9
FritzBox Site-to-Site VPN hinter Router
Hallo zusammen,
ich bin gerade dabei zu versuchen ein FritzBox Site-to-Site VPN aufzubauen hinter einem weiteren Router und stehe dabei vor Problemen.
Hier meine Netzwerkkonstallation:
- FritzBox 7490, 192.168.178.0/24, öffentliche IP-Adresse mit MyFritz, Telekom-Internetanschluss
- Huawei B315 LTE-Router, 192.168.176.0/24, IP-Adresse mit no-ip DDNS, Vodafone-Mobilfunkvertrag --> dort dran FritzBox 4020, 192.168.177.0/24, LAN-IP im LTE-Router Netz 192.168.176.2
Nun möchte ich zwischen der FritzBox 7490, die direkt mit dem Internet verbunden ist und der FritzBox 4020, die mit dem LTE-Router verbunden ist, eine Site-to-Site VPN-Verbindung aufbauen. Ich habe die VPN bei der FritzBox 7490 mit dem Shared-Secret, dem DDNS-Hostname von no-ip und der entfernten Netzwerkadresse der 4020 konfiguriert. Bei der FritzBox 4020 habe ich den gleichen Shared-Secret eingetragen, den DDNS-Hostname vom MyFritz, die entfernte Netzwerkadresse der 7490 und das Häkchen bei VPN dauerhaft halten gesetzt. Auf dem Huawei-Router habe ich eine Portweiterleitung für die UDP-Ports 500 und 4500 (IPSec) auf die IP der 4020 (192.168.176.2) gesetzt.
Nun dachte ich, dass die VPN-Verbindung eigentlich aufgebaut werden müsste. Leider funktioniert dies nicht. Im Ereignisprotokoll der 7490 wird der Fehler "IKE-Error 0x2027 - timeout" gemeldet.
Ich würde mich sehr freuen, wenn ihr mir bei dem Problem helfen könntet.
Vielen Dank schonmal im Voraus.
ich bin gerade dabei zu versuchen ein FritzBox Site-to-Site VPN aufzubauen hinter einem weiteren Router und stehe dabei vor Problemen.
Hier meine Netzwerkkonstallation:
- FritzBox 7490, 192.168.178.0/24, öffentliche IP-Adresse mit MyFritz, Telekom-Internetanschluss
- Huawei B315 LTE-Router, 192.168.176.0/24, IP-Adresse mit no-ip DDNS, Vodafone-Mobilfunkvertrag --> dort dran FritzBox 4020, 192.168.177.0/24, LAN-IP im LTE-Router Netz 192.168.176.2
Nun möchte ich zwischen der FritzBox 7490, die direkt mit dem Internet verbunden ist und der FritzBox 4020, die mit dem LTE-Router verbunden ist, eine Site-to-Site VPN-Verbindung aufbauen. Ich habe die VPN bei der FritzBox 7490 mit dem Shared-Secret, dem DDNS-Hostname von no-ip und der entfernten Netzwerkadresse der 4020 konfiguriert. Bei der FritzBox 4020 habe ich den gleichen Shared-Secret eingetragen, den DDNS-Hostname vom MyFritz, die entfernte Netzwerkadresse der 7490 und das Häkchen bei VPN dauerhaft halten gesetzt. Auf dem Huawei-Router habe ich eine Portweiterleitung für die UDP-Ports 500 und 4500 (IPSec) auf die IP der 4020 (192.168.176.2) gesetzt.
Nun dachte ich, dass die VPN-Verbindung eigentlich aufgebaut werden müsste. Leider funktioniert dies nicht. Im Ereignisprotokoll der 7490 wird der Fehler "IKE-Error 0x2027 - timeout" gemeldet.
Ich würde mich sehr freuen, wenn ihr mir bei dem Problem helfen könntet.
Vielen Dank schonmal im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 427797
Url: https://administrator.de/contentid/427797
Printed on: April 26, 2024 at 11:04 o'clock
9 Comments
Latest comment
Hi,
bei IPsec hast du die Hälfte oder sagen wir das wichtigste Protokoll vergessen: ESP. Wenn das nix von ESP steht, kannst du es gleich vergessen.
Wenn du etwas mit 50 liest, dann bezieht sich dass wiederum auf das Protokoll! NICHT TCP oder UDP 50.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Schau mal dorten oder allgemein in aqui's Tuturials....
mfg Crusher
bei IPsec hast du die Hälfte oder sagen wir das wichtigste Protokoll vergessen: ESP. Wenn das nix von ESP steht, kannst du es gleich vergessen.
