PPTPIP
Feste, öffentliche IPv4-Adresse per PPTP einrichten auf LANCOM-Router / LCOS

Artikel 86559

Stand 19.11.2024, 14:51:58

Version 673c97fe

Auf diversen LANCOM-Routern können unsere PPTP-Zugänge zum Bezug von festen, öffentlichen IPv4-Adressen eingerichtet werden. Damit verfügt ein LANCOM-Router direkt über eine nutzbare feste IP. Dies ist gleichermaßen mit Routern mit und ohne LTE-Modem möglich.

Zielgruppe:
Besitzer von LANCOM-Routern, die eine feste, öffentliche IPv4-Adresse über einen PPTP-Zugang bei Internet XS beziehen möchten.

Wir betreiben verschiedene Einwahl-Server zur Bereitstellung von IP-Tunnel-Verbindungen / festen, öffentlichen IPv4-Adressen. Die Anleitungen in dieser Kategorie sind speziell abgestimmt auf diesen Server:

  • Name: PPTPIP
  • Hostname: pptpip.internet-xs.de
  • IP-Adresse: 212.58.69.50
  • Protokoll: PPTP / MS-CHAPv2 / No-MPPE
  • Client IP-Adress-Bereich: 212.58.78.0/24 (212.58.78.1 - 212.58.78.254)
  • Benutzernamen-Format: ixs050........, ixs050-....-........

Bitte prüfen Sie, ob Ihr IP-Tunnel-Zugang auch auf dem o.g. Server registriert ist.

Alle Arbeiten geschehen auf eigene Gefahr. Für Schäden an Soft- und Hardware sowie für Ausfälle Ihrer Infrastruktur sind Sie selbst verantwortlich. Wir können keine Unterstützung für nicht von uns getestete Szenarien, Hardware, Software und Betriebssysteme anbieten. Alle Anleitungen setzen ein Blanko- bzw. minimal konfiguriertes System voraus und sind als eine mögliche Konfigurationsvariante zu verstehen, die ggf. an Ihr lokales Umfeld und Ihre Anforderungen angepasst werden muss. Bitte beachten Sie immer die Sicherheitshinweise in der Bedienungsanleitung des Herstellers, besonders zum Betrieb von Hardware, dem Aufstellungsort und Betriebstemperaturen. Führen Sie Tests nicht in Produktivumgebungen durch. Testen Sie die Lösung ausgiebig, bevor Sie sie produktiv einsetzen. IT-Systeme sollten nur von qualifiziertem Personal konfiguriert werden. Als Administrator müssen Sie selbst abwägen, ob unsere Produkte und Dienstleistungen für Ihren Anwendungszweck und die gewünschte Verfügbarkeit geeignet sind, oder nicht. Führen Sie Änderungen nicht über eine entfernte Verbindung (Remote-Verbindung) durch. Verwenden Sie stets sichere Passwörter, ändern Sie Standard-Passwörter umgehend ab.

Voraussetzungen

  1. LANCOM-Router
  2. Test-Zugang oder bezahlter Zugang auf unserem IP-Tunnel-Server PPTPIP (pptpip.internet-xs.de / 212.58.69.50)
  3. Abgeschlossene Basis-Konfiguration, also eine nutzbare Internet-Verbindung INTERNET sowie ein lokaler IP-Adress-Bereich für das INTRANET wie z.B. 192.168.1.0/24 (LANCOM-Router = 192.168.1.1, Beispiel-Server oder Firewall = 192.168.1.10)

Die Konfiguration wurde mit diesem Router getestet:

  • Modell: LANCOM 1803VA-4G
  • Firmware-Version: 10.80.0233RU1

Als Internet-Verbindung wurde der Setup-Assistent mit dem Modus

  • “Ethernet-Interface (externes Modem/Router)” (“INTERNET”)
  • “Mobilfunk-Interface (internes Modem)” (“INET_WWAN”)

verwendet. Für den Test mit Mobilfunk-Interface wurde eine Telekom 4G-SIM-Karte verwendet.

Konnektivität prüfen

Prüfen Sie die Konnektivität mit dem Internet z.B. per SSH-Konsolensitzung mittels einem Ping auf den Einwahlserver.

#
| LANCOM 1803VA-4G
| Ver. 10.80.0233RU1 / 08.11.2023
| SN.  XXXXXXXXXXXXXXXX
| Copyright (c) LANCOM Systems

1803VA-4G, Connection No.: 002 (LAN)


root@1803VA-4G:/
> ping 212.58.69.50

    56 Byte Packet from 212.58.69.50 seq.no=0 time=0.425 ms
    56 Byte Packet from 212.58.69.50 seq.no=1 time=0.364 ms
    56 Byte Packet from 212.58.69.50 seq.no=2 time=0.368 ms
    56 Byte Packet from 212.58.69.50 seq.no=3 time=0.360 ms

 ---212.58.69.50 ping statistic---
 56 Bytes Data, 4 Packets transmitted, 4 Packets received, 0% loss

root@1803VA-4G:/
> Connection to 192.168.1.1 closed.

PPTP-Gegenstelle hinzufügen

Kommunikation > Gegenstellen > PPTP > PPTP-Liste > Hinzufügen…

  1. Gegenstelle: IXSPPTPIP
  2. IP-Adresse: 212.58.69.50 (geben Sie hier nicht die Ihrem IP-Tunnel zugeteilte feste, öffentliche IPv4-Adresse ein)
  3. Port: 1.723
  4. Haltezeit: 9.999 Sekunden (der Wert 9999 sorgt für einen sofortigen Verbindungsaufbau ohne zeitliche Begrenzung)
  5. Routing-Tag: 1
  6. Verschlüsselung (MPPE): Aus
  7. IPv6-Profil: DEFAULT

Klicken Sie auf OK um den Eintrag zu speichern.

PPP-Protokoll hinzufügen

Kommunikation > Protokolle > PPP-Liste > Hinzufügen

  1. Gegenstelle: Wählen Sie die zuvor konfigurierte Gegenstelle IXSPPTIP aus der Auswahlliste aus
  2. Benutzername: Ihr Benutzername, z.B. ixs050-1234-a1b2c3d4
  3. Passwort: Das Passwort zu Ihrem IP-Tunnel-Zugang
  4. Wiederholen: Das Passwort zu Ihrem IP-Tunnel-Zugang
  5. IPv4-Routing aktivieren: Aktiviert
  6. NetBIOS über IP aktivieren: Deaktiviert
  7. IPv6-Routing aktivieren: Deaktiviert
  8. Authentifizierung der Gegenstelle (Anfrage): Alle deaktiviert
  9. Authentifizierung durch Gegenstelle (Antwort): MS-CHAPv2 (alle weiteren Deaktiviert)
  10. LCP Polling Zeit: 0
  11. LCP Polling Wiederholungen: 5
  12. Conf: 10
  13. Fail: 5
  14. Term: 3

Klicken Sie auf OK um den Eintrag zu speichern.

IPv4-Route hinzufügen

Durch das Setzen des Routing-Tags auf “1” wird eine neue Routing-Tabelle erzeugt, die jedoch noch leer ist.

IP-Router > Routing > IPv4-Routing-Tabelle… > Hinzufügen

  1. IP-Adresse: 212.58.69.50
  2. Netzmaske: 255.255.255.255
  3. Routing-Tag: 1
  4. Schaltzustand: Route ist aktiviert und wird immer via RIP propagiert (sticky)
  5. Router: INTERNET
  6. RIP-Distanz: 0
  7. IP-Maskierung: Intranet und DMZ maskieren (Standard)
  8. Administrative Distanz: 0
  9. Kommentar: z.B. IXSPPTPIP Gateway

Klicken Sie auf OK um den Eintrag zu speichern.

Anschließend wird die Default-Route hinzugefügt:

  1. IP-Adresse: 255.255.255.255
  2. Netzmaske: 0.0.0.0
  3. Routing-Tag: 1
  4. Schaltzustand: Route ist aktiviert und wird immer via RIP propagiert (sticky)
  5. Router: IXSPPTPIP
  6. RIP-Distanz: 0
  7. IP-Maskierung: Nur Intranet maskieren
  8. Administrative Distanz: 0
  9. Kommentar: z.B. IXSPPTPIP Default Route

Klicken Sie auf OK um den Eintrag zu speichern.

Ab diesem Schritt sollte die Ihrem IP-Tunnel-Zugang zugeteilte feste, öffentliche IPv4-Adresse aus dem Internet pingbar sein, nachdem Sie die Konfiguration auf das Gerät übertragen haben.

Ab diesem Schritt sollte nach Übertragung der Konfiguration auf das Gerät außerdem der im LANCOM-Router integrierte VPN-Server über die Ihrem IP-Tunnel-Zugang zugeteilte feste, öffentliche IPv4-Adresse erreichbar sein, sofern Sie einen VPN-Server (z.B. mittels Setup-Assistent “Einwahl-Zugang bereitstellen (RAS, VPN)”) konfiguriert haben.

SNAT / Maskierung einrichten

Damit aus dem LAN ausgehender Traffic (z.B. von einem Server oder einer Firewall) in den Tunnel geleitet wird, muss dieser mit SNAT mit dem Routing-Tag 1 versehen werden.

IPv4-Regeln > Bereich Firewall-Objekte > Aktions-Objekte… > Hinzufügen

  1. Name: IXSPPTPIP-SNAT
  2. Bedingung: Aktion nur: für Default-Route (z.B. Internet)
  3. Paket-Aktion: Übertragen
  4. Policy-basiertes NAT: 212.58.78.256 (setzen Sie hier die Ihrem IP-Tunnel zugeteilte feste, öffentliche IPv4-Adresse ein)

Klicken Sie auf OK um den Eintrag zu speichern.

IPv4-Regeln > Bereich Firewall-Regeln (Filter/QoS) > Regeln… > Hinzufügen

  1. Navigieren Sie zum Reiter Allgemein
  2. Name dieser Regel: z.B. IXSPPTPIP-SNAT-SERVER
  3. Routing-Tag: 1
  4. Navigieren Sie zum Reiter Aktionen
  5. Markieren Sie die Zeile mit “Trigger”: “Objekt” und “Aktion”: “REJECT” und klicken Sie auf Entfernen
  6. Klicken Sie auf Hinzufügen…
  7. Wählen Sie das zuvor angelegte Aktions-Objekt IXSPPTPIP-SNAT aus
  8. Navigieren Sie zum Reiter Stationen
  9. Bereich Verbindungs-Quelle
  10. Aktivieren Sie Verbindungen von folgenden Stationen
  11. Klicken Sie auf Hinzufügen
  12. Klicken Sie auf Neues Stations-Objekt anlegen
  13. Navigieren Sie zum Reiter Allgemein
  14. Name dieses Objekts: z.B. SERVER oder FIREWALL
  15. Navigieren Sie zum Reiter Stationen
  16. Klicken Sie auf Hinzufügen…
  17. Aktivieren Sie Eine IP-Adresse oder ein Bereich von Adressen
  18. Von IP-Adresse: setzen Sie hier die lokale IP-Adresse des Servers oder der Firewall ein, z.B. 192.168.1.10
  19. Bis IP-Adresse: setzen Sie hier die lokale IP-Adresse des Servers oder der Firewall ein, z.B. 192.168.1.10

Klicken Sie auf OK um den Eintrag zu speichern.

Ab diesem Schritt sollte nach Übertragung der Konfiguration auf den Router die lokale IP-Adresse, die Sie als Stations-Objekt hinzugefügt haben (der Server oder die Firewall), mit der Ihrem IP-Tunnel-Zugang zugeteilten festen, öffentlichen IPv4-Adresse in das Internet kommunizieren, sofern Sie auf dem Server bzw. der Firewall das Netzwerk-Interface entsprechend konfiguriert haben, d.h. als Gateway die lokale IP-Adresse des LANCOM-Routers eingesetzt haben. Sie können das z.B. durch Öffnen von https://www.wieistmeineip.de überprüfen oder in einer CLI mittels curl https://checkip.amazonaws.com überprüfen.

DNAT / Port-Weiterleitungen einrichten

Um eingehenden Traffic im internen Netz zu verteilen oder insgesamt an eine angeschlossene Firewall weiterzuleiten (“Exposed Host”) sind Port-Weiterleitungen (DNAT) notwendig.

IP-Router > Maskierung > Port-Forwarding-Tabelle…

  1. Klicken Sie auf Hinzufügen…, um einen neuen Eintrag in der Liste zu erzeugen
  2. Anfangs-Port: z.B. 8080
  3. End-Port: z.B. 8080
  4. Gegenstelle: IXSPPTPIP
  5. Intranet Adresse: setzen Sie hier die lokale IP-Adresse des Servers oder der Firewall ein, z.B. 192.168.1.10
  6. Map-Port: z.B. 0, wenn der Port nicht umgeschrieben werden soll oder z.B. 80, wenn der Port umgeschrieben werden soll. Der Port wird von Ihrer konkreten Anwendung vorgegeben. Konsultieren Sie ggf. die Bedienungsanleitung des mittels DNAT erreichbar zu machenden Geräts (z.B. IP-Kamera / Webcam).

Um eine “Exposed Host“-Konfiguration zu erstellen, geben Sie als Anfangs-Port: den Port 1 ein und als End-Port den Port 65535. Wählen Sie als Protokoll TCP+UDP. Diese Einstellung führt dazu, dass alle TCP- und UDP-Ports an die angegebene Intranet Adresse weitergeleitet werden.

Klicken Sie auf OK um den Eintrag zu speichern.

Konfiguration auf dem Gerät speichern

Klicken Sie im Hauptkonfigurationsfenster auf OK um die Konfiguration auf das Gerät zu übertragen.

Hinweis zu “Einwahl-Zugang bereitstellen (RAS, VPN)”

  1. Setup-Assistent > Einwahl-Zugang bereitstellen (RAS, VPN)
  2. Austausch-Modus: IKEv2
  3. Name (VPN): beliebiger Name
  4. Adresse dieses Routers: Geben Sie hier die Ihren IP-Tunnel-Zugang zugeteilte feste, öffentliche IPv4-Adresse ein, z.B. 212.58.78.265
  5. Bereich von IP-Adressen: Geben Sie hier einen Pool von internen IP-Adressen an, z.B. 192.168.1.150 bis 192.168.1.169
  6. Erster Nameserver: Geben Sie hier z.B. die LAN-IP des LANCOM-Routers ein, z.B. 192.168.1.1

Zu erwartende Bandbreite

Bei Nutzung des Telekom-4G-Netzes ohne IP-Tunnel-Verbindung haben wir folgende Bandbreiten gemessen:

  • Download: 43 Mbit/s
  • Upload: 24 Mbit/s

https://www.speedtest.net/result/17029384552

Bei Nutzung des Telekom-4G-Netzes mit IP-Tunnel-Verbindung haben wir folgende Bandbreiten gemessen:

  • Download: 45 Mbit/s
  • Upload: 19 Mbit/s

https://www.speedtest.net/result/17029359663

Bitte beachten Sie, dass wir über diese Anleitung hinaus keine Unterstützung für LANCOM-Router anbieten können, da wir diese Geräte nicht im Sortiment haben.

Erstellt
14.05.2020, 12:50:38
Zuletzt geändert
19.11.2024, 14:51:58
Version
673c97fe
Tags
pptpip, lancom
Permanenter Link
https://www.internet-xs.de/kb/86559
PDF
https://www.internet-xs.de/kb/Internet-XS_KB-86559-673c97fe.pdf
Markdown
https://www.internet-xs.de/kb/Internet-XS_KB-86559-673c97fe.md
topf@internet-xs.de topf-white@internet-xs.de topf@internet-xs.com topf-white@internet-xs.com topf2024@internet-xs.de topf-white2024 @internet-xs.de topf2024@internet-xs.com topf-white2024 @internet-xs.com