Fritzbox und Homeoffice VPN (VLAN)

devebero

Rear Admiral
Registriert
Juli 2003
Beiträge
5.286
Hi,

ich habe eine Frage und hoffe, ihr könnt mir ggf. helfen.

Folgendes Szenario:

Ich arbeite aus dem Homeoffice und bin per VPN Client mit dem Firmennetzwerk verbunden. Das Notebook ist in dem Fall mit meinem Gäste WLAN verbunden. Bisher funktionierte das einwandfrei. Seit dem Update auf 7.21 der Fritzbox jedoch nicht mehr. Die Verbindung wird sporadisch getrennt ohne das man es bemerkt. Laut Admin braucht die VPN Software die Ports UDP 1701 und 1723 offen. Dies kann ich, meines Wissens nach jedoch nicht in der Fritzbox (Gäste WLAN) einstellen. Sollte es hier doch eine Möglichkeit geben, so teilt mir das gerne mit.

1. Alternative: Ich kann das Firmennotebook in mein normales WLAN hängen. Dort kann ich die entsprechenden Ports öffnen. Das möchte ich jedoch nicht so gerne.

2. Alternative: Ich setzte ein VLAN auf und verbinde mich per LAN. Die Verbindung per LAN wäre grundsätzlich machbar. Jedoch bin ich in Sachen VLAN mehr als unwissend.

Ganz kurz zur vorhanden Hardware bzw. Konstellation:

Fritzbox 7590 -> von dort LAN Kabel in einen Zyxel GS1900-24E Switch. Von dort LAN Kabel ins Arbeitszimmer in einen -> Zyxel GS1200-5 Switch. Von diesem ein LAN Kabel in einen AVM 3000 Repeater. Dieser stellte bisher das besagte Gäste WLAN im Arbeitszimmer zur Verfügung.

Kann mir jemand begreiflich erläutern wie ich hier ein VLAN für das dienstliche Notebook aufsetze? Muss ich das in beiden Switch machen?

Ich hoffe ihr könnt helfen und ggf. Vorschläge machen.
 
devebero schrieb:
Laut Admin braucht die VPN Software die Ports UDP 1701 und 1723 offen.

Die VPN Verbindung baut doch eine Verbindung zum Firmennetzwerk und dem darin befindlichen VPN Server auf, von daher musst du gar keine Ports öffnen.
Was für eine VPN Software wird denn eingesetzt?
 
  • Gefällt mir
Reaktionen: Bob.Dig
@leipziger1979 damit sind höchst wahrscheinlich ausgehende Ports gemeint.

Btw. UDP Port 1723 lässt PPTP vermuten. Ich hoffe dass dies nicht zum Einsatz kommt. Es ist hoffnungslos veraltet und unsicher.
 
Mein eigener VPN Server (Synology) benötigt ebenfalls den Port 1701 offen. Aber da bin ich ja der Server. Ist daher sicher nicht vergleichbar. Die Software heißt SonicWall Global VPN Client.
Alternativ habe ich derzeit die SonicWall NetExtender zum testen. Die läuft wohl über Port 443 und macht keine Probleme. Das ist jedoch nur zum Testen.
 
brainDotExe schrieb:
damit sind höchst wahrscheinlich ausgehende Ports gemeint.

Die sind doch immer offen bzw. werden geöffnet.
Ports muss man nur öffnen wenn intern ein Server erreichbar gemacht werden soll.

devebero schrieb:
Mein eigener VPN Server (Synology) benötigt ebenfalls den Port 1701 offen. Aber da bin ich ja der Server.

Genau, da bist du ja Server.
 
  • Gefällt mir
Reaktionen: Bob.Dig
leipziger1979 schrieb:
Die sind doch immer offen bzw. werden geöffnet.
Ports muss man nur öffnen wenn intern ein Server erreichbar gemacht werden soll.
Bei einer "richtigen" Firewall, also keiner FritzBox, kann/muss man auch ausgehende Ports öffnen/freigeben.
Ports öffnen/freigeben hat erst mal nichts mit der Richtung (input, output, forward) zu tun.

Nur bei den ganzen 0815 Consumer Routern sind in der Regel damit eingehende Ports gemeint.
 
brainDotExe schrieb:
Bei einer "richtigen" Firewall, also keiner FritzBox, kann/muss man auch ausgehende Ports öffnen/freigeben.

Falsch.
Mal ein Beispiel:

Du willst eine HTTP/HTTPS Seite im Browser aufrufen.
Der Zielport ist 80/443, dein Quellport ist meist individuell und zufällig irgendwas mit 4****, dieser wird beim TCP Handshake ausgehandelt und auch durch die Firewall geöffnet.
Bei Ciscoroutern ist das irgendwas mit "established TCP ACL"

Oder stellst du für jeden individuellen Port eine Portfreigabe ein? :)

@ TE
Frage nochmal genau bei deiner IT nach.
Die beiden Ports gehören zu PPTP bzw. L2TP.
Wäre auch sehr Benutzerunfreundlich wenn jeder Ports öffnen sollte.
 
