Speedport W921V + Lancom 1781 + VPN

[Spakolowe]

Hallo zusammen !
Habe mir für Lehrzwecke von meinem Betrieb einen Lancom 1781 VAW ausgeliehen.

## Folgende Struktur besteht schon.


VDSL50 Telekom Anschluss ( mit Entertain )
Speedport W921V + 3 Speedphones via DECT
1 Gigabit Switch
6 Clients per LAN ( Fernseher, Rechner, Receiver,NAS )
X Clients per Wlan
1 X NO-IP Account


## Was möchte ich erreichen ?

Ziel soll es sein, eine VPN Verbindung von meinen Iphones/Ipads/Laptops aufzubauen, um auf das NAS-System zugreifen zu können.


## Problematik

Das Lancom System bietet eine schöne Funktion an mit dem man das sogenannte "MyVPN" via Wizzard einrichten kann. Leider ist das eine IPSec Verbindung. Die Ports habe ich in meinem Speedport an meinen Lancomrouter weitergeleitet. Die no-ip DNS habe ich im Speedport eingerichtet und sollte soweit ohne Probleme funktionieren.
Aus diversen Foren habe ich erfahren das der Speedport W921V mit aktueller FW relativ inkompetent ist was VPN Verbindungen angeht. Um eine IPSec Verbindung zu betreiben benötige ich das ESP Protololl 50. Das unterstützt der Spp leider nicht. Eine PPTP Verbindung möchte ich nicht haben, da keine Verschlüsselung vorhanden ist. Zumal ich das schon getestet habe und es auch nicht funktioniert -.- .

Nun habe ich gelesen, dass es eine IPSec verbindung via SSL geben soll. Damit benötige ich ja nur den Port 443 ( wenn ich mich nicht irre ).


## Frage

Unterstützt das Iphone/Ipad diese SSL Variante und wenn ja, weiss jemand wie ich das am Lancom einrichte ?
Habe dazu leider keine aktuellen Anleitungen gefunden.


grüß vom Bodensee
Spakolowe

 

[derChemnitzer]

schmeiße den Speedport raus wenn du ihn gemietet hast und hole dir eine Fritzbox 7490

 

[Spakolowe]

:-D Das möchte ich ja eben nicht. Das die Fritzboxen das ESP Protokoll weiterlassen habe ich gelesen. Nur muss es doch noch eine andere alternative geben.

 

[derChemnitzer]

hat dein NAS ggf. einen VPN Server intigriert?

 

[Golgorod]

Wenn du die Ports für die Protokolle nicht freigeben kannst: Für IPSec von außen benötigst du zum Verbindungsaufbau UDP Port 500 (oder UDP 4500 für NAT-T) und das ESP Protokoll Nr. 50 (nicht den Port 50 !).
Falls das nicht einzustellen geht, wovon ich einfach mal ausgehen - verdongelter Chinarouter... Aber evtl. hast du eine Option mit IPSEC/L2TP/PPTP PassThrough? Das anschalten kann helfen (je nachdem wie implementiert...).
Wenn nicht, kaufe etwas ordentliches.

Edit: IPSec über Port 443 ist Technologie von NCP, nennt sich VPN Path Finder. Das wirst du in keinem Telekom-Router finden^^

 

[Spakolowe]

Wie ich bereits geschrieben habe,
der Speedport ist in Sachen VPN absolut Inkompetent.
Ich kann dort speziell fürs VPN nichts freigeben bzw. einrichten.
Das einzigste was ich machen kann, sind Portweiterleiungen an meinen Lancom.

Das mit dem IPSec via SSL sollte theoretisch so funktionieren.

Wenn irgendwas bei der Verbindung nur per IPSec schief geht, gibts eine automatische Verbindung mit SSL.
Für diese SSL Verbindung reicht ja nur die Portweiterleitung.

Habe allerdings gerade gelesen das keine IPSec Verbindung durch meinen Speedport funktioniert =(
Ich muss also zu TTPT greifen.

 

[Berlingr]

Ja die Speedports sind leider in Sachen VPN ziemlich beschnitten.

1. ist nur eine Aktive VPN möglich
2. werden einige Protokolle nicht unterstützt, da die nicht einstellbare DAU-Firewall so ausgelegt ist und man nur mit nem Hack diese einstellen kann

Du verwendest den Speedport aber schon als Modem oder?

Darüber hinaus sollte es durch die nötigen Portregeln möglich sein VPN zu betreiben aber halt leider nicht Ipsec über ssl sollte es klappen.
Ich hab auch nen W921, da waren dann mal ein Raspi mit Owncloud sowie Festplatte dran und über eine https Verbindung mit den zugehörigen Freigaben konnte ich auch über eine No-ip DynDNS drauf zu greifen, aber halt nur von außen lokal nicht

Grüße

 

[Spakolowe]

Hallo Berlingr,
nein ich verwende den Speedport als richtigen Router !
Das soll auch weiterhin so bleiben.
Wie ich in meinem Posting erwähnt habe, habe den 1781 nur für Lehrzwecke ausgeliehen bekommen.
Nur für Testzwecke habe ich ehrlich gesagt keine Lust mein Netzwerk umzubasteln ;-)


Zudem wenn ich den 1781 als Hauptrouter verwenden würde, wäre IPSec ja überhaupt kein Problem.

Da diese Konstelation unter umständen auch bei unseren Kunden vorkommen kann, möchte ich mich halt gerne darauf vorbereiten was mich erwartet.




PS: Was meinst du genau mit Speedport Firewall hack ?
Kannst du mir da ein paar Informationen geben ?

 

[Berlingr]

Hallo, es gab mal mit einer alten Firmware einen Weg die Firewall auszuhebeln und dort Einstellungen vorzunehmen.

Geht mit neueren FW's nicht mehr und war auch ohne Garantie bzw. bei Problemen 0 Haftung.
Ist leider Firmenintern kann ich nicht rausgeben :/

Aber wenn du nicht rumbasteln möchtest kannst du es nicht herausfinden.

 

[Golgorod]

Auf diese Situation wirst du dich eher nicht vorbereiten, da es mit diesem Router nicht funktionieren wird. Auch deine Kunden sollten soetwas einsehen, dass Arcadyan-Router der Telekom auf Heimanwender zugeschnitten sind.
Wenn du nun noch einen W920V hättest, würde ich sagen, mache eine Fritzbox draus. Aber so. Aber auf der anderen Seite kenne ich natürlich auch diese Kunden, die sagen: "Immer billig... Telekom reicht ja". Da kann man froh sein, wenn man auf eine Fritzbox stößt, damit kann man zumindest arbeiten.
Ich würde Kunden eigentlich eher zu Bintec oder Lancom raten.

Deine einzige Möglichkeit ist definitv IPSec over HTTPS. Nur das funktioniert nur in Verbindung mit kompatiblen Clients (alles was auf einem aktuellen NCP Client aufbaut - den gibt es auch als 30 Tage Demoversion). Das LOG des Clients ist zudem auch sehr hilfreich.