VPN Server mit TPLink MR 200 möglich?

[udek]

Ich möchte auf einem TPLink MR200 gerne einen VPN Server einrichten.
Ich bin Laie und weiß nicht genau, was ich wo eingeben muss, damit es funktioniert.

Vielleicht kann mir jemand kurz helfen?
Ich muss folgende Felder füllen, die mit den drei ??? weiß ich nicht:

IPSec Connection Name: Frei wählbarer Name, ist klar ;-)
Remote IPSec Gateway (URL): ???

Tunnel access from local IP addresses: Subnet Asdress
IP Address for VPN: ???
Subnet Mask: ???

Tunnel access from remote IP addresses: Subnet Assress
IP Address for VPN: ???
Subnet Mask: ???

Key Exchange Method: Auto (IKE)
Authentication Method: Pre-Shared Key
Pre-Shared Key: ???
Perfect Forward Secrecy: Enable


Und muss ich nicht auch ein Benutzer und Kennwort festlegen? Das wird gar nicht abgefragt.

 

[memmex]

Kann dir so keiner sagen.
Kommt auf deine Netwerkkonfiguration an und was du am Ende erreichen möchtest.
Lies dir erstmal einige Tutorials durch und stell dann gezielte Fragen.

 

[udek]

Ich möchte von unterwegs auf das Netzwerk zugreifen können. Habe das sonst über eine Synology VPN gelöst aber aktuell habe ich nur die Möglichkeit über den TPLink MR200 zu gehen. Hoffe es geht irgendwie?

Tutorials habe ich versucht. Komme damit nicht wirklich weiter. :-(

 

[DeusoftheWired]

Der MR200 ist ein LTE-Modemrouter. Mit einer LTE-Verbindung ist die Rolle als VPN-Server, zu dem eine Verbindung aufgebaut wird, (fast) unmöglich, da man im Mobilnetz keine normale öffentliche IP bekommt, sondern sie sich mit mehreren anderen teilen muß und der Provider die Pakete intern routet, damit sie den richtigen Anschluß erreichen. Ausnahme stellen spezielle Tarife/APN der Telekom dar. Wie heißt dein Mobilfunkanbieter und welchen Tarif hast du bei ihm gebucht?

https://www.hardwareluxx.de/communi...te-ip-und-fritz-public-ip-dyndns-1175681.html

https://telekomhilft.telekom.de/t5/...S-In-welchem-Tarif-Einstellungen/td-p/3009487

https://www.computerbase.de/forum/threads/fernzugriff-ohne-oeffentliche-ip-moeglich.1453801/

 

[udek]

Okay, dann hat es sich wohl erledigt. Aber vielleicht gibt es noch andere Lösungen, die ich jetzt nicht auf dem Schirm habe.

Im Prinzip geht es um folgendes:
Über dem Router wird aktuell das Netzwerk einer Lagerhalle geregelt, da die Telekom mit ihrem Anschluss nicht aus dem Quark kommt.
In diesem Netzwerk sind diverse Anlagen eingebunden, die man über ein Handy steuern kann. Dazu muss man sich aber in diesem Netzwerk befinden. Ich möchte das aber von "überall" aus können. Mittels VPN hätte es funktioniert, das weiß ich.

Andere Möglichkeiten gibt es aber wohl nicht, oder?

 

[memmex]

Es gibt schon eine Möglichkeit, aber das ist sowohl sicherheitstechnisch je nach Anwendung bedenklich und bedarf relativ viel Aufwand. Stichwort: Reverse SSH Tunneling.
Mittels eines Linuxgeräts im HallenLAN wird ein permanenter SSH-Tunnel zu einem Server aufgebaut (beispielsweise ein vServer). Danach kannst du dich mit dem vServer verbinden, der wiederum den Traffic in das HallenLAN tunnelt. So kann auch auf Devices im Mobilfunknetz zugegriffen werden oder auch DoubleNATs umgangen werden.

 

[DeusoftheWired]

Wie memmex schon angedeutet hat, kann das durchaus tatsächlich noch klappen. Wichtig ist bei VPN-Verbindungen ohne öffentliche IP die Richtung aus der die Verbindung aufgebaut wird und zu der die Verbindung aufgebaut wird.

Szenario 1 hast du im Eingangsbeitrag beschrieben. Da hat der VPN-Server, zu dem eine Verbindung aufgebaut werden soll, keine vernünftige öffentliche IP. Anders sieht es aber aus, wenn er nicht Server, sondern Client ist, also selbst eine Verbindung zu einem anderen VPN-Server aufbaut. Dieser muß über eine öffentliche IP erreichbar sien, am einfachsten IPv4. Die bekommst du an handelsüblichen DSL-Anschlüssen ohne CG-NAT.

Dein Ziel ist also, Anlagen in der Lagerhalle zu steuern. Dafür müßte der MR200 als Client eine VPN-Verbindung zu einem VPN-Server aufbauen. Dein Mobiltelephon muß sich außerdem im gleichen Netz wie der VPN-Server befinden.

Dein „überall“ klingt aber nicht danach, als wärst du häufig mit dem Mobiltelephon im gleichen Netz wie ein VPN-Server, sondern eben damit unterwegs. Damit fällt leider diese Möglichkeit auch flach.

So bleibt nur der Umweg über LTE mit öffentlicher IP via Spezial-APN. https://telekomhilft.telekom.de/t5/...S-In-welchem-Tarif-Einstellungen/td-p/3009487

 

[udek]

Okay, der Ansatz wäre mir neu und vermutlich eine Lösung.
Heißt wenn ich aus dem Netzwerk mit dem TP-Link Router eine VPN Verbindung zu meinem Heimnetz aufbaue, kann ich von diesem Netz auch wieder zurück in das TP-Link Netz?

Überall wäre es dann zwar nicht, aber das würde mich zumindest etwas helfen!
Sind dann die Geräte ganz normal über die eingestellten IPs erreichbar?

 

[udek]

Also ich habe in dem TP Link Netzwerk einen Rechner, der per VPN mit dem anderen Netzwerk verbunden ist. Ich komme aber aus dem anderen Netzwerk nicht zurück in das TPLink Netzwerk. Muss ich noch was besonderes einstellen?

 

[DeusoftheWired]

Heißt wenn ich aus dem Netzwerk mit dem TP-Link Router eine VPN Verbindung zu meinem Heimnetz aufbaue, kann ich von diesem Netz auch wieder zurück in das TP-Link Netz?

Solange in deinem Heimnetz ein VPN-Server werkelt und dein Heimnetz über eine öffentliche IP ansprechbar ist, ja. Wie wird der Internetanschluß in deinem Heimnetz hergestellt? Klassisches DSL, DOCSIS/Kabelinternet, FTTH, FTTB, …? Bitte Anbieter, Tarif und verwendeten Router bzw. Modemrouter mit Hersteller und Modellbezeichnung nennen.

Ist dein Modemrouter im Heimnetz nicht VPN-fähig, kann man das relativ günstig über einen Raspberry Pi nachrüsten, der dann VPN-Server spielt. Sauberer ist es aber, wenn der Modemrouter das erledigt, der auch den Internetzugang aufbaut.

Sind dann die Geräte ganz normal über die eingestellten IPs erreichbar?

Die sind dann ganz normal so errreichbar als würdest du dich mit dem Mobiltelephon gerade in der Lagerhalle und dem lokalen Netz befinden. Du mußt nur bei der Verteilung der Netze/IPs aufpassen, daß die aus deinem Heimnetz nicht mit denen aus dem Lagerhallennetz kollidieren: https://www.computerbase.de/forum/threads/vpn-trotz-gleicher-subnetze-ip-ranges.1766064/

Also ich habe in dem TP Link Netzwerk einen Rechner, der per VPN mit dem anderen Netzwerk verbunden ist. Ich komme aber aus dem anderen Netzwerk nicht zurück in das TPLink Netzwerk. Muss ich noch was besonderes einstellen?

Der Modemrouter im Heimnetz muß so konfiguriert sein, daß er Pakete aus dem Heimnetz mit dem Ziel Lagerhallennetz auch dorthin routet. Welche Einstellungen hast du an welchen Geräten vorgenommen? Screenshots oder Configs bitte posten.

