9
Zyxel DSL-Router - VPN einrichten
Guten Abend,
ich würde gerne auf einem Zyxel DSL-Router (VMG3312) eine VPN (IPSEC) erstellen und von aussen drauf zu greifen.
Habe keinerlei Handbuch zum Gerät - hoffe ihr könnt mich dabei unterstützen.
Das ist die Oberfläche vom Router
Wie richte ich den Zugang ein inkl. DDNS?
Vielen Dank!
ich würde gerne auf einem Zyxel DSL-Router (VMG3312) eine VPN (IPSEC) erstellen und von aussen drauf zu greifen.
Habe keinerlei Handbuch zum Gerät - hoffe ihr könnt mich dabei unterstützen.
Das ist die Oberfläche vom Router
Wie richte ich den Zugang ein inkl. DDNS?
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 339016
Url: https://administrator.de/contentid/339016
Printed on: April 20, 2024 at 13:04 o'clock
9 Comments
Latest comment
Hallo,
Mal hier geschaut? ftp://ftp.zyxel.com.tr/Teknik_Dokumanlar/ADSL_Modem/4.%20Aray%FCz%20%28%20Linux%20%29/
Gruß,
Peter
Mal hier geschaut? ftp://ftp.zyxel.com.tr/Teknik_Dokumanlar/ADSL_Modem/4.%20Aray%FCz%20%28%20Linux%20%29/
Gruß,
Peter
Und hier findest du ein paar Allgemeine Grundlagen zur Einrichtung was bei allen Herstellern immer gleich ist wie die IPsec Phase 1 und Phase 2:
Client VPN IPsec:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Standort VPN IPsec:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPN allgemein:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Grundlagen zum IPsec Protokoll allgemein:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Damit sollte das im Handumdrehen zum Fliegen zu bringen sein !!
Client VPN IPsec:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Standort VPN IPsec:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPN allgemein:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Grundlagen zum IPsec Protokoll allgemein:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Damit sollte das im Handumdrehen zum Fliegen zu bringen sein !!
Vielen Dank an Pjordorf und aqui für die schnelle Antwort! :D
Ich schaue mir die Sachen in Ruhe an.
Ich schaue mir die Sachen in Ruhe an.
Wie kann ich an diesen Router per DDNS die IP 192.168.1.30 erreichen?
Der DDNS ist bereits eingerichtet und löst auch die aktuelle IP auf.
Der DDNS ist bereits eingerichtet und löst auch die aktuelle IP auf.
Hallo,
Gar nicht. Die IP 192.168.1.30 ist aus deinen Privaten LAN mit Priavter IP. Die sind nicht ausm Internet direkt erreichbar da du NAT machst. Du kannst somit ausch nicht diese IP ausm Internet anpingen da du dazu mindestens ICMP mittels Portforwarding machen müsstest. Du kannst somit nur die WAN IP an dein Router anpingen sofern dein Router dies zulässt bzw unterstützt. Ob dein Router das unterstützt - Handbuch schauen...
. Und ob DDNS oder DNS, im Internet bezieht sich das immer auf die WAN IP und per ICMP Terminiert nunmal dein Router.
IPs aus RCF 1918 sollen gar nicht erst ins Internet geroutet werden bzw direkt aus dem Internet erreichbar sein. ISP Router sollen diesen Datenverkehr eigenlich nur Droppen.
https://de.wikipedia.org/wiki/Private_IP-Adresse
https://superuser.com/questions/324815/networking-and-routing-of-private ...
Ausserdem hat ICMP so viel mit TCPIP Port 80 zu tun wie ein Fish mit Schlittschuhlaufen. ICMP ist eher ein Eigenständiges Protokoll. In dein Beispiel Bild klappt das somit nicht.
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol
https://de.wikipedia.org/wiki/Ping_%28Daten%C3%BCbertragung%29
Ob ein Router auf ein Ping am WAN antwortet, nicht antwortet oder sich totstellt, bleibt ermessens Sache und der anpingende kann durchaus erkennen ob an der IP etwas deanhängt oder nicht. Wenn eine IP nicht erreichbar ist weil eben kein Gerät dranhängt ist die Antwort auch eindeutig. Bleibt also eine glaubensfrage ob ein WAN Router auf ein Echo Request antwortet...
Gruß,
Peter
Gar nicht. Die IP 192.168.1.30 ist aus deinen Privaten LAN mit Priavter IP. Die sind nicht ausm Internet direkt erreichbar da du NAT machst. Du kannst somit ausch nicht diese IP ausm Internet anpingen da du dazu mindestens ICMP mittels Portforwarding machen müsstest. Du kannst somit nur die WAN IP an dein Router anpingen sofern dein Router dies zulässt bzw unterstützt. Ob dein Router das unterstützt - Handbuch schauen...
Der DDNS ist bereits eingerichtet und löst auch die aktuelle IP auf.
Dazu ist DDNS ja auch da, das du dir nicht die immer wechselnde oder auch statische IP merken musst. Wir Menschen können besser Name als Nummern uns merken . Und ob DDNS oder DNS, im Internet bezieht sich das immer auf die WAN IP und per ICMP Terminiert nunmal dein Router.IPs aus RCF 1918 sollen gar nicht erst ins Internet geroutet werden bzw direkt aus dem Internet erreichbar sein. ISP Router sollen diesen Datenverkehr eigenlich nur Droppen.
https://de.wikipedia.org/wiki/Private_IP-Adresse
https://superuser.com/questions/324815/networking-and-routing-of-private ...
Ausserdem hat ICMP so viel mit TCPIP Port 80 zu tun wie ein Fish mit Schlittschuhlaufen. ICMP ist eher ein Eigenständiges Protokoll. In dein Beispiel Bild klappt das somit nicht.
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol
https://de.wikipedia.org/wiki/Ping_%28Daten%C3%BCbertragung%29
Ob ein Router auf ein Ping am WAN antwortet, nicht antwortet oder sich totstellt, bleibt ermessens Sache und der anpingende kann durchaus erkennen ob an der IP etwas deanhängt oder nicht. Wenn eine IP nicht erreichbar ist weil eben kein Gerät dranhängt ist die Antwort auch eindeutig. Bleibt also eine glaubensfrage ob ein WAN Router auf ein Echo Request antwortet...
Gruß,
Peter
Wie erreiche ich extern ein Gerät mit dieser internen IP?
Folgender Ablauf:
- DDNS für die wechselnde IP
- Portfreigabe auf die interne IP .. .30
- Firewall habe ich auch zeitweise deaktiviert
Wo liegt der Fehler im Ablauf?
Folgender Ablauf:
- DDNS für die wechselnde IP
- Portfreigabe auf die interne IP .. .30
- Firewall habe ich auch zeitweise deaktiviert
Wo liegt der Fehler im Ablauf?
Portfreigabe ist ja (sorry) Schwachsinn ! Genau DAS willst du ja mit einem VPN vermeiten. Ein VPN funktioniert so als ob man sich direkt im lokalen Netz befindet. Der tiefere Sinn eines VPN.
Löcher in Firewalls bohren ala Portfreigabe muss man da glücklicherweise nicht.
Um von außen auf deinen Zyxel zugreifen zu können brauchst du ja zuallererst mal einen VPN Client !!!
Welchen benutzt du denn da ???
Dann konfigurierst du den Router:
GANZ WICHTIG:
Bitte poste hier das Router Log wenn du dich mit dem Client einwählst !!!
Ebenso das Client Log !!
Anhand der Logs kann man in Sekundenschnelle anhand der Log Meldungen sehen was noch falsch ist in den Settings oder.... ob alles richtig ist.
Bist du dir übrigens ganz sicher das dein Zyxel Modell ein VMG3312 ist ??
Sucht man danach auf der Zyxel Seite: http://support.zyxel.eu/Support/30062/30085/en-GB/Portal/Index?FindProd ...
gibt es keinerlei Produkt dazu
Löcher in Firewalls bohren ala Portfreigabe muss man da glücklicherweise nicht.
Um von außen auf deinen Zyxel zugreifen zu können brauchst du ja zuallererst mal einen VPN Client !!!
