VPN über feste IPv4-Adresse

Status
Für weitere Antworten geschlossen.

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Moin zusammen,

nachdem ich in den letzten Jahren relativ sporadisch meine Synology über eine Fritzbox und DynDNS mit OpenVPN genutzt hab möchte ich das Ganze nun deutlich verbessern. Hintergrund ist folgender: Ich möchte dieses Jahr vom Ausland aus ein paar Wochen arbeiten und von dort aus dann auf meine Synology zugreifen. Ich arbeite im Büro quasi immer direkt auf dem Server mit den diversen Adobe-Programmen. Das läuft auch perfekt. Mein Ziel ist es, dass ich mich vom Ausland (EU-Ausland) und auch von Unterwegs auf die Synology einloggen und von dort dann ganz "normal" arbeiten bzw. das Laufwerk ins Betriebssystem einbinden kann. Ist das überhaupt möglich? Hoch- und Runterladen von Dateien über iPad und iPhone hat auch mit der DynDNS und der jeweiligen App bisher natürlich funktioniert - aber wenn man sich z.B. über Windows oder auch Mac in einem anderen WLAN eingeloggt hat war die Verbindung realtiv langsam und instabil.

Da ich nun auch meinen Internettarif in einen Businesstarif gewandelt hab, hab ich eine feste iPv4-Adresse bekommen. Nach meinem Verständnis ersetzt jetzt die iPv4-Adresse die DynDNS und alles läuft wie bisher oder? Da müsste ich theoretisch auch noch Logindaten bekommen oder? Sry für die doofen Fragen - aber mein Anbieter hat mir da leider keine infos geben können was die Zugangsdaten angeht. Die feste IP kann ich ja im Menü der Fritzbox auslesen.

Meine Ausrüstung sieht wie folgt aus:
DS918+ mit 16GB Ram und CAT 8 Verkabelung
Fritzbox 6591 Cable mit fester IPv4-Adresse
Mac Mini
iPad/iPhone
Buiniess Mobilfunkvertrag bei T-Mobile (EU-Flat) mit Huawei E5885LS-93a mobilem Router

Ich wäre da auch ein paar Euro investieren wenn es dafür eine praktiable Lösung gibt - das ist ja für mein Unternehmen.

Vielleicht hat der ein oder andere ja auch schon sowas gebastelt und hat da eine Empfehlung für mich:)

Merci und viele Grüße

Chris
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Das geht natürlich mit der Fritz, ist auch recht einfach einzurichten. Stellt sich die Frage wie performant das sein soll, denn das ist die Fritz nicht.
Ich würde erst mal mit der vorhandenen Konfiguration einen Test fahren.
Recht einfach hier beschrieben: https://www.heise.de/tipps-tricks/VPN-auf-einer-FritzBox-einrichten-3978124.html
Wenn dir dann die Datenübertragung zu langsam ist müsstest du statt der Fritz einen richtigen VPN Router benutzen.
 

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
"Wenn dir dann die Datenübertragung zu langsam ist müsstest du statt der Fritz einen richtigen VPN Router benutzen"

...ah perfekt. Wusste bisher nicht, dass es dafür sogar spezielle Router gibt. Aber den müsste ich ja theoretisch auch hinter die Fritzbox packen können oder? Wir haben zwar Routerfreiheit - aber bis allein die Fritzbox von Unitymedia (jetzt Vodafone) freigeschalten war, wars ein Drama...

Einrichten dürfte kein Problem sein - da muss ich nur schauen, ob die feste IP auch Zugangsdaten bekommt (laut Vodafone) kommt wohl was per Post?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
wieistmeineip.de zeigt dir deine IP an.
Auch bei Unitymedia, dann wird es etwas komplzierter was Router angeht. Man kann deine Fritz so einstellen, dass man dahinter einen eigenen Router betrieben kann, ist aber eine Crux von der selbst AVM abrät. Die einzige Alternative die bei Unity funktioniert ist ein TC4400 Modem, dahinter müsste dann der VPN Router.
Aber teste erst mal deine jetzige Konfiguration, vielleicht reicht sie dir ja.
 

