VPN Verbindung zu Router hinter Modem

Nightstalker

ctrl+alt+del

Registered: Jan 2002
Location: .^.
Posts: 6687

25.06.2016 - 01:44

Hi,

ich hab hier eine etwas (für mich) komplexe Anforderung bei der ich Hilfe brauchen könnte.

Folgende Infrastruktur:
Kabelanschluss von Kabelsignal
Modem von Kabelsignal (Technicolor)
(WLAN)Router Netgear R7000
NAS

So nun habe ich folgendes Problem oder Wunsch, ich möchte gerne über VPN auf mein NAS zugreifen, das ist ja erst mal nicht so abwegig. Nun hab ich keine statische IP aber dafür bietet Netgear ja netterweise in Kooperation mit "No-IP" eine Lösung, ok hab ich mir eingerichtet und scheint auch OK.

Für VPN wird man auf OpenVPN bzw. "Tunnelblick" als MacUser verwiesen, auch gut, hab ich auch installiert und die Konfiguration geladen die man von Netgear bekommt.

Aber damit klappt es nicht, VPN Verbindung funzt nicht. Ist auch irgendwie logisch, ich muss ja noch irgendwo nen Port auf machen und was weiß ich was alles noch aber wie mach ich das jetzt genau. Am Modem nehme ich an muss ich etwas einstellen, ich hab dort auch die entsprechende Option für Portforwarding aber ich hab keinen Schimmer was ich da einstellen soll und ich weiß nicht ob mein Router mit seinem DDNS Namen überhaupt hinter dem Modem gefunden werden kann ...?

Ich steh da vollkommen daneben, kann mir da jemand helfen??? Vielleicht kann ich im Modem auch einfach alles diesbezügliche abdrehen (Router Funktionen) da ich die eigentlich eh nicht brauche aber keine Ahnung, ...

LG

tialk

Here to stay

Registered: May 2002
Location: vo/stmk
Posts: 3283

25.06.2016 - 08:21

NATet das Technicolor oder nur Modem(Routing)?

Endweder hat das Ding dann VPN passthrough zu aktivieren oder du musst den Port freigeben/forwarden (je nachdem welches Protokoll du gewählt hast)

Bearbeitet von tialk am 25.06.2016, 08:21

heroman

HDTV!

Registered: Aug 2004
Location: auf da Welt
Posts: 2171

25.06.2016 - 08:27

Technicolor ist doch der Router/Modem in einem..
am Technicolor den Port 1194 (sofern nicht geändert bei ovpn) für die IP des Netgears freigeben

Nightstalker

ctrl+alt+del

Registered: Jan 2002
Location: .^.
Posts: 6687

25.06.2016 - 10:05

Das genügt? Werd ich mal versuchen aber beim Portforwarding will der external ip, internal ip und noch einiges anderes wissen, da wusst ich gestern nicht so recht was er da meint ;-) intern ok, die vom Router aber extern hab ich ja keine fixe und den ddns namen kann ich nicht eingeben...

Das Technicolor ist ein Modemrouter korrekt, an dem Hängt ganz normal der Netgear als eigentlicher Router weil ich ja WLan verwende.

Im Technicolor ist derzeit DHCP aktiviert für LAN ebenso wie die Firewall, Wlan ist aus eh klar.

LG

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15859

25.06.2016 - 10:13

Doppeltes nat also, gratuliere

Valera

Here to stay

Registered: Dec 2005
Location: Mint
Posts: 683

25.06.2016 - 23:30

Was dir userohnenamen mit

Zitat
Doppeltes nat also, gratuliere

erklären will, ist, dass deine Infrastruktur so aussieht:

Zitat
Kabelanschluss von Kabelsignal
Router von Kabelsignal (Technicolor)
Router Netgear R7000
NAS

Das heißt du hast 2 Router hintereinander die jeweils NAT machen. Das ist mühsam und kann einige weniger lustige Effekte haben, einer davon ist VPN bringt man schwer zum Laufen.

2 Möglichkeiten:
1. Du versucht beide Router für VPN zu öffnen
2. Du beschaffst dir einen Router von Kabelsignal der auf den Bridge Modus umgestellt werden kann. Damit hast du dann tatsählcih nur ein Modem und alle Geräte die dranhängen sitzen direkt im Internet. Dh. erst dann wird dein Netgear zum eigentlichen Router der direkt mit dem Provider spricht.