Welchen benutzt du denn da ???
- Windows den integrierten IPsec Client (IKE2 Support erforderlich) ?
- Windows und einen externen wie z.B. den kostenlosen Shrew Client ? https://www.shrew.net/download
- Mac OS
- Linux
- Smartpgone Apple iOS oder Androiden
Dann konfigurierst du den Router:
- Haken bei "Active" setzen
- Da du ein VPN Dialin machst bleibt die remote Gateway IP auf 0.0.0.0
- Lokales Netz auf Typ Subnet
- Dann dein lokales LAN Subnetz z.B. 192.168.1.0 wenn das dein LAN Subnetz ist, Maske 24 Bit
- Remotes Subnetz kann wechseln also hier wieder 0.0.0,0 lassen
- ESP Protokoll, Auto IKE und Preshared Key lassen
- Local ID Type darfs du NICHT auf der IP Adresse belassen, da diese sich ja dynmaisch ändert und das zu einem Mismatch führt ! Das MUSS auf FQDN oder Common Name gesetzt sein sofern das auswählbar ist.
- Remote ID muss diesem entsprechen also am besten Common Name oder FQDN.
- NAT Traversal in jedem Falle auf "Enable" !
- Phase 1 und Phase 2 Mode muss auf "Agressive" ! (Main ist falsch !)
- Integrity Algorythm auf "SHA1", MD5 NICHT nehmen
- 3DES und DH Group2 kannst du lassen ist Standard bei den meisten Clients
GANZ WICHTIG:
Bitte poste hier das Router Log wenn du dich mit dem Client einwählst !!!
Ebenso das Client Log !!
Anhand der Logs kann man in Sekundenschnelle anhand der Log Meldungen sehen was noch falsch ist in den Settings oder.... ob alles richtig ist.
Bist du dir übrigens ganz sicher das dein Zyxel Modell ein VMG3312 ist ??
Sucht man danach auf der Zyxel Seite: http://support.zyxel.eu/Support/30062/30085/en-GB/Portal/Index?FindProd ...
gibt es keinerlei Produkt dazu
Hallo,
Auf den FTP Server [ftp://ftp.zyxel.com.tr/ZyXEL_URUNLERI/MODEMLER/VDSL_MODEMLER/ Zyxel Türkei] gibt es den schon, so wie [ftp://ftp.zyxel.com.tr/Teknik_Dokumanlar/ADSL_Modem/4.%20Aray%FCz%20%28%20Linux%20%29/ hier]. Sehr merkwürdig, ich fand nichts anderes Ist das ein normler Pxxxx der nur anders verpackt bzw. auch in der Firmware umbenannt wurde? Hab so etwas mal mit Spanischen Zyxel Geräten erlebt. Da war ein normales aDSL Modem umbenannt und ausschliesslich in Spanien zum laufen zu bekommen (Telefonica).
Gruß,
Peter
Auf den FTP Server [ftp://ftp.zyxel.com.tr/ZyXEL_URUNLERI/MODEMLER/VDSL_MODEMLER/ Zyxel Türkei] gibt es den schon, so wie [ftp://ftp.zyxel.com.tr/Teknik_Dokumanlar/ADSL_Modem/4.%20Aray%FCz%20%28%20Linux%20%29/ hier]. Sehr merkwürdig, ich fand nichts anderes
Ist das ein normler Pxxxx der nur anders verpackt bzw. auch in der Firmware umbenannt wurde? Hab so etwas mal mit Spanischen Zyxel Geräten erlebt. Da war ein normales aDSL Modem umbenannt und ausschliesslich in Spanien zum laufen zu bekommen (Telefonica).Gruß,
Peter
Stimmt.... Es kommen bei Dr. Google auch rein türkische Kommentare. Vermutlich ein rein TR spezifisches Model was in der EU gar nicht zum Einsatz kommtl.
Ein Schelm wer jetzt Böses dabei denkt im Hinblick auf aktuelle Entwicklungen
!
Ein Schelm wer jetzt Böses dabei denkt im Hinblick auf aktuelle Entwicklungen
!
