VPN über feste IPv4-Adresse

Status
Für weitere Antworten geschlossen.

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Einwandfrei - dann kann ich jetzt loslegen;) ich geb mal Bescheid wenn alles läuft! Vielen Dank euch allen!
 

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
...nachdem nun schon heute alles gekommen ist und auch der DrayTek-Support heute morgen angerufen hat (tatsächlich krass wie fit und schnell die dort sind) hab ich zumindest das Teil mal hinter der FB so zum Laufen bekommen das ich per WLAN und über meinen Rechner in LAN 1 ins Internet komme. Das ist doch ein bisschen komplexer als gedacht...Daher eine blöde Frage bevor ich die VPN-Geschichte teste: wie bekomm ich zugriff auf Geräte die in Port 2,3 und gesteckt sind? Meine Syno steckt z.B. in Port 2 - aber ich bekomm keinen Zugriff auf die Platte...muss da noch noch irgendwas aktivieren? Unter "Vlan" hab ich alle Ports sowie das Internet mal in eine VLAN Gruppe gepackt und alles aktiviert - das müsste doch eig. laufen oder?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Du musst kein VLAN aktivieren. Die Ports müssen auch so funktionieren.
Welchen Vigor hast du, dann schau ich mal in die Live-Demo was du einstellen musst.
Dann ist die Frage wer jetzt bei dir DHCP macht. Evtl steht deine Syno auf einer anderen IP (fix) als DHCP des zB Routers zur Verfügung stellt. Dann kommst du natürlich nicht auf das NAS.
 

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Ok...dann liegts evtl. an der Syno wenn das ohne große Einstellungen laufen müsste. Die hat auch tatsächlich eine feste IP - wenn ich die raus nehm müsste es dann eig. laufen oder? Ich hab den 2133ac den Du empfohlen hast:)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Welche IP bekommst du auf deinem PC über DHCP? Auf diesen Bereich musst du dann die Syno einstellen mit Gateway der 2133 IP Adresse. Der Syno immer eine feste IP geben!
 

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Das wars - hatte noch die "alte feste IP" auf der Syno aktiviert...jetzt komm ich drauf und alles läuft. Dann mach ich mich mal ans VPN damit ich morgen die FB in Rente schicken kann;)

Ich danke Dir!
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Schalte unter LAN General Setup nur LAN1 aktiv, alle anderen aus
Schalte überall IPV6 auf disable, auch DHCP V6 aus.
Unter LAN1 Detail page stelle den DHCP Server ein. Mehr als 20 Adressen wirst du zu Hause nicht brauchen, also zB Start IP Adresse .100 und Anzahl Clients 20
Die Adresse des Routers ist für alle das Gateway.
Unter DNS stellst du die DNS Server deines Providers ein oder einfach 8.8.8.8 (Google DNS, sehr schnell)
Dem NAS könntest du dann zB die fixe IP .10 geben
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Top, danke. Jetzt läuft alles. Morgen kümmert ich mich noch um die VPN-Geschichte und dann stell ich auf den TC4400 um. Was mir noch aufgefallen ist: Wenn ich die feste ip von der FB auf den Vigor leite ist der dann nur über "https://festeip" erreichbar. Ohne SSL nicht - das wird aber so gewollt sein oder? Dieses ganze Weiterleiten hab ich dann mit dem TC4400 sowieso nicht mehr oder? Den schließ ich an, lass ihn freischalten und konfiguriere das VPN über die Vigor und ab gehts. Laut Hersteller ist wohl "L2TP/IPsec" zu empfehlen. Das SSL VPN was Du speziell für Hotels empfohlen hast is ja sowieso schon aktiv hab ich gesehen - dann brauch ich mich darum ja auch nicht mehr kümmern;)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Jedes VPN Verfahren nutzt eigene Ports. L2TP nutzt andere SSL-VPN!
In dem Draytek kannst du die VPN-Verfahren aktivieren/deaktivieren. Entscheide dich für SSL-VPN oder openVPN. OpenVPN müsstest du auch auf den Port 443 umstellen können. SSL-VPN nutzt ihn als Standard. Alle nicht genutzten VPN Verfahren deaktivieren!
Für deinen PC ist es dann am besten, wenn du dir den Draytek VPN-Client runter lädst. Den gibt es für nahezu jedes Betriebssystem, auch Smartphone.
Einfacher geht es nicht.
 

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Ahh dann nutz ich entweder L2TP oder SSL-VPN...dachte das geht parallel. Wobei das ganze Durchleiten eh egal ist - UM hat mir gerade den TC4400 freigeschalten. Auf dem selber kann ich ja nicht wirklich etwas ändern - dh die feste IP muss in den Draytek rein oder? Weil ohne irgendwas zu tun läuft die ja nicht
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Genau, im Draytek im WAN Port die feste IP eintragen und auch die DNS Server wenn ich mich nicht irre, das war es dann.
Das Durchleiten intern )Port Weiterleitung) entfällt, weil alles was VPN ist im Router gemanaged wird.
VPN mit 443 ist nur wichtig, wenn du aus öffentlichen WLANs, Hotels etc auf dein Netz zugreifen willst. Da sind immer alle Ports gesperrt, ausser 443.
 

