Antworten

Re: FVS336Gv3 Zugang von außen und Verbindung mit JGS524E

csma
Aspirant

FVS336Gv3 Zugang von außen und Verbindung mit JGS524E

Hallo zusammen,

 

ich habe folgendes Szenrario:

 

Internetzugang erfolgt über eine FritzBox Cable, IP 10.1.0.1

Daran hängt der FVS336Gv3, WAN-IP 10.1.0.2, LAN-IP 10.0.0.1

Vom FVS336Gv3 geht es an einen JGS524E, IP 10.0.0.2

Vom ersten JGS524E geht es an einen zweiten JGS524E, IP 10.0.0.3

 

An den beiden JGS524E hängen dann die verschiedenen LAN-Geräte, darunter auch 2 Apple AirPort Basisstationen (IP 10.0.0.5 und 10.0.0.6).

 

Soweit funktioniert das auch alles. Jetzt habe ich 2 Probleme und hoffe, dass mir jemand sagen kann, was ich machen muss, um das so hinzubekommen:

 

1. Wenn ich mich per VPN auf die FritzBox verbinde, kann ich nicht auf die WAN-Oberfläche des FVS336Gv3 (IP 10.1.0.1) oder auf die Geräte im Netz 10.0.0.x zugreifen. Auch nicht auf die LAN-IP 10.0.0.1 des FVS336Gv3 zugreifen. Von zuhause geht es. 

 

2. Ich habe den beiden JGS524E anhand der MAC-Adressen eine feste IP im FVS336Gv3 zugewiesen. Allerdings kann ich nicht auf die Web-Oberflächen zugreifen. Kann die IPs auch nicht pingen.

 

Hoffe, dass das verständlich erklärt ist und dass mir jemand helfen kann.

 

Gruß & Danke,

Christian 

Model: FVS336Gv3|ProSafe dual WAN gigabit firewall with SSL and IPSec VPN
Nachricht 1 von 8
Slas
NETGEAR Employee Retired

Re: FVS336Gv3 Zugang von außen und Verbindung mit JGS524E

Hallo @csma,

 

und willkommen in der NETGEAR Community.

 

Ich denke die beste Lösung wäre, eine VPN Verbindung direkt mit FVS336Gv3 Router herzustellen.  Dann muss die VPN Konfiguration auf der Fritzbox deaktiviert werden. Für diese Zwecke müsste die Fritzbox als reines Modem funktionieren um die Double NAT Probleme zu vermeiden. Sonst wird eine Portweiterleitung der IPsec Ports 500 und 4500 UDP in die Richtung der WAN-IP von FVS336Gv3 erforderliche sein.

 

Zusätzliche Informationen:

 

Index of VPN documentation

 

Grüße
Slas
NETGEAR Community Team

Nachricht 2 von 8
csma
Aspirant

Re: FVS336Gv3 Zugang von außen und Verbindung mit JGS524E

Hallo Slas, danke für die Info. 

 

Weißt du zufällig auch, ob das mit der FritzBox Cable auch so funktioniert? Reines Modem hört sich ja nach PPPoE an, was aber bei Cable ja nicht geht, da ich keine Zugangsdaten haben. 

 

Danke Christian 

Nachricht 3 von 8
Slas
NETGEAR Employee Retired

Re: FVS336Gv3 Zugang von außen und Verbindung mit JGS524E

Hallo @csma,

 

also aktuell blockiert die Netgear Firewall und NAT die Verbindung. Du könntest einen Workaround ausprobieren. Also das klassische Routing auf dem FVS336Gv3 aktivieren, die Firewall für den eingehenden Datenverkehr auf das LAN öffnen (ANY Regel). Dann  wird noch eine zusätzliche VPN Policy auf der FritzBox in Richtung FVS336Gv3 LAN Subnetz nötig sein.