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Einwandfrei - läuft alles schon perfekt:) Also wenn Ichs jetzt richtig verstanden hab, müsste ich die Fritzbox zurück geben und mir von UM ein Modem schicken lassen. Das TC4400 wird dann an die Kabeldose gepackt und der VPN-Router übernimmt dann die Aufgaben der Fritzbox im Netzwerk oder? Dh auch WLAN und Telefon müsste ich über den VPN-Router laufen lassen oder? Packt das TC4400 auch den Gigabit-Anschluss?
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
243
Punkte
63
Unitymedia versetzt die Fritzbox auf Wunsch in den Bridge-Modus (kann der Kunde selbst nicht) - dann fungiert die Fritzbox als dummes Kabelmodem und man kann dahinter dann einen mehr oder minder professionellen VPN-Router packen, bei mir zb. einen Draytek-Router. Funktioniert tadellos. Man muss den Bridge-Modus als Business-Kunde eben nur (kostenlos) beauftragen. Vorteil einer solchen Bridge-Lösung: Die Telefonie-Funktionen der FB bleiben erhalten.
 
Zuletzt bearbeitet:

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Ah nice - danke für den Hinweis. Ich hoff, dass das im Businesstarif mit der festen ip auch machbar ist. Aber dann wärs ja easy...Läuft bei Dir dann das Telefon auch über die FB oder ist das im Bridgemodus auch tot? Packst Du den VPN-Router dann ganz normal über einen der LAN-Ports an die FB - ich dachte da muss immer ein WAN-Anschluss hin? Priorisiert bleibt dann ja wahrscheinlich die FB oder. War das Teil dann bei Dir direkt nur noch im Bridge-Modus oder kann man da dann selber hin und her wechseln - muss nur schauen, dass ich bis dahin sonst schon einen neuen Router da hab haha;)

Ich danke euch - so langsam kommt viel Licht ins Dunkel;)
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
243
Punkte
63
- ich habe ebenfalls eine feste IP von Unitymedia, gar kein Problem als Businesskunde
- Telefon / FB-Anrufbeantworter etc. läuft weiter über die FB, auch im Bridge-Modus
- Verkabelung: Vom Lan-Anschluss 1 der FB in den Wan-Anschluss des Routers
- einmal von Unitymedia in den Bridge-Modus versetzt bleibt es so, weil der Kunde selbst keine Möglichkeit hat, den Bridge-Modus entweder anzustossen oder wieder zu entfernen
- man erhält von UM zwei öffentliche IP-Adressen: Eine, um von aussen auf die FB zu kommen (wenn man dies will), die andere, um dem Router oder dahinterliegende Server anzusprechen
- alles kein Hexenwerk, funktioniert prima, und durch die gebridgde FB gibt es auch kein doppeltes NAT mehr.
 

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Klingt machbar, danke :) dann schau ich mal nach einem brauchbaren Router. Die feste Ip bleibt dann aber trotzdem bestehen oder? Also ich melde mich über VPN und der ip an, die fb „leitet“ mich auf den VPN Router weiter und der übernimmt dann den Rest im Netzwerk oder? Theoretisch braucht der VPN Router dann auch keine speziellen Zugangsdaten von UM oder?
 

