VPN (Lancom Client) via 5GB Backup einer Fritzbox durchschleifen

[mikesch40]

Guten Abend!

Szenario:

LANCOM Router mit VDSL Verbindung und 25 VPN Clients Lizenz
Einwahlen via DSL funktionieren einwandfrei.

Backup der DSL Leitung mittels einer 5G Fritzbox.
Funktioniert soweit gut Internet und SIP Trunk laufen auch über das mobile Backup.

Lediglich die VPN Einwahlen via Mobil-Backup sind nicht möglich.

Welche Ports und Protokolle müsste die Fritzbox zum Lancom Router "durchreichen", damit die Einwahl mit der 5G Backup-Verbindung auch funktioniert? - Oder ist das gar nicht machbar?

Die VDSL Verbindung ist recht instabil und fällt so 4-5 mal die Woche für Zeiträume von 20 min bis 3 h aus.
Die TELEKOM sucht schon seit über 4 Monaten an dem Fehler der DSL-Leitung.

Bin für Lösungsvorschläge dankbar.

Mit freundlichen Grüßen
Mikesch

[Dr.Einstein]

UDP 500
UDP 4500
Protokoll 50 ESP (optional)
bei HTTPs Tunneling TCP 443

Bedenke, die meisten Mobilfunktarife verhindern ankommende Verbindungen.

[5624]

Wenn es sich nicht um einen speziellen 5G-Tarif handelt, der eingehende Verbindungen zulässt, hast du keinerlei Chance. In deutschen Mobilfunknetzen werden eingehende Verbindungen weggefiltert.

Um IPSec von der Fritzbox zum LANCOM zu bekommen, musst du IPSec auf der Fritzbox deaktivieren und die Ports UDP/500 und UDP/4500 weiterleiten.

[Dr.Einstein]

In deutschen Mobilfunknetzen werden eingehende Verbindungen weggefiltert.

T-Mobile hat zB den APN internet.t-d1.de oder das Produkt für eine feste v6 Adresse. Vodafone hat etwas ähnliches.

[5624]

Ja, den APN internet.t-d1.de kenne ich, dieser hat(te) zwar eine öffentliche IP bis zum Endgerät, aber eingehende Verbindungen waren dennoch nicht möglich. Der APN stammt noch aus einer Zeit, als NAT-T nicht weit verbreitet war und IPSec ohne öffentliche IP nicht funktionierte. Mag sein, dass es sich geändert hat, aber als ich diesen zuletzt verwendet habe, lag dieses Verhalten noch vor.

Bei Vodafone gab früher ein Produkt, welches auch eingehende Verbindungen erlaubt hat, gabs nur für Geschäftskunden, kostete 30€ netto extra. Das mit der festen IPv6 bei der Telekom ist mir auch bekannt.

[Dr.Einstein]

Hat sich nie was am APN internet.t-d1.de geändert, zB hier ankommend SSH

Code: Alles auswählen

2025-05-06 21:27:49	Looking up host "37.80.33.xxx " for SSH connection
2025-05-06 21:27:49	Connecting to 37.80.33.xxx port 22
2025-05-06 21:27:49	We claim version: SSH-2.0-PuTTY_Release_0.80
2025-05-06 21:27:49	Connected to 37.80.33.xxx 
2025-05-06 21:27:49	Remote version: SSH-2.0-lancom
2025-05-06 21:27:49	Using SSH protocol version 2

VPN ankommend:

Code: Alles auswählen

[VPN-Status] 2025/05/06 21:32:48,500
Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 604 bytes
Gateways: 37.80.33.x:500<--80.187.85.x:500
SPIs: 0xBF233E53CC96E6410000000000000000, Message-ID 0
-Could not assign message from 80.187.85.x to any existing peer.
  -Either Peer's remote gateway is unspecified/unresolved by DNS, or
  -IKEv2 message came through unexpected interface, or
  -DEFAULT peer is not active

[hyperjojo]

hi,

da muss ich etwas widersprechen.

Ich nutze schon seit sehr langer Zeit den internet.t-d1.de mit eingehenden VPN-Verbindungen, SSH etc. Das geht schon seit gefühlter Ewigkeit.

Man muss sich nur bewusst sein, dass die öffentliche IP hier nicht vertraglich (AGB) vereinbart ist und somit jederzeit vom Provider umgestellt werden kann. Daher empfehle ich die öffentliche IPv6 zu buchen, damit geht es auf jeden Fall und dauerhaft.

Gruß hyperjojo