Lancom 9100 VPN und 1783VA 4G site-2-site

[AndreasFFM69]

Hallo,
folgende Situation:
ich betreibe zu Hause eine kleine Hausautomation über Home Assistant und eine Synology RS1221+ und an meinem Ferienhaus in Ungarn eine ähnliche Konfiguration. Zu Hause habe ich einen Telekom DSL-Anschluss mit einem Speedport smart 4, im Ferienhaus lediglich Mobilfunk 4G mit einem Netgear Nighthawk M1, ein Festnetzanschluss ist dort ohne Inlandswohnsitz nicht möglich.

Ich würde gerne beide Netze verbinden, so dass ich von zu Hause einigermaßen sicher auf alle Geräte im Ferienhaus zugreifen kann und umgekehrt. Ich bin kein Profi, habe mich mit VPN noch nicht so weit beschäftigt, dass ich es verstanden hätte (ausser natürlich rudimentär die Funktionsweise, finde es aber auch nicht besser, dann alles gebündelt über einen VPN-Anbieter laufen zu lassen). Ich möchte gerne die vielen Clouds und Portale bündeln und nicht ein Reolink-Konto, ein Homematic, ein Home Assistant, ein Shelly, Hoymiles, und keine Ahnung was noch alles laufen lassen und teilweise doppelt jeden Monat zahlen und noch ein VPN-Konto eröffnen, wobei da sowieso Speedport und Nighthawk recht eingeschränkt sind. DynDSN habe ich über Strato und prinzipiell auch über die Synology. Aufgrund der 4G-Verbindung in Ungarn denke ich, dass eine Hardwarelösung wie Lancom die bessere Alternative für die Vernetzung ist. Würde das prinzipiell mit den beiden oben genannten Geräten funktionieren? Da wäre ich für einen schmalen Taler dabei.

Müssen dann die einzubindenden Geräte hinter den Lancoms auch physisch am Lancom (quasi hinter) angeschlossen sein? Den Speedport würde ich gerne behalten, der Nighthawk kann auch weg, zum Beispiel gegen den 1783.
Da einige der Dienste lediglich als Software-Server als VM laufen und teilweise trotzdem Zugriff zu ihrer Cloud benötigen: wenn alle Geräte und Dienste über die Lancom laufen, können sie dann trotzdem noch einen 'normalen' Zugang zum INet erhalten auch wenn sie für den site-to-site-Tunnel für die beiden Lancoms konfiguriert werden?

Ich verstehe IP-Adressen, Subnetz, Trunk und Port, darüber hinaus sind mir nicht alle Fachbegriffe ein Begriff...

Vielen lieben Dank! Ich hoffe, Herausforderung und Möglichkeiten habe ich dargestellt.

[Dr.Einstein]

Deutschland:

• Du richtest auf dem Speedport DynDNS ein
  Du richtest auf dem Lancom Router eine WAN Gegenstelle ein mit einem Transfernetzwerk zum Speedport, z.B. 192.168.0.2/24 zu GW 192.168.0.1
  Du richtest eine Portweiterleitung auf dem Speedport ein für Port 500 + 4500 UDP und falls vorhanden das Protokoll ESP auf 192.168.0.2
  Komponenten, die etwas mit dem VPN zutun haben sollen, müssen nun hinter den Lancom gesteckt werden

Ungarn:

• DynDNS ist optional
  LAN IP Netzwerk muss von Deutschland abweichen
  Entweder Lancom direkt mit 4G verzogen oder wie in Deutschland Transfernetz zwischen den Geräten einrichten
  Portweiterleitung für VPN ist nicht notwendig

Allgemein:

• VPN Einrichtungsassistent durchführen. Ungarn baut nach Deutschland auf

Damit hast du eine VPN Vernetzung zwischen den Standorten hergestellt, wobei nur IP Adressen aus dem Netzwerk gegenüber erreicht werden können. Da du viel von Cloudaccounts gesprochen hast, keine Ahnung, was genau dahinter steckt bzw. was notwendig ist, damit alles als ein System zählt. Heißt das, die Komponenten müssen zwingend über Deutschland ins Internet gehen? Wenn dem so ist, müsstest du in Ungarn die Default Route statt auf Internet auf den VPN zeigen lassen.

