VPN Verbindung zu Router hinter Modem

Seite 1 von 3 - Forum: Netzwerktechnik auf overclockers.at

URL: https://www.overclockers.at/netzwerktechnik/vpn-verbindung-zu-router-hinter-modem_246507/page_1 - zur Vollversion wechseln!

Nightstalker schrieb am 25.06.2016 um 01:44

Hi,

ich hab hier eine etwas (für mich) komplexe Anforderung bei der ich Hilfe brauchen könnte.

Folgende Infrastruktur:
Kabelanschluss von Kabelsignal
Modem von Kabelsignal (Technicolor)
(WLAN)Router Netgear R7000
NAS

So nun habe ich folgendes Problem oder Wunsch, ich möchte gerne über VPN auf mein NAS zugreifen, das ist ja erst mal nicht so abwegig. Nun hab ich keine statische IP aber dafür bietet Netgear ja netterweise in Kooperation mit "No-IP" eine Lösung, ok hab ich mir eingerichtet und scheint auch OK.

Für VPN wird man auf OpenVPN bzw. "Tunnelblick" als MacUser verwiesen, auch gut, hab ich auch installiert und die Konfiguration geladen die man von Netgear bekommt.

Aber damit klappt es nicht, VPN Verbindung funzt nicht. Ist auch irgendwie logisch, ich muss ja noch irgendwo nen Port auf machen und was weiß ich was alles noch aber wie mach ich das jetzt genau. Am Modem nehme ich an muss ich etwas einstellen, ich hab dort auch die entsprechende Option für Portforwarding aber ich hab keinen Schimmer was ich da einstellen soll und ich weiß nicht ob mein Router mit seinem DDNS Namen überhaupt hinter dem Modem gefunden werden kann ...?

Ich steh da vollkommen daneben, kann mir da jemand helfen??? Vielleicht kann ich im Modem auch einfach alles diesbezügliche abdrehen (Router Funktionen) da ich die eigentlich eh nicht brauche aber keine Ahnung, ...

LG

tialk schrieb am 25.06.2016 um 08:21

NATet das Technicolor oder nur Modem(Routing)?

Endweder hat das Ding dann VPN passthrough zu aktivieren oder du musst den Port freigeben/forwarden (je nachdem welches Protokoll du gewählt hast)

heroman schrieb am 25.06.2016 um 08:27

Technicolor ist doch der Router/Modem in einem..
am Technicolor den Port 1194 (sofern nicht geändert bei ovpn) für die IP des Netgears freigeben

Nightstalker schrieb am 25.06.2016 um 10:05

Das genügt? Werd ich mal versuchen aber beim Portforwarding will der external ip, internal ip und noch einiges anderes wissen, da wusst ich gestern nicht so recht was er da meint ;-) intern ok, die vom Router aber extern hab ich ja keine fixe und den ddns namen kann ich nicht eingeben...

Das Technicolor ist ein Modemrouter korrekt, an dem Hängt ganz normal der Netgear als eigentlicher Router weil ich ja WLan verwende.

Im Technicolor ist derzeit DHCP aktiviert für LAN ebenso wie die Firewall, Wlan ist aus eh klar.

LG

userohnenamen schrieb am 25.06.2016 um 10:13

Doppeltes nat also, gratuliere

Valera schrieb am 25.06.2016 um 23:30

Was dir userohnenamen mit

Zitat
Doppeltes nat also, gratuliere

erklären will, ist, dass deine Infrastruktur so aussieht:

Zitat
Kabelanschluss von Kabelsignal
Router von Kabelsignal (Technicolor)
Router Netgear R7000
NAS

Das heißt du hast 2 Router hintereinander die jeweils NAT machen. Das ist mühsam und kann einige weniger lustige Effekte haben, einer davon ist VPN bringt man schwer zum Laufen.

2 Möglichkeiten:
1. Du versucht beide Router für VPN zu öffnen
2. Du beschaffst dir einen Router von Kabelsignal der auf den Bridge Modus umgestellt werden kann. Damit hast du dann tatsählcih nur ein Modem und alle Geräte die dranhängen sitzen direkt im Internet. Dh. erst dann wird dein Netgear zum eigentlichen Router der direkt mit dem Provider spricht.

Nightstalker schrieb am 25.06.2016 um 23:37

Zitat von userohnenamen
Doppeltes nat also, gratuliere

Danke ;-) Hilft mir aber nicht weiter.

Ist ja nicht so, als würde ich das zum Spaß machen ... VPN geht mit dem Technicolor nicht und mit dem Netgear Router natürlich nur im Router Modus mit NAT.

Hat jemand eine Idee ob und wie man das NAT vom Technicolor Modemrouter deaktivieren kann? ich hab nix gefunden.

Wie muss ich die Geräte sinnvollerweise verbinden und einstellen? Am Modem hängt (zum Glück) nix dran, ich hab also keine 2 Netze die miteinander kommunizeiren müssen, es läuft alles über den Router.

LG

Cobase schrieb am 25.06.2016 um 23:48

Ich stehe vor demselben Problem. Ich werde es mit einem Raspi als VPN-Server direkt am Providermodemrouter probieren.

Nightstalker schrieb am 26.06.2016 um 00:38

Und den Router dann an den Raspi? Auch nicht die beste Lösung oder?

Eigentlich müsste es ja gehen, ich versteh blos nicht was ich da für Ports forwarden soll. Ich hab 2 verschiedene in der OpenVPN stehen und dann muss ich noch für DDNY einen einrichten und das Modem verlangt immer eine "externe IP" aber die hab ich ja nicht, sonst brauch ich ja kein DDNS und das wiederum kann das Modem nur über dyndns aber nicht über NOIP ... entweder bin ich echt zu blöd oder das ist extrem dämlich.

LG

Valera schrieb am 26.06.2016 um 01:08

Zitat
Hat jemand eine Idee ob und wie man das NAT vom Technicolor Modemrouter deaktivieren kann? ich hab nix gefunden.

Weiß nicht welches Modell du hast, aber kurze google Suche ergab, dass die von Kabelsignal verwendeten Technicolor das nicht können.

Dh. du rufst deinen Provider an, und willst einen Modemtausch auf ein Modem, dass den Bridge Modus beherrscht.

Das ist die einfachste Variante. Portforwarding ist mühsam bei doppelten NAT. Ohne deinen Router näher zu kennen rate ich mal ins Blaue:

Externe IP Adresse1: Die IP Adresse die du nach außen hin hast. Das ist natürlich weil du keine statische IP hast eher hinfällig.. würde aber trotzdem mal beobachten wie oft sich deine externe IP ändert. So mancher Kabelbetreiber hat quasistatische IP Adressen, dh. die IP ändert sich nur wenn das Gerät (=Modem) geändert wird.
Externe IP Adresse2: Könnte aber auch die IP Adresse gemeint sein, von wo die VPN Verbindung kommt. Wenn du eine fixe Gegenstelle hast, also eine Site-to-Site Verbindung dann ist das die der Gegenstelle. Wenn es eine "Road Warrior" Konfiguration ist, also du willst dich von überall einloggen können (ich nehme an, darum geht es), dann müßtest du dort die Möglichkeite haben ALLE IP Adressen, oder EXTERNES Interface oder was weiß ich einzustellen.

Just my 2 cents.

Nightstalker schrieb am 26.06.2016 um 01:16

Hi,

ja das werde ich auf jeden Fall mal probieren (also anrufen ...) dachte aber es müsste auch so iwie gehen.

So sieht die Eingabe für das Forwarding aus:

Cobase schrieb am 26.06.2016 um 01:58

Lokale und externe Ports sind bei OpenVPN standardmäßig 1194 UDP. Lokale und externe IP sind von deiner Konfiguration abhängig.

Zitat von Nightstalker
Und den Router dann an den Raspi?

Um Himmels Willen NEIN!

Mein Router und der Raspi sollen PARALLEL am A1 Modemrouter hängen.

mr.nice. schrieb am 26.06.2016 um 09:41

Hinzu zur Double NAT - Portforwarding Geschichte kommt die Problematik, dass man einen Dualstack Lite Anschluss haben kann, wenn man keinen UPC Business Tarif hat. Das kann man beim Netzwerk-Status vom Technicolor erkennen.

Wenn man einen DS-lite Anschluss hat, kann man keinen über IPv4 erreichbaren VPN von außen zugänglich machen, weil das vom Provider so nicht vorgesehen ist.

Einzige Optionen sind einen Business Tarif zu nehmen, oder eine LTE-Kiste zwecks alternativer Einwahl per dyndns zu realisieren. Die dritte technische Möglichkeit ist ein IPv6 VPN zu basteln, was aber nicht mehr so leicht umzusetzen bzw. zu betreiben ist.

spunz schrieb am 26.06.2016 um 09:57

Kabsi ist diesbezüglich noch nicht so weit.

Nightstalker schrieb am 26.06.2016 um 14:29

Ich glaub ich muss meine Frage umformulieren ...

Wie schaff ich es nun, über einen halbwegs sicheren Zugang, von außen auf mein NAS zu kommen?!

Scheinbar klappt das alles nicht so wie gedacht.

Bei mir stehen in der VPN Config auch andere Ports, irgend was mit 1...73 und eine externe IP hab ich wie gesagt nicht, nur DDNS von NoIP ...

Beim Modem kann man wohl einen DDNS eingeben aber als Anbieter ist da nur DynDNS.org angegeben... Aaaaahhhh

LG