VPN über feste IPv4-Adresse

Status
Für weitere Antworten geschlossen.

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
@blurrr: Verstehe ich nicht. Ich habe in der Zentrale die FB hinter dem Router als Telefonzentrale eingerichtet. Da ist der SIP-Zugang zum Provider der Zentrale mit den Telefonnummern der Zentrale hinterlegt. Und kann dann mit meinen IP-Telefonen daheim via VPN simpel auf die FB zugreifen (also in der FB als IP-Telefone eingerichtet) - und über die Telefonnummern der Zentrale telefonieren. Klar könnte ich auch mit den IP-Telefonen in den Filialen irgendwie direkt auf den SIP-Server von Unitymedia/Vodafone zugreifen, aber es funktioniert so bestens, störungsfrei und von der Einrichtung her auch total einfach.
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
@blurr: Könntest du bitte mal genauer ausführen, was du mit der Aussage "...könnte man hingegen die FritzBox die Einwahl durchführen lassen... meinst? Ich habe in den letzten Tagen mehrfach mit VF/KD und auch AVM über die Thematik gesprochen. Ich möchte einen eigenen Router (Draytek 2690) verwenden und um doppeltes NAT zu verhindern, brauche ich zwischen dem Anschluss und dem Draytek entweder ein reines Modem (im Moment nur das TC 4400 möglich) oder einen Modem-Router, der als Bridge geschaltet ist. Ergebnis: Meine FB 6591C kann weder von VF/KD noch von AVM in den sog. BridgeModus gesetzt werden. Somit bliebe mir, wenn ich bei der FB bleiben wollte, lediglich die Option, die DrayTek über einen Exposted Host zu betreiben (und somit mit doppeltem NAT)...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
@servilianus: Da das hier dann doch etwas sehr offtopic wird, schreibe ich Dir mal eine PN :)

@schoeli: "brauche ich zwischen dem Anschluss und dem Draytek entweder ein reines Modem (im Moment nur das TC 4400 möglich) oder einen Modem-Router, der als Bridge geschaltet ist." sehe ich anders: Zwar wird die statische IP nicht direkt am Draytek terminieren, aber das juckt den Draytek "mit Sicherheit" nicht großartig (sind ja auch vernünftige Geräte).

Das Problem ist, dass Geräte - ohne entsprechende Routen und Gateways zu kennen - immer nur im "gleichen" Netz miteinander reden können. Kennen Sie die Route zu einem anderen Netz nicht, werden Sie die Pakete an ihr "Standard-Gateway" schicken. Aus dem Netz der Fritzbox (Beispielhaft 192.168.178.0/24) würde es eben so aussehen, dass nur intern 178 erreichbar ist und was anderes wird sofort an die Fritzbox geschickt.

Wenn der Draytek nun dahinter hängt, bekommt er WAN-seitig auch eine IP aus dem 178er Netz (z.B. 178.2). Somit kann der Draytek (WAN-seitig!) mit der Fritzbox reden, die wiederum mit dem Internet. Hinter dem Draytek ist nun noch ein Netz (200.0/24). Wenn die Pakete NICHT via NAT maskiert werden und z.B. ins Internet sollen (z.B. vom Client .200.10), wird der Draytek die Pakete auch genau SO weiterleiten. Die Fritzbox weiss nur nichts von einem Netz 200.0/24 und weiss nun auch nicht, wie sie dieses Netz erreichen kann.

Lösung 1) NAT: Der Draytek nimmt das Paket von 200.10 und packt seine IP darüber, für die Fritzbox kommt das Paket jetzt von 178.2 (Draytek-WAN) und damit kann die Fritzbox nun etwas anfangen, die Adresse ist ja im gleichen Netz. (EDIT: Huch, glatt vergessen: der Draytek nimmt das Paket wieder an und schaut in seine NAT-Tabelle für wen die Antwort jetzt eigentlich war und schickt die Antwort entsprechend weiter an die 200.10 :eek:)

Lösung 2) statische Routen: Der Fritzbox wird nun gesagt, dass sie das Netz 200.0/24 über die 178.2 (Draytek-WAN) erreichen kann. Hat die Fritzbox also ein Paket für die 200.10 (Client), wird sie dieses Paket an den Draytek schicken, welcher wiederum in seinem Netz (200) das Gateway ist und das Paket an den Client (200.10) weiterleitet.

Hoffe, dass das jetzt einigermaßen verständlich war :)
 
Zuletzt bearbeitet:

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Wow! Da hast du dir viel Mühe gegeben! Vielen Dank für die ausführlichen Erklärungen. Mal gucken, was ich in der Praxis damit anfangen kann...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Wichtig ist halt, dass das NAT beim Draytek abgeschaltet wird, die Fritzbox die Route zum Netz über den Draytek kennt. Rest s. vermutlich Draytek-Firewall :)
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Meine Empfehlung: Lasst die ganzen Fritten-Geschichten sein. Wie schon geschrieben: EinModem soll die Übersetzung der elektrischen Signale in IP-Pakete machen - die Einwahl ins I-Net dann via Router. Erspart die ganzen statischen Routen. Ich kann nur sagen: Meine DSL-Konstellation läuft super, stabil, bestens und auch für VPN sehr schnell:

Vigor165 (Modem) --> Vigor 2926 (Router) --> FB für Telefonie // Synology-NAS // dort im Docker der Controller für die Unifi-AP // 12 Unifi-AP an unterschiedlichen Standorten via VPN mit dem Draytek bzw. Synology verkoppelt // stehende LAN-LAN-Kopplung des Vigor 2926 zu den Routern an den anderen Standorten // Zugriff via VPN für Clients an den Rechnern an den unterschiedlichen Standorten auf ein Server-Programm, welches in der VM auf der Synology läuft ... läuft alles prima und toll.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Stimmt schon, aber wenn man keine Wahl hat, wäre sowas das bessere Mittel :)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat