VPN Szenario / Fritzbox / IKEv1

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
eisback
Beiträge: 22
Registriert: 09 Feb 2017, 19:33

VPN Szenario / Fritzbox / IKEv1

Beitrag von eisback »

Hallo, eine Außenstelle ist mit der Zentrale via IKEv2 verbunden. Von der Außenstelle wird eigentlich nur RDP Richtung Zentrale genutzt, umgekehrt kommen von der Zentrale eigentlich nur Druckaufträge. Auf beiden Seiten befinden sich Lancom Router an Telekom Anschlüssen. Nun ist die Bandbreite der Außenstelle miserabel (10 MB / 2 MB) deshalb wurde zusätzlich ein Vodafone Kabelanschluss beauftragt. Die Fritzbox kann nach wie vor nur IKEv1, oder? Aber habe ich eine andere Wahl? Ich kann den Lancom am Außenstandort nicht außer Betrieb nehmen, weil der auch DNS-Weiterleitungen für die AD Domain realisiert. Deshalb ist meine Idee folgende:

1. Fritzbox ins gleiche Netz bringen
2. Die WAN Gegenstelle auf dem Lancom in der Außenstelle löschen
3. Die VPN Gegenstellen auf dem Lancom in der Zentrale + Außenstelle löschen
4. IKEv1 VPN zwischen Fritzbox und Lancom Zentrale einrichten
5. Routingeintrag auf Lancom in der Außenstelle setzen damit alle Pakete für das Zielnetz (Zentrale) über die Fritzbox geroutet werden

Hat Jemand eine bessere Idee?

Danke!
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VPN Szenario / Fritzbox / IKEv1

Beitrag von tstimper »

Hi eisback,

VPN IKEv2 zwischen LANCOM Filiale und LANCOM Zentrale bleibt bestehen,
VPN Traffic zur Zentrale geht über IPOE Communication Layer geroutet über die Fritzbox
Die Fritzbox mach selbst kein VPN sondern lässt nur den VPN Aufbau zur Zentrale zu.
Also in der Fritzbox UDP 500 und ggf UDP4500 ausgehend erlauben.
Ggf muss man auch den VPN Aufbau über IPSec ober HTTPS machen (im LANCOM VPN Modul auf beiden Seite einstellen.)
Das kostet etwas Zeit beim Tunnelaufbau und etwas Performance im Betrieb.

Wichtig: manche Kabelanschlüsse erlauben nur IPv6, und können oder auch nicht auf IPv4 umgestellt werden.
Beim Provider gehts den über einen Proxy ins IPv4 Netz.

Wir hatten 10 Jahre lang einen Kabel Deutschland (später Vodafone) Business Anschluss, da konnten man den auf IPv4 umstellen lassen.
Der 100 Mbit Anschluss schaffte am Tag so 50 -70 Mbit und brach abends, wenn alle Fernsehen schauten auf 20-30 Mbit zusammen.
Für einige RDP Sessions reichte sicher, nur die PING Zeiten sind sehr lang und Meetings mit Kamera und mehreren Personen können schon
unbenutzbar werden. Problem ist mein der zu geringe Upstream. und die Latenzen.
Mehrere gleichzeitige RDP Sessions mit hoher Monitor Auflösung werden da zäh.

Wie gesagt, LANCOM VPN mit IKEv2 durch Fritzboxen oder andere Provider Router haben wier bei vielen Wartungsroutern so im Einsatz.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
eisback
Beiträge: 22
Registriert: 09 Feb 2017, 19:33

Re: VPN Szenario / Fritzbox / IKEv1

Beitrag von eisback »

Hallo ts,

danke für Deine Antwort. Leider verstehe ich den entscheidenden Teil mit IPOE nicht. Wie soll sich die Bandbreite von und zur Zentrale erhöhen wenn der VPN Tunnel weiterhin zwischen den beiden Lancoms aufgebaut wird? Auf der Fritzbox ist doch ausgehend ohnehin alles erlaubt?! Könntest Du die Konfig bitte etwas genauer beschreiben? Danke!
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VPN Szenario / Fritzbox / IKEv1

Beitrag von tstimper »

Du nimmst einfach die Fritzbox als Provider Router.