Nightstalker

ctrl+alt+del

Registered: Jan 2002
Location: .^.
Posts: 6687

25.06.2016 - 23:37

Zitat von userohnenamen
Doppeltes nat also, gratuliere

Danke ;-) Hilft mir aber nicht weiter.

Ist ja nicht so, als würde ich das zum Spaß machen ... VPN geht mit dem Technicolor nicht und mit dem Netgear Router natürlich nur im Router Modus mit NAT.

Hat jemand eine Idee ob und wie man das NAT vom Technicolor Modemrouter deaktivieren kann? ich hab nix gefunden.

Wie muss ich die Geräte sinnvollerweise verbinden und einstellen? Am Modem hängt (zum Glück) nix dran, ich hab also keine 2 Netze die miteinander kommunizeiren müssen, es läuft alles über den Router.

LG

Cobase

Vereinsmitglied
Mr. RAM

Registered: Jun 2001
Location: Linz
Posts: 17905

25.06.2016 - 23:48

Ich stehe vor demselben Problem. Ich werde es mit einem Raspi als VPN-Server direkt am Providermodemrouter probieren.

Nightstalker

ctrl+alt+del

Registered: Jan 2002
Location: .^.
Posts: 6687

26.06.2016 - 00:38

Und den Router dann an den Raspi? Auch nicht die beste Lösung oder?

Eigentlich müsste es ja gehen, ich versteh blos nicht was ich da für Ports forwarden soll. Ich hab 2 verschiedene in der OpenVPN stehen und dann muss ich noch für DDNY einen einrichten und das Modem verlangt immer eine "externe IP" aber die hab ich ja nicht, sonst brauch ich ja kein DDNS und das wiederum kann das Modem nur über dyndns aber nicht über NOIP ... entweder bin ich echt zu blöd oder das ist extrem dämlich.

LG

Valera

Here to stay

Registered: Dec 2005
Location: Mint
Posts: 683

26.06.2016 - 01:08

Zitat
Hat jemand eine Idee ob und wie man das NAT vom Technicolor Modemrouter deaktivieren kann? ich hab nix gefunden.

Weiß nicht welches Modell du hast, aber kurze google Suche ergab, dass die von Kabelsignal verwendeten Technicolor das nicht können.

Dh. du rufst deinen Provider an, und willst einen Modemtausch auf ein Modem, dass den Bridge Modus beherrscht.

Das ist die einfachste Variante. Portforwarding ist mühsam bei doppelten NAT. Ohne deinen Router näher zu kennen rate ich mal ins Blaue:

Externe IP Adresse1: Die IP Adresse die du nach außen hin hast. Das ist natürlich weil du keine statische IP hast eher hinfällig.. würde aber trotzdem mal beobachten wie oft sich deine externe IP ändert. So mancher Kabelbetreiber hat quasistatische IP Adressen, dh. die IP ändert sich nur wenn das Gerät (=Modem) geändert wird.
Externe IP Adresse2: Könnte aber auch die IP Adresse gemeint sein, von wo die VPN Verbindung kommt. Wenn du eine fixe Gegenstelle hast, also eine Site-to-Site Verbindung dann ist das die der Gegenstelle. Wenn es eine "Road Warrior" Konfiguration ist, also du willst dich von überall einloggen können (ich nehme an, darum geht es), dann müßtest du dort die Möglichkeite haben ALLE IP Adressen, oder EXTERNES Interface oder was weiß ich einzustellen.

Just my 2 cents.

Bearbeitet von Valera am 26.06.2016, 01:09

Nightstalker

ctrl+alt+del

Registered: Jan 2002
Location: .^.
Posts: 6687

26.06.2016 - 01:16

Hi,

ja das werde ich auf jeden Fall mal probieren (also anrufen ...) dachte aber es müsste auch so iwie gehen.

So sieht die Eingabe für das Forwarding aus:

Cobase

Vereinsmitglied
Mr. RAM

Registered: Jun 2001
Location: Linz
Posts: 17905

26.06.2016 - 01:58

Lokale und externe Ports sind bei OpenVPN standardmäßig 1194 UDP. Lokale und externe IP sind von deiner Konfiguration abhängig.

Zitat von Nightstalker
Und den Router dann an den Raspi?

Um Himmels Willen NEIN!

Mein Router und der Raspi sollen PARALLEL am A1 Modemrouter hängen.

Bearbeitet von Cobase am 26.06.2016, 02:00

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6545

26.06.2016 - 09:41

Hinzu zur Double NAT - Portforwarding Geschichte kommt die Problematik, dass man einen Dualstack Lite Anschluss haben kann, wenn man keinen UPC Business Tarif hat. Das kann man beim Netzwerk-Status vom Technicolor erkennen.

Wenn man einen DS-lite Anschluss hat, kann man keinen über IPv4 erreichbaren VPN von außen zugänglich machen, weil das vom Provider so nicht vorgesehen ist.

Einzige Optionen sind einen Business Tarif zu nehmen, oder eine LTE-Kiste zwecks alternativer Einwahl per dyndns zu realisieren. Die dritte technische Möglichkeit ist ein IPv6 VPN zu basteln, was aber nicht mehr so leicht umzusetzen bzw. zu betreiben ist.

Bearbeitet von mr.nice. am 26.06.2016, 10:00

spunz

Elder
Elder

Registered: Aug 2000
Location: achse des bösen
Posts: 11287

26.06.2016 - 09:57

Kabsi ist diesbezüglich noch nicht so weit.

Nightstalker

ctrl+alt+del

Registered: Jan 2002
Location: .^.
Posts: 6687

26.06.2016 - 14:29

Ich glaub ich muss meine Frage umformulieren ...

Wie schaff ich es nun, über einen halbwegs sicheren Zugang, von außen auf mein NAS zu kommen?!

Scheinbar klappt das alles nicht so wie gedacht.

Bei mir stehen in der VPN Config auch andere Ports, irgend was mit 1...73 und eine externe IP hab ich wie gesagt nicht, nur DDNS von NoIP ...

Beim Modem kann man wohl einen DDNS eingeben aber als Anbieter ist da nur DynDNS.org angegeben... Aaaaahhhh

LG

Nightstalker ctrl+alt+del Registered: Jan 2002 Location: .^. Posts: 6687	25.06.2016 - 01:44 Hi, ich hab hier eine etwas (für mich) komplexe Anforderung bei der ich Hilfe brauchen könnte. Folgende Infrastruktur: Kabelanschluss von Kabelsignal Modem von Kabelsignal (Technicolor) (WLAN)Router Netgear R7000 NAS So nun habe ich folgendes Problem oder Wunsch, ich möchte gerne über VPN auf mein NAS zugreifen, das ist ja erst mal nicht so abwegig. Nun hab ich keine statische IP aber dafür bietet Netgear ja netterweise in Kooperation mit "No-IP" eine Lösung, ok hab ich mir eingerichtet und scheint auch OK. Für VPN wird man auf OpenVPN bzw. "Tunnelblick" als MacUser verwiesen, auch gut, hab ich auch installiert und die Konfiguration geladen die man von Netgear bekommt. Aber damit klappt es nicht, VPN Verbindung funzt nicht. Ist auch irgendwie logisch, ich muss ja noch irgendwo nen Port auf machen und was weiß ich was alles noch aber wie mach ich das jetzt genau. Am Modem nehme ich an muss ich etwas einstellen, ich hab dort auch die entsprechende Option für Portforwarding aber ich hab keinen Schimmer was ich da einstellen soll und ich weiß nicht ob mein Router mit seinem DDNS Namen überhaupt hinter dem Modem gefunden werden kann ...? Ich steh da vollkommen daneben, kann mir da jemand helfen??? Vielleicht kann ich im Modem auch einfach alles diesbezügliche abdrehen (Router Funktionen) da ich die eigentlich eh nicht brauche aber keine Ahnung, ... LG
tialk Here to stay Registered: May 2002 Location: vo/stmk Posts: 3283	25.06.2016 - 08:21 NATet das Technicolor oder nur Modem(Routing)? Endweder hat das Ding dann VPN passthrough zu aktivieren oder du musst den Port freigeben/forwarden (je nachdem welches Protokoll du gewählt hast) Bearbeitet von tialk am 25.06.2016, 08:21
heroman HDTV! Registered: Aug 2004 Location: auf da Welt Posts: 2171	25.06.2016 - 08:27 Technicolor ist doch der Router/Modem in einem.. am Technicolor den Port 1194 (sofern nicht geändert bei ovpn) für die IP des Netgears freigeben
Nightstalker ctrl+alt+del Registered: Jan 2002 Location: .^. Posts: 6687	25.06.2016 - 10:05 Das genügt? Werd ich mal versuchen aber beim Portforwarding will der external ip, internal ip und noch einiges anderes wissen, da wusst ich gestern nicht so recht was er da meint ;-) intern ok, die vom Router aber extern hab ich ja keine fixe und den ddns namen kann ich nicht eingeben... Das Technicolor ist ein Modemrouter korrekt, an dem Hängt ganz normal der Netgear als eigentlicher Router weil ich ja WLan verwende. Im Technicolor ist derzeit DHCP aktiviert für LAN ebenso wie die Firewall, Wlan ist aus eh klar. LG
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15859	25.06.2016 - 10:13 Doppeltes nat also, gratuliere
Valera Here to stay Registered: Dec 2005 Location: Mint Posts: 683	25.06.2016 - 23:30 Was dir userohnenamen mit Zitat Doppeltes nat also, gratuliere erklären will, ist, dass deine Infrastruktur so aussieht: Zitat Kabelanschluss von Kabelsignal Router von Kabelsignal (Technicolor) Router Netgear R7000 NAS Das heißt du hast 2 Router hintereinander die jeweils NAT machen. Das ist mühsam und kann einige weniger lustige Effekte haben, einer davon ist VPN bringt man schwer zum Laufen. 2 Möglichkeiten: 1. Du versucht beide Router für VPN zu öffnen 2. Du beschaffst dir einen Router von Kabelsignal der auf den Bridge Modus umgestellt werden kann. Damit hast du dann tatsählcih nur ein Modem und alle Geräte die dranhängen sitzen direkt im Internet. Dh. erst dann wird dein Netgear zum eigentlichen Router der direkt mit dem Provider spricht.
Nightstalker ctrl+alt+del Registered: Jan 2002 Location: .^. Posts: 6687	25.06.2016 - 23:37 Zitat von userohnenamen Doppeltes nat also, gratuliere Danke ;-) Hilft mir aber nicht weiter. Ist ja nicht so, als würde ich das zum Spaß machen ... VPN geht mit dem Technicolor nicht und mit dem Netgear Router natürlich nur im Router Modus mit NAT. Hat jemand eine Idee ob und wie man das NAT vom Technicolor Modemrouter deaktivieren kann? ich hab nix gefunden. Wie muss ich die Geräte sinnvollerweise verbinden und einstellen? Am Modem hängt (zum Glück) nix dran, ich hab also keine 2 Netze die miteinander kommunizeiren müssen, es läuft alles über den Router. LG
Cobase Vereinsmitglied Mr. RAM Registered: Jun 2001 Location: Linz Posts: 17905	25.06.2016 - 23:48 Ich stehe vor demselben Problem. Ich werde es mit einem Raspi als VPN-Server direkt am Providermodemrouter probieren.
