Site-2-Site mit LANCOM UND VPN Passthrough (L2TP) - geht das?

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
jueRgenB
Beiträge: 97
Registriert: 08 Apr 2019, 12:01

Site-2-Site mit LANCOM UND VPN Passthrough (L2TP) - geht das?

Beitrag von jueRgenB »

Hallo,

ich habe aktuell zwei Standorte (A,B)mit je einer Fritzbox verbunden (7390/7490).
Die VPN Strecke wird von den Boxen aufgebaut, zusätzlich baut die 7390 noch einen VPN Tunnel zu einem CISCO 5505 auf (Standort C).
Beide Boxen nutzen VDSL mit einer festen Public IP.

Jetzt muss noch ein Endgerät innerhalb des Netzes der 7390 eine L2TP Verbindung zu einem externen Dienstleister aufbauen.
Mit der Fritzbox 7390 geht das nicht, da diese kein VPN Server sein darf und gleichzeitig ein VPN Passthrough möglich ist.

Meine Frage?

Kann ich mit einem LANCOM Router die Site-2-Site Verbindung (A-B) aufrecht erhalten, Standort C einbinden
und zeitgleich vom internen Netz aus mit einem CISCO 886VA eine L2TP VPN Verbindung zu einem vierten Standort aufbauen?

Oder geht das prinzipiell mit keinem VPN Router und einer einzelnen Public IP?

Vielleicht kann mir ein Spezialist kurz helfen.

Danke und Gruß

Jürgen
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Site-2-Site mit LANCOM UND VPN Passthrough (L2TP) - geht das?

Beitrag von backslash »

Hi jueRgenB,

also naktes L2TP ist sicherlich auch bei einer Fritzbox kein Problem...

Ich vermute aber, daß du hier IKEv2 + L2TP meinst. Das sollte auch zusammen mit dem LANCOM als VPN Gateway funktionieren - zumindest solange du darauf achtest, daß in der Maskierung der UDP-Timeout hoch genug ist, damit die Maskierung nicht herausaltert. Normalerweise ist im NAT-T (das hier sicherlich verwendet wird) ein Keepalive vorgesehen, der alle 30 Sekunden ein leeres Paket schickt - d.h. der UDP-Timeout muß > 30 Sekunden sein, z.B. 40. Ob das aber dein Client und/oder der Dienstleister auch wirklich unterstützen, kann ich dir nicht sagen - ggf. muß dann der UDP-Tiemout höher gesetzt werden, was dann aber mit der Gefahr einhergeht, daß die Maskierungstabelle voll läuft. Ideal wäre, wenn dein Client das konfigurierbar hätte

Das winzige, was im LANCOM nicht parallel funktioniert, ist die Funktion als VPN-Gateway und ein Portforwarding der IKE-Ports (UDP 500, 4500).

Gruß
Backslash
jueRgenB
Beiträge: 97
Registriert: 08 Apr 2019, 12:01

Re: Site-2-Site mit LANCOM UND VPN Passthrough (L2TP) - geht das?

Beitrag von jueRgenB »

Danke für die Rückmeldung,

es handelt sich hier um eine Registerbox, das ist eine Blackbox und die kann nicht administriert werden.
In den Unterlagen wird nur von L2TP gesprochen, UDP 1701

Bei einer Fritzbox LTE im Default Setup gehtˋs auch Problemlos.
Könnte man ggfs. am VPN der FB untereinander oder zur CISCO ASA was ändern?

Wo würde man die Maskierung anpassen?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Site-2-Site mit LANCOM UND VPN Passthrough (L2TP) - geht das?

Beitrag von backslash »

Hi jueRgenB

also wenn der Dienstleister tatsächlich UDP-Port 1701 verlangt, dann ist das blankes L2TP... wie gesagt, das müßte auch durch die Fritzbox gehen, weil es sich nun überhaupt nicht mit dem IKE (UDP Ports 500. 4500) beißt. Mehr kann ich zur Fritzbox aber auch nicht sagen.

Die Maskierungs-Timeouts stellst du im LANCOM unter IP-Router -> Maskierung -> Maskierungs-Optionen ein. Hier wäre "UDP-Aging" der einzustellende Wert

Gruß
Backslash
jueRgenB
Beiträge: 97
Registriert: 08 Apr 2019, 12:01

[Gelöst] Re: Site-2-Site mit LANCOM UND VPN Passthrough (L2TP) - geht das?

Beitrag von jueRgenB »

Hallo,

Danke, jetzt läufts :D

Der Anbieter schreibt zur CISCO 886VA,

Einer dieser gelben Anschlüsse – egal welcher – muss durch das ebenfalls gelbe Netzwerkkabel mit einem freien LAN-Port des Internet-Routers verbunden werden.


Tja .. aber nur in Port 2 bekomme ich dann die Verbindung zur FritzBox auch in der FritzBox angezeigt!.
Am Freitag lief das ganze ja mit einer FritzBox 6820 LTE (Aber eben diese Box war in Port 02 drinn) :roll: :roll:

In der FritzBox hab ich dann die Optionen so gesetzt …

Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen.
Selbstständige Portfreigaben erlauben


Und schon läuft es über L2TP (Nur UDP 1701) ….

Danke erstmal ans Forum ...
Antworten