1721 VPN, DSL over eth über ein Transfernetzwerk und dyndns

[die_peitsche]

Hallo Lancomaner. Wir setzen hier bei uns neuerdings ein LANCOM Gerät ein. Und sind bis dato begeistert. Allerdings ist nun eine Sache aufgetreten wo wir uns an das Forum wenden.

Wir setzen den Router im Kundennetz ein. Hier wird das DSL über den ETH4 bereitgestellt. Im Kundennetz lautet meine Router ip 192.168.0.110 (reserviert). Dahinter habe ich zwei separate Netze welche ins Internet laut Firewall reglementiert sind. Auch können Drucker aus dem Kundenetz angesteuert werden. Nun möchte ich eine dyndns konfigurieren. Einen Account bei dyndns haben wir bereits eingerichtet. Den Router via Assistenten auch. Was müssen wir noch beachten?? Es klappt bis dato nicht!
Was noch zu erwähnen wäre das der Kunde über eine/mehrere feste IP's verfügt und ein linux vpn greengate, welches das forwarding abfackelt. Für tipps und hinweise schonmal Danke im Vorraus!

lg Raphael

[Jirka]

Hallo Raphael,

Im Kundennetz lautet meine Router ip 192.168.0.110 (reserviert).

WAN-IP oder LAN-IP? (bzgl. 1721)

Nun möchte ich eine dyndns konfigurieren.

Hat der 1721 eine öffentliche oder private WAN-IP?
Wozu brauchst Du den DynDNS-Namen?

Viele Grüße,
Jirka

[die_peitsche]

Hallo Jirka,

also über eth4 lanport kommt das DSL Signal vom kunden. Port konfig. als DSL-1. Die IP 192.168.0.110 hat der 1721 im Kundennetz. hierrüber kommt das DSL. Der 1721 hängt nicht direkt am Internet. Baut keine Verbindung zum Provider auf. Das Kundennetz ist das Transfernetz. Der Kunde hat eine feste IP. ich will meinen Router entweder über diese feste ip erreichen oder über dyndns.

Dies soll deswegen passieren weil es im moment eine testkonfig ist. Wir werden den Router in Bulgarien einsetzen, und wissen bis dato nicht ob's dort eine feste ip oder eine dynamische werden wird. Aber wir wissen das wir uns dort auch nicht direkt ins Internet einwählen sondern wie hier in der Testumgebung über das Kundennetz ins Internet kommen.

[Jirka]

Hallo Raphael,

ich will meinen Router entweder über diese feste ip erreichen oder über dyndns.

Kannst Du ihn denn (derzeit) über diese feste IP erreichen?

Wo/was ist das Problem? Was liefert die Namensauflösung des DynDNS-Namens? (z. B. nslookup meinname.dyndns.org)

Viele Grüße,
Jirka

[die_peitsche]

Hallo,

nein kann ich nicht erreichen.

nslookup gibt folgendes aus:

Server: xxxxxxxxxxxxx editiert
Address: 192.168.0.1

Nicht autorisierte Antwort:
Name: ubebulgarien.dyndns.org
Address: 192.168.0.110

gruß

[Jirka]

Hallo Raphael,

nein kann ich nicht erreichen.

Aha, dann liegt das aber nicht am LANCOM.
Hast Du Ping-Antworten am WAN vom LANCOM zugelassen (Firewall -> Ping blockieren)? Und die Zugriffsrechte von entfernten Netzen entsprechend gesetzt, dass Du was machen kannst?

nslookup gibt folgendes aus:
Address: 192.168.0.110

Dann erfolgt die Auflösung doch korrekt, also wo ist das Problem?

Viele Grüße,
Jirka

[backslash]

Hi Jirka

Dann erfolgt die Auflösung doch korrekt, also wo ist das Problem?

die Auflösung erfolgt zwar korrekt, nur wird er das Gerät unter dieser Adresse aus dem Internet nicht erreichen können: Das ist eine private Adresse die im Internet geblockt wird...

Wenn der mit DynDNS arbeiten will, dann darf er dort nicht die Transfernetzadresse anmelden, sondern muß seine tatsächliche öffentliche Adresse übermitteln. Da die ja angeblich fix ist, reicht es in der Aktionstabelle im dyn-DNS-Script die "%a" durch die fixe öffentliche Adresse zu ersetzen.

Gruß
Backslash

[die_peitsche]

Hallo,

@backslash: Meinst du etwa jeden "%a" Eintrag in der Aktionstabelle??

[Jirka]

Hallo Backslash,

die Auflösung erfolgt zwar korrekt, nur wird er das Gerät unter dieser Adresse aus dem Internet nicht erreichen können

So wie ich das verstanden habe, will er das eigentlich auch nicht. Er ist im Transfernetz wo er eine IP aus dem gleichen Netz hat wie der LANCOM am WAN oder hat zumindest ein Zugriff auf dieses Transfernetz. (Und ermittelt dann mit Hilfe des DynDNS-Namens die IP des LANCOMs innerhalb dieses Transfernetzes.)

sondern muß seine tatsächliche öffentliche Adresse übermitteln. Da die ja angeblich fix ist, reicht es in der Aktionstabelle im dyn-DNS-Script die "%a" durch die fixe öffentliche Adresse zu ersetzen.

