VPN zwischen unterschiedlichen DSL-Routern

[Tritonus]

Hallo Art- und Leidensgenossen,

ich bin schon seit Monaten hier angemeldet, musste aber bisher noch kein Thema eröffnen, weil dieses geniale Forum Antworten auf alle meine bisherigen Fragen parat hatte. Nun ist es aber soweit, kann die Infos spärlicher werden.

Nach dem Motto "Wer seinen Rachner im Griff hat, der scaffe sich ein Netzwerk an" will ich nun (da ich beides im Griff habe) einen Schritt weitergehen.

Es geht um Folgendes:
ein Freund von mir hat des öfteren Probleme mit seinem "Netzwerk". Es besteht zwar nur aus dem DSL -Router einem Accesspoint, 2 PCs und ein paar WLAN-Geräten, er schafft es aber immer wieder es zu schreddern. In diesen Fällen bin dann ich immer gefragt. Habe ich gerade keine Zeit, dann versucht er es über Hardware-Resets, was natürlich zum kompletten Stillstand führt. Deshalb bin ich auf die Idee gekommen, unsere DSL-Router über einen Tunnel zu verbinden, damit ich das verdammte "Turnschuhnetz" verlasse und von zu Hause aus mir die Probleme sofort ansehen kann.

Ich habe das schon einmal aufgebaut, seinerzeit mit zwei LANCOM-Router hinter dem einst üblichen ISDN-Equipment. Es war zwar kein Hexenwerk, aber ganz so trivial war es dann auch nicht (wie ich mich erinnere). Das alles ist über 10 Jahre her und meine sorgsamen Aufzeichnungen von damals sind im Nirwarna meines Büros verschollen. Nun kommt hinzu, dass die DSL-Router an VoIP-Anschlüssen hängen und auch noch unterschiedlich sind. Hier (quasi Clientseite) arbeitet eine Fritzbox 7490, bei ihm ein Zyxel Speedlink 5501. Von letzerem habe ich überhaupt keine Ahnung oder Plan, ob und wie ich ein VPN zum laufen bekomme. Mit zwei Fritzboxen wäre es wahrscheinlich einfacher.

Ich will das Rad nicht neu erfinden, deshalb schildere ich das Problem im Ansatz erstmal hier. Vielleicht gibt es ja hier einen Guru, der genau so etwas schon mal durchgeführt hat. Außerdem wäre eine kleine Anleitung, falls sie existiert, von großem Nutzen, um meine alten Synapsen die Erinnerung wieder zu geben. Insbesondere wären Infos zu VPNs unter Speedlink dehr wertvoll. Geht z.B. IPsec und SSL oder steht nur eines zur Verfügung, und ähnliches.

Weitere Fragen werden wohl im Laufe der Zeit kommen, ich muss erstmal einen Plan haben, bevor ich an die Geräte gehe.

Ich hoffe, der ein oder andere kann mir helfen. Vielen Dank schonmal für eure Mühe.

Tri

 

[DeusoftheWired]

Am einfachsten ist das zwischen zwei FRITZ!Boxen. AVM bietet hervorragende Anleitungen dazu: https://avm.de/service/fritzbox/fri...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/

Bevor du dich ans Einrichten machst, solltest du außerdem klären, welche IP-Standards an beiden Standorten genutzt werden. Am bequemsten ist es, wenn beide IPv4 mit einer richtigen öffentlichen IPv4 sprechen, keine über CGN geteilte. Mit IPv6 wird’s schwierig bis unmöglich bzw. kommt es dann auf die Richtung an, von der aus die Verbindung aufgebaut wird. Als Daumenregel: DSL macht IPv4 und/oder IPv6, DOCSIS („Internet über die Kabelfernsehdose“) häufig nur DS-Lite mit geteilter IPv4 oder IPv6.

