VPN von Router zu Router. Wofür?

[Bubbleman]

Hallo

Ich habe mal eine Grundsatzfrage die ich hier stellen möchte. Ich bin in Sachen VPN ein Neuling und denke mich gerade ein. Das eine VPN Verbindung ein sicherer Tunnel zwischen zwei Netzwerkteilnehmern ist, ist mir bekannt.

Situation:
Zwei Fritzboxen 7390 in zwei voneinander entfernten Haushalten. Beide mit per DynDNS (No-IP) mit einer Domain versehen und darüber auch gegenseitig erreichbar.
Nun kann man in der Fritzbox eine dauerhafte VPN Verbindung von Fritzbox zu Fritzbox einrichten.
Das klingt interessant, und gleichzeitig frage ich mich wie sich das auf zwei Window 7 Rechnern (oder auch einem Windows Home Server) jeweils hinter einem der Router bemerkbar macht? Was genau kann/könnte ich damit tun?

Nach den ersten Antworten, werden sich bei mir bestimmt weitere Fragen ergeben. Würde mich über eine lehrreiche Diskussion freuen.

 

[smashbrot]

Ganz einfach: das VPN verbindet die beiden Heimnetze.

D.h. du kannst beiderseitig auf Windows-Freigaben zugreifen, Remotedesktop-Sitzungen starten, auf Serverprogramme im jeweils anderen Netzwerk zugreifen etc.

 

[Masamune2]

Naja du kannst z.B. auf die Freigaben der Rechner in dem anderen Netzwerk zugreifen. Voraussetzung dafür ist allerdings neben dem VPN Tunnel das beide unterschiedliche IP Netze verwenden, also Fritzbox A z.B. 192.168.178.X und die andere Seite 192.168.179.X.

 

[Lawnmower]

Du hast alt eben permanenten Zugriff auf das andere Netzwerk/LAN - fast so als wäre der 2. Windows Rechner bei Dir im Netz - und kannst auf dessen Daten/Freigabe zugreifen sofern berechtigt.

 

[Tworker]

Die direkte VPN Verbindung, so würde ich es für mich interpretieren, hat z.B. den Vorteil, dass Du einen gesicherten Zugang zur NAS der Fritzbox hast.

 

[HighTech-Freak]

Das nennt man Site2Site VPN. Wenn Du zwei Standorte vernetzen möchtest ist das die beste Wahl.
Klassisches Einsatzszenario im privaten Umfeld: Du möchtest von deinem Zweitwohnsitz auf Server (NAS, HTPC, diverse Heimautomatisierung) daheim zugreifen können ohne irgendwas am Client umkonfigurieren zu müssen.

Für Site2Site-VPN gibt's verschiedene Möglichkeiten hinsichtlich Routing, aber üblicherweise haben die Standort ähnliche IP-Adressbereiche, zB:
Hauptwohnsitz: 192.168.1.0 - 192.168.1.255
Nebenwohnsitz: 192.168.2.0 - 192.168.2.255
Anfragen werden dann von der Fritzbox übers VPN ins Zielnetz geroutet.
Netzwerkerkennung funktioniert hier eventuell nur eingeschränkt.
Auch für das gibt's Lösungen, aber die sind etwas aufwändiger und mit der Fritzbox vermutlich nicht ohne weiteres machbar.

 

[Olunixus]

Zum zocken kann man es auch nutzen - dann muss man nicht auf Zusatztools wie Tunngle oder Hamachi zurückgreifen (die möglicherweise nicht immer funktionieren). Ich habe das zum testen mal mit einem Freund eingerichtet und es liefen einige alten spiele, die mit Tunngle vorher nicht liefen.
Aber mit reinen Internetbekanntschaften würde ich sowas nicht einrichten, ist ja auch eine Sicherheitsfrage, weil mit dem VPN ist es wirklich ein direktes verbinden der Netzwerke, und nicht nur das Verbinden von einzelnen PCs zum zocken.

 

[The Nemesis]

Vor allem ist das VPN auch ein Sicherheitsaspekt.
Die Verbindung ist, zumindest in der Theorie, abgesichert und nicht von außen einsehbar.

 

[Bubbleman]

Hallo

Wow, das ging ja echt Schlag auf Schlag hier
Hört sich interessant an. Habe also mal die Fritzboxen entsprechend eingerichtet mittels eines Tools von AVM welches config-Datein für die FBs erstellt.
In der "Übersicht" der FBs wird nun jeweils eine VPN Verbindung angezeigt, allerdings jeweils als "nicht verbunden".
Einen Fehler in der Konfiguration schließe ich wegen mehrfacher Prüfung aus, und weil das Tool keine Fehler zulässt (zB unterschiedlicher IP Adressraum).

Nun könnte ich mir zwei Ursachen vorstellen.
1. No-IP als DynDNS Anbieter unterbindet da etwas, Weis da jemand was?
oder
2. Ich muss in Widows 7 erst "irgendwas" machen. Unter Netzwerkverbindungen tauchen jedenfalls nur meine lokalen Geräte auf.

Wer hat Ideen?

 

[The Nemesis]

Zu Frage 2:
Unter Windows musst du bei Site2Site nichts einstellen.
Du kannst, wenn alles funktioniert, einfach die Gegenstelle erreichen, z.B. über Pings.

 

[HighTech-Freak]

http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox
Eventuell musst Du die IP-Bereiche der verschiedenen LANs (und damit aller Rechner in den LANs) entsprechend ändern. Folge einfach dem Guide, dann sollte es passen.

Da die Fritzbox anscheinend IPSec verwendet, brauchts ein paar Ports, die nicht gefirewalled sein dürfen (auch ned vom Provider). Siehe dazu ganz allgemein IPSec VPN...
Ob Ports von außen erreichbar sind kannst Du mit http://www.t1shopper.com/tools/port-scan/ testen.

Auf der anderen Seite brauchst du öffentlich ansprechbare IPv4-Adressen. Falls Du bereits IPv6 Kunde bist, hast Du keine öffentliche IPv4 mehr und musst IPv6 nutzen. In dem Fall hast Du eventuell die Ar***karte gezogen, da vieles traurigerweiße mit IPv6 noch ned funktioniert...

LG, Thomas

 

[Olunixus]

Auf das AVM-Tool würde ich verzichten. Als ich das bei mir mit nem Freund zum testen eingerichtet hatte haben wir die VPN-Einstellungen direkt in der Fritzbox (aktuelles Fritz!OS für die Box updaten!) über den Assistenten "Verbindung zwischen 2 Fritzboxen einrichten" gemacht - nachdem wir dann die richtigen PWs usw ... an der richtigen Stelle eingetragen und bei den IP-Adressen alles korrekt eingestellt hatten lief das ohne Probleme. Wir haben ca. 10 Minuten gebraucht, die Anleitung von AVM ist ganz hilfreich, nur bei einer Sache war es etwas unklar, aber da haben wir nach kurzer Google-Suche schnell die Lösung gefunden.
Wie gesagt, lass dieses Tool weg und mach es per Assisten der jeweiligen Fritzbox. Du kannst ja an deinem 2. Standort nen Rechner hinstellen und das per Teamviewer in der FB eintragen, solange die Verbindung noch nicht steht, oder du nutzt die "Von aussen auf die Weboberfläche der FB zugreifen"-Funktion direkt - das sollte auch mit DynDNS gehen, wenn du es in der FB eingestellt hast.
Noch ein Hinweis: Zum herstellen der VPN-Verbindung wird die Internetverbindung an beiden Fritzboxen kurz unterbrochen.

