VPN-Server hinter Hybrid-Router, Zugang von außen möglich?

Hallo Andreas,

ja das FritzBox VPN (IPSec) funktioniert hinter dem Speedport.

Du musst lediglich deine DynDNS Daten im Speedport hinterlegen und "Im Tab Internet -> in der Portfreischaltung im Speedport" eine neue Weiterleitung einrichten:

1. "Gilt für Gerät": Fritzbox auswählen
2. Umzuleitende Ports:

• UDP 53 - 53 -> UDP 53 (für DNS notwndig)
• UDP 500 - 500 -> UDP 500 (für ISAKMP)
• UDP 4500 - 4500 -> UDP 4500 (für NAT-T)

optional kannst du noch deinen Fernzugangsport (Standard: 443) Weiterleiten, um aus dem Internet auf deine FB zu kommen oder die my FritzApp zu nutzen.

• TCP 443 - 443 -> 443 (SSL Fernzugang FB)

@Gelöschter Nutzer 

Ich bekomme demnächst auch DSLHybrid und habe dann das Fritzbox VPN Problem, das viele hier beschreiben.

Du schreibst, dass ein Fritzbox IPSec VPN mit einem Speedport Hybrid Router funktionieren soll wenn man die entsprechenden Ports im Speedport weiterleitet. Aber was ist mit ESP ?

All meine Recherchen haben ergeben, dass Speedport Router ESP nicht weiterleiten.

Hast du das Szenario bei dir erfolgreich zum Laufen gebracht? 

Dann wäre der Speedport Hybrid Router eine echte Ausnahme unter den Speedport Routern der Telekom, der tatsächlich ESP weiterleitet und damit IPSec VPN ermöglicht.

Wäre über eine kurze Rückmeldung dankbar.

Ja es funktioniert wirklich, die Fritzbox muss als IP-Client eingerichtet werden.

So sollten die Einstellung in dem Speedport aussehen

Und so die einstellungen in der Fritzbox

Portfreigabe ist mir verständlich aber sobald ich die Option "Internetverbindung selbst aufbauen" auswähle, ist die Fritzbox nicht mehr erreichbar!!!

Was muss hier beachtet werden?

Vielen Dank für die Info.

Eine feste IP vergebe ich immer, nur hätte ich dann zwei verschiedene IP-Netzwerkadressen, was ich nicht so gut finde.

Ich hatte dem Hybrid Router eine 192.168.3.1 und der Fritzbox die feste IP 192.168.3.2 (als Gateway 192.168.3.1) vergeben. Aber dann müsste ich diese Strategie noch einmal überdenken und eventuell 2 IP Adressbereiche anlegen.

Sind damit alle Funktionen gegeben?

Was heißt den wie bei myfritz.Net?

Ich hab das vorher nie benutzt und war jetzt neugierig.

Das Laptop hab ich jetzt tesweise mal über VPN an dran gehängt über mobile Hotspot vom iPhone und die Fernzugriffssoftware von Fritz (das funktioniert soweit scheinbar ohne Einschränkungen)

Das iPhone hab ich auch per VPN drangehängt. Die Telefonie mit der FritzApp geht aber das ist eigentlich nur für abgehende Telefonate zu gebrauchen, weil das iPhone scheinbar nach ein paar Sekunden im Standby (also Bildschirm aus) die VPN Verbindung kappt.

Hallo Heiko,

ich habe heute nach deiner Anleitung versucht, meine Fritz Box hinter dem Speedport Hybrid einzusetzen, um VPN der Fritzbox etc. zu nutzen.

So sieht das Szenario aus:

Speedport Hybrid: 192.168.100.11

FritzBox: 192.168.11.10

FritzBox als Gerät im Speedport für die Portweiterleitung eingerichtet. Dann die von Dir beschriebenen Ports weitergeleitet.

DynDNS über no-ip.com habe ich im Speedport eingerichtet und in der alten Fritzbox Einstellung deaktiviert.

Einstellungen in der FritzBox siehe Screenshot.

Auf meinem Rechner habe ich als Gateway die IP der FritzBox eingetragen 192.168.11.10

Rufe ich nun eine Internetseite auf, erscheint die Anmeldeseite der Fritzbox. Hier funktioniert also 

irgendwas mit dem DNS noch nicht. Ich habe aber keine Idee. Bin für Hilfe außerordentlich dankbar.

Dieser Hybrid Anschluss mit dem unsäglichen Speedport kostet ganz schön Nerven.

Ich habe alles mehrfach geprüft. 

IP der FritzBox: 192.168.11.10

IP Speedport: 192.168.100.11

FritzBox Gateway und DNS bei Verbindungseinstellungen: 192.168.100.11

Ich erreiche beider Router über den Computer sofern ich mich natürlich im passenden Netz befinde.

Das muss ich also entsprechend in den Netzwerkeinstellungen von meinem Mac umstellen. Dann erreiche ich den entsprechenden Router.

Ein Verständnisproblem habe ich. Wenn ich mich auf dem Speedport einlogge, dann wird mir die Fritzbox unter "Geräte" als nicht verbunden angezeigt. Wie soll das auch gehen, wenn sie sich in einem anderen Subnetz befindet als der Speedport. Irgendwo klemmt es also noch.