[AndreasFFM69]

Super, das hilft mir schon mal weiter, danke!

Die verschiedenen Komponenten wie Reolink Kameras, Hoymiles Wechselrichter etc. bauen eine eigene Verbindung zu ihrem Hersteller auf um Daten zu übertragen. Das möchte ich zumindest dann teilweise weiter ermöglichen.

[AndreasFFM69]

Den 9100 habe ich schon zum Spielen - 34 Euro mit defektem Lüfter, hatte aber noch was passendes da. Firmware hatte ich gestern aktualisiert auf: LANCOM 9100 VPN 9.24.0474SU12 / 28.10.2019

Einen 1783 habe ich noch nicht, da schaue ich mich noch um. Den kann ich ja dann auch mit der SIM-Karte hier einrichten und dann eingerichtet nach Ungarn fahren - wenn ich es denn schaffe.

So richtig umgeleitet?

UDP.jpg

DynDNS ist eingerichtet und aktiviert:
]

DynDNS.jpg

Zu Gegenstelle und Transfernetzwerk habe ich verschiedene Punkte gefunden aber weiß nicht, wie ich da an welcher Stelle was einzurichten habe. Meine hiesiges Netzwerk-Adresse ist 192.168.2.x wobei der Speedport .1 und der Lancom .2 hat.

Als Dienste scheint ja schon mal irgendwas zum WAN durchgereicht zu werden.

Dienste.jpg

Unter 'Schnittstellen' finde ich LAN 1-4, unter WAN dann VDSL, ISDN und V.24 aber das ist dann wohl nicht richtig, oder? Die Einstellung, dass WAN direkt am Speedport hängt kann ich hier ja nicht eintragen. Bin ich unter 'Kommunikation' bei der WAN-Tag-Tabelle richtig?

[AndreasFFM69]

Ich bin leider etwas zu dumm... Ich hatte den 9100 an einem Switch und beim Versuch den Internetzugang zu konfigurieren hatte ich keinen Zugriff mehr - die Resettaste kann ich mittlerweile gut bedienen. Habe versucht als Plain Ethernet und die anderen beiden Varianten.
Habe den 9100 jetzt direkt an einen Ethernetport des Speedport gehängt und komme aber auch nicht weiter. Macht der Lancom dann 'hinter sich' ein neues Netzwerk auf? Muss ich ihn als DHCP-Server einstellen auch wenn der Speedport im Netzwerk 192.168.2.x schon als DHCP-Server fungiert? Bekommt der Lancom dann zwei IP-Adressen für das Speedport-NT und dann sein eigenes? Zum Beispiel 192.168.2.2 und 192.168.20.2?
Kann ich den Lancom an irgend einen freien Ethernetport der Speedbox hängen?
Leider werde ich aus der Bedienungsanleitung nicht wirklich schlau, da werden schon zu viele Kenntnisse vorausgesetzt.

Edit: habe jetzt noch rumprobiert und mehrere 5-Sekunden-Resets später:
habe das Gerät online bekommen, es hängt an einem Switch damit das restliche Netzwerk normal weitermachen kann. Bei Internetkonfig habe ich den DHCP-Server eingeschaltet gelassen und dann Eth1 eingestellt, diesen mit dem Switch verbunden und nun läuft es und zeigt Eth1 auch als WAN an. Habe mein Laptop nun in Eth4 per Kabel verbunden und habe auch Internetzugang nach 'draussen' - aber nicht mehr nach innen in mein eigenes restliches Netzwerk. Auf den Lancom kann ich aber nach wie vor über die Adresse 192.168.2.2 zugreifen, der Rest ist allerdings unsichtbar. Wie kann ich das noch ändern und auch auf das restliche Netzwerk intern zugreifen? Ich bin auch mit dem Laptop nach wie vor in 192.168.2.x, habe daraus auch die IP weiter behalten.
Dafür kann ich aus dem Netzwerk des Speedports jetzt nicht mehr auf den Lancom zugreifen, die IP wird aber noch angezeigt. Wie kann ich das durchlässig einrichten?
Edit: habe https über WAN freigegeben und kann jetzt auch wieder über mein Heimatnetzwerk auf den Lancom zugreifen