Wenn du etwas mit 50 liest, dann bezieht sich dass wiederum auf das Protokoll! NICHT TCP oder UDP 50.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Schau mal dorten oder allgemein in aqui's Tuturials....
mfg Crusher
Hallo,
ich weiß nicht ob es noch so ist, aber eine Zeit lang haben LTE-Verbindungen eine shared IPv4-Adresse. Das heißt, dass du die öffentliche IP-Adresse mit mehreren teilst. Dadurch nützt dir das PFW auf dem LTE-Router nichts.
Lass die Verbindung von der FB4020 initieren, dann sollte es funktionieren.
ich weiß nicht ob es noch so ist, aber eine Zeit lang haben LTE-Verbindungen eine shared IPv4-Adresse. Das heißt, dass du die öffentliche IP-Adresse mit mehreren teilst. Dadurch nützt dir das PFW auf dem LTE-Router nichts.
Lass die Verbindung von der FB4020 initieren, dann sollte es funktionieren.
Moin
Denn wie du richtig angemerkt hast, bekommt der TO keine öffentliche IPv4 Adresse, sondern die Mobilfunkprovider vergeben Adressen aus dem privaten Bereich.
Wenn dann noch eine Einwahl zum LTE-Standort erfolgen soll, passt das gar nicht mehr.
Wenn es um eine Firma geht oder andere wichtige Dienste, dann empfehle ich folgenden Service zu nutzen:
mdex Experts: Feste öffentliche IP Adresse für LTE
Das kostet zwar, ist dafür aber sehr zuverlässig.
Zitat von @walle1979:
ich weiß nicht ob es noch so ist, aber eine Zeit lang haben LTE-Verbindungen eine shared IPv4-Adresse. Das heißt, dass du die öffentliche IP-Adresse mit mehreren teilst. Dadurch nützt dir das PFW auf dem LTE-Router nichts.
Doch, das Portforwaarding braucht er trotzdem. Aber es nützt so nichts.ich weiß nicht ob es noch so ist, aber eine Zeit lang haben LTE-Verbindungen eine shared IPv4-Adresse. Das heißt, dass du die öffentliche IP-Adresse mit mehreren teilst. Dadurch nützt dir das PFW auf dem LTE-Router nichts.
Denn wie du richtig angemerkt hast, bekommt der TO keine öffentliche IPv4 Adresse, sondern die Mobilfunkprovider vergeben Adressen aus dem privaten Bereich.
Lass die Verbindung von der FB4020 initieren, dann sollte es funktionieren.
Das kann klappen, ich habe es aber bei einem Kunden nicht sauber zum Laufen bekommen.Wenn dann noch eine Einwahl zum LTE-Standort erfolgen soll, passt das gar nicht mehr.
Wenn es um eine Firma geht oder andere wichtige Dienste, dann empfehle ich folgenden Service zu nutzen:
mdex Experts: Feste öffentliche IP Adresse für LTE
Das kostet zwar, ist dafür aber sehr zuverlässig.
Auf dem Huawei-Router habe ich eine Portweiterleitung für die UDP-Ports 500 und 4500 (IPSec)
Da fehlt die Hälfte !!!Der eigentliche Tunnel wird mit ESP gesendet. ESP ist ein eigenes IP Protokoll (IP Nummer 50). Das musst du zwingend auch forwarden sonst wird das logischerweise nix.
Dieses Tutorial erklärt dir die Details dazu:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Denk dir statt der Firewall dort deinen VPN Router.
Nochwas, weil LTE im Spiel ist.
Wenn dein LTE Provider CGN nutzt und im LTE Netz private RFC 1918 IP Adressierung verwendet was leider wegen der IPv4 Adressknappheit häufig die Regel ist, dann musst du aufpassen wer der Initiator in der VPN Verbindung ist, denn inbound IPsec Sessions laufen nicht über NAT bzw. CGN.
Sollten beide Seiten CGN haben oder es eine Kombination aus CGN und DS-Lite sein kannst du dein Vorhaben gleich vergessen. Damit sind VPNs dann technsich unmöglich.
Sieh dir also mal genau die WAN Port IP Adressen an auf den Routern, die die Verbindung in die öffentlichen Netze halten !!
Idealerweise haben die öffentliche IPs, also keine RFC 1918 IPs, und zwar auf beiden Seiten ! Dann sind deine Chancen gut.
Danke schonmal für Eure Antworten.
Es scheint tatsächlich so zu sein, dass der LTE Router keine öffentliche IP hat. Die 7490 allerdings schon.
Ich habe es jetzt hinbekommen die 4020 über den LTE Router als VPN Client (Host to Site) einwählen zu lassen.
Habt ihr denn noch eine Idee ob es doch noch eine Möglichkeit gibt Site to Site hinzubekommen? Wie klappt es denn dass die 4020 die Site to Site Verbindung imitieren kann oder klappt Site to Site nur wenn es definitiv 2 öffentlich IPs sind und nicht 1 öffentliche und 1 NAT?
Es scheint tatsächlich so zu sein, dass der LTE Router keine öffentliche IP hat. Die 7490 allerdings schon.
Ich habe es jetzt hinbekommen die 4020 über den LTE Router als VPN Client (Host to Site) einwählen zu lassen.
Habt ihr denn noch eine Idee ob es doch noch eine Möglichkeit gibt Site to Site hinzubekommen? Wie klappt es denn dass die 4020 die Site to Site Verbindung imitieren kann oder klappt Site to Site nur wenn es definitiv 2 öffentlich IPs sind und nicht 1 öffentliche und 1 NAT?
Site-to-Site kann dann klappen, wenn du in der Konfiguration vorgeben kannst, dass eine Seite immer der Initiator ist.
Dies muss dann natürlich deine Fritte im LTE-Netz sein.
Dies muss dann natürlich deine Fritte im LTE-Netz sein.
Direkt den Initiator kann ich leider nicht festlegen. Ich habe bei beiden Routern den Haken "Verbindung dauerhaft halten". Wäre dann die 4020 hinter dem LTE Router der Initiator wenn ich den Haken dort setze und bei der 7490 dann nicht?
Mal etwas selber Nachdenken bitte... To "Initiate" (engl.) bedeutet soviel wie etwas einleiten oder den Anstoß zu etwas geben.
Der Initiator ist also der der Teil der VPN Punkt zu Punkt Verbindung der den VPN Tunnelaufbau startet !
Jetzt kannst du dir mit etwas nachdenken die Frage selber beantworten ob dein Haken "Verbindung dauerhaft halten" irgendetwas damit zu tun hat das eine Seite den VPN Aufbau initiiert sprich also startet.
Wie Kollege @goscho schon sagt MUSS zwingend die Fritte im LTE Netz den Tunnel aufbauen, denn damit triggert sie am NAT Gateway des Providers, was die Übersetzung RFC1918 zu öffentl. IP macht, die Sessiontabelle das auch Antwortpakete wieder zurückkommen können.
Wenn die andere Seite den Aufbau machen würde ist am CGN NAT Gateway des Providers Schluss und aus die Maus, da es keine bestehende Session Tabelle gibt und das NAT Gateway dann die Pakete einfach wegschmeisst.
In dieser Richtung ist es unmöglich das NAT zu überwinden !! Deshalb musst du den Initiator festlgen oder darauf hoffen das beide Seiten das aktiv machen.
Ist oben ja auch schon mehrfach gesagt worden.
Der Initiator ist also der der Teil der VPN Punkt zu Punkt Verbindung der den VPN Tunnelaufbau startet !
Jetzt kannst du dir mit etwas nachdenken die Frage selber beantworten ob dein Haken "Verbindung dauerhaft halten" irgendetwas damit zu tun hat das eine Seite den VPN Aufbau initiiert sprich also startet.
Wie Kollege @goscho schon sagt MUSS zwingend die Fritte im LTE Netz den Tunnel aufbauen, denn damit triggert sie am NAT Gateway des Providers, was die Übersetzung RFC1918 zu öffentl. IP macht, die Sessiontabelle das auch Antwortpakete wieder zurückkommen können.
Wenn die andere Seite den Aufbau machen würde ist am CGN NAT Gateway des Providers Schluss und aus die Maus, da es keine bestehende Session Tabelle gibt und das NAT Gateway dann die Pakete einfach wegschmeisst.
In dieser Richtung ist es unmöglich das NAT zu überwinden !! Deshalb musst du den Initiator festlgen oder darauf hoffen das beide Seiten das aktiv machen.
Ist oben ja auch schon mehrfach gesagt worden.
Nachgedacht hab ich schon... Das ist aber das einzigste was dort außer den IP-Adressen einstellbar ist, deshalb die Frage.
Dann anders gefragt: Weiss jemand ob in der VPN-Config datei die man über den Fritz-Fernzugang erstellen kann irgendwo eingestellt werden kann welche FB die Verbindung initiert?
Dann anders gefragt: Weiss jemand ob in der VPN-Config datei die man über den Fritz-Fernzugang erstellen kann irgendwo eingestellt werden kann welche FB die Verbindung initiert?