Ich bin nun am überlegen, ob das ganze nicht mit dem Update auf die 7.21 zu tun hat. Da liest man häufiger etwas von DNS Problemen. Wenn das nach einer Zeit nicht mehr klappt, dann sieht es nach einer aktiven Verbindung aus, die jedoch nicht mehr aktiv ist. Könnte das auch ein Grund sein? Weil vor dem Update lief es. Mir ist dann nur der Zusammenhang nicht ganz klar.
 
"Sporadisch" getrennt ist immer Mist... heißt, mal gehts 30 Minuten, dann fliegste raus?

Was willst Du mir VLAN erreichen, wenn Du es an der Fritzbox wieder alles zusammenführst..? Du kannst auf der Fritzbox nur das Gäste-LAN auf Port 4 rausführen und das dann in den Switchen als z.B. VLAN 2 verkaspern... bringt Dich aber nicht weiter, da Du im gleichen Gäste-LAN-Bereich bist wie im Gäste-WLAN.

Schau mal hier
https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/017p1/hilfe_zugangsprofil_gast
und setze die Ports ggfs. mal in die Freigabe...
 
leipziger1979 schrieb:
Du willst eine HTTP/HTTPS Seite im Browser aufrufen.
Der Zielport ist 80/443, dein Quellport ist meist individuell und zufällig irgendwas mit 4****, dieser wird beim TCP Handshake ausgehandelt und auch durch die Firewall geöffnet.
...
Oder stellst du für jeden individuellen Port eine Portfreigabe ein? :)
Wenn du z.B. bei RouterOS eine default Regel auf die "Forward" chain mit output Interface WAN mit block/reject konfigurierst kommt da erst mal gar nichts raus.
Um bei deinem HTTP Beispiel zu bleiben, brauchst du dann erst mal eine Regel welche ausgehende Verbindungen in der forward Chain mit TCP Zielport 80 erlaubt und dann eine weitere welche ausgehende TCP Verbindungen mit dem Status "established" zulässt.

Und bevor du fragst, ja das wird teilweise in Firmen genau so gemacht, um die Internetnutzung einzuschränken.
 
  • Gefällt mir
Reaktionen: morphispiz
devebero schrieb:
Jedoch bin ich in Sachen VLAN mehr als unwissend.
Eine Fritzbox kann keine (manuellen) VLANs. Wenn dich deine geschliderte Netztopologie richtig verstanden habe bringt dir eine VLAN Trennung auf dem Switch nichts, weil die VLANs trotzdem verbunden sind.
devebero schrieb:
Laut Admin braucht die VPN Software die Ports UDP 1701 und 1723 offen. Dies kann ich, meines Wissens nach jedoch nicht in der Fritzbox (Gäste WLAN) einstellen.
Wie bereits erwähnt völlig egal. Ausgehend ist auf der Frtizbox alles offen.
devebero schrieb:
Ich kann das Firmennotebook in mein normales WLAN hängen
devebero schrieb:
Die Verbindung per LAN wäre grundsätzlich machbar
a) Du kannst einen der LAN Ports als Gastnetzwerk nutzen, id.R. LAN4 + langes Kabel.
b) Du kannst keinen Privatkrams mal testweise abstecken und LAN ohne Gastnetz nutzen
c) Du kannst zurück auf die 7.20 wenn es damit problemlos ging.

devebero schrieb:
Die Verbindung wird sporadisch getrennt ohne das man es bemerkt
Woher weißt du das, wenn man es nicht bemerkt?
Sieht der Admin das in den Logs?
 
@h00bi Prinzipiell sollte alles ausgehend offen sein bei einer Fritzbox aber das gilt vor allem für das reguläre Netz. Ich meine mich dunkelst zu erinnern, dass das Gastnetz nicht 100%ig alles durch lässt selbst wenn keinerlei konfigurierte Änderungen gesetzt sind. Aber ich mag mich da auch irren und mich falsch erinnern.
 
Schau mal in Internet/Filter/Zugangsprofile was da bei Gast eingestellt ist. Evtl. ist nur surfen/mail erlaubt und das blockiert (widerspricht zwar das es ab und an geht, aber bei den Consumer Dingern weiß man nie).
 
devebero schrieb:
Ich bin nun am überlegen, ob das ganze nicht mit dem Update auf die 7.21 zu tun hat. Da liest man häufiger etwas von DNS Problemen.

Ja, man liest einiges darüber, dass die neue 7.21 Firmware bei der 7590 hier und da noch Trouble macht, bei anderen Geräten jedoch nicht. Vielleicht kannst du ja ein Downgrade auf die vorherige Version machen und hast das Problem wieder von der Backe
 
Wenn es sporadisch geht/und mal nicht, dann würde ich auf jedenfall erstmal testen ob es sich über LAN/Kabel ebenso verhällt.
Ports öffnen/weiterleiten sollte bei der Fritzbox eigentlich bei ausgehender VPN nicht notwendig sein.
...wenn ich mich da nicht täusche....
 
Zurück
Oben