Server 2012r2 mit FritzBox 7490 per vpn verbinden

[urmel22015 0]

Hallo

 

Ich habe ein Problem und hoffe das mir hier jemand weiterhelfen kann.

 

Folgende Ausgangssituation besteht.

 

Ich habe ein Netzwerk mit einer FritzBox 7490 als Router und einen Server 2012r2 der sich allein im Internet befindet mit einer öffentlichen statischen IP-Adresse.

 

Jetzt möchte ich erreichen das die FritzBox einen vpn-Tunnel zu dem Server im Internet aufbaut. Wichtig dabei ist das wirklich die FritzBox die Verbindung aufbaut damit alle anderen Geräte Problem den Server erreichen können da im Netz einzelne Geräte vorhanden sind die keine vpn aufbauen können.

 

Ich wie das ich in der FitzBox den Punkt "Diese FRITZ!Box mit einem Firmen-VPN verbinden" verwenden muss, diese Konfiguration ist auch soweit klar. Ich scheitere jedoch in der Konfiguration des Servers.

 

Im Server habe ich bereits die Rolle "Routing und RAS" installiert und habe auch ettliche unterschiedliche Konfigurationen getestet, ohne Erfolg.

 

Von AVM habe ich erfahren das die FritzBox standardmäßig VPN-Passthrough für das VPN-Protokoll IPSec verwendet weis ich nicht mehr weiter.

 

Kann mir jemand helfen wie ich den Server konfigurieren muss"

[zahni 566]

Wenn ich das richtig in Erinnerung  habe, geht  das überhaupt nicht, da der RAS-Server nur IKEv2 unterstützt, die FB aber nur  IKEv1.

[urmel22015 0]

Nach Aussage der AVM-Hotline ist es über IPSec mit VPN-Passthrough möglich. Ich weis nur nicht wie ich das auf dem Server einstellen muss.

[zahni 566]

Dann frage doch AVM. Da  muss man  sogar für Windows 10 den Shrew-Soft-Client nehmen, weil der interne Client  kein IKEv1  macht.

[testperson 1.758]

VPN Passthrough brauchst du wenn du durch die Fritzbox Tunneln möchtest. Sprich wenn du LAN seitig hinter der FB einen VPN Server hast.

[urmel22015 0]

Dann frage doch AVM. Da  muss man  sogar für Windows 10 den Shrew-Soft-Client nehmen, weil der interne Client  kein IKEv1  macht.

Sorry aber das wäre ja die falsche Richtung. Ich möchte das die FB der Client ist. Die FB soll den Server anwählen und nicht umgekehrt.

[testperson 1.758]

Hi,

 

mit der FritzBox und dem Windows Server wirst du dein Vorhaben nicht realisiert bekommen. Entweder vor den Server ebenfalls eine FritzBox / einen kompatiblen Router oder anstelle der FritzBox einen entsprechenden Router / VPN Server der kompatibel zum Windows Routing und RAS Server ist.

 

Gruß

Jan

[zahni 566]

Sorry aber das wäre ja die falsche Richtung. Ich möchte das die FB der Client ist. Die FB soll den Server anwählen und nicht umgekehrt.

Die Richtung habe ich schon verstanden. Es geht aber nicht. Siehe meinen Vorredner und meine Begründung in meiner 1. Antwort.

[testperson 1.758]

BTW. wird das VPN ja nur "Mittel zum Zweck" sein. Was soll denn auf dem Server laufen bzw. was soll da erreicht werden? Evtl. gibt es da ja sinnvolle Alternativen neben VPN ;)

[urmel22015 0]

BTW. wird das VPN ja nur "Mittel zum Zweck" sein. Was soll denn auf dem Server laufen bzw. was soll da erreicht werden? Evtl. gibt es da ja sinnvolle Alternativen neben VPN ;)

Der Server soll letztendlich für 4 FB-Netze als Domänenkontroller dienen. Deshalb benötige ich von jedem der FB einen vpn-Tunnel zum Server. Da es sich um einen virtuellen Server im Internet handelt kann ich dort auch keinen anderen Router davor setzen sondern bin auf die Bordmittel des Servers angewiesen.

Oder gibt es eine andere Möglichkeit?

[testperson 1.758]

Das ist alles andere als eine gute Idee!

Und wer soll diesen DC dann nutzen? Stell den DC lieber mit an einen entsprechenden Standort einer FritzBox.

 

Ist das ein privat gebastel oder soll das für ein Unternehmen sein?

[zahni 566]

Zumal der Betrieb als DC bei vielen Hostern ausgeschlossen ist. Da kann es DNS-Probleme geben. Im Übrigen musst Du für das VPN im Server ein eigenes vituelles Netz einrichten, da Dein Server nur eine feste IP-Adresse bekommt. Dann hast Du bei einem DC wieder ein Problem: Multihoming

[urmel22015 0]

Das ist alles andere als eine gute Idee!

Und wer soll diesen DC dann nutzen? Stell den DC lieber mit an einen entsprechenden Standort einer FritzBox.

 

Ist das ein privat gebastel oder soll das für ein Unternehmen sein?

Einen eigenen DC in einem Standort ist viel zu aufwändig und Kostenintensiv, allein die Stromkosten für einen eigenen Server. Das ist über einen gehosteten Server günstiger. Der Hintergrund ist das die 4 FB-Netze auch schon untereinander mittels vpn Tunnel verbunden sind. Über einen DC kann ich die geräte dann aber leichter verwalten.

[zahni 566]

Wann glaubst Du uns, dass es nicht vernünftig geht?

[testperson 1.758]

Naja, Root Server und DC wird zu 90% eh nichts geben. Mal abgesehen von den Risiken und Nebenwirkungen..

Interessant wäre dann auch noch die von Dir gewählte Lizenzierung des Ganzen.

 

Schau dich mal nach Housing / Co-Location um und stelle fest wie günstig es ist, den Server vor Ort zu betreiben. Andernfalls gibt es sicherlich auch entsprechende Provider, bei denen du einen DC mieten kannst und dich per VPN auf entsprechenden Gateways connecten kannst. Eine weitere Alternative wäre evtl. noch ein Azure AD Service (?).