Site-to-Site VPN via L2TP auf 2 TL-ER6120

[SteelWolf]

Hallo,

Ich bin derzeit dabei ein Site-to-Site VPN zwischen zwei Standorten zu knüpfen.

Standardort A (Server) hat einen L2TP Server eingerichtet auf einem TL-ER6120 mit 2 arten von Usern (Client-to-Lan und Lan-to-Lan)
Beide Sitzen hinter einem UPC Modem/Router (entsprechende Ports geforwarded)

[Site-A Config]
Router WAN: "WAN-A"
Router LAN IP: 192.168.1.1
VPN Server mit User/Password7Presharedkey
Lan-to-Lan Client:
Local IP: 192.168.1.155
gateway: 192.168.1.1
Remote Subnet: 172.24.30.0

IP-Adresspool 192.168.1.150-160


[Site-B Config]
Router WAN: "WAN-B"
Router LAN IP: 172.24.30.1

Client:
Serveradress: WAN-A
Remote Subnet: 192.168.1.0
Working Mode: NAT
User/Password/Presharedkey

Dabei tut sich genau nichts im Webinterface des Client routers. Bei der Verbindung wäre "Enable" angehakt. Es öffnet sich aber kein Tunnel.
Lege ich am Server einen User für Client-to-Lan an so kann dieser vone einem Windowsrechner problemlos verbinden.

Danke schonmal im vorraus falls jemand weiß woran es hier scheitert.

Liebe Grüße

 

[DeusoftheWired]

Beide Sitzen hinter einem UPC Modem/Router (entsprechende Ports geforwarded)

DOCSIS heißt in den meisten Fällen in Deutschland CG-NAT, keine eigene öffentliche IP. Ist das an einem bzw. beiden Standorten der Fall, oder gibt es durch Glück oder Geschäftskundentarif an einem oder beiden eine richtige IPv4?

 

[SteelWolf]

Einer der Standorte hat eine fixe IP bzw Geschäftskundentarif. Der Server läuft derzeit allerdings Testweise am "Consumer" Anschluss. Was allerdings kein Problem für die Client-to-Lan verbindung dargestellt hat. Stellt das bei Lan-to-Lan ein Problem dar?

 

[DeusoftheWired]

Ja, das ist ein Problem. Zum Glück hat aber wenigstens einer von beiden eine richtige IPv4. Der mit dem Geschäftskundentarif / fixer IP muß Server spielen, also zu dem sich von den Clients verbunden wird.

Richte an ihm die Serverconfig ein, laß den Dienst laufen, damit er auf eingehende Verbindungen hört, und teste z. B. mit http://canyouseeme.org/ , ob das ganze prinzipiell funktioniert. ist die Weiterleitung okay, aber es kommt keine Verbindung zustande, schauen wir uns die Configs genauer an.

 

[SteelWolf]

Das ist leider nicht ganz so schnell zu testen da dieser Router leider derzeit die dafür nötigen Ports woanders hin weiterleitet. Ich werde aber schauen das ich das als nächsten Schritt testen kann. Da ich eine von beiden mit Remotezugriff konfigurieren muss schneide ich mir damit dann auch eben diesen ab.
Aber: Es funktioniert also ein Client-to-Lan aber kein Lan-to-Lan? D.h. zwischen privaten Internetanbindungen lässt sich kein Lan-to-Lan spannen?

 

[DeusoftheWired]

Ob Privat- oder Geschäftskunde ist egal, es kommt für VPN-Verbindungen nur darauf an, daß der Punkt, zu dem man sich verbindet, eine öffentliche IPv4 hat, die er sich nicht mit anderen Nutzern teilt wie eben bei CG-NAT. In Deutschland vergeben die meisten DOCSIS-Betreiber richtige IPv4 nur an Geschäftskunden oder an Privatkunden als zahlungspflichtige Option. Kann aber sein, daß das bei euch in Österreich anders ist. Österreich ist doch wegen UPC richtig, oder?

 

[SteelWolf]

Geht um Österreich, ja. Ich habe allerdings Privat ebenfalls ein NAS und Homeautomation laufen die ich über meine (sicher sehr selten wechselnde) IP erreiche. Eine normale Client to VPN funktioniert ebenfalls immer.

 

[DeusoftheWired]

NAS- und die Heimautomatisierungshersteller bedienen sich – zum Glück für Otto Normalanwender – einiger Tricks, um ihre Geräte immer erreichbar zu machen, egal ob statische IPv4, dynamische IPv4, IPv6, voller Dual-Stack, DS-Lite oder wie auch immer. Damit soll sich ein Endanwender nicht befassen. Der kann sich gerade mal eine URL merken. Deswegen bieten die Hersteller an, ihre Geräte aus dem LAN heraus eine Verbindung zu einem Server des Herstellers aufbauen zu lassen, der dann Vermittler spielt und Verbindungen von draußen weiterreicht. Damit entfallen Portweiterleitungen und CG-NAT-Beschränkungen. Ist das bei dir nicht der Fall und du verbindest dich direkt zu deiner IP bzw. zu einem DynDNS-Namen, der zu ihr auflöst, dann hast du dort eine IP, die du für eingehende VPN-Verbindungen ohne Einschränkungen nutzen kannst. Noch besser, wenn das auf Site A und Site B so ist, dann gibt es keine Beschränkung bei der Richtung, in die die Verbindung aufgebaut werden muß bzw. wo der Server stehen muß.

 

[SteelWolf]

Ist bei mir der Fall ja, sind an beiden Seiten direkte IPs. Es happert hier also tatsächlich eher nur an der Konfig. Übersehe ich etwas fundamentales bei der prinzipiell recht übersichtlichen Konfig die ich oben gepostet habe? Weiterleitungen? Firewall? Hindernisse die ich aus dem weg schaffen muss bevor eine Site-to-Site funktioniert die eine Client-to-Site nicht braucht?

Lg