Zur Veranschaulichung kannst Du das mit einer frischen Config Datei testen

1. Lanconfig - Edit - New configuration File - Router auswählen - Speichern

2. Lanconfig - Edit - Wizard configuration file - Setup Internet access - Create new Connection for IPv4 - Ethernet Interface (das mit dem LAN der Fritzbox verbunden ist) - Country wählen - Internet Service Povider ist IPoE - weiter - dann entweder DHCP wählen oder IP aus dem Fritzbox LAN Netz eintragen - no VLAN Tag - No link monitoring

3.2. Lanconfig - Edit - Wizard configuration file - connect two local area networks (VPN) - IKEv2 - IPSec-over-HTTPS enabled- credentials eintragen -
Dann wichtig "This device should actively establisch the VPN connection (Die Zentrale nimmt dann nur an, die darf nicht VPN aufbauen)
Gateway IP rein, Netze eintragen und dann analog die Zentrale konfigurieren.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
eisback
Beiträge: 22
Registriert: 09 Feb 2017, 19:33

Re: VPN Szenario / Fritzbox / IKEv1

Beitrag von eisback »

ah okay, verstanden, danke! Dann könnte ich doch sicherlich die Fritzbox-Verbindung auch zusätzlich zur Telekom einrichten und nur eine neue Default Route setzen, oder? Dann könnte man notfalls wieder auf Telekom umschalten, falls es ein Problem mit der Kabelverbindung gibt, korrekt?
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VPN Szenario / Fritzbox / IKEv1

Beitrag von tstimper »

eisback hat geschrieben: 11 Nov 2022, 13:46 ah okay, verstanden, danke! Dann könnte ich doch sicherlich die Fritzbox-Verbindung auch zusätzlich zur Telekom einrichten und nur eine neue Default Route setzen, oder? Dann könnte man notfalls wieder auf Telekom umschalten, falls es ein Problem mit der Kabelverbindung gibt, korrekt?
Genau, Du kannst auch zwei VPN Wege haben und dann je nach Last routen.
Das einfachste ist die backup Konfiguration.

Du kannst auch VPN Traffic über dieeine Leitung und sonstigen Internet Traffic zum surfen über die andere Leitung schicken.
Damit ist das Setup sehr robust und flexibel.
Das kannst Du, je nach Anforderung und Wichtigkeit dann noch mit einem externen LTE Router / Modem ergänzen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
eisback
Beiträge: 22
Registriert: 09 Feb 2017, 19:33

Re: VPN Szenario / Fritzbox / IKEv1

Beitrag von eisback »

Danke.

Noch eine (hoffentlich) letzte Verständnisfrage: Auf dem Lancom in der Zentrale muss ich doch dann als VPN Gegenstelle die feste IP des Vodafone Kabelanschlusses, also der Fritzbox, angeben. Muss ich dann nicht auch auf der Fritzbox sämtlichen Traffic (Exposed Host) an den Lancom weiterleiten?
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VPN Szenario / Fritzbox / IKEv1

Beitrag von tstimper »

eisback hat geschrieben: 11 Nov 2022, 18:21 Danke.

Noch eine (hoffentlich) letzte Verständnisfrage: Auf dem Lancom in der Zentrale muss ich doch dann als VPN Gegenstelle die feste IP des Vodafone Kabelanschlusses, also der Fritzbox, angeben. Muss ich dann nicht auch auf der Fritzbox sämtlichen Traffic (Exposed Host) an den Lancom weiterleiten?
Ja, in der Zentrale wird die gegenstelle entweder ls dymanisch angegeben ider eben die Public IP der Fritzbox
Die Zentrale baut in diesem Fall nicht den Tunnel auf sondern wartet auf die VPN Einwahl der Filiale.