Das funktioniert auch nicht, da er den LANCOM-Router wohl nach Bulgarien "verschiffen" will. Und dort wird es wieder eine andere IP sein.

Wenn er innerhalb seiner Transfer- oder Kundennetze den LANCOM ausmachen will, dann ist das so ok. Alles andere geht sowieso nicht.

Und wenn die IP fest ist, brauch man auch kein DynDNS...

Viele Grüße,
Jirka

[die_peitsche]

Hi,

und wenn diese IP nicht fest ist? Also da ein nslookup scheinbar klappt, liegt es wohl nurnoch an den Einstellungen des Kunden, Gateway/Router/Portforwarding??

lg Raphael

P.S.:

Server: xxxxxxxxxxxxx <-- hier steht mein Routername.Domänenname
Address: 10.29.6.200

Nicht autorisierte Antwort:
Name: ubebulgarien.dyndns.org
Address: 192.168.0.110

[Jirka]

Hallo Raphael,

und wenn diese IP nicht fest ist?

Dann ergibt das mit DynDNS einen Sinn.

Also da ein nslookup scheinbar klappt, liegt es wohl nurnoch an den Einstellungen des Kunden, Gateway/Router/Portforwarding??

Irgendwie scheinst Du tatsächlich nicht zu wissen, dass man eine private IP nicht einfach so aus dem Internet erreichen kann. Anders kann ich mir das nicht erklären. Natürlich benötigt man ggf. ein Portforwarding und die öffentliche IP, wenn man nicht anders (z. B. per VPN) in das Netz kommt, wo der LANCOM drin hängt.

Viele Grüße,
Jirka

[die_peitsche]

Hi,

ich weiß schon das eine private IP nicht nach aussen geroutet wird....

Ich weiß nur nicht wie ich die Portforwardings fürs ssh auf dem Kundengateway setzen muss damit mein 1721 später von aussen erreichbar bleibt. Oder über VPN.

Wie müsste ich denn vorgehen?? Es wird wohl so sein das wir keinen eigenen DSLer bekommen, sondern über das Kundenetz in den ether gelangen. Es muss halt sichergestellt sein das wir über ssh auf die Linux server kommen, mit vnc auf die einzelnen Clients und den 1721 über lanconfig, webinterface, ssh, telnet und VPN.

Auch planen wir ipswitch gold einzusetzen, oder gibt es da andere Möglichkeiten???

Danke im vorraus für Anregungen.

[Jirka]

Hallo Raphael,

Ich weiß nur nicht wie ich die Portforwardings fürs ssh auf dem Kundengateway setzen muss

SSH ist Port 22.

Es muss halt sichergestellt sein das wir über ssh auf die Linux server kommen, mit vnc auf die einzelnen Clients und den 1721 über lanconfig, webinterface, ssh, telnet und VPN.

Das musst Du halt mit dem Kunden absprechen, wie ihr das am besten realisiert. Möglich wären entsprechende Portforwardings zum LANCOM (die Du teilweise im LANCOM nochmals forwardest) oder ein VPN-Zugang. Und um die öffentliche IP (z. B. über eine DynDNS-Adresse) des Kundengateways brauchst Du natürlich dann auch.

Viele Grüße,
Jirka

[die_peitsche]

Hi Jirka,

also mein Kunde benutzt ein greengate 40 premiun vpn. Ich weiß nochnicht wie ich einerseits dort die forwardings setzen muss. Und diese dann am lancom auch. Es sollte so sein dass z.b. was am ssh port 22 ankommt weiter zu srv1 port 24 geht. dann srv2 port 25 usw.

Momentan ist es so dass ich aus meinem 10.x.x.x Netz wo ich mit meinem NB arbeite und den testclients sowie servern, ins Internet, Drucken (192.168.0.29) usw. klappt wunderbar. Jedoch wenn ich z.b. mit meinem Server (10.x.x.x) via ssh auf Server (192.x.x.x) verbinde(klappt), dann wieder aber via ssh zurück connecten will klappt es nicht. Wie bringe ich es dem GREENGATE des Kunden bei??

Man man man versteht's denn einer?


Hallo Zumindest habe ich es bis dato erreicht das meine ping oder ssh anfragen aus dem 192.168.x.x nach 10.x.x.x nicht mehr vom greengate in den ether gesendet werden sondern an den 192.168.x.x (meinen lancom) im Kundennetz gesendet werden. Aber als Nachricht kommt "Destination Net Unreachable". HILFE

lg Raphael

[die_peitsche]

Hallo,

sitze nun in Israel mit meinem Annex A 821+ und die Kollegen in Deutschland melden das die SSH Verbindung ca. alle 5 min abbricht. Wie können wir dies fixen??

haben static IP hier vorort in Deutschland ebenso...

Danke im vorraus