Gibt es noch irgendeinen Schritt, den Du zusätzlich gemacht hast?

Ich habe jetzt gestern verzweifelt stundenlang versucht, die FritzBox (7390) hinter dem Speedport einzurichten, so wie hier insbesondere in den Beiträgen 8-10 beschrieben wurde, mit wenig Erfolg und Krach mit meiner Frau... So wie beschrieben funktioniert es einfach nicht, vor allem ist mir der Satz "So und Deine Geräte verbinden sich dann mit 192.168.179.1" überhaupt nicht nachvollziehbar. Und was ist mit "Du mußt dem Hybrid und der Fritzbox jeweils einen Adressbereich geben" gemeint, ist gemeint die IP-Adresse oder tatsächlich ein Adressbereich zur DHCP-Vergabe? Ich habe folgende Konstellation: Speedport, voreingestellte IP-Adresse 192.168.2.1 Fritzbox, unter "Verbindungseinstellungen" (eigene Internetverbindung herstellen), die feste IP-Adresse 192.168.2.2 vergeben, DNS und Gateway ist die obige IP-Adresse des Speedports. Der Speedport hat einen DHCP Bereich von 192.168.2. 100 -150, die Fritzbox vergibt Adressen ab 151 -199. Im Speedport sind die angegeben Ports etc. umgeleitet und eine DSL/LTE Ausnahme hinterlegt für die Fritzbox. Außerdem sind im Speedport meine NO-IP Daten hinterlegt. In der Fritzbox wurde MyFritz aktiviert/angemeldet und ein Nutzer aktiviert, der auch eine VPN Verbindung aufbauen kann. Ergebnis: Über das WLAN des Speedports komme ich auf den Speedport, nicht aber auf die Fritzbox, weder mit der hinterlegten festen IP noch mit der "Notfall-IP", die jede Fritzbox hat. Schließe ich mein Laptop mittels LAN an LAN2 der Fritzbox an (und schalte WLAN am Laptop ab), komme ich mit beien Adressen in die Fritzbox, aber nicht mehr in den Speedport. Über Internet komme ich sowohl im WLAN des Speedport aber z. B. auch übers Smartphone (UMTS) auf die Fritzboxoberfläche. VPN-Zugang am Smartphone funktioniert jedoch nur, wenn ich mit diesem im eigenen WLAN bin, über UMTS nicht. In der Fritzbox ist auch die Meldung, dass es sich bei der vom Server zugewiesenen Adresse nicht um eine öffentliche Adresse handelt (die IP ist ja 198.168.2.2), eine "richtige" öffentliche Adresse erhält nur der Speedport. Kann mir jemand evtl. nochmals Schritt für Schritt erklären, wie ich das richtig einrichte?

Erst mal ist es wichtig zu beachten, dass ein Router immer zwei IP Adressen hat. Eine im internen Netz und  eine nach außen.

Wie das mit den Netzen aussehen kann, findest du z.B. hier

Myfritz funktioniert hinter dem SP-H nicht, das kannst du dir also sparen.

Ansonsten ist zu Beachten, dass die dynamische Aktualisierung mit NOIP aktuell wegen einem Fehler in der Routerfirmware auch nur bedingt funktioniert. Testen würde ich also voerst mit der IP.

Nach der Einrichtung (das mit den Ports 500 und 4500 hast du ja bereits gefunden). Muss der SP-H auf die Fritz Adresse verweisen. Also bei dem obigen verlinkten Beispiel von 192.168.181.2 auf 192.168.181.1 für die beiden vorgenannten Ports. Wenn du dann die öffentliche IP des SP-H mit einem VPN Client aufrufst (das ist keine der vorgenannten), dann landest du dank der Umleitung auf der Fritz. Der Rest ist dann die Einrichtung in der Fritz. Für VPN Geräte nutzt die einen separaten IP Adressbereich. 

Danke für die Antwort, ich muss das heute Abend nochmals alles in Ruhe testen. Ganz klar ist mir das mit der Umleitung der Ports und den IP Adressen noch nicht. Wie stelle ich das denn genau ein, dass die IP des SH auf die IP der FB verweist für die beiden Ports. Ich glaube, da habe ich irgendeinen Fehler in der Konfiguration. Was bei mir auch nicht klappt, wenn ich den Hostnamen von NO-IP (auch vom Internet aus) aufrufe, komme ich weder auf den Speedport noch auf die Fritzbox, Rückmeldung ist Netzwerkfehler. Beim NO-IP Account taucht auch nicht die öffentliche Adresse des Speedporst, sondern die interne Netzwerkadresse der FritzBox auf, irgendetwas ist da faul.

Schau am besten zuerst mal, dass du dir die Netze lt. Beschreibung aufspannst. Hast du dynamisches DNS auf dem SP-H eingerichtet (da und nur da gehört es hin) oder auf der Fritz?

Bzgl. der Ports. Du sagst im SP-H einfach Portweiterleitung mit dem Ziel Fritzbox.

Noch eine Verständnisfrage zu deinem verlinkten Beispiel:

Gateway und DNS sind für die Fritzbox 192.168.182.2, der Speedport hat IP 192.168.181.2. Wie kommt da die Fritzbox ins Internet?