[Dr.Einstein]

Bei der alten Firmware des 9100 ist glaube noch eine Blockroute aktiv,192.168.0.0/16. Diese musst du löschen. Schau dafür in die Routing Tabelle.

[AndreasFFM69]

IP4RoutingTabelle.jpg

Habe diese Tabelle gefunden und erst den zweiten Eintrag (block private network) für 192.168.2.0 gelöscht, ging dann immer noch nicht und dann den ersten Eintrag, geht natürlich auch nicht. Wie kann ich denn eine Route von dem einen Netzwerk ins andere anlegen?
Ich habe noch nicht verstanden, ob es nun eigentlich zwei getrennte Netzwerke sind oder nicht. Wenn es zwei getrennte Netzwerke sind dann ist es ja sicher falsch, dass beide 192.168.2.x als Adresse haben. Müsste ich das Netz hinter dem Lancom nicht umbenennen? Wenn ja, wie?

Edit: Wenn ich das Laptop mit dem Lancom direkt verbinde hört er auf 192.168.2.2 und wenn ich mich mit dem Speedport verbinde dann auf 192.168.2.3. Die Adressen hatte ich festgelegt, nur ich komme aus dem einen Teil nicht in das andere.

[Dr.Einstein]

Erstmal muss von dem Routing Eintrag die Maskierung eingeschaltet werden da der Speedport keine Rückrouten unterstützt.

Und ja, der Lancom braucht ein anderes IP Netzwerk, als der Speedport hat. Unter IPv4 / Allgemein / IP-Netzwerk findest du die LAN IP des Lancoms. Unter Kommunikation / Protokolle / IP-Parameter findest du die IP-Adresse der WAN Gegenstelle. Hier muss dann z.B. 192.168.2.2 stehen mit Gateway+DNS auf 192.168.2.1 (falls das der Speedport ist).

[AndreasFFM69]

192.168.2.1 Speedport
192.168.2.2 Lancom im eigenen Netz
192.168.2.3 Lancom im Speedport-Netz

Hier stand vorher nichts, habe ich so eingetragen.

IPParameter.jpg

Die DMZ benötige ich doch eigentlich nicht, oder?

IP4Netzwerke.jpg

Warum werden die LAN-Ports einzeln zugewiesen? Muss ich da noch was einstellen, damit die LANs untereinander verbunden sind?
'Datenübertragung zwischen diesem Switch-Port und den anderen unterbinden (Private Mode)' habe ich überall abgewählt.

[AndreasFFM69]

Wenn ich mal in sehr kleinen Schritten versuchen möchte, mit Hilfe das zu realisieren: was muss ich denn tun, damit Netzwerkgeräte im Netz des Lancom (also mit den Ethernet-Ports 2-4) trotzdem aus dem Netzwerk des Speedports erreicht werden können?
Das ist doch genau die Funktion eines Routers, zwischen zwei Netzwerken eine Übergabe zu organisieren, denke ich. Alleine schaffe ich das nie, es gibt hunderte von Möglichkeiten, etwas falsch zu machen, per Zufall bekomme ich das nie im Leben hin

[Frühstücksdirektor]

Hallo,

das wird so vmtl. nie funktionieren ohne NAT, da der Speedport die Rückroute nicht kennt (bzw. keine statischen Routen kann).
Mein Designvorschlag für das Projekt wäre:

- Reset
- An ETH-1 lokales "INTRANET" mit Subnetz 192.168.3.0/24, 9100 hat 192.168.3.1, inkl. DHCP-Server => an ETH-1 wird der PC angeschlossen
- An ETH-2 WAN-Verbindung mit DHCPoE konfigurieren: Internetwizard laufen lassen, ETH-2 Port auswählen und DHCP als Protokoll wählen, damit bezieht der LANCOM per DHCP eine IP-Adresse vom Speedport aus 192.168.2.0/24 und macht automatisch NAT => an ETH-2 wird der Speedport angeschlossen

Der 9100 ist ein Zentralgerät bei dem die Ports intern nicht als Switch laufen, bei den 179x-Geräten sind die LAN-Ports als Switch an die CPU angebunden.

[AndreasFFM69]

Hatte nach dem Reset nichts mehr hinbekommen, war dann etwas frustriert.

Habe jetzt erst gesehen, wie und wo ich die Konfiguration speichern kann.

Bin jetzt wieder so weit, dass ich zwei IP-Adressen habe und es über beides auch erreiche:

192.168.2.1 ist mein Speedport an Eth Port 1 (WAN)
192.168.2.2 ist der 9100 an Eth Port 2 (LAN) - wenn ich hier zum Bsp 192.168.3.1 vergebe erreiche ich den Lancom nicht mehr darüber. Ins Internet komme ich darüber im Moment nicht mehr, das hatte ich aber schon mal hinbekommen, weiß aber nicht mehr wie.
192.168.2.3 ist der 9100 über den Speedport zu erreichen.

Wenn ich meine Ziele etwas herunterschraube: der 1783VA 4G ist mittlerweile da. Sim-Karte funktioniert, ein 10er Betriebssystem ist drauf. Hat auf Anhieb ganz normal als Internetrouter über die Sim-Karte funktioniert. IP ist 192.168.1.1. Den 1783 möchte ich am Standort Ungarn als Router nutzen und alle Netzwerkgeräte dahinter anschließen. Ich fahre in 6 Wochen wieder runter, bis dahin wäre es super wenn ich es hinbekommen würde, dass sich 9100 und 1783 gegenseitig sehen. Wenigstens so, dass ich am 9100 einen Rechner direkt per Kabel an Eth 2/LAN 1 anschließe und dann Zugriff auf die Geräte hinter dem 1783 habe. Ich nutze beide Geräte über die WebGui. Den Wizard kann ich auf beiden Geräten zeitgleich parallel bedienen, woran sehe ich, ob die Einstellungen funktionieren?
Sollte ich eine Verbindung erfolgreich hinbekommen, kann ich den 1783 dann wie ein lokales Gerät mit seiner IP 192.168.1.1 aufrufen?

Edit: nachdem ich das ja definitiv nicht kann habe ich nun mal ein Windows-Gerät eingeschaltet und LanConfig heruntergeladen.

IMG_3957.JPG

Ich habe beide Lancoms unterschiedlich verbunden: den 1783 per LAN-Kabel und den 9100 per WLAN über den Speedport. Wenn ich den 1783 über den 9100 ziehe wird der 1783 konfiguriert und beim 9100 kommt eine Fehlermeldung, dass ich die Schnittstellen neu konfigurieren muss, also LAN 1-4 und DSL 1-4. Hier habe ich auf Eth 1 -> DSL-1 und Eth 2 -> LAN 1 - kann aber nicht abgespeichert werden.
Ich habe keine feste IP, habe bei Strato eine DynDNS andreasjung.xyz, die vom Speedport aktualisiert wird. Gebe ich bei der DynDNS-Abfrage dann die DynDNS so im Klartext an? Als jeweilige Gegenstelle trage ich 192.168.1.0 bzw. 192.168.2.0 ein, ist das richtig?