 

Grüße
Slas
NETGEAR Community Team

Nachricht 4 von 8
csma
Aspirant

Re: FVS336Gv3 Zugang von außen und Verbindung mit JGS524E

Hallo @Slas,

 

danke für deine Info. Ich blicke aber leider noch nicht ganz durch.

Habe jetzt entsprechende VPN-Policies angelegt, komme aber von außen nicht an den FVS336Gv3 ran - Fehler ist immer "Server antwortet nicht". 

 

Ich habe erst 500 UDP und 4500 UDP in der FritzBox an die IP des FVS336Gv3 geleitet, dann, da es nicht funktioniert hat, die IP des FVS336Gv3 als Exposed-Host freigegeben.

Außerdem habe ich das IP Netz 10.0.0.0 in der FritzBox an die IP des FVS336Gv3 gebunden. (Ich denke das war mit "Dann  wird noch eine zusätzliche VPN Policy auf der FritzBox in Richtung FVS336Gv3 LAN Subnetz nötig sein." gemeint. 

 

Und könntest du mir bitte noch erklären, wie ich das hier anstellen kann: 

Also das klassische Routing auf dem FVS336Gv3 aktivieren, die Firewall für den eingehenden Datenverkehr auf das LAN öffnen (ANY Regel). 

Und muss das wirklich sein, dass ich auf dem FVS336Gv3 alles freigeben muss, um von außen per VPN draufzukommen - oder habe ich das ANY falsch interpretiert? Möchte natürlich auch noch irgendwo einen Schutz haben.

 

Danke csma

Nachricht 5 von 8
Slas
NETGEAR Employee Retired

Re: FVS336Gv3 Zugang von außen und Verbindung mit JGS524E

Hallo @csma,

 

die aktuelle VPN Verbindung ermöglicht Dir den Zugriff in das LAN Netzwerk von dem Fritzbox Router. Könntest Du überprüfen, ob es mit Deiner Fritzbox möglich ist eine zusätzliche Richtlinie für das vorhandene VPN zu erstellen? Um eine weitere VPN-Richtlinie (VPN Policy) hinzuzufügen, könntest Du Dich an Support von dem Internetdienstanbieter wenden oder im AVM-Forum nachfragen.

 

Bezüglich Classical Routing von dem FVS336Gv3. Schalte den NAT-Modus unter Network Configuration  - WAN Settings - WAN Mode auf Classical Routing um. Dann gebe den Computern im LAN statische IP-Adressen aus dem Fritzbox-Subnetz. Wenn die Kommunikation immer noch nicht funktioniert, füge die Firewall-Regeln (Inbound Service: Service Any - Allow always) hinzu.

 

Grüße
Slas
NETGEAR Community Team

Nachricht 6 von 8
csma
Aspirant

Re: FVS336Gv3 Zugang von außen und Verbindung mit JGS524E

Hi Slas,

 


Slas schrieb:

 

die aktuelle VPN Verbindung ermöglicht Dir den Zugriff in das LAN Netzwerk von dem Fritzbox Router. Könntest Du überprüfen, ob es mit Deiner Fritzbox möglich ist eine zusätzliche Richtlinie für das vorhandene VPN zu erstellen? 


Also das VPN habe ich - so wie du gesagt hast - auf der Fritzbox komplett deaktiviert.

 

Ich habe dort die beiden Port-Weiterleitungen für 500 UDP und 4500 UDP auf die WAN IP des Netgear (10.1.0.2) gesetzt und dann später den Netgear als Exposed Host freigegeben. 

 

Demnach müssten ja alle Anfragen, die von außen kommen, an das WAN Interface des Netgear geleitet werden. Gibt es irgendwo Logfiles o.ä. beim Netgear, über die ich sehen kann, dass die Anfrage überhaupt dort ankommt? 

 

Außerdem habe ich in der Fritzbox (IP-Bereich 10.1.0.0) ein IP-Routing auf den IP-Bereich des Netgear (10.0.0.0) eingegeben. Als Gateway habe ich die IP, die der Netgear bei der Fritzbox hat (10.1.0.2) angegeben. 

 

Jetzt habe ich grad mal bei AVM geschaut, dort steht, dass ich dieses Routing auch auf der Gegenseite einrichten muss (also, wenn ich das richtig verstehe, dass der Netgear auch das IP-Netz der Fritzbox kennt). Das habe ich bisher nicht gemacht - vielleicht ist das der Fehler? Kannst du mir sagen, wie ich das im Netgear einrichten kann? 

 

Gibt es irgendwo Logfiles o.ä. beim Netgear, über die ich sehen kann, dass die Anfrage überhaupt dort ankommt? 

 

Den Computern will ich eigentlich keine IP-Adressen aus dem Fritzbox-Subnetz geben - ich möchte den DHCP des Netgear nutzen und die Fritzbox wirklich nur als Modem (ich weiß, PPOE in der Fritzbox und die Zugangsdaten in den Netgear wäre da am besten, da es sich aber um eine Kabel-Fritzbox handelt, geht das leider nicht). 

 

Wenn ich irgendwo sehen könnte, ob und wie die Anfragen überhaupt ankommen, wäre es vielleicht einfacher nachzuvollziehen. Vielleicht hast du ja einen Tip für mich.

 

Wie immer danke, csma

 

Nachricht 7 von 8
Slas
NETGEAR Employee Retired

Re: FVS336Gv3 Zugang von außen und Verbindung mit JGS524E

Hallo @csma,

 

ich Denke ich sollte hier noch etwas erklären.

 

Wir deaktivieren VPN auf der FritzBox nur wenn wir es mit Double NAT zu tun haben und eine IPSec VPN Verbindung direkt zu FVS336Gv3 herstellen wollen. Die FritzBox Firewall muss eine solche VPN Verbindung zulassen und deshalb ist es notwendig die Ports 500 und 4500 UDP zu öffnen. Für eine Client to Box Verbindung zum FVS336Gv3 können VPN Clients wie VPNG01L / VPNG05L, eine Lite-Version die zusammen mit Prosafe Router mitgeliefert wird.  Der Router FVS336Gv3 selbst muss auch entsprechend für die VPN Verbindung konfiguriert werden. In meiner ersten Antwort habe ich Links für die Netgear VPN Anleitungen angehängt. 

 

Wenn wir somit eine VPN auf einem Router wie FVS336Gv3 konfigurieren, kann für die vorhandene VPN IKE-Richtlinie eine weitere VPN-Richtlinie (VPN-Policy) hinzugefügt werden. Als Ergebnis erhält der Router Informationen über das nächste Netzwerk, das über den VPN-Tunnel erreicht werden soll.

Wenn das VPN in der FritzBox  die oben genannte Möglichkeit nicht bietet, dann wird es leider nicht möglich sein das Szenario mit der zweiten VPN-Richtlinie einzusetzen. Ohne diese zusätzliche VPN Regel wird der FritzBox  Router die Pakete über den VPN Tunnel an den Netgear Router nicht weiterleiten.  Darüber hinaus wird der Classical Routing-Modus auf dem FVS336Gv3 auch nicht mehr benötigt.

 

Könntest Du die Unterlagen von dem FVS336Gv3  nach dem VPN Lite Client suchen? Wenn Du den Schlüssel für VPN Lite findest, können wir die VPN-Konfiguration zum FVS336Gv3 ausprobieren.

 

P.S.

FVS336Gv3 hat einige Log Optionen unter Monitoring  -- Firewall Logs & E-Mail. Es gibt auch die Möglichkeit von Packet Capture unter Monitoring  -- Diagnostics. 

 

Grüße
Slas
NETGEAR Community Team

Nachricht 8 von 8
Diskussionsstatistiken
  • 7 Antworten
  • 4545 Aufrufe
  • 0 Kudos
  • 2 in Unterhaltung