ComputerBase Menü
Aktuelles

VPN Router hinter vodafone Fritzbox 6490 Cable

W

wendigo2k

Ensign
Registriert
Dez. 2008
Beiträge
128
Hallöchen,

bräuchte mal wieder Hilfe :(

Ich habe hier einen Vodafone Cable 50 Anschluss mit ner Fritzbox 6490 mit fester IP dran. Da das VPN zur Firma nicht so schnell läuft wie gewünscht, würde ich gerne einen cisco VPN Router hinter die Fritzbox setzen und die Fritzbox im ExposedHost Modus laufen lassen.
Die Frage ist, was ich dazu alles einstellen muss...
In der Fritzbox (192.168.178.1) habe ich den VPN Router (192.168.178.2) als Exposed Host eingestellt. Im Cisco VPN rv130w Router würde ich jetzt auf der WAN Seite die interne IP der Fritzbox als Gateway einstellen (und dem Router z.B. die 192.168.178.2 geben) und auf der LAN Seite, wo meine Rechner dranhängen z.B. die 192.168.180.1.
Leider hab ich keine Ahnung ob ich im Router den Gateway Modus oder den Router Modus auswählen muss. Ich vermute mal Router ist das Richtige, da der VPN Router ja die Pakete vom 178er Netz ins 180er Netz bringen muss. Außerdem könnte ich bei Static Routing noch statische Routen einstellen, allerdings z.B. nur über welches Gateway alles, was vom 192.168.180er Netz kommt geschickt werden soll. Stelle ich da ne Route ins 178er Netz übers 180.1er Gateway ein, klappt das leider nicht...

Hab ich noch irgendwas vergessen oder klappt das so garnicht? Mein Rechner kann zumindest nicht die Fritzbox anpingen durch den VPN Router... und hat dann entsprechend auch kein Internet...

Vielen Dank im Voraus :)
 
Also, das ist ehrlich gesagt gar nicht so einfach zu beantworten, weil es mehrere Aspekte gibt, die es zu beachten gilt.

Zum einen kommt es darauf an in welche Richtung der VPN Tunnel aufgebaut werden soll. Möchtest du von deinem VPN-Router einen VPN-Tunnel nach außen herstellen, beispielsweise zu einem VPN-Dienstleister oder eben deiner Firma? Wenn ja, dann kannst und solltest du den exposed wieder ausschalten. Möchtest du hingegen von außen einen VPN-Tunnel zu dir nach Hause aufbauen, ist exposed host auch nicht notwendig, eine bzw. mehrere Portweiterleitungen zum VPN-Router reichen vollkommen.

Kommen wir nun zum Subnetz. Du schreibst, dass du hinter dem Cisco-Router dann das 192.168.180er Subnetz hast. Ist das gewollt? Notwendig ist das nämlich keineswegs. Man kann ein VPN-Gateway auch parallel zum Hauptrouter betreiben, zB den Hauptrouter auf der x.x.x.1 und den VPN-Router auf der x.x.x.2. Das Routing muss dann natürlich passend konfiguriert werden.

NAT. Wenn der VPN-Router so wie bei dir im Netzwerk sitzt, macht er höchstwahrscheinlich auch NAT. Das ist an dieser Stelle eigentlich nicht notwendig bzw. durch doppeltes NAT macht es die ganze Geschichte noch eine Stufe komplexer - unnötigerweise. Ich kann mir bei dem Cisco Router aber gut vorstellen, dass man das NAT am WAN Port sogar abschalten kann. Dann könnte man ein geroutetes statt geNATtetes Netzwerk aufbauen. Die Fritzbox bräuchte dann einfach nur eine statische Route ins 180er Subnetz über den Cisco und das war's.

Generell rate ich übrigens davon ab, pauschal alle Geräte über ein VPN zu schicken, wenn das dein Ziel ist. So ein Setup kann sehr störend werden, wenn zB bekannte VPN-Anbieter bei Netflix und Co gesperrt werden. Dann müsstest du erstmal in den Cisco einloggen, VPN ausschalten, weiterarbeiten, wieder einloggen, VPN anschalten. Stattdessen wäre es beim oben beschriebenen parallelen Setup in einem Subnetz ziemlich simpel: Gateway am Endgerät von .1 auf .2 umschalten (oder andersherum) um via Provider bzw. VPN zu surfen.

Du sieht, es gibt eigentlich keine einfache Antwort, weil es darauf ankommt was genau du mit dem VPN bezweckst bzw. wie genau es aufgebaut ist (Stichwort: eingehend/ausgehend).
 
Raijin schrieb:
Also, das ist ehrlich gesagt gar nicht so einfach zu beantworten, weil es mehrere Aspekte gibt, die es zu beachten gilt.

Zum einen kommt es darauf an in welche Richtung der VPN Tunnel aufgebaut werden soll. Möchtest du von deinem VPN-Router einen VPN-Tunnel nach außen herstellen, beispielsweise zu einem VPN-Dienstleister oder eben deiner Firma? Wenn ja, dann kannst und solltest du den exposed wieder ausschalten. Möchtest du hingegen von außen einen VPN-Tunnel zu dir nach Hause aufbauen, ist exposed host auch nicht notwendig, eine bzw. mehrere Portweiterleitungen zum VPN-Router reichen vollkommen.

Kommen wir nun zum Subnetz. Du schreibst, dass du hinter dem Cisco-Router dann das 192.168.180er Subnetz hast. Ist das gewollt? Notwendig ist das nämlich keineswegs. Man kann ein VPN-Gateway auch parallel zum Hauptrouter betreiben, zB den Hauptrouter auf der x.x.x.1 und den VPN-Router auf der x.x.x.2. Das Routing muss dann natürlich passend konfiguriert werden.

NAT. Wenn der VPN-Router so wie bei dir im Netzwerk sitzt, macht er höchstwahrscheinlich auch NAT. Das ist an dieser Stelle eigentlich nicht notwendig bzw. durch doppeltes NAT macht es die ganze Geschichte noch eine Stufe komplexer - unnötigerweise. Ich kann mir bei dem Cisco Router aber gut vorstellen, dass man das NAT am WAN Port sogar abschalten kann. Dann könnte man ein geroutetes statt geNATtetes Netzwerk aufbauen. Die Fritzbox bräuchte dann einfach nur eine statische Route ins 180er Subnetz über den Cisco und das war's.

Generell rate ich übrigens davon ab, pauschal alle Geräte über ein VPN zu schicken, wenn das dein Ziel ist. So ein Setup kann sehr störend werden, wenn zB bekannte VPN-Anbieter bei Netflix und Co gesperrt werden. Dann müsstest du erstmal in den Cisco einloggen, VPN ausschalten, weiterarbeiten, wieder einloggen, VPN anschalten. Stattdessen wäre es beim oben beschriebenen parallelen Setup in einem Subnetz ziemlich simpel: Gateway am Endgerät von .1 auf .2 umschalten (oder andersherum) um via Provider bzw. VPN zu surfen.

Du sieht, es gibt eigentlich keine einfache Antwort, weil es darauf ankommt was genau du mit dem VPN bezweckst bzw. wie genau es aufgebaut ist (Stichwort: eingehend/ausgehend).
Zum Vergrößern anklicken....

Erstmal danke für die Hilfe :)

Also wenn ich dich richtig verstehe, gibt es mehrere Möglichkeiten, entweder die über NAT oder die über statische Routen. Ich vermute mal, dass das was ich jetzt eingerichtet habe, die NAT Variante ist.
Eigentlich war auch ein Hintergedanke hinter dem VPN Router, dass ich dort alles besser einstellen kann (Portfreigaben, etc.), als bei der Fritzbox...
Ich verzweifel jetzt schon daran, dass ich mit einem Rechner aus dem 180er Netz hinter dem VPN Router zu einem Rechner pingen kann, der direkt an der Fritz hängt, der Rechner kann aber komischerweise trotz richtiger Regeln nicht zum 180er pingen. Der VPN Router zeigt auch nicht an, dass Pakete überhaupt ankommen, weswegen ich vermute, dass die Fritzbox die Pakete blockt... Ka wo ich das in der Fritzbox erlauben kann...
Eigentlich soll es auch ein Site-zu-Site VPN werden, dass die beiden Subnetze verbindet ^^;

edit: Urgs... es klappt... jetzt mit dem VPN auf NAT Basis... danke für die Hilfe... das mit dem Ping war meine Schuld.. hatte die Route in die Gegenrichtung vergessen...
 