Das geht dann entweder über IPSEC over HTTPS, dann brauchst Du an der Fritzbox normalerweise garnichts machen, weil die ja statefull HTTPS in der Regel schon durchlässt.

Oder Du willst reines IPSEC zum Tunnelaufbau nehmen, dann lässt Du nur von innen nach aussen auf der Fritzbox die UDP Ports 500 und 4500 zu
und ich denke auch beides von aussen nach innen. Die Fritzbox kann das wohl nur mittels der Exposed Host Funktion und nicht per Port oder?
Wir haben, wenn wir durch Fritzboxen oder auch durch LTE Router durch mussten, die von anderen verwaltet wurden, immer IPSEC-over-HTTPS genommen und den LANCOM der Filiale oder des Wartungsnetzes den Tunnel aufbauen lassen. HTTPS Traffic zum Surfen ist bei den meisten einfach erlaubbar für die public IP (private im LAN der Fritzbox) des LANCOM

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
eisback
Beiträge: 22
Registriert: 09 Feb 2017, 19:33

Re: VPN Szenario / Fritzbox / IKEv1

Beitrag von eisback »

Es hat dann alles wie folgt funktioniert:

Lancom = 192.168.1.1
Fritzbox = 192.168.100.1

Fritzbox an ETH4 (192.168.100.254) des Lancom, DHCP deaktiviert, Port 500 (UDP) und 4500 (UDP) an 192.168.1.1 weitergeleitet sowie eine Rückroute für das Lancom-Netz eingetragen (wichtig: FB neustarten). Dann im Lancom eine neue WAN-Verbindung (IPOE) via ETH4 konfiguriert. Dann funktionierte das Internet. Die ausgehende VPN Verbindung zur Zentrale funktioniert seit gestern problemlos und ales ist sehr viel schneller! Jetzt würde ich gerne noch über die Telekom-Leitung ein VPN-Backup einrichten, aber das habe ich dann gestern nicht mehr geschafft. Dazu gibt es von Lancom eine Anleitung, hat das schon Jemand im Einsatz?

https://support.lancom-systems.com/know ... d=59506828

Danke!

tstimper hat geschrieben: 11 Nov 2022, 18:46
eisback hat geschrieben: 11 Nov 2022, 18:21 Danke.

Noch eine (hoffentlich) letzte Verständnisfrage: Auf dem Lancom in der Zentrale muss ich doch dann als VPN Gegenstelle die feste IP des Vodafone Kabelanschlusses, also der Fritzbox, angeben. Muss ich dann nicht auch auf der Fritzbox sämtlichen Traffic (Exposed Host) an den Lancom weiterleiten?
Ja, in der Zentrale wird die gegenstelle entweder ls dymanisch angegeben ider eben die Public IP der Fritzbox
Die Zentrale baut in diesem Fall nicht den Tunnel auf sondern wartet auf die VPN Einwahl der Filiale.

Das geht dann entweder über IPSEC over HTTPS, dann brauchst Du an der Fritzbox normalerweise garnichts machen, weil die ja statefull HTTPS in der Regel schon durchlässt.

Oder Du willst reines IPSEC zum Tunnelaufbau nehmen, dann lässt Du nur von innen nach aussen auf der Fritzbox die UDP Ports 500 und 4500 zu
und ich denke auch beides von aussen nach innen. Die Fritzbox kann das wohl nur mittels der Exposed Host Funktion und nicht per Port oder?
Wir haben, wenn wir durch Fritzboxen oder auch durch LTE Router durch mussten, die von anderen verwaltet wurden, immer IPSEC-over-HTTPS genommen und den LANCOM der Filiale oder des Wartungsnetzes den Tunnel aufbauen lassen. HTTPS Traffic zum Surfen ist bei den meisten einfach erlaubbar für die public IP (private im LAN der Fritzbox) des LANCOM

Viele Grüße

ts
Antworten