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
So nach einigen Telefonaten mit UM/Vodafone bin ich zumindest ein bisschen weiter. Für eine feste IP muss man leider die FB verwenden. Das funktioniert mit einem eigenen Modem nicht. Aus diesem Grund hab ich die FB wieder anschließen lassen. Außerdem hab ich jetzt für das Vorhaben neue 30er-Ips bekommen weils mit einer Statischen wohl nicht funktioniert (da die wohl nur für die FB vorgesehen ist). Ich hab die Daten meiner freie statischen IP auch mal in den WAN des Vigor gepackt und auf der FB den Exposed Host an den Vigor geleitet. Das läuft jetzt soweit auch - ich komm über die Geräte am Vigor ins Netz. Nur das VPN läuft noch nicht - wobei das wahrscheinlich noch am Vigor liegt. Was mich allerdings irritiert - wenn ich über den Browser meine ip checken lasse wird dort immer die IP der FB angezeigt und nicht die die im Vigor steht. Ist das normal? An der FB bzw. am Vigor selber muss ich ja nicht noch extra die Ports öffnen oder?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Zu der festen IP oder doch nicht gibt es gänzlich unterschiedliche Erfahrungen im Unity Forum. Ich würde auf die feste IP verzichten! Ob du die hast oder Peng. Draytek hat einen eigenen DynDNS Server für solche Fälle.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Alternativ würde ich aber eine feste 30er-IP bekommen mit der ich hinter die FB einen Router hängen kann..

Erstmal gibt es keine 30er IP, sondern nur ein 30er (CIDR) Netz, womit Du genau 2 nutzbare IPs hättest bzw. eigentlich nur eine, da die eine davon schon für das GW drauf geht (was in diesem Falle die FB LAN-seitig wäre) und das entspricht übrigens auch dem Bridge-Mode. Ich habe im Büro das gleiche mit einem /29er Netz laufen (wären dann 8 Adressen, 5 davon von Clients bzw. der Firewall nutzbar). NAT ist dann allerdings auch völlig abgeschaltet, ebenso wie sämtliche Firewall-Regeln, so dass Du zwingend dahinter einen Router/Firewall betreiben solltest. Dieser ist dann auch für das NAT zuständig. Somit befindet sich dann quasi in Deinem persönlichen Hoheitsgebiet ein öffentliches Netz. (quasi ein Vorbau mehr als sonst). Alles andere funktioniert nach wie vor unverändert.

EDIT: Ich würde eine feste IP einer DynDNS-Geschichte "immer" vorziehen. Ist schlussendlich einfach eine Fehlerquelle weniger.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Ich verzichte seit Jahren bewusst auf eine feste IP und hatte noch nie Probleme mit DDNS. Von daher ist es mir völlig Schnuppe, Hauptsache IPv4!
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Bei dem "Hauptsache" bin ich ganz bei Dir :cool:

Was das DynDNS-Thema angeht... wenn man sich mal an DEN DynDNS-Dienst zurück erinnert ("dyndns" kommt ja auch nicht von ungefähr, auch wenn es vermutlich kaum noch wer weiss)... 3 kostenlose... dann später nur noch 1 kostenlos und danach dann "garnicht mehr". Gibt sicherlich (mittlerweile) auch genug Alternativen wie spdns, myfritz oder sonstige (die auch nicht jeden Monat mit irgendwelchen Bestätigungsmails nerven und ansonsten den Hostnamen wieder löschen). Auch kam es hin und wieder in der Vergangenheit mal vor, dass der DynDNS-Host einfach nicht richtig registriert wurde. Ist dann ganz besonders schön, wenn man dann erst wieder 24 Stunden warten darf, bis das dann mal nachgezogen war (war ja früher immer so üblich bei einer erneuten Router-Einwahl oder so). Ich sag ja nicht, dass die Lösung an sich schlecht ist und sicherlich hab ich auch den ein oder anderen Standort via DynDNS laufen, aber wenn ich die Wahl habe (und dann kostet es halt ein paar Euros im Monat mehr), dann immer die statische IP. Wenn dann was nicht geht, liegt es an der Strecke oder den Komponenten und nicht mitunter an irgendeinem Dienst von irgendwelchen Dritten, der ggf. grade problembehaftet ist. Aber das ist halt auch - wie vieles - einfach Geschmackssache :)
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Um bitte nochmal auf die ursprüngliche Meldung des Themenstarters zurückzukommen: Ich begreife nicht, warum ich eine feste, gebuchte, IPv4-Adresse plötzlich nicht mehr nutzen kann / soll, nur weil ich ein Kabelmodem verwenden möchte, statt einer Fritzbox. Ich meine, ich habe eine feste IP gebucht, darauf würde ich UM mal festnageln - das ist doch unabhängig von meinen technischen Geräten.