 

[Bubbleman]

Hallo

Also ich habe nachdem es mit VPN nicht geklappt hat die Verbindung auch mal zu Fuß eingegeben.
Man muss erstmal ganz genau lesen, dass bei der Eingabe des IP-Bereichs inten eine 0 stehen muss also 192.168.171.0 und nicht 192.168.171.1 (IP der Fritzbox). Die Bereiche sind auch unterschiedlich auf den beiden Boxen.
Nun steht zumindest schonmal "Verbindung wird aufgebaut" im Status, dies allerdings dauerhaft ohne Veränderung.

Zum Port: Muss ich wirklich einen Freigeben wenn sich zwei Boxen miteinander verbinden? Denn wenn ich in der FB einen Freigeben will, dann muss ich gleichzeitig ein Weiterleitungszeil im LAN angeben. Bei AVM ist dazu nichts beschrieben...

 

[HighTech-Freak]

Da das ab Werk eingestellte interne Netz 192.168.178.0, nach Vorgabe des Fritz!Box VPN Assistenten, nicht für die VPN genutzt werden darf, muss das interne Netz gewechselt werden.

Laut http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox

Wie gesagt, mach ma besten
192.168.1.x im LAN 1 und
192.168.2.x im LAN 2

Das sollte das Problem von vornherein gänzlich ausschließen.

Bzgl. Weiterleitung: Nein, muss nicht weitergeleitet werden. Aber es darf nicht in irgendeiner Firewall gesperrt sein...

 

[Olunixus]

Also bei mir hat das mit dem 192.168.178.X-Netz geklappt. D.h. ich hatte 192.168.178.X und beim meinem freund in der Fritzbox war 192.168.2.X eingestellt.
Aber ja, jetzt wo ihr es schreibt fällt mir wieder ein, das wir die 1 anstatt die 0 am ende der ip-adresse eingetragen hatte - das war unser fehler...

 

[aranax]

AVM hat doch soagr ne schicke Anleitung gemacht.

Die FritzBoxen bauen die VPN Verbindung nur bei Bedarf auf! Unter System/Ereignisse liefert die FritzBox sicherlich auch eine genauer Fehlermeldung.

-aranax

 

[Bubbleman]

Hallo

@aranax
Ich bin nach eben diser Anleitung vorgegangen und zum beschriebenen Ergebnis gekommen.
In der "Übersicht" steht VPN "wird aufgebaut" und das "Lämpchen" ist grau statt grün. In beiden FBs.
Und man kann es so konfigurieren, dass die Verbindung ständig gehalten wird, was ich auch getan habe.
Von daher SOLLTE es funktionieren, TUT es aber leider nicht. Auch nicht nach einem Neustart der FBs.

HM?

 

[aranax]

Wie ist denn die genaue Fehelrmeldung? Im Webinterface unter System/Ereignisse.

Das ständig halten war vielleicht früher noch nicht, aber das ist ja scheinbar eh nicht der Knackpunkt.

 

[Bubbleman]

Hallo

Meine Antwort von vorhin wurde hier nicht gepostet.

Verbindung ist jetzt vorhanden. Was war passiert?
Ich hatte auf meiner FB eine "Spezialfirmware" von AVM, die ich mal bekommen hatte weil ich Probleme mit WOL hatte. Diese entsprach der 6.02 plus einigen Modifikationen. Im Rahmen der Fehlersuche hatte ich dann überlegt auf die allerneuste upzudaten. Hatte dann allerdings eine Sicherung eingespielt, in der ich noch einen anderen DynDNS Anbieter drin hatte, was mir aber lange nicht aufgefallen ist. Nachdem ich das gefixt hatte, klappt es mit der Verbindung. Dennoch waren die Hinweise hier sehr hilfreich.
Vielen Dank!

Nun kann ich die entfernte FB mit deren lokaler/eigener IP ansprechen. So als ob sie in meinem Netz wäre. Schonmal gut.
Kann ich es denn nun irgentwie erreichen, dass das etwas komfortabler wird, als die Arbeit mit IPs?
Meine Vorstellung wäre, dass alle Geräte "des anderen" Netzwerks in meinem Windows 7 zB unter "Netzwerkverbindungen" auftauchen.