 

[udek]

Also im Heimnetz habe ich eine Fritzbox 7312. hier wird der Port 1723 auf meine Synology weitergeleitet, die gleichzeitig den VPN Server stellt.

Das Heimnetz läuft auf 192.168.178.xxx
und das TpLink läuft auf 192.168.8.xxx

 

[DeusoftheWired]

Also im Heimnetz habe ich eine Fritzbox 7312. hier wird der Port 1723 auf meine Synology weitergeleitet, die gleichzeitig den VPN Server stellt.

Okay. Das Problem ist jetzt, daß in diesem Zustand erst mal nur die DiskStation auf andere IPs im Lagerhallennetz zugreifen kann. Kannst du von einem Rechner im Heimnetz eine ssh-Verbindung zur DiskStation aufbauen und dich dann von dort per ssh weiterhangeln, oder mußt du für die Verwaltung der Geräte in der Lagerhalle ein Programm auf dem Mobiltelephon benutzen?

Andere Möglichkeit: Stöpsle einen Testrechner von deinem Heimnetzrouter ab und verbinde ihn per Kabel mit der DiskStation. Deaktiviere im Heimnetzrouter DHCP. In der DiskStation aktivierst du DHCP. Dann mit dem Testrechner mal probieren, nach draußen zu kommen. Klappt das nicht, durch ping oder tracert zu einer IP aus dem anderen Netz oder zu einer öffentlichen IP wie der 87.230.75.2 von Computerbase testen, wie weit man kommt.

Das Heimnetz läuft auf 192.168.178.xxx
und das TpLink läuft auf 192.168.8.xxx

Paßt!

Ansonsten auch mal die TP-Link-Dokumentation dazu überfliegen: https://www.tp-link.com/ae/faq-1661.html

 

[udek]

ssh-Verbindung hab ich 0 Ahnung von. Das müsste mir jemand erklären...
Verbindung sollte aber auch idealerweise vom Handy erfolgen, da dort die ganzen Apps laufen die ich brauche...

PC direkt mit Synology verbinden klappt nicht, da diese nur einen Netzwerkport hat.

 

[DeusoftheWired]

Uff … dann Verkabelung so lassen und probehalber mal am Testrechner als Standardgateway die IP der DiskStation eintragen, aber ich glaube nicht, daß das funktioniert.

Hier hat es jemand geschafft, von einer FRITZ!Box zu einem TP-Link-Router eine VPN-Verbindung herszutellen, aber das klappt bei dir wegen der Mobilnetbeschränkung ja nicht. Von TP-Link-Router zu FRITZ!Box scheint schwierig bis unmöglich zu sein.

Ganz anders wäre es, wenn du auf deinem Mobiltelephon einen VPN-Server laufen lassen könntest und der FRITZ!Box sagst, sie soll die entsprechenden Ports zur IP des Mobiltelephons im WLAN weiterleiten. Zu VPN-Clients auf dem Smartphone findet man -zig Anleitungen, zum -Server finde ich dagegen gar keine. Bin auch nicht sicher, ob das überhaupt geht. :/

 

[udek]

UPDATE: Ich habe es nun geschafft, den PC im Hallennetzwerk per VPN mit meinem Heimnetzwerk zu verbinden. Jetzt läuft der VPN Server aber auf der FritzBox, die auch den Kontakt zum Internet herstellt.

Wenn ich jetzt aber im Heimnetzwerk bin und dort eine IP des Hallennetzwerkes öffnen möchte, klappt das noch nicht.

Muss ich noch was anpassen/einstellen? Falls ja, was? ;-)

DANKE!

 

[DeusoftheWired]

Muss ich noch was anpassen/einstellen?

Screenshots vom VPN-Menü und Systemlog des Lagerhallen-Routers, das gleiche von der FRITZ!Box. Aus dem Lagerhallennetzwerk bei aktiviertem VPN eine öffentliche IP wie 87.230.75.2 mit ping oder tracert abzufragen, wäre noch interessant.