Gelöst
Feste IP mit Netgear BR500 Router Speedport smart 3
vor 3 Jahren
Zwei Netgear Router sollen über IPSec VPN verbunden werden. Dem einen ist eine Fritzbox/Telekom DSL (Standort 1), dem anderen ein Smart3/Telekom DSL (Standort 2) vorgeschaltet. Speedport und Fritzbox haben die jeweiligen Dyndns Einträge akzeptiert, die Netgear BR500 mit ihren eingebauten Update Clients ebenfalls.
Dienstleister ist DynDNS.com
Bei Standort 1 antwortet die Fritzbox auf einen ping, der Smart bei Standort 2 nicht. Dabei ist es egal, den Dyndns Eintrag oder die IP Adresse direkt zu verwenden.
Im Dyndns.com Update Log melden sich bei Standort 1 die Fritzbox und der BR500 erfolgreich und erhalten unterschiedliche IPs zugewiesen (sinnvoll?), bei Standort 2 nur der BR500, der Smart3 hingegen nicht.
Muss ich den Smart3 durchstarten, obwohl der DynDNS schon registriert zeigt? Oder warum antwortet der nicht?
Welche Ports müssen geöffnet sein und auf die WAN-IP des Routers zeigen, damit später IPSec funktioniert??
Mein Verständnis ist, dass beide Standorte ping erreichbar sein müssen, bevor man zum eigentlichen IPSec weitergeht.
Bitte um Anleitung.
723
15
Das könnte Ihnen auch weiterhelfen
in
611
0
2
vor 5 Jahren
1209
0
3
2762
0
5
vor 3 Jahren
Die Speedport beantwotzen keine Echo Requests auf der WAN-Seite.
Die Ports 4500/udp und 500/udp in der FB und dem Smart3 auf den jeweiligen BR500 weiterleiten.
0
vor 3 Jahren
Speedport und Fritzbox haben die jeweiligen Dyndns Einträge akzeptiert, die Netgear BR500 mit ihren eingebauten Update Clients ebenfalls.
Die Netgear BR500 kennen doch nur ihre von Speedport bzw. Fritzbox zugewiesenen internen IP-Adressen, die sind ziemlich nutzlos für Dein VPN . Die Netgears haben also typischerweise so etwas wie 192.168.2.x hinter dem Speedport oder 192.168.178.y an der Fritzbox. Diese Adressen sind im Internet nicht routbar.
Ich gehe davon aus, dass Du das so konfigurieren solltest:
In der Fritzbox richtest Du eine Weiterleitung der fraglichen VPN Ports auf die (192.168.178.y) IP-Adresse des Netgear ein.
Den Netgear an der Fritzbox richtest Du so ein, dass er eine eingehende VPN -Anfrage vom anderen Netgear akzeptiert.
Am Netgear am Speedport richtest Du das so ein, dass er eine VPN -Verbindung zur DynDNS-Adresse der Fritzbox aufzubauen versucht - die dann automatisch zum Netgear bei der Fritzbox weitergeleitet wird.
Falls das so nicht funktioniert, dann richte auch am Speedport eine Weiterleitung für die Ports auf den dortigen Netgear ein (192.168.2.x)
0
vor 3 Jahren
Mein Verständnis ist, dass beide Standorte ping erreichbar sein müssen, bevor man zum eigentlichen IPSec weitergeht
Einer macht die Einwahl, der andere muss erreichbar sein.
So läuft es bei mir problemlos.
Wenn der Smart3 sich nicht beim DynDNS-Anbieter anmeldet, denke ich zuerst an eine Fehlkonfiguration.
6
Antwort
von
vor 3 Jahren
Nslookup hatte ich schon gemacht. Der liefert die richtigen IP Adressen des Dyndns beider Standorte. Das Problem ist ja, dass die IP des Smart Standorts nicht auf den Ping reagiert. Gibt's im Smart3 irgendein Setting, dass der sich still verhält?
Antwort
von
vor 3 Jahren
Das Problem ist ja, dass die IP des Smart Standorts nicht auf den Ping reagiert.
Wieso ist das ein Problem?
Antwort
von
vor 3 Jahren
>>...schrieb beantwortet der Speedport keine Echo Requests.<<
OK, das hatte ich ich vorher nicht so verstanden, danke.
Dann ist eigentlich alles richtig gesetzt, noch die Port weiterleiten und Tunnel testen.
Uneingeloggter Nutzer
Antwort
von
vor 3 Jahren
Vielen Dank für deinen Beitrag und entschuldige bitte die späte Reaktion. Konnten die Antworten von @wari1957 @muc80337_2 @Carsten_MK2 und @viper.de weiterhelfen?
Gib mir dazu gerne eine Rückmeldung. Sollte es noch zu Schwierigkeiten kommen, bitte noch mal ein aktuellen Status geben
Gruß
Timur K.
4
Antwort
von
vor 3 Jahren
Funktioniert leider noch nicht. Ich zeige deshalb auch nochmal den Weg der Fritzbox: UDP 500 und 4500 zeigen auf die WAN-IP des BR500 Routers. Dyndns wird richtig aufgelöst. Auf der Gegenseite der Speedport Smart mit gleichen Freigaben, dahinter der andere BR500.
Anbei die IPSec Policy, auf der Gegenseite (mit dem Speedport) entsprechend umgekehrt, gleiche IKEv2 Passphrase.
Hat da noch jemand eine Idee?
Antwort
von
vor 3 Jahren
@TNanninga
Ich setze bei solchen Problemen auf Netzwerkmitschnitte.
Sowohl der Smart3 als auch die FB bieten die entsprechende Möglichkeit.
Möglichkeit 1:
IPSec Site2Site aktiviert.
Dann schneidet man mit.
Entweder sieht man udp-Packete oder nicht.
Möglichkeit 2:
IPSec Site2Site deaktiviert.
Als Tool zur Kommunikation verwende ich echotool.exe.
Gibts hier:
https://github.com/PavelBansky/EchoTool
Damit könnte man per udp Packete über die Ports 500 bzw. 4500 versenden.
Die Netzwerkmitschnitte zeigen dann, ob die Packete ankommen und weitergeleitet werden.
Antwort
von
vor 3 Jahren
Im Prinzip war alles richtig, ein Netgear Techniker hat heute manuell in den IPSec Policies editiert und siehe da... es geht.
Kurze Zusammenfassung:
Dyndns Einträge erstellen und die Dyndns Clients aktivieren, damit stets die neuen IPs übernommen werden. Speedport, Fritzbox und BR500 haben alle so einen Update Client.
Nslookup xxx.dyndns.org zur Prüfung der Adressauflösung. Die Fritzbox beantwortet Pings, der Speedport nicht, ist für IPSec das jedoch nicht relevant.
Die Ports 4500/udp und 500/udp auf die WAN IP des jeweiligen BR500 weiterleiten.
Uneingeloggter Nutzer
Antwort
von
Akzeptierte Lösung
akzeptiert von
vor 3 Jahren
Im Prinzip war alles richtig, ein Netgear Techniker hat heute manuell in den IPSec Policies editiert und siehe da... es geht.
Kurze Zusammenfassung:
Dyndns Einträge erstellen und die Dyndns Clients aktivieren, damit stets die neuen IPs übernommen werden. Speedport, Fritzbox und BR500 haben alle so einen Update Client.
Nslookup xxx.dyndns.org zur Prüfung der Adressauflösung. Die Fritzbox beantwortet Pings, der Speedport nicht, ist für IPSec das jedoch nicht relevant.
Die Ports 4500/udp und 500/udp auf die WAN IP des jeweiligen BR500 weiterleiten.
0
Uneingeloggter Nutzer
Frage
von