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Moin moin,

nachdem ich eben mit UM telefoniert hab, geht der Bridge-Modus in BaWü wohl nicht. Alternativ würde ich aber eine feste 30er-IP bekommen mit der ich hinter die FB einen Router hängen kann...Bevor ich jetzt irgendwas umstellen lasse: Ist das korrekt? Wird dann der Zugang von aussen von der FB einfach an den VPN-Router weiter geleitet?
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
243
Punkte
63
Finde ich etwas merkwürdig von UM, diese Aussage, denn warum soll der Bridge-Modus in NRW gehen, in BaWü aber nicht. Es ist ja nur eine versteckte Funktion in der FB-Software, die nur der Provider freischalten kann, der Kunde jedoch nicht- aber die die FB eigentlich mitbringt... Und das hat mit geographischen Landesgrenzen wenig bis nichts zu tun. Nun ja, du könntest die FB auch so lassen, klemmst den VPN-Router wie beschrieben an, und richtest ihn in der FB als Exposed Host ein, dh, alles wird von der FB auf ihn durchgeleitet. Dann eben die Firewall im neuen Router einstellen (zb Zugriffe aus China verbieten oder ähnliches). UM-Zugangsdaten für den Router werden nicht benötigt. Dann hast Du eine sog. Routerkaskade. Nachteil ist dabei doppeltes NAT, was man aber in der Praxis kaum bemerken dürfte.
Mit einer solchen Konstruktion wird dann eine VPN-Verbindung zum neuen Router hergestellt. Bei mir entweder vom MAC, der ja von Hause aus eine VPN-Verbindung mitbringt (ohne spezielle Software ), oder besonders einfach/elegant, als stehende/ständige Lan-Lan-VPN- Verbindung zwischen zB. einer entfernten Fritzbox/Router und Deinem neuen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Also um hier mal einiges klar zu stellen:
Keine der aktuellen Fritzboxen kann als reines Modem betrieben werden. Set der Firmware 7 geht das nicht mehr.
Die Verwendung von PPPOE in der Fritz ist eine Möglichkeit, allerdings rät selbst AVM von der Verwendung ab. Die hier immer wieder zu lesende Aussage das es geht stimmt, schaut man es sich aber genauer an sind Latenzprobleme und auch Aussetzer bei manchen Datenübertragungen zu beobachten. In diesem Fall wichtig; Auch VPN kann da zu Aussetzern führen (SSL VPN!)
Die einzig vernünftige Lösung bei Unitymedia ist der Selbstkauf eines TC4400 und eines VPN Routers. Die Fritzbox kann man dann in die Ecke stellen.
Unitymedia schaltet das TC Modem dann frei, dann funktioniert die Fritz nicht mehr!
Als günstigen VPN Router mit wirklich gutemn Durchsatz ist meine Empfehlung immer Draytek. z.b: https://www.draytek.de/vigor2133-serie.html
1. haben sie einen super Support in D
2. sind sie günstig
3. sind sie schnell
4. wird der sonst kostenpflichtige VPN Client für alle Betriebssysteme und Smartphones umsonst zur Verfügung gestellt.
5. unterstützen SSL VPN
SSL-VPN ist deswegen wichtig, da im Ausland, in Hotels, öffentlichen Hotspots die typischen VPN Ports gesperrt sind. Das war es dann. SSL VPN geht über den HTTPS Port und funktioniert damit überall auf der Welt.
Das heisst auch, dass die VPN Verbindung die die Fritz zur Verfügung stellt aus öffentlichen WLANs zu 95% nicht funktionieren wird!

@TE: Wenn du auf einen VPN Router wechseln wilst würde ich trotzdem erst mal step by step vorgehen:
Die Fritz in den PPPOE Mode schalten und dahinter den VPN Router.
Wenn das dann läuft die Fritz gegen ein TC4400 tauschen. Die Fritz wandert dann in das LAN, alle LAN Funktionen werden deaktiviert und sie läuft nur noch als reine Telefonanlage. Das ist der professionelle und super gut funktionierende Aufbau!
 
Zuletzt bearbeitet:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
............. Dann hast Du eine sog. Routerkaskade. Nachteil ist dabei doppeltes NAT, was man aber in der Praxis kaum bemerken dürfte.
..........
Das hast du schon öfters angemerkt aber stimmt nicht! Insbesondere bei VPN, Übertragung grosser Dateien und auch besonders Portweiterleitungen kommt es da immer wieder zu nicht nachvollziehbaren Problemen.
Routerkaskaden sind möglichst zu vermeiden!
Nur weil es im ersten Moment funktioniert heisst das nicht, dass es gut ist!
 

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Merci für die ausführliche Beschreibung...das wird dann doch ein etwas größerer Umbau haha. Aber generell bestell ich jetzt erstmal den VPN-Router und pack den ins Netzwerk. Die PPPOE hab ich gestern glaub ich versehentlich für ein paar Minuten für meine Syno aktiviert - da war meine Benutzeroberfläche über die feste IP erreichbar. Das stell ich dann einfach für den VPN-Router ein und hinter den kommen dann die anderen Geräte oder?

Ich hab mittlerweile mal Lancom und auch Draytek durch - generell müsste ich bei der 2133er Serie auf OpenVPN verzichten...oder können das mittlerweile alle? Bei Lancom ist das ja nicht unterstützt.

Blöde Frage: Für WLAN brauch ich dann bei dem Setting (und später auch für den TC4400) noch einen Accesspoint wenns der VPN-Router nicht unterstützt oder? Ein Internet-Telefon von sipgate müsste ja unabhängig vom Router sein - das hängt ja nur am LAN.

Merci und viele Grüße

Chris
 

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Sry wer lesen kann...ich seh gerade das die 2133er-Serie sowohl WLAN als auch OpenVPN packt:)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Die Reihenfolge ist Fritzbox mit PPPoE > VPN Router > deine LAN Geräte
Im VPN Router nutzt du dann die Firewall und richtest die VPN Zugänge ein.
Wenn es besonders gut werden soll aktivierst du in der Syno den Radius-Server für den Router, dann meldest du dich im VPN mit deinen Nutzerdaten der Syno an. Liest sich kompliziert, ist aber total einfach.
Tipps zu Einstellungen des Routers gibt es reichlich: https://www.draytek.com/support/knowledge-base/ oder https://www.draytek.de/faq-.html
 

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Wunderbar - hab eben mal mit der UM-Technik telefoniert. Die meinten auch, dass der Bridgemodus für die feste IP mit PPPoE ersetz wurde und ich das wie von Dir beschrieben machen soll. Hab mal das Draytek-Teil bestellt und auch den TC4400...sobald beides da ist teste ich PPPoE und schau ob ich mit dem Draytek klar komm und danach kommt die FB weg. Hoff mal, dass das so easy wie alles auf der Syno ist;) OpenVPN wird ja unabhängig von allem sein oder? SSL-VPN muss ich noch schauen - aber das bekomm ich zum Laufen.

Innerhalb von meinem Netzwerk im Büro melde ich mich aber dann ohne VPN an oder muss ich dann ab sofort auch im Büro selber über VPN an die Gerät?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
bei korrekter Konfiguration brauchst du das zu hause natürlich nicht. Alles bleibt dort wie gehabt. Nach Einwahl via ssl-VPN-Tunnel ist es dann genau wie im eigenen Netz. Vorteil am Rande: in den Apps reicht dann ja eine Konfiguration, da du immer mit denselben Adressangaben arbeiten kannst (alles wie im eigenen Netz)...
 

chris_1401

Benutzer
Mitglied seit
08. Nov 2019
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Perfekt, ich danke euch. Denke das müsste ich hinbekommen. Hardware komme ggfs auch noch die Woche und dann gehts los:) Eine letzte Frage hab ich noch - dann weiß ich soweit alles: Den VPN-Server konfiguriere ich auf dem VPN-Router oder? Dann ist die Konfiguration auf der Synology ja eig. nicht notwendig oder? Oder richtige ich das analog der FB bisher ein und öffne auf dem VPN-Router dann wieder nur den Port für die Verbindung?

Auf jeden Fall noch mal vielen Dank! Ihr habt mir sehr weiter geholfen:)!
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
na, das hört sich doch nach nem Plan an! Cool...
Natürlich (?) richtest du den VPN Zugang auf dem VPN Router ein (ein Router, der auch VPN routen kann). Der dient dann am Rande deines Heimnetzes als VPN Server. So sollte es eigentlich auch aus Gründen der Sicherheit sein, deswegen gibt es hier ja auch soviel Kritik am unbedachten Einsatz der Synology als VPN Server. Denn dein NAS steht ja meist mitten in deinem Heimnetz und beherbergt ja auch noch deine Daten, backups und und und. Deswegen sollten Zugänge von außen auch möglichst immer am Rand deines Netzes aufschlagen und dort mit guten Sicherheitsfeatures geprüft und erst danach ggf. ins Heimnetz weitergehen. Mit nem VPN Server mitten im Heimnetz oder der auch hier viel gelesenen "Lösung", alle Dienste auf dem NAS zu aktivieren und dann zig Portweiterleitungen INS Heimnetz zu schalten stehst du mit ziemlich runtergelasssener Hose da...
Du gehst also den besten Weg, hast dank NSFHs Empfehlung ein Top Gerät und wirst am Anfang vermutlich staunen, was alles möglich ist (im Vergleich zur 08/15 Fritzbox).

Viel Spass beim Lernen und Einrichten und sag mal Bescheid, wenn alles läuft....!
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat