patriot
Goto Top

Fritzbox 3170 VPN Problem Site to Site

Hallo zusammen, ich möchte zwei Netzwerke per VPN miteinander verbinden. Site to Site

Ich habe zwei 3170 Fritzboxen, beide mit der aktuellsten Firmwareversion.

Ich bin anhand der FritzFernzugangtools vorgegangen und habe zwei Configfiles erstellt diese dann an den Boxen eingespielt und woala, beide Boxen zeigen verbunden an, allerdings und hier ist mein Problem komme ich nicht in das Netzwerk rein, weder ein Ping noch ein Webauruf der anderen Fritzbox funktioniert.
Ich weiß aber nicht woran es liegen könnte, gibt es bei den Configs iwas zu ändern?

Mach ich über das Handy eine End to Site Verbindung kann ich ganz normal zugreifen und bekomme kein Problem, wo könnte ich meinen Fehler haben?

Vielen Dank für eure Hilfe schonmal.

Content-ID: 213295

Url: https://administrator.de/contentid/213295

Printed on: December 2, 2024 at 16:12 o'clock

Lochkartenstanzer
Lochkartenstanzer Aug 03, 2013 at 14:02:04 (UTC)
Goto Top
Zitat von @Patriot:
Mach ich über das Handy eine End to Site Verbindung kann ich ganz normal zugreifen und bekomme kein Problem, wo könnte
ich meinen Fehler haben?

Mon,

Meine Kristallkugel sagt:

IP-Netzwerkeinstellungen : Du hast in beiden Netzen das defautl-netzwerk der fritzbox (192.168.178-0/24) gelassen udn nun wissen die nicht, auf welcher Seite vom, VPN-tunnel der rechner sitzt.

lks
Patriot
Patriot Aug 03, 2013 at 14:38:18 (UTC)
Goto Top
Vielen Dank für deine Antwort:

Nein ich hab
LAN1 192.168.0.0 /24
LAN2 192.168.1.0 /14

Vom Smartphone aus klappt es ohne Probleme, hier mal meine Config

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "xyz";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "xyz";
localid {
fqdn = "xyz";
}
remoteid {
fqdn = "xyz";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xyz";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";
} {
enabled = yes;
conn_type = conntype_user;
name = "xyzt";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.0.201;
remoteid {
key_id = "xyzt";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xyz";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
xauth {
valid = yes;
username = "xyz";
passwd = "xyz";
}
use_cfgmode = yes;
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.0.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 192.168.0.0 255.255.255.0 192.168.0.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Lochkartenstanzer
Lochkartenstanzer Aug 03, 2013 updated at 15:07:47 (UTC)
Goto Top
Zitat von @Patriot:
LAN2 192.168.1.0 /14

Tippfehler?

Hast Du das und das gelesen und beachtet?

Das Smartphone muß nicht routen und ist nach dem verbinden "im gleichen Netz". Daher sagt das nur aus, daß eine VPN-verbindung prinzipiell geht.

Hast Du mal versucht direkt von der fritzbox mal einen ping oder traceroute durch den Tunnel zu machen, um zu schauen, ob da korrekt geroutet wird?


lks


PS. telnetd auf der Fritzbox wird mit #96*7* ein und mit #96*6* ausgeschaltet (nicht vergessen nachdem man fertig ist).

PPS: hast Du geprüft, ob die fritzboxen beide eine routbare Adresse vom Provider bekommen? mnche Provider geben heutzutage macnhmal nur v6-only oder eine RFC1918-Adresse "raus", weil die inzwischen knapp geworden sind.
Patriot
Patriot Aug 04, 2013 at 15:38:12 (UTC)
Goto Top
Hallo,
ja ein Tippfehler beide Netze haben die Range /24.

Ich habe beide Links schon vorher gelesen bzw. als Fehlersuche genutzt. Leider kein Erfolg.

Ich kann auf der Fritzbox 3170 (laut google) kein telnet aktivieren, die kann das einfach nicht,.
aqui
aqui Aug 05, 2013 at 07:14:11 (UTC)
Goto Top
Vermutlich wie immer der klassische Fehler mit den internen Firewalls !
Bedenke das deine Absender IP bei einer LAN zu LAN Kopplung immer eine fremde ist für das Zielnetz wo der Zielrechner steht.
Lokale Firewalls blocken also immer solche Pakete per Default die nicht aus dem eigenen lokalen Netzwerk sind !
Folglich ist es klar das dann vermeintlich keinerlei Connecticity herrscht bei einer VPN LAN zu LAN Kopplung.
Passe die Firewall Einstellungen an und dann klappt das auch sofort !
Patriot
Patriot Aug 05, 2013 at 07:44:28 (UTC)
Goto Top
Ich kann ja nicht mal das Webinterface meines Routers im anderen Netz erreichen,
Oder muss ich an der Firewall der Fritzbox was ändern? Habe aber garkeinen Menüpunkt zur auswahl.
aqui
aqui Aug 05, 2013 updated at 09:59:19 (UTC)
Goto Top
Nein lokale Firewall der Endgeräte im Netz natürlich !
Wenn du nichtmal das lokale LAN Interface des Routers auf der anderen Seite pingen kannst dann hast du de facto etwas falsch gemacht bei deiner VPN Konfig !! Dann ist die VPN Konfig schlicht falsch und KEIN Tunnel zustandegekommen !!
Besser also nochmal genau prüfen WAS bei einer LAN zu LAN VPN Kopplung zu beachten ist:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
bzw.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...

Grundlagen dazu findest du auch hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software