Nightstalker ctrl+alt+del Registered: Jan 2002 Location: .^. Posts: 6687	26.06.2016 - 00:38 Und den Router dann an den Raspi? Auch nicht die beste Lösung oder? Eigentlich müsste es ja gehen, ich versteh blos nicht was ich da für Ports forwarden soll. Ich hab 2 verschiedene in der OpenVPN stehen und dann muss ich noch für DDNY einen einrichten und das Modem verlangt immer eine "externe IP" aber die hab ich ja nicht, sonst brauch ich ja kein DDNS und das wiederum kann das Modem nur über dyndns aber nicht über NOIP ... entweder bin ich echt zu blöd oder das ist extrem dämlich. LG
Valera Here to stay Registered: Dec 2005 Location: Mint Posts: 683	26.06.2016 - 01:08 Zitat Hat jemand eine Idee ob und wie man das NAT vom Technicolor Modemrouter deaktivieren kann? ich hab nix gefunden. Weiß nicht welches Modell du hast, aber kurze google Suche ergab, dass die von Kabelsignal verwendeten Technicolor das nicht können. Dh. du rufst deinen Provider an, und willst einen Modemtausch auf ein Modem, dass den Bridge Modus beherrscht. Das ist die einfachste Variante. Portforwarding ist mühsam bei doppelten NAT. Ohne deinen Router näher zu kennen rate ich mal ins Blaue: Externe IP Adresse1: Die IP Adresse die du nach außen hin hast. Das ist natürlich weil du keine statische IP hast eher hinfällig.. würde aber trotzdem mal beobachten wie oft sich deine externe IP ändert. So mancher Kabelbetreiber hat quasistatische IP Adressen, dh. die IP ändert sich nur wenn das Gerät (=Modem) geändert wird. Externe IP Adresse2: Könnte aber auch die IP Adresse gemeint sein, von wo die VPN Verbindung kommt. Wenn du eine fixe Gegenstelle hast, also eine Site-to-Site Verbindung dann ist das die der Gegenstelle. Wenn es eine "Road Warrior" Konfiguration ist, also du willst dich von überall einloggen können (ich nehme an, darum geht es), dann müßtest du dort die Möglichkeite haben ALLE IP Adressen, oder EXTERNES Interface oder was weiß ich einzustellen. Just my 2 cents. Bearbeitet von Valera am 26.06.2016, 01:09
Nightstalker ctrl+alt+del Registered: Jan 2002 Location: .^. Posts: 6687	26.06.2016 - 01:16 Hi, ja das werde ich auf jeden Fall mal probieren (also anrufen ...) dachte aber es müsste auch so iwie gehen. So sieht die Eingabe für das Forwarding aus:
Cobase Vereinsmitglied Mr. RAM Registered: Jun 2001 Location: Linz Posts: 17905	26.06.2016 - 01:58 Lokale und externe Ports sind bei OpenVPN standardmäßig 1194 UDP. Lokale und externe IP sind von deiner Konfiguration abhängig. Zitat von Nightstalker Und den Router dann an den Raspi? Um Himmels Willen NEIN! Mein Router und der Raspi sollen PARALLEL am A1 Modemrouter hängen. Bearbeitet von Cobase am 26.06.2016, 02:00
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6545	26.06.2016 - 09:41 Hinzu zur Double NAT - Portforwarding Geschichte kommt die Problematik, dass man einen Dualstack Lite Anschluss haben kann, wenn man keinen UPC Business Tarif hat. Das kann man beim Netzwerk-Status vom Technicolor erkennen. Wenn man einen DS-lite Anschluss hat, kann man keinen über IPv4 erreichbaren VPN von außen zugänglich machen, weil das vom Provider so nicht vorgesehen ist. Einzige Optionen sind einen Business Tarif zu nehmen, oder eine LTE-Kiste zwecks alternativer Einwahl per dyndns zu realisieren. Die dritte technische Möglichkeit ist ein IPv6 VPN zu basteln, was aber nicht mehr so leicht umzusetzen bzw. zu betreiben ist. Bearbeitet von mr.nice. am 26.06.2016, 10:00
spunz Elder Elder Registered: Aug 2000 Location: achse des bösen Posts: 11287	26.06.2016 - 09:57 Kabsi ist diesbezüglich noch nicht so weit.
Nightstalker ctrl+alt+del Registered: Jan 2002 Location: .^. Posts: 6687	26.06.2016 - 14:29 Ich glaub ich muss meine Frage umformulieren ... Wie schaff ich es nun, über einen halbwegs sicheren Zugang, von außen auf mein NAS zu kommen?! Scheinbar klappt das alles nicht so wie gedacht. Bei mir stehen in der VPN Config auch andere Ports, irgend was mit 1...73 und eine externe IP hab ich wie gesagt nicht, nur DDNS von NoIP ... Beim Modem kann man wohl einen DDNS eingeben aber als Anbieter ist da nur DynDNS.org angegeben... Aaaaahhhh LG

VPN Verbindung zu Router hinter Modem

Forum Index > Hardware > Peripherie > Netzwerktechnik

Nightstalker

tialk

heroman

Nightstalker

userohnenamen

Valera

Nightstalker

Cobase

Nightstalker

Valera

Nightstalker

Cobase

mr.nice.

spunz

Nightstalker