 

[Tritonus]

Danke für die prompte Antwort

Am einfachsten ist das zwischen zwei FRITZ!Boxen. AVM bietet hervorragende Anleitungen dazu: https://avm.de/service/fritzbox/fri...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/

Die Anleitung kenne ich bereits, ich kann aber derzeit nichts an der Hardwarezusammensetzung ändern. Eine zweite Fritzbox kostet Geld, es sein denn die Telekom rüstet bei meinem Freund um. Dort arbeitet eben ein Speedlink 5501.

Bevor du dich ans Einrichten machst, solltest du außerdem klären, welche IP-Standards an beiden Standorten genutzt werden. Am bequemsten ist es, wenn beide IPv4 mit einer richtiegn öffentlichen IPv4 sprechen, keine über CGN geteilte.

Das ist keine Frage, IPV4 auf beiden Seiten. Sogar verschiedene interne Subnetze im 192.168.xxx.xxx, was nach meiner Erinnerung nicht nur hilfreich, sondern notwendig war. Beides sind außerdem VoIP-Anschlüsse der Telekom. Über IPV6 mach ich mir überhaupt keinen Kopp.

Das ich am Ende die "Server-Seite" noch über einen DynDNS-Account absichern muss, ist mir auch klar. Aber das kommt gaaanz zum Schluss. In erster Linie geht es um Aufzucht und Hege des Speedlinks

 

[Lawnmower]

Der Zyxel Speedlink 5501 scheint kein Site2Site VPN in seiner Firmware anzubieten - dann wird das nix.
Man könnte natürlich auch hinter dem Speedlink ein VPN Gateway / Firewall installieren (z.B. Alix Board mit pfsense), aber der Speedlink dürfte dann die VPN Pakete nicht verändern (Stichwort: VPN Passtrough, scheint auch nicht wirklich in der Featureliste drin zu sein).
Am saubersten wäre sicherlich aber ein Router der das nativ kann. Wobei man anmerken muss dass bei den ganz Billigteilen beim Einsatz der VPN Verschlüsselung (AES128,AES256) schnell mal die Bandbreite in den Keller geht da diese Berechnung durch die CPU durchgeführt wird.

Grundsätzlich sollte vorher aber geklärt werden ob beide Anschlüsse ohne DSlite aufgeschaltet sind - sonst muss man da gar nicht erst weitermachen.

Das ist keine Frage, IPV4 auf beiden Seiten. Sogar verschiedene interne Subnetze im 192.168.xxx.xxx...

Deus meint damit die Public WAN IPs, nicht die des LAN Netzes. Das beide unterschiedliche Subnetze im LAN haben, ist in der Tat auch eine Grundvoraussetzung.

 

[cbtestarossa]

Welche Probleme kann er denn schon haben mit seinem Netzwerk?

Und warum resetet er die Hardware und startet anstelle diese nicht einfach neu?

Und wenn sein Router spinnt hilft dir VPN auch nix wenn dieser nicht funkrioniert.

Wie wärs einfach mit VPN oder/und Fernwartungs Software auf den PCs?

 

[Tritonus]

Welche Probleme kann er denn schon haben mit seinem Netzwerk?

Und warum resetet er die Hardware und startet anstelle diese nicht einfach neu?

Und wenn sein Router spinnt hilft dir VPN auch nix wenn dieser nicht funkrioniert.

Wie wärs einfach mit VPN oder/und Fernwartungs Software auf den PCs?

Zuviele Fragen, Testarossa. Hast Du ein funktionierendes Netzwerk? Dann weißt Du, dass es monatelang vor sich hin läuft und dann macht es "bumm". Warum er Dinge tut, die er nicht tun sollte? Wohl reine Panik, weil er es nicht mehr weiß und keine schnelle Hilfe in Sicht ist. Klar ist auch, wenn der DSL-Router aussteigt, dann werde ich wohl vor Ort Hand anlegen müssen. Es geht hier um mich und einen leichteren Weg, Dinge aus dem Weg zu räumen. Und Fernwartung bringt für mich nur Unsicherheit und beschränkten Zugriff. VPN ist für mich das Ziel.

Danke für die Antwort.

 

[snaxilian]

Dann sag halt deinem Kumpel er soll die Finger von der Infrastruktur lassen wenn er nicht damit umgehen kann...

 

[Raijin]

Hast Du ein funktionierendes Netzwerk? Dann weißt Du, dass es monatelang vor sich hin läuft und dann macht es "bumm".

Ähm.. nein? Ein sauber eingerichtetes Netzwerk läuft eigentlich ziemlich reibungslos, wenn man nicht ständig daran rumfummelt.

Als kostengünstigste VPN-Variante würde sich vermutlich ein Raspberry PI, o.ä. anbieten. Der kostet ca. 30-35€ (+Netzteil+Gehäuse). Dort installierst du gemäß einer der zahlreichen VPN-Anleitungen im www OpenVPN und richtest im Speedport eine Portweiterleitung ein. Nun kannst du auf deinem Laptop ebenfalls OpenVPN installieren und dich mit dem PI verbinden. Zuvor musst du allerdings noch DDNS einrichten, damit du dich auch nach einem Reconnect des Routers stets verbinden kannst. Ein PI kann zwar nur recht lahmes OpenVPN bieten, aber für die Fernwartung reicht das allemal. Natürlich setzt ein VPN in jedem Fall voraus, dass die Internetverbindung als solche einwandfrei funktioniert, d.h. Router + Switch + Kabel + PI.

Idealerweise würde man eher ein hochwertigeres VPN Gateway einsetzen (zB mit pfSense), aber das geht dann schon deutlich in Richtung 3-stellige Euros.

Ansonsten bliebe zB noch TeamViewer. Neben der obligatorischen funktionierenden Internetverbindung setzt dies allerdings auch einen funktionstüchtigen PC voraus, der mit dem Netzwerk verbunden ist. Dann bräuchte der Hilfesuchende aber nur einmal auf dem Desktop TV starten, dir die IP nebst Passwort durchgeben und du könntest die Kontrolle über den PC übernehmen und dir das Netzwerk anschauen.

 

[cbtestarossa]

Hier gibt es 2 Probleme

1. Ein User der verwirrt in Panik sinnlose Aktionen startet und sein Netzwerk selbst noch boykotiert.
Vielleicht hat er auch Spaß daran herumzuspielen.

2. Eine angestrebte Lösung mittels VPN die aber gar keine Lösung für das eigentliche Problem ist.

Spiel einfach auf jedem seiner Geräte Teamviewer etc. auf und erspar dir die ganzen Geschichten die in dem Fall eh nix bringen.
VPN setzt nun mal vorraus dass sein Netzwerk funktioniert.
Und selbst wenn der Router funktioniert und dahinter eventuell noch ein Gerät aber sonst nichts mehr, was erhoffst du dir dann für einen Effekt? Du hast dann immer noch keinen Zugriff auf die Endgeräte.
Alles was du siehst ist welches Gerät sich im Netz befindet und sonst nix.

 

[Lawnmower]

Der Teamviewer könnte ja dann auch als Service laufen - dann braucht sich nicht mal jemand davor zu setzen und den Code durchzugeben. Halte das auch für die sinnvollste Lösung - auch weil die nötige Hardware ja nicht mal vorhanden ist.

 

[Tritonus]

Danke für die gut gemeinten Tipps und Ratschläge. Sie gehen nur an meiner eigentlichen Fragestellung vorbei. Die steht nämlich etwas allgemein im Betreff. Ginge es mir nur um Fernwartung, hätte ich die Frage nicht gestellt. Es geht aber im zweiten Schritt auch um sichere Übertragung von sensiblen Daten, Bereitstellung von Speicherkapazitäten und vieles mehr.

Vergesst also bitte den geschilderten Aufhänger. Ich formuliere meine Fragestellung nochmal etwas konkreter:

Ist es möglich zwischen einer Fritzbox 7490 und einem Speedlink 5501 ein VPN aufzubauen? Hat das schon jemand gemacht? Muss man spezielle Dinge beachten?

Gerade bezüglich des Speedlinks lese ich im Netz die widersprüchlichsten Sachen. Das geht von "Geht nicht, gibt die Firmware nicht her" bis zu "Kein Problem". Allerdings lese ich nie, wie man es anstellt. Ich hatte die Hoffnung hier jemanden zu finden, der sich mit dem Teil auskennt.

2. Eine angestrebte Lösung mittels VPN die aber gar keine Lösung für das eigentliche Problem ist.

Spiel einfach auf jedem seiner Geräte Teamviewer etc. auf und erspar dir die ganzen Geschichten die in dem Fall eh nix bringen.
VPN setzt nun mal vorraus dass sein Netzwerk funktioniert.

Das bezweifele ich aber doch stark. Gerade bei Zugriff über Teamviewer auf ein Endgerät muss das Netzwerk zwingend funktionieren. Bei einem Tunnel, welcher auf dem DSL-Router verankert ist, stehe ich am "Hauseingang" und kann mir ansehen, welche Komponenten nicht mehr tun.

 

[Raijin]

Ein kurzer Blick in die google-Suche (dafür braucht man kein Forum) und darüber ins Handbuch zeigt, dass der Speedlink überhaupt keine VPN-Funktionalität bietet. Deine konkrete Frage nach einem VPN zwischen Fritzbox und Speedlink kann man daher getrost mit "nein" beantworten.

Generell sind VPN-Tunnel zwischen verschiedenen Consumer-Routern nicht ohne, weil a) die VPN-Technologie jeweils unterstützt werden muss (zB OpenVPN oder IPsec) und b) die Tunnel-Parameter passen müssen. Je nach Router kann es aber sein, dass das VPN vorkonfiguriert ist und bestimmte Parameter fest eingestellt sind und zB nur für Site2Site mit identischen Routern bzw. mit dedizierten VPN-Clients (Roadwarrior) vorgesehen sind. Beim Speedlink ist das wie gesagt gar kein Thema, weil der so oder so kein VPN kann. Eventuell gibt es alternative Firmware, die den Speedlink mit erweiterten Funktionen ohne Telekom-Branding ausstattet. Damit könnte VPN mit etwas Glück gehen.

Davon, dass über das VPN auch Daten ausgetauscht werden sollen, hast du im Eingangspost kein Wort verloren. Kein Wunder, dass ausschließlich Vorschläge bezüglich Fernwartung kommen, denn das ist es was du sinngemäß angefragt hast. Wie dem auch sei, mit dem Speedlink wirst du aus den besagten Gründen direkt nicht weiterkommen. Indirekt über ein VPN-Gateway hinter dem Speedlink schon. Portweiterleitung auf einen PI, pfSense oder von mir aus auch onDemand über einen OpenVPN-Server auf einem 08/15 PC/Laptop und los geht's.

Wenn du unbedingt ein VPN zum Internet-Router aufbauen willst, dann kommst du bzw. dein Kumpel um einen neuen Router nicht drumherum. Da du eine Fritzbox hast, bietet sich auf seiner Seite ebenfalls eine Fritzbox an. Nach Anleitung Site2Site VPN und los geht's.

 

[cbtestarossa]

Bei einem Tunnel, welcher auf dem DSL-Router verankert ist, stehe ich am "Hauseingang" und kann mir ansehen, welche Komponenten nicht mehr tun.

Ja das hab ich ja oben eh geschrieben.. Aber was hilft dir das im Endeffekt wenn dahinter irgendwas nicht tut. Dann kannst du doch auch wieder ausrücken. Oder steuerst du von seinem Router aus seine Geräte dahinter die eventuell gar nicht verbunden sind?
Also ich kapiers noch immer nicht ganz.

 

[snaxilian]

Da der Zyxel SpeedPort aber nun einmal nicht das unterstützt was du vor hast kannst du ohne Budget (was du ja verneinst) nicht lösen. Ein Raspberry Pi im Netzwerk deines Kollegen damit du dich per VPN verbinden kannst benötigt ebenfalls ein funktionierende Internetverbindung, Router und LAN. Wenn dein Kollege den Zyxel verkonfiguriert oder den Zyxel zurück setzt dann sind auch die Portweiterleitungen zum Pi hinüber. Teamviewer würde davor schützen da es keine Weiterleitungen benötigt.
Sofern du an deinem Anschluss eine feste IP hast (was idR nur bei Geschäftsanschlüssen der Fall ist und da auch nicht bei jedem): Aktiviere die Fernwartung beim Zyxel. Aber das erlaubt wie gesagt die Remote-Administration aus dem Internet. Das würde ich wirklich nur machen wenn du eine dauerhaft feste IP hast.

Ansonsten: Alles was du vor hast ist herumgedoktere um die eigentlichen Symptome. Ein einmal eingerichtetes Heimnetzwerk mit einem halbwegs brauchbaren Router stirbt nicht andauernd plötzlich. Du könntest deinem Kumpel ja auch mal erklären was er in welchem Fehlerfall zu tun hat. Ansonsten bleibt dir nur eins übrig: Es einmalig sauber einrichten, ggf. dokumentieren und deinem Kumpel klipp und klar sagen:
"Ich mag dich, bin gern mit dir befreundet aber wenn du regelmäßig weiterhin dein Netz sabotierst und mich dann um Hilfe bittest werde ich ablehnen. Wende dich bitte an deinen Internetprovider/Händler von dem du die scheinbar fehlerhafte Komponente hast und dieser möge den Fehler beheben. Alternativ wende dich an einen der gefühlt unzähligen IT-Dienstleister"

 

[Lawnmower]

Und lesen würde helfen, es wurden alle Fragen schon vorher beantwortet und es wurden Dir zig Alternativ-Vorschläge genannt die aus unserer Erfahrung raus auch machbar wären. Es bringt nix immer wieder daselbe zu fragen und auf seiner Idee festzusitzen nur weil man nicht einsehen will dass es nicht geht.

 

[Tritonus]

Danke für die ausführliche Antwort.

Ein kurzer Blick in die google-Suche (dafür braucht man kein Forum) und darüber ins Handbuch zeigt, dass der Speedlink überhaupt keine VPN-Funktionalität bietet. Deine konkrete Frage nach einem VPN zwischen Fritzbox und Speedlink kann man daher getrost mit "nein" beantworten.

Du kannst davon ausgehen, dass ich schon recht lange in die Google-Suche geblickt habe und eben auch Meldungen las, dass es geht. Manuals geben oft nicht den Stand der Technik wieder. Ich hatte die Hoffnung, dass sich die Funktionalität mit einem Firmware-Update eingestellt hat. Aber auch das kann ich in die Tonne kloppen, habe die Firmware-Historie gefunden. Bei der Lifetime des Gerätes besteht auch keine Chance, dass Zyxel dies noch ändert.

Wenn du unbedingt ein VPN zum Internet-Router aufbauen willst, dann kommst du bzw. dein Kumpel um einen neuen Router nicht drumherum. Da du eine Fritzbox hast, bietet sich auf seiner Seite ebenfalls eine Fritzbox an. Nach Anleitung Site2Site VPN und los geht's.

Ich hatte mir die Fritzbox seinerzeit selbst zugelegt, weil ich keine Probleme haben wollte. Das Speedlink ist gemietet. Ein Anruf beim Telekom Shop hatte das Ergebnis, dass sie die Fritzbox immer noch nicht im Mietprogramm haben. Letzter Strohhalm ist die max. Mietdauer von 30 Monaten. Vielleicht kann man dann auf Fritzbox umrüsten.

Tja, wäre zu schön gewesen, aber es gibt ja keine Probleme, sondern nur Lösungen.

Damit kann der Thread zu.

Ergänzung (11. Oktober 2017)

Und lesen würde helfen, es wurden alle Fragen schon vorher beantwortet

Sorry, hatte Deinen ersten Beitrag tatsächlich irgendwie nicht gesehen.

Der Zyxel Speedlink 5501 scheint kein Site2Site VPN in seiner Firmware anzubieten - dann wird das nix.

Meine Erfahrung hat mich gelehrt, dass zwischen Schein und Ist manchmal große Unterschiede herrschen.