Zuletzt bearbeitet:
Das ist ja gerade das Problem. NAT im eigenen privaten Netzwerk ist vorsichtig ausgedrückt Schwachsinn. Bei einem 08/15 Router kann man NAT am WAN in der Regel überhaupt nicht abschalten, beim Cisco kann ich mir aber schon vorstellen, dass das geht. Dann wäre es ein geroutetes Netzwerk, weil der Cisco dann eben ein Netzwerk-Router wäre und kein NAT-Router. Ob der Cisco aber tatsächlich NAT abschalten kann, müsste man zB im Handbuch nachschauen.

Ich rate dennoch zu einer etwas anderen Variante:


Fritzbox: 178.1
Cisco (LAN): 178.2
Cisco (WAN): nix

DHCP entweder in der Fritzbox oder im Cisco aktivieren. Der DHCP sollte das Gateway ausgeben, welches als Standard genutzt werden soll, zB StandardViaVPN = .2 oder eben StandardViaKabel = .1
In dieser Konstellation kannst du nun alle Geräte, die via DHCP bekommen eben via VPN oder Kabel schicken. Auf der anderen Seite kannst du zB beim PC über eine Batch, o.ä. mit einem Doppelklick zwischen Internet via Kabel (gateway=.1) und Internet via VPN (gateway=.2) umschalten.
Der Vorteil daran ist schlicht und ergreifend, dass du nur ein einziges Subnetz in der Bude hast und keine geNATtete Krücke mit zwei Subnetzen. Schließlich willst du ja kein Untermieter-Netzwerk isolieren oder sowas..
 
Raijin schrieb:
Das ist ja gerade das Problem. NAT im eigenen privaten Netzwerk ist vorsichtig ausgedrückt Schwachsinn. Bei einem 08/15 Router kann man NAT am WAN in der Regel überhaupt nicht abschalten, beim Cisco kann ich mir aber schon vorstellen, dass das geht. Dann wäre es ein geroutetes Netzwerk, weil der Cisco dann eben ein Netzwerk-Router wäre und kein NAT-Router. Ob der Cisco aber tatsächlich NAT abschalten kann, müsste man zB im Handbuch nachschauen.

Ich rate dennoch zu einer etwas anderen Variante:

Fritzbox: 178.1
Cisco (LAN): 178.2
Cisco (WAN): nix

DHCP entweder in der Fritzbox oder im Cisco aktivieren. Der DHCP sollte das Gateway ausgeben, welches als Standard genutzt werden soll, zB StandardViaVPN = .2 oder eben StandardViaKabel = .1
In dieser Konstellation kannst du nun alle Geräte, die via DHCP bekommen eben via VPN oder Kabel schicken. Auf der anderen Seite kannst du zB beim PC über eine Batch, o.ä. mit einem Doppelklick zwischen Internet via Kabel (gateway=.1) und Internet via VPN (gateway=.2) umschalten.
Der Vorteil daran ist schlicht und ergreifend, dass du nur ein einziges Subnetz in der Bude hast und keine geNATtete Krücke mit zwei Subnetzen. Schließlich willst du ja kein Untermieter-Netzwerk isolieren oder sowas..
Zum Vergrößern anklicken....

Klingt fein :)
Das heißt, ich müsste einfach nur den Cisco mit einem Lan Anschluss an die Fritzbox hängen (mit IP im gleichen Netz) und dort den Router-Modus aktivieren (das würde bei meinem Cisco NAT deaktivieren), den WAN Anschluss am Cisco frei lassen? und er würde alles was von der Fritzbox kommt (die hoffentlich alles böse blockt) an den Cisco weiterleiten?
Oder müsste ich dann noch statische routen im cisco einstellen? Die Clients würden dann auch an die Lan Anschlüsse des Cisco gehangen werden? Müsste ich dann in der Fritzbox noch den Exposed Host Modus aktivieren? Wie kriegt die FB denn mit, wann sie Ports nach innen öffnen darf und wann nicht?
Angenommen ich würde für einen Datenbankzugriff auf einen Server im neuen Subnetz Port 3306 freigeben wollen, dann würde ich in den Portfreigaben der Fritzbox den Port und die IP des Cisco eingeben, der wiederrum an den Server weiterleitet? (wenn alles am Cisco hängt, würde ja nur der die ganzen Clients kennen?) Oder soll ich die Clients an nen Switch hängen der mit der Fritz und dem Cisco verbunden ist?
 
Nein nein, jetzt vermischt du beide Szenarien.

"NAT abschalten" bzw. den Cisco als "Netzwerk-Router" betreiben bezieht sich nach wie vor auf die Anschlusskonstellation über den WAN-Port des Cisco. Du hättest nach wie vor zwei getrennte Netzwerke, die allerdings durch den Cisco gleichwertig miteinander verbunden werden - ohne NAT, Routing only. Prinzipiell würde auch das funktionieren, wenn du zB ein Netzlaufwerk eines NAS im jeweils anderen Netzwerk verbinden willst (rein geroutete Verbindung). Sobald du aber eine Anwendung nutzt, die mit Broadcasts arbeitet - zB ein UPnP-/DLNA-Medien-Server auf einem NAS - wirst du auf Probleme stoßen, da Broadcasts nur innerhalb eines Netzwerks bleiben und nicht geroutet werden. Diesen Weg sollte man daher nur gehen, wenn man weiß was man tut.

Wenn du den Cisco dagegen via LAN-Port mit dem Netzwerk verbindest und WAN leer lässt, ist NAT sowieso kein Thema und kann auch aktiviert bleiben, da NAT bei so einem Router ausschließlich zwischen WAN und LAN passiert, da WAN ja nicht genutzt wird. Hängt der Cisco mit dem LAN-Port an der Fritzbox, läuft er im Prinzip als Access Point. Stellt der Cisco nun aber eine VPN-Verbindung her, kann diese quasi als WAN fungieren. Das wiederum ist aber innerhalb deines LANs unerheblich und du kannst dein privates Netzwerk ganz normal verwenden, ohne dir einen Kopp zu machen ob ein Endgerät nun mit dem Cisco oder der Fritzbox verbunden ist, sei es per Kabel oder via WLAN.

Entscheidend ist in der zweiten Variante via LAN-Port, dass du über die Einstellung des DHCP steuerst welches Standard-Gateway automatisch verteilt wird. Wenn der DHCP als Standard-Gateway die Fritzbox ausgibt, werden sich alle Geräte, die ihre IP-Einstellungen automatisch beziehen, über die Fritzbox online gehen. Gibt der DHCP stattdessen die IP des Cisco als Gateway aus, werden diese Geräte standardmäßig via Cisco bzw. VPN online gehen. Da ich VPN nur selektiv einsetze, würde ich stets das DHCP-Gateway auf dem Internet-Router belassen und nur Geräte, die gezielt über VPN gehen sollen, bekommen ein manuelles Gateway verpasst.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
Vodafone: Fritzbox 6690 Cable mieten oder kaufen
2
Antworten
27
Aufrufe
9.268
CubeID
CubeID
H
Verbindungsabbrüche - Vodafone/Fritzbox 6660 Cable - bei Escape from Tarkov
2
Antworten
23
Aufrufe
5.488
HelmutAladin
H
Mr. Poe
FritzBox 6490 Cable - "Eigentum von Vodafone"
2 3
Antworten
52
Aufrufe
10.209
Lee Monade
Lee Monade
N
Vodafone Fritzbox 6490 7.12 DNS Einstellungen
Antworten
4
Aufrufe
1.951
Nephylim
N
M
Fritzbox 6490 Cable - Vodafone - nicht korrigierbare Fehler
Antworten
4
Aufrufe
3.201
hantelfix
H
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz