VPN zwischen zwei Routern

Jaster

Jaster

Experte
Thread Starter
Mitglied seit
05.06.2011
Beiträge
284
Hallo allerseits!

Ich habe zwei Wohnorte, die beide einen eigenen DSL Anschluss haben. Im Wohnort A steht mein kleiner Server und ein paar andere Geräte auf die ich gerne aus Wohnort B zugreifen möchte. (Wie) Kann ich die beiden Netze mittels Router (per VPN?) verbinden, so dass die Internet Anschlüsse normal verwendet werden, außer ich greife von Netzt zu Netz zu?
Kleinere Hardware Anschaffungen wären kein Problem!

Danke!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Was hast Du denn für Router?
 
Mache ich auch, allerdings mit 3 Standorten.
Das kann jeder SoHo Router easy. Nennt sich Side-to-Side VPN.
Ich nutze Draytek-Router.

Du solltest aufpassen, dass die Router die entsprechende Performance für deinen Inet-Speed haben. Wenn du also eine hast mit 10mbit VPN Throughput, du aber nen 40mbit Upload hast, dann haste die Handbremse an.
 
Also du kannst entweder eine End-to-Site VPN aufbauen sprich: Genannter Server (Host) zu deinem Haupt(?)Wohnsitz (Netwerk)
oder
du baust eine Site-to-Site VPN auf: Du verbindest als, über zwei Router, die beiden Netze miteinander.

Zu prüfen wäre, ob deine Router Site-to-Site unterstützen, wenn nicht hast du die Option dir einen günstingen VPS (1€ - 2€ im Monat) anzumieten und beide Netzen über den VPS zu verbinden.
 
Einseitig reicht mir. Sprich Zweitwohnsitz zum hauptwohnsitz. Beim Hauptwohnsitz habe ich eine fritzbox (7390). Beim Zweitwohnsitz steht irgendeine Mühle, wo ich vermutlich noch was zusätzliches anschaffen muss.
Folgende Frage resultieren:
A. Wie konfigurieren ich die fritzbox?
B. Was für ein zusätzliches Gerät stelle ich mir als Client hin und wie konfiguriere ich diesen?
C. Nutzt das Client Netz dann die 'normale' Internet Verbindung oder geht dann alles durch den Server? Bzw. Was/Wie konfiguriere ich das?
 
So stelle ich die fritzbox ein. Software vpn hilft mir nicht weiter, da ich einen Router fürs gesamte Netz aufstellen möchte.
 
@C
Das kannst du machen wie du willst. (geht auch bei Einzeleinwahlen von PCs)
Kannst also sagen, dass er das Gateway des fremden Netzes nutzen soll, oder das andere.
Bei anständigen Routern (keine Fritzbox), kannste dann noch mehr Scherze bezüglich subnetzweises Routen, RIP und weiß der Geier.
Der Fantasie sind da eigentlich keine Grenzen gesetzt. Muss man halt wollen/brauchen und auch machen können.
 
underclocker2k4 schrieb:
Das kann jeder SoHo Router easy.
Zum Vergrößern anklicken....
Mit der Aussage wäre ich vorsichtig!
- nicht jeder SoHo Router kann VPN, viele bieten auch nur einen VPN-Endpoint für client2site VPN.
- schwierig wird's, wenn site2site VPN mit dynamischen IPs und "vorgeschaltete" NAT-Router (z.B. vom Provider) realisiert werden sollen
Nennt sich Side-to-Side VPN.
Ich nutze Draytek-Router.
Zum Vergrößern anklicken....
Draytek Router sollen das laut Support können.
Die Netgear VPN Gateways aus der Prosafe Serie (FVS318N, FVS336Gv2, FVS336Gv3) können das (diese nutze ich)
Die "grossen" TP-Link Router sollen das laut Support ebenfalls können.

Du solltest aufpassen, dass die Router die entsprechende Performance für deinen Inet-Speed haben. Wenn du also eine hast mit 10mbit VPN Throughput, du aber nen Gut eraka40mbit Upload hast, dann haste die Handbremse an.
Zum Vergrößern anklicken....
Gut erkannt, der VPN-Durchsatz muß zur Upload Geschwindigkeit passen, die Downloadgeschwindigkeit ist hier irrelevant.
 
Zuletzt bearbeitet:
Router mit only Client2Site sind für mich keine SoHo Router, sondern auf Fritzboxniveau.

Wo siehst du die Schwierigkeit bei einem NAT Site2Site? Das betreibe ich hier seit Jahren, und das völlig problemfrei. Natürlich mit DynIP.
Wichtig ist nur, dass eine Site eine öffentliche IP hat und die Einwahl beim Router ankommt. Dann ist der nämlich VPN-Server und der site2site-Router ist Client.
Da gibt es keine Schwierigkeit. (bis auf das eine Merkmal)

Draytek soll das nicht könne, die können das! Habe ich hier robust im Dreieck laufen.
 
Jaster schrieb:
Einseitig reicht mir. Sprich Zweitwohnsitz zum hauptwohnsitz. Beim Hauptwohnsitz habe ich eine fritzbox (7390). Beim Zweitwohnsitz steht irgendeine Mühle, wo ich vermutlich noch was zusätzliches anschaffen muss.
Folgende Frage resultieren:
A. Wie konfigurieren ich die fritzbox?
B. Was für ein zusätzliches Gerät stelle ich mir als Client hin und wie konfiguriere ich diesen?
C. Nutzt das Client Netz dann die 'normale' Internet Verbindung oder geht dann alles durch den Server? Bzw. Was/Wie konfiguriere ich das?
Zum Vergrößern anklicken....

Die FB 7390 unterstützt ein LAN2LAN (site2site) VPN.
Somit wäre zu klären, was für ein Router am anderen Standort steht.

Wichtig: Beide LANS müssen unterschiedliche IP-Netze sein (z.B. 192.168.0.0/24 & 192.168.1.0/24), die Koppliung gleicher Netze ist unmöglich!

- - - Updated - - -

underclocker2k4 schrieb:
Router mit only Client2Site sind für mich keine SoHo Router, sondern auf Fritzboxniveau.

Wo siehst du die Schwierigkeit bei einem NAT Site2Site? Das betreibe ich hier seit Jahren, und das völlig problemfrei. Natürlich mit DynIP.
Wichtig ist nur, dass eine Site eine öffentliche IP hat und die Einwahl beim Router ankommt. Dann ist der nämlich VPN-Server und der site2site-Router ist Client.
Da gibt es keine Schwierigkeit. (bis auf das eine Merkmal)

Draytek soll das nicht könne, die können das! Habe ich hier robust im Dreieck laufen.
Zum Vergrößern anklicken....
Dann versuch das mal mit einem Cisco RV320 Dual WAN VPN Router - laut Cisco im SoHo Segment plaziert!
Laut Cisco Support muß eine Seite eine statische IP haben und dieser Router direkt am Internet angeschlossen sein (also ohne NAT davor)!
Eine Konfiguration mit dynamische IP und NAT davor auf beiden Seiten wird nur von den ganz grossen VPN Gateways von Cisco unterstützt.

Das Problem, welches man heutzutage hat, sind die Provider-Router, doie eben nicht nur Internet sondern auch die Telefonie bereitstellen.
diese Geräte sind oftmals nicht in den Modembetrieb zu bringen oder nutr unter Verlust der Telefonie.
 
Zuletzt bearbeitet:
Das die Serverseite kein NAT haben darf ist klar, habe ich ja auch gesagt. Denn sonnst kommt das Paket ja garnicht zum Server.
exposed Host mal außen vor, geht bei CarrierNAT eh nicht.
Daher ist diese Voraussetzung konsistent und auch technisch begründet.
Woher nimmst du die Angabe, dass DynIP nicht gehen soll?
http://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/rv320/administration/guide/en/rv32x_ag_en.pdf
page 82
identifiable by a static IP address or a Dynamic DNS hostname
Zum Vergrößern anklicken....
Letzteres ist nicht anderes wie DynDNS und damit ein Hinweis auf eine DynIP.
Auch das ist technisch erklärbar. Da man idealer Weise einen statischen Zugangspunkt braucht. Eine DynIP ist nicht statisch und daher ungeeignet, da jedes Mal zu ändern. Der DynDNS hingegen ist statisch, da er sich nicht ändert, nur die IP dahinter.

Halten wir (auch für den RV320) fest, min 1. Seite darf kein NAT haben. Genau diese Seite muss einen statischen Zugangspunkt (statIP oder DynDNS) haben. Das habe ich auch oben geschrieben.
Ausprobiert habe ich das nicht, ermangelst Gerät.

Zu deinem ProviderRouter
Das ist auch kein Problem.
1. - bei einer Seite völlig uninteressant, weil einfach durch den ProRouter hindurch zur gegenstelle kontaktiert wird. Da tangiert die NAT-Einschränkung in keinster Weise.
2. kommt es auf die Implementierung von VoIP an. Ist es VoC, wird es trotzdem auf dem Router, den man dann auch im Bridgedmodus (ähnlich Modembetrieb) betreiben kann, terminiert wird. (mache ich hier so mit einem Hitron, da ist das POTS-Tele am Router@Bridgemode dran)
Ansonsten ist es auch bei einem DSLer (kein VoC) kein Problem, da man hinter dem VPN-Router (mir Modem davor), einfach das VoIP-Gateway betreibt. So mache ich das auch, VDSL-Modem->Draytek->FB@VoIP.
Da dir Provider verpflichtet sind, die die Zugangsdaten zu geben und die jeden Terminalabschluss betreiben kannst, hast du also auch der Richtung nichts zu befürchten.

Ich sehe daher in deinen Ausführungen keine Einschränkungen, die nicht technologisch (NAT usw.) begründet sind. Auch beim RV320 nicht, laut Doku.
 
Mit Netgear geht auf beiden Seiten dynamische IP via Dyn.com aufgelöst, beide Gateways als "exposed Host"/Virtual DMZ hinter Providerroutern (kabeldeutschland, O2 und Vodafone) - und zwar Problemlos in beide Richtungen (Initiator/Responder).
Einzig ein VPN Gateway hinter einem "Teledoof" Speedport muss als Initiator arbeiten, da der Speedport keine Funktion für "exposed Host"/Virtual DMZ bietet.
Ich habe hier 4 site2site VPNs aktiv in genau dieser Konstellation.

Provider NAT/DS-Lite ist hier nochmal ein ganz anderes Thema, da hier keine direkte Kommunikation via IP4 möglich ist.
 
Und?
Das geht mit dem Cisco genauso. 2x DynIP/DynDNS.
Wo siehst du das Problem?

Cisco sagt, es muss min. einer von außen erreichbar sein. Mindestens heißt, der Andere ist quasi egal, nice wenn auch, aber nicht notwendig,
genau wie bei dir. Ein Netgear muss von außen erreichbar sein (kein carrierNAT) der Speedport ist egal, da er VPN Client ist.

Statisch ist ja eh nicht notwendig!
Cisco sagt nicht, dass beide Geräte von außen erreichbar sein müssen.

Du könntest daher deine Netgears in genau der Konstellation durch die Cisco ersetzen und es würde gehen.
 
Zuletzt bearbeitet:
underclocker2k4 schrieb:
Und?
Das geht mit dem Cisco genauso. 2x DynIP/DynDNS.
Wo siehst du das Problem?

Cisco sagt, es muss min. einer von außen erreichbar sein. Mindestens heißt, der Andere ist quasi egal, nice wenn auch, aber nicht notwendig,
genau wie bei dir. Ein Netgear muss von außen erreichbar sein (kein carrierNAT) der Speedport ist egal, da er VPN Client ist.

Statisch ist ja eh nicht notwendig!
Cisco sagt nicht, dass beide Geräte von außen erreichbar sein müssen.

Du könntest daher deine Netgears in genau der Konstellation durch die Cisco ersetzen und es würde gehen.[/QUOTE\
Das geht eben nicht!
Von aussen erreichbar heisst direkt am Internet = Öffentliche IP Adresse am WAN-Port!
Das bedeutet direkt an einem Modem angeschlossen.
Wenn ein Router davor ist, hat die WAN Schnittstelle eine Private IP Adresse aus dem Netz des davorgeschalteten Router, auch wenn der Cisco als exposed Host definiert ist oder in eine virtuelle DMZ gestellt wurde.
Zum Vergrößern anklicken....
 
Du mit deinem gequote. Zerhackst du ständig und zweitens ist der Quote unnötig, weil du direkt nach mir antwortest. Im Regelfall tut es auch ein @underclocker2k4, ist ja nicht so, dass hier 1000 Posts am Tag kommen.

Mag sein, dass Cisco ne öffentliche IP braucht, weil die das Intern eintragen wollen. Ich denke aber, dass man das irgendwie umschiffen kann. Einen technischen Grund gibt es dafür nicht, eher die Unfähigkeit bei Cisco.
Da ich mich mit dem (Cisco)Gelumpe nicht umschlagen muss, kann ich ruhiger schlafen.

Allerdings wirfst du hier immer Sachen zusammen, die nicht miteinander zu tun.
direkte Erreichbarkeit/NAT, DynIP und Server/Client haben nur angrenzend etwas miteinander zu tun.
Sprich die einzige Einschränkung, die Cisco hat, ist der Fakt der direkten Erreichbarkeit.
Und das ist kein Grund, da ich die Kiste immer direkt ans Netz hängen würde. Was soll ich mit ner Easybox/Fritzbox/Speedport vor dem Teil? Die mehren nur unqualifiziert im Paketestream rum.
 
Zuletzt bearbeitet:
Bislang war es schwierig bis unmöglich die Telefonie ohne die Providerrouter zu betreiben.
Da man mitlerweile freie Routerwahl hat, ist das ganze eigentlich entschärft.
Nun müsste man nur noch einen halbwegs professionelles VPN Gateway finden, welches nicht bei 5 VPN-Verbindungen abkackt, sondern derer 25-50 handeln kann und dazu noch 'nen s0-Bus für die Telefonie bereitstellt.

Ich werfe nichts durcheinander, man muss es richtig verstehen.
Ich werde jetzt nicht beigehen und dir erklären, wo die Unterschiede sind und wie was definiert ist. Ich gehe davon aus, daß du da firm bist.
 
Leute! Ihr habt mich ein bisschen abgehängt... wir stellen Fest, dass die FritzBox als Server/Site geeignet ist.
Jetzt brauche ich einen Router, der als VPN client taugt - davon gibts ettliche - eine Empfehlung? (Hab gerade eine fritzbox 4020 im Auge).
Wie richte ich nun den zweiten Router so ein, dass nur das Site Netz über VPN läuft und der Rest über die "normale" Internetverbindung? Oder muss ich das gar nicht zusätzlich einrichten, weil der aktuelle Router am zweiten Wohnsitz auch bleibt?...
 
Zuletzt bearbeitet:
Wir wissen immer nocjh nicht, was du für ein Gerät am Standort 2 hast!
 
Jaster schrieb:
Leute! Ihr habt mich ein bisschen abgehängt... wir stellen Fest, dass die FritzBox als Server/Site geeignet ist.
Jetzt brauche ich einen Router, der als VPN client taugt - davon gibts ettliche - eine Empfehlung? (Hab gerade eine fritzbox 4020 im Auge).
Wie richte ich nun den zweiten Router so ein, dass nur das Site Netz über VPN läuft und der Rest über die "normale" Internetverbindung? Oder muss ich das gar nicht zusätzlich einrichten, weil der aktuelle Router am zweiten Wohnsitz auch bleibt?...
Zum Vergrößern anklicken....

Die FritzBoxen von AVM machen das untereinander ohne Probleme. Wenn Du also bei AVM anfragst (Die Hotline ist recht kompetent), welche Router das zusammen mit deiner bestehenden 7390 können, wirst Du bestimmt die passende Info bekommen.
In den beiden FB's nutzt Du dann einfach den DNS Dienst von AVM, trägst unter "Internet - VPN" ein, dass Du eine "LAN-LAN-Kopplung" nutzen willst
Anhang anzeigen 388935

und trägst dann im nächsten Bild die Daten der jeweils anderen FritzBox ein
Anhang anzeigen 388934

Zu beachten: Unterschiedliche Netze und nicht das Standardnetz der FB nutzen.
Damit ist eine Nutzung der Ressourcen des anderen Netzes möglich, jedoch keine Namensauflösung.
Ressourcen aus dem andren Netz werden über die VPN abgerufen, alles andere geht direkt ins Internet. (Wobei man das glaube ich sogar auch noch einstellen kann.)
 
Grundsätzlich könnte man das machen.
1. LogMeIn Hamachi ist seit dem 21. Januar 2014 ein reiner Premium-Dienst mit Abo-Modell
2. ob die Performance im Vergleich zum direktem VPN via externen Dienstleister ausreicht wäre zu überprüfen.

3.der gesamte Traffic geht dann über einen externen Dienstleister, Datenausleitung Problemlos möglich, das macht die Vorratsdatenhaltung leicher. Ob die Verschlüsselung ewig hält (oder nicht mitlerweile eh schon geknackt ist) sthet in den Sternen
 
Anmelden, um zu antworten.

Ähnliche Themen

G
Rundum Fragen zum Thema Heimserver
Antworten
5
Aufrufe
823
Zeitmangel
Z
J
  • Frage / Lösungssuche
[Ungelöst] Debian, Datenverkehr an bestimmte Ports nicht per VPN weiterleiten.
Antworten
3
Aufrufe
503
horst_lafer
horst_lafer
M
2 Router mit jeweils eigenem Internetzugang über LAN verbinden
Antworten
8
Aufrufe
389
Hexcode
H
Supaman
Firewall Problem ? Kopierer verwirft Duckaufträge aus dem Gästenetzwerk
Antworten
5
Aufrufe
529
sch4kal
S
L
[Kaufberatung] Heimnetzwerk LAN + WLAN, Router und APs
Antworten
0
Aufrufe
111
LordofFrog
L
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh