Solved
Feste IP mit Netgear BR500 Router Speedport smart 3
3 years ago
Zwei Netgear Router sollen über IPSec VPN verbunden werden. Dem einen ist eine Fritzbox/Telekom DSL (Standort 1), dem anderen ein Smart3/Telekom DSL (Standort 2) vorgeschaltet. Speedport und Fritzbox haben die jeweiligen Dyndns Einträge akzeptiert, die Netgear BR500 mit ihren eingebauten Update Clients ebenfalls.
Dienstleister ist DynDNS.com
Bei Standort 1 antwortet die Fritzbox auf einen ping, der Smart bei Standort 2 nicht. Dabei ist es egal, den Dyndns Eintrag oder die IP Adresse direkt zu verwenden.
Im Dyndns.com Update Log melden sich bei Standort 1 die Fritzbox und der BR500 erfolgreich und erhalten unterschiedliche IPs zugewiesen (sinnvoll?), bei Standort 2 nur der BR500, der Smart3 hingegen nicht.
Muss ich den Smart3 durchstarten, obwohl der DynDNS schon registriert zeigt? Oder warum antwortet der nicht?
Welche Ports müssen geöffnet sein und auf die WAN-IP des Routers zeigen, damit später IPSec funktioniert??
Mein Verständnis ist, dass beide Standorte ping erreichbar sein müssen, bevor man zum eigentlichen IPSec weitergeht.
Bitte um Anleitung.
724
15
This could help you too
in
611
0
2
5 years ago
1209
0
3
2763
0
5
3 years ago
Die Speedport beantwotzen keine Echo Requests auf der WAN-Seite.
Die Ports 4500/udp und 500/udp in der FB und dem Smart3 auf den jeweiligen BR500 weiterleiten.
0
3 years ago
Speedport und Fritzbox haben die jeweiligen Dyndns Einträge akzeptiert, die Netgear BR500 mit ihren eingebauten Update Clients ebenfalls.
Die Netgear BR500 kennen doch nur ihre von Speedport bzw. Fritzbox zugewiesenen internen IP-Adressen, die sind ziemlich nutzlos für Dein VPN . Die Netgears haben also typischerweise so etwas wie 192.168.2.x hinter dem Speedport oder 192.168.178.y an der Fritzbox. Diese Adressen sind im Internet nicht routbar.
Ich gehe davon aus, dass Du das so konfigurieren solltest:
In der Fritzbox richtest Du eine Weiterleitung der fraglichen VPN Ports auf die (192.168.178.y) IP-Adresse des Netgear ein.
Den Netgear an der Fritzbox richtest Du so ein, dass er eine eingehende VPN -Anfrage vom anderen Netgear akzeptiert.
Am Netgear am Speedport richtest Du das so ein, dass er eine VPN -Verbindung zur DynDNS-Adresse der Fritzbox aufzubauen versucht - die dann automatisch zum Netgear bei der Fritzbox weitergeleitet wird.
Falls das so nicht funktioniert, dann richte auch am Speedport eine Weiterleitung für die Ports auf den dortigen Netgear ein (192.168.2.x)
0
3 years ago
Mein Verständnis ist, dass beide Standorte ping erreichbar sein müssen, bevor man zum eigentlichen IPSec weitergeht
Einer macht die Einwahl, der andere muss erreichbar sein.
So läuft es bei mir problemlos.
Wenn der Smart3 sich nicht beim DynDNS-Anbieter anmeldet, denke ich zuerst an eine Fehlkonfiguration.
6
Answer
from
3 years ago
Nslookup hatte ich schon gemacht. Der liefert die richtigen IP Adressen des Dyndns beider Standorte. Das Problem ist ja, dass die IP des Smart Standorts nicht auf den Ping reagiert. Gibt's im Smart3 irgendein Setting, dass der sich still verhält?
Answer
from
3 years ago
Das Problem ist ja, dass die IP des Smart Standorts nicht auf den Ping reagiert.
Wieso ist das ein Problem?
Answer
from
3 years ago
>>...schrieb beantwortet der Speedport keine Echo Requests.<<
OK, das hatte ich ich vorher nicht so verstanden, danke.
Dann ist eigentlich alles richtig gesetzt, noch die Port weiterleiten und Tunnel testen.
Unlogged in user
Answer
from
3 years ago
Vielen Dank für deinen Beitrag und entschuldige bitte die späte Reaktion. Konnten die Antworten von @wari1957 @muc80337_2 @Carsten_MK2 und @viper.de weiterhelfen?
Gib mir dazu gerne eine Rückmeldung. Sollte es noch zu Schwierigkeiten kommen, bitte noch mal ein aktuellen Status geben
Gruß
Timur K.
4
Answer
from
3 years ago
Funktioniert leider noch nicht. Ich zeige deshalb auch nochmal den Weg der Fritzbox: UDP 500 und 4500 zeigen auf die WAN-IP des BR500 Routers. Dyndns wird richtig aufgelöst. Auf der Gegenseite der Speedport Smart mit gleichen Freigaben, dahinter der andere BR500.
Anbei die IPSec Policy, auf der Gegenseite (mit dem Speedport) entsprechend umgekehrt, gleiche IKEv2 Passphrase.
Hat da noch jemand eine Idee?
Answer
from
3 years ago
@TNanninga
Ich setze bei solchen Problemen auf Netzwerkmitschnitte.
Sowohl der Smart3 als auch die FB bieten die entsprechende Möglichkeit.
Möglichkeit 1:
IPSec Site2Site aktiviert.
Dann schneidet man mit.
Entweder sieht man udp-Packete oder nicht.
Möglichkeit 2:
IPSec Site2Site deaktiviert.
Als Tool zur Kommunikation verwende ich echotool.exe.
Gibts hier:
https://github.com/PavelBansky/EchoTool
Damit könnte man per udp Packete über die Ports 500 bzw. 4500 versenden.
Die Netzwerkmitschnitte zeigen dann, ob die Packete ankommen und weitergeleitet werden.
Answer
from
3 years ago
Im Prinzip war alles richtig, ein Netgear Techniker hat heute manuell in den IPSec Policies editiert und siehe da... es geht.
Kurze Zusammenfassung:
Dyndns Einträge erstellen und die Dyndns Clients aktivieren, damit stets die neuen IPs übernommen werden. Speedport, Fritzbox und BR500 haben alle so einen Update Client.
Nslookup xxx.dyndns.org zur Prüfung der Adressauflösung. Die Fritzbox beantwortet Pings, der Speedport nicht, ist für IPSec das jedoch nicht relevant.
Die Ports 4500/udp und 500/udp auf die WAN IP des jeweiligen BR500 weiterleiten.
Unlogged in user
Answer
from
Accepted Solution
accepted by
3 years ago
Im Prinzip war alles richtig, ein Netgear Techniker hat heute manuell in den IPSec Policies editiert und siehe da... es geht.
Kurze Zusammenfassung:
Dyndns Einträge erstellen und die Dyndns Clients aktivieren, damit stets die neuen IPs übernommen werden. Speedport, Fritzbox und BR500 haben alle so einen Update Client.
Nslookup xxx.dyndns.org zur Prüfung der Adressauflösung. Die Fritzbox beantwortet Pings, der Speedport nicht, ist für IPSec das jedoch nicht relevant.
Die Ports 4500/udp und 500/udp auf die WAN IP des jeweiligen BR500 weiterleiten.
0
Unlogged in user
Ask
from