Nach meinem Dafürhalten muss es doch dem Endgerät völlig egal sein, welcher Art die öffentliche-IP ist, die es vom ISP erhält. Kann das technisch vom Modem aus abhängen? Wie auch immer: UM (oder jetzt Vodafone) soll die Fritzbox bridgen. Das hat doch nichts damit zu tun, ob man sich in BaWü aufhält oder NRW. Daran dann den Vigor, und der Vigor dann als VPN-Router. Vorteil ist so (neben dem offenbar Erhalt der festen IP), dass die FB als Telefonzentrale erhalten bleibt. Diese Konstruktion habe ich selber (gebridge FB bei Unitymedia + Vigor-Router) und alles läuft total stabil und problemfrei (stehende Lan-Lan-VPN-Koppelung zu vier verschiedenen Standorten vom Vigor aus.)

Super ist vor allem, dass ich mit dieser VPN-Konstruktion störungsfrei meine IP-Telefone zu Hause auf den anderen Standorten/Routern via VPN anmelden kann... dh. ich habe so einen richtigen Heim-Arbeitsplatz....ruft jemand an den anderen Standorten an, telefoniere ich mit ihm zu Hause, und niemand merkt es... ). Störungsfrei deshalb, weil die Vigor-Router eine Extra-Funktion für IP-Telefonate mitbringen, und für Störungsfreie Gespräche extra Bandbreite reservieren (wobei die richtige Einrichtung von IP-Telefonieren im Router bzw. IP-Telefonen selbst nicht ganz so trivial ist)
 
Zuletzt bearbeitet:

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Ich beschäftige mich auch seit einer Weile mit der Thematik.

Auf einer Seite von VF/KD habe ich dazu folgende Information (Stand: 13.04.2020) gefunden:

"An Businessanschlüssen von Vodafone West (ehem. Unitymedia) (Office Internet), insbesondere an denen mit statischen IP-Adressen, ist in vielen Fällen kein Einsatz eines freien Endgeräts möglich. Grund dafür ist, dass dort der sog. RIP-Modus eingesetzt wird. In diesen Fällen wird die statische IP-Adresse über eine VPN-Verbindung bereitgestellt, die nur vom von Vodafone West (ehem. Unitymedia) gestellten Endgerät aufgebaut werden kann."

Das sollte m. E. im Umkehrschluss bedeuten, dass alle anderen Kunden von VF/KD mit fester IP-Adresse sehr wohl das TC 4400 nutzen können. Habe es nun geordert und werde demnächst berichten...

Quelle: https://helpdesk.vodafonekabelforum.de/wiki/Einsetzbare_freie_Endgeräte
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Naja, was die Verbindung aufbaut, kann einem schon ziemlich egal sein. Nachteil bei "eigenen" Geräten ist eben die Tatsache, dass die ISP-seitige Provisionierung nicht funktioniert und die im Fehlerfall auch nicht auf's Gerät schauen können. Primär wichtig ist eigentlich in erster Linie nur, dass das eingesetzte Gerät auch statische Routen kann, der Rest ist relativ egal. Auch im Falle einer Vodafone-Fritzbox mit einem Draytek könnte man hingehen und die Fritzbox die Einwahl durchführen lassen. Draytek bekommt WAN-seitig eine IP aus dem Fritzbox-Netz und der Fritzbox wird via statischer Route nur noch gesagt, welche Netze sich hinter dem Draytek befinden. Damit hat man dann auch nichts mit Doppel-NAT, etc. an der Mütze. VPN-Ports und Co. kann man dann auch einfach an den Draytek durchschleifen und jut ist.

Da der Routerzwang ja offiziell beendet sein soll, muss es auch noch entsprechende Alternativen bzgl. den Endgeräten geben. Mag sein, dass es in den Callcentern noch immer nicht so wirklich angekommen ist, faktisch "darf" sowas aber kein Problem darstellen. Falls dem doch so sein sollte, bleibt nur ein Anbieterwechsel übrig. Allerdings ist meine Erfahrung, dass - sofern genügend Standorte mit Verträgen vorhanden sind - es da auf einmal doch ein ziemliches Entgegen kommen gibt und plötzlich auch entsprechende Fachabteilungen parat stehen ;)

@servilianus: VoIP macht man heutzutage nicht mehr Standort-abhängig, sowas gehört zentral irgendwo hin und nicht auf irgendwelche Fritzboxen :p (EDIT: also bei mehreren Standorten)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat