliche und somit routingfähige IP haben. (...)
Die Packete finden schlicht und ergreifend den Rückweg nicht, da private Netze im Internet nicht geroutet werden.
Zum Vergrößern anklicken....

Obiges Ergebnis ist ja: Bei NAT funktioniert VPN prinzipiell, zumindest solange die Verbindung von innen nach außen aufgebaut wird. Ob das nun so einfach auf das NAT der Mobilfunkbetreiber übertragbar ist, muss wohl getestet werden, wenn niemand damit Erfahrung hat.

Sorgen bereitet mir noch das DynDNS. In obigem Fall registriert sich die EasyBox bei DynDNS, denn die EasyBox kennt ja auch die öffentliche IP. DynDNS per FB hatte ich nicht probiert. Wie ist das denn, wenn man über Mobilfunk versucht, sich über NAT bei DynDNS zu registrieren?
 
Hallo,

aus meinem reichhaltigen Erfahrungsschatz als Mobilfunkentwickler kann ich da vielleicht einige wertvolle Hinweise geben.

LarsIP schrieb:
Obiges Ergebnis ist ja: Bei NAT funktioniert VPN prinzipiell, zumindest solange die Verbindung von innen nach außen aufgebaut wird.
Zum Vergrößern anklicken....
Die Aussage gilt, solange der NAT Router korrekt "VPN Passthrough" implementiert.

LarsIP schrieb:
Ob das nun so einfach auf das NAT der Mobilfunkbetreiber übertragbar ist, muss wohl getestet werden, wenn niemand damit Erfahrung hat.
Zum Vergrößern anklicken....
Solange nur NAT im Weg steht, geht das. Jedenfalls bei T-Mobile, Vodafone und O2. Von allen drei Anbietern habe ich SIMs mit verschiedenen Tarifoptionen im Portfolio, mit denen ich meine Entwicklungen testen kann.

Bei E-Plus wurden lange Zeit einige VPN Technologien geblockt, u.a. IPSec, wie es die Fritzbox nutzt. Bei "original" E-Plus Verträgen konnte man eine VPN Option zubuchen, die einem nicht nur eine öffentliche IP ohne NAT bescherte, sondern auch ein funktionierendes VPN. Kunden der zahlreichen E-Plus Reseller Marken schauten leider in die Röhre. Möglicherweise ist das mittlerweile anders, ich hatte seit einiger Zeit keine E-Plus SIM mehr in Händen. Datennetz-mäßig habe ich die aus meinem Testprogramm verabschiedet. (Über die Gründe dafür möchte ich mich hier nicht auslassen).

Seit einiger Zeit bieten auch die großen Anbieter (T-Mobile, Vodafone) Tarifoptionen an, die laut Leistungsbeschreibung VPN untersagen. Oft unterscheiden die Anbieter in "Handytarife" und "Notebooktarife". Bei den Handytarifen sind die Zugänge eingeschränkt. Zumindest von T-Mobile kann ich definitiv sagen, dass dabei in den entsprechenden Tarifen auch technische Maßnahmen ergriffen werden, um VPN Datenverkehr zu unterbinden. Man kann die Verbindung noch aufbauen und hat nach dem Aufbau noch ca. 5 Sekunden Zeit, Daten zu übertragen. Dann wird der VPN Tunnel gekappt.

Dyndns mit einer privaten IP hinter einem NAT Router macht natürlich überhaupt keinen Sinn. Die öffentliche IP lässt keine ankommenden Pakete durch, Portweiterleitungen gibt es nicht, und eine private IP kann man übers Internet eh nicht erreichen.
Aber auch die öffentlichen IPs bei den Mobilfunkanbietern machen zuweilen Ärger, wenn es um die externe Erreichbarkeit geht. Ich habe hier eine SIM von T-Mobile, die ich über den APN "internet.t-d1.de" mit einer öffentlichen IP ins Internet bringen kann. Diese IP ist aber trotzdem nicht von außen erreichbar.

Fazit: VPN geht meistens, aber nur, wenn die Verbindung von Seiten des Mobilfunkendgerätes aufgebaut wird.
 
LediesH2k schrieb:
...Schau mal in so eine VPN-Konfig rein. da steht Ziel und Quelle drin (der dyndns-name)...
Zum Vergrößern anklicken....

In der Tat gibt es zwei verschiedene Scenarios - die Verbindung zweier Boxen und die Anbindung eines einzelnen Client. Wenn man den Fernzugang für einen einzelnen Rechner konfiguriert, ist dort nur der DNS-Name der Box, zu der die Verbindung aufgebaut wird, in der Konfig drin. Für den PC enthält die Config nur den Nutzernamen. Die öffentliche IP wird also nur für den Aufbau zur Zielbox benötigt.
Nur bei der Config für die direkte Verbindung zweier FBF sind zwei DNS Einträge erforderlich - damit eben von beiden Seiten die Verbindung aufgebaut werden kann.

Ich selbst nutze VPN auch von einem einzelnen Rechner hinter einer EasyBox 802 mit UMTS-Stick und 10.x.x.x IP. Keinerlei Problem. Ich werde am Wochenende mal schauen, ob auch die Verbindung zweier Boxen geht - wobei ich das normalerweise nicht nutze (dann sind die internen IP´s der gekoppelten Netze verschieden, während bei der Anmeldung eines einzelnen Rechners eine IP aus dem Zielnetz für die virtuelle Verbindung zugewiesen wird - was für Windows Netzfreigabe, Remotezugriff ect. besser funktioniert).

Mir ist auch aufgefallen, dass ich nach einer gewissen Inaktivität (halbe Stunde) die VPN-Verbindung evtl. unterbrechen und neu aufbauen musste - ein typisches NAT-Thema, der merkt sich den Rückweg nur eine bestimmte Zeit. Ein Mailprogramm, dass über VPN die Mails von einem Server im Zielnetz holt, reicht aber, um die VPN-Verbindung aktiv zu halten. Bei der Verbindung zweier Boxen und dem Wunsch, aus der Ferne auf die UMTSBox zugreifen zu können, muss man also dafür sorgen, dass diese die NAT-Veiterleitung aktiv hält (kennen wir ja schon von SIP, dort gibts aber einen Menupunkt). Es muss also z.B. ein Eintrag in der debug.conf der UMTS-Box her, der alle 5 Minuten ein Ping zur DSL-Box sendet und damit den NAT des Mobilanbieters aktiv hält.

DynDNS macht ggf. auch mit privaten IP´s des Mobilfunkanbieters Sinn - Wenn zwei Boxen über den gleichen APN mobil im Internet hängen. Dann sollte auch eine VPN-Verbindung möglich sein. Kann ich leider nicht testen. Auf Anfrage bot mir Selfhost (kann ich sehr empfehlen, sehr angenehmer Support) an, testweise die Möglichkeit freizuschalten, lokale IPs zu registrieren (geht sonst nicht, da DNS-Einträge nach Norm nur öffentliche IP´s enthalten sollten). Wenn man z.B. von einem Handy zu einem UMTS-angebundenen Router ein VPN aufbauen will, könnte das interessant sein.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 822 (Mitglieder: 53, Gäste: 769)

Neueste Beiträge

Statistik des Forums

Themen
246,287
Beiträge
2,249,470
Mitglieder
373,879
Neuestes Mitglied
Aggo
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück