VPN zwischen zwei Vodafone-Kabelzugängen mit Fritz!Boxen

Dieses Thema im Forum "AVM (Fritz)" wurde erstellt von ThKaS, 31. Dezember 2017.

Schlagworte:
  1. ThKaS

    ThKaS Starter

    Registriert seit:
    31. Dezember 2017
    Beiträge:
    2
    Punkte für Erfolge:
    1
    Hallo,

    ich bin neu hier im Forum. Ich habe auch schon gesucht, aber noch keine richtige Lösung gefunden.
    Sollte es eine geben und ich sie übersehen haben, sorry dafür.

    Ich habe eine Aufgabe vor mir, zu der ich noch keine wirkliche Lösung gefunden habe, unter Anderem, weil ich immer wieder lese, dass VPN und Kabelzugang nicht gut zusammenarbeiten (Stichwort DS-Lite).

    Das Ziel ist, zwei etwas komplexere Netze (beide kabeldeutschland/vodafone) über VPN zu verbinden.

    Standort1: Netz1 (intern, Router AVM 7490) 192.168.10x.xxx stellt WLAN für interne Zwecke zur Verfügung, PC Verbindungen, 1 NAS_A (QNAP) für alle internen Daten, LAN1 als WAN-Port nach Netz2

    Standort1: Netz2 (DMZ Kabel-Router AVM 6490) 192.168.20y.yyy mit 1 NAS_B (QNAP) mit Zugriff von aussen, WAN vodafone kabel 400Mbit, offenes WLAN für Gäste

    Internet/WWW/offenes Netz

    Standort2: Netz3 (DMZ Kabel-Router Vodafone Kostenlos) 192.168.25z.zzz, WAN vodafone kabel 100Mbit, , offenes WLAN für Gäste

    Standort2: Netz4 (intern, Router AVM 7490) 192.168.24w.www stellt WLAN für interne Zwecke zur Verfügung, PC Verbindungen, 1 NAS_C (QNAP) für alle internen Daten, LAN1 als WAN-Port nach Netz3

    Folgendes soll erreicht werden:
    • Zugriff aus Netz4 über VPN nach Netz1 um auf alle Daten auf NAS_A zugreifen zu können.
    • Zugriff aus Netz1 über VPN nach Netz4 um Datensicherung von NAS_A nach NAS_C sicherzustellen.
    • Internet-Browsen muss nicht über VPN stattfinden, wenn es nicht anders geht, dann über Netz2
    • bessere Absicherung von NAS_C in Netz2, da scheinbar aus der “my-qnap-Anmeldung“ „unendliche“ viele Zugriffsversuche auf das NAS erfolgen.
    Vllt. kann mir einer der Spezialisten hier Hilfestellung geben.

    Sollte die verwendete HW nicht gut einbindbar sein, würde ich mich über Empfehlung freuen.
    Sollte ein weiterer Dienstleister erforderlich sein, würde ich mich über Empfehlung freuen.

    Und... es darf gern günstig sein ;-)

    Danke schon ´mal vorab
     
  2. Ehemalige Benutzer

    Ehemalige Benutzer Sammelaccount aufgelöster Benutzeraccounts

    Registriert seit:
    17. November 2002
    Beiträge:
    1.226
    Punkte für Erfolge:
    48
    Wenn ich mich recht erinnere bekommt man bei Kabelanschlüssen von Vodafone keine öffentliche IPv4-Adresse und somit ist der Zugriff von "außen", also dem Internet nur über IPv6 möglich. Das dürftest du ja bei deinen Recherche auch schon rausbkommen haben, Stichwort DS-Lite. Ob sich mit den Bordmitteln der FritzBox ein VPN über IPv6 aufbauen läßt, weiß ich nicht. Da sind die FritzBox Experten gefragt.
     
  3. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.407
    Punkte für Erfolge:
    160
    Hi,

    willkommen im Forum.

    Das ist schon eine etwas umfangreichere Aufgabe. Die sollte in mehreren Schritten - nach und nach - umgesetzt werden:

    1. Prüfen und konfigurieren des Zugangs aus dem Internet auf Geräte in der DMZ.
    2. Konfiguration der DMZ
    3. Konfiguration der VPN-Verbindung
    4. Konfiguration des Zugriffs aus dem Internet auf die einzelnen Heimnetze
    5. Konfiguration der VPN-Verbindung für den Zugriff auf die jeweiligen Heimnetze.
    6. Alles andere
    Zu 1:
    Hast dein Internet-Zugang eine öffentliche IPv4? Kannst du schon z.B. mit dem Handy aus dem Mobilfunknetz auf die Oberflächen der Kabel-FBen zugreifen?

    Zu 2:
    Hast du die DMZ so konfiguriert wie hier beschrieben: Sicheres Heimnetz trotz Portfreigaben via UPnP für (Spiele-)Konsolen. Insbesondere: Ist die FB fürs Heimnetz als "Exposed host" in der jeweiligen Kabelbox eingetragen?

    VG
     
  4. ThKaS

    ThKaS Starter

    Registriert seit:
    31. Dezember 2017
    Beiträge:
    2
    Punkte für Erfolge:
    1
    Hallo CapFloor,

    danke für die ersten Hilfestellungen.

    Zu 1) Nein, bisher nicht. Beide Boxen sind Vodafone-Kabelboxen (ein WLAN-Router Netz3 und eine AVM 6490 Netz2) und bieten nur DS-Lite :-(
    Da beginnen ja schon die Probleme.

    ZU 2) Nein, habe ich noch nicht. ich lese mir das durch, wo das von meiner Konfig abweicht.

    Danke
    Gruss
    Thomas
     
  5. svenyeng

    svenyeng Top-User

    Registriert seit:
    27. Juni 2017
    Beiträge:
    902
    Punkte für Erfolge:
    30
    Hallo!

    Ich fürchte das das nichts mehr ist was man einfach so mit Fritzboxen lösen kann.
    Warum brauchst Du denn pro Standort unbedingt 2 Netze? Damit machst Du Dir doch das Leben nur unnötig schwer.
    Ich würde pro Standort ein Netz machen.

    Nimm dafür am besten eine Sophos SG oder XG an beiden Standorten.
    Dann kannst Du das Internet surfen neben dem VPN herlaufen lassen.
    Wenn Du fürs WLAN auch einen Sophos AP nimmst kannst Du ein extra BesucherWLAN ausstrahlen was ein eigenes Netz bekommt.

    Gruß
    sven
     
  6. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.407
    Punkte für Erfolge:
    160
    Hi,
    die Fritzboxen unterstützen kein VPN auf IPv6 Basis.

    Um wenigstens auf einzelne Geräte per IPv6 aus dem Internet zugreifen zu können, brauchst du als erstes einen DynDNS Dienst, der IPv6 ordentlich unterstützt. Das ist beim AVM eigenen Dienst "MyFritz" der Fall. Wenn nicht schon geschehen, solltest du ein MyFritz-Konto anlegen und die beiden Fritzboxen unter diesem Konto registrieren. Testweise kann dann der Zugriff auf die Fritzboxen (Admin-Oberfläche) freigegeben werden und man sollte von einem Client aus dem Netz2 (oder Netz3) auf den Zugangsrouter des jeweils anderen Standortes zugreifen können über die von MyFritz vergebene Subdomain.

    Jetzt kannst du bei den "MyFritz-Freigaben" Ports für spezifische Geräte (IPv6) freigeben. Diese Geräte erhalten bei MyFritz jeweils eine eigene Subdomänen, so dass du sie mit zwar sehr kryptischen, aber immerhin symbolischen Namen von außen ansprechen kannst.

    Eine Routerkaskade ist mit IPv6 eigentlich einfacher als mit IPv4. Die Fritzbox ist als einer der ganz wenigen Consumer-Router dafür sogar besonders geeignet - Stichwort: funktionierende IPv6 Network Delegation. Allerdings wird auf deiner Provider Kabelbox noch eine ältere FW installiert sein, die Probleme mit der Firewall hat bzgl. an einen dahinterliegenden Router delegierte IPv6 Subnetze. Außerdem ist es für Routerkaskaden sinnvoll, wenn der Provider dir ein /56 IPv6 Netz zuweist. Ich glaube nicht, dass das bei KD der Fall ist.

    Fazit: Keinen zweiten Router hinter die Providerbox hängen. Zum Segmentieren des Netzwerkes bräuchtest du allerdings in der Tat ein Firewall, die mehr kann als die Provider FB. Welche FW ist auf der Providerbox im Augenblick installiert?

    Was natürlich gar nicht funktioniert ist der Zugriff auf Clients im Netzwerk, die IPv6 nicht unterstützen.

    VG