hausrocker
Goto Top

Fritzbox VPN Lan zu LAN - mehrer Netze

Gibt es eine Möglichkeit nachträglich für eine VPN Verbindung auf einer Fritzbox 7590 weitere entfernte Netze hinzuzufügen? Oder die Konfig auszulesen und in diese vpn.cfg umzuwandeln?

Problem ist, dass ich ein Anleitung nur für das Webinterface habe und es partou nicht schaffe, diese Einstellungen in diese vpn.cfg zu übertragen, die man ja auch über dieses Programm von AVM geneireren könnte.

Anleitung ist die hierund der Teil, der auf der Fritzbox konfiguriert werden muss ist super wenig, da ist alles quasi automatisch.

In so einer Datei müsste ich mehrere Netze einfügen, über diesen Punkt mit "accesslist = ", so die Theorie:
Ich weiß aber nicht, wie diese Datei für eine Standard Verbindung aussehen würde, wie aus dem Screenshot von der Draytek Seite.
Und ich habe soweit ich das sehen kann keine Möglichkeit das via Webbrowser zu erstellen in der Fritzbox und dann nachträglich anzupassen.

Kann da jemand einen Tipp geben?

Fritzbox hat das Netz mit 192.168.0.0, der Draytek die Netze 192.168.82.0 bis 192.168.92.0

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = „firma123“;
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = „vpn.firma.com“;
localid {
fqdn = „homeoffice123„;
}
remoteid {
fqdn = „firma123„;
}
mode = phase1_mode_aggressive;
phase1ss = „all/all/all“;
keytype = connkeytype_pre_shared;
key = „geheim123„;
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = „esp-3des-sha/ah-no/comp-no/pfs“;
accesslist = 
„permit ip any 192.168.82.0 255.255.254.0″,
„permit ip any 192.168.84.0 255.255.255.0″,
„permit ip any 192.168.90.0 255.255.255.0″,
„permit ip any 192.168.91.0 255.255.255.0″,
„permit ip any 192.168.92.0 255.255.255.0″;
}
ike_forward_rules = „udp 0.0.0.0:500 0.0.0.0:500“,
„udp 0.0.0.0:4500 0.0.0.0:4500“;
}

Und was ich auch am liebsten noch irgendwie anders hätte: Es soll auch die Verbindung von der Fritzbox aus aufgebaut werden können. Nur "dial-in" auf "both" umstellen im Draytek reicht dafür jedenfalls nicht leider.

Content-ID: 3151561255

Url: https://administrator.de/contentid/3151561255

Printed on: December 2, 2024 at 14:12 o'clock

148523
148523 Jun 23, 2022 updated at 07:29:55 (UTC)
Goto Top
Ja, diese Möglichkeit gibt es. Siehe AVM Knowledgebase:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/230_Uber-VPN- ...
Aber du musst dazu aber immer den VPN Abschnitt in der FritzBox Konfig entsprechend anpassen bzw. editieren.
Ich weiß aber nicht, wie diese Datei für eine Standard Verbindung aussehen würde,
Das kannst du ganz einfach selber sehen wenn du schon eine Standard Verbindung hast.
Exportiere dazu die FritzBox Konfig (Backup) und sieh dir diese Datei (es ist eine stinknormale Textdatei) mit einem Texteditor (z.B. Notepad++) an. Hier siehst du z.B. ein einfaches Beispiel dafür.
Du könntest dir auch das VPN Leben etwas einfacher machen indem du n icht wie oben alle Netze einzelnd dort in die Phase 2 einträgst sondern mit einem einzigen Eintrag alle Netze bedienst.
Ein „permit ip any 192.168.80.0 255.255.240.0″ (20er Prefix wie auch unten genannt) würde dir z.B. mit einer einzigen Zeile ALLE Subnetze von .80.0 bis 95.254 in den Tunnel routen mit nur einer einzigen Konfig Zeile die du auch dann einfach über das FritzBox GUI eingeben könntest OHNE die cfg Datei editieren zu müssen. face-wink (Beispiel auch hier)
2423392070
Solution 2423392070 Jun 23, 2022 at 07:24:14 (UTC)
Goto Top
Nein, die Konfig muss ersetzt werden.
192.168.82.0/20 würde mehr Sinn machen.
hausrocker
hausrocker Jun 23, 2022 at 07:38:23 (UTC)
Goto Top
Das war ja schon mal ein prima Tipp. Danke dafür.

Die Datei sieht quasi so aus:
vpncfg {
connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "Firma";  
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "vpn.firma.com";  
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "$$$$ARC6NL66KBQ562UZWAAABQJAJCZPLWD2XW3ZZOMBNQR52LAY23XGC6YMPF3FAFFLM6AJOKQYRB2SM436";  
                }
                remoteid {
                        fqdn = "$$$$GSEKEH5A4ZD5IZYZCQAAARJXAJ3WFQFWFQ3XOF1O4YMWETSYAXU4MIHDSEVHDQHKDUEIKEIEDD2MO436";  
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "$$$$PBH4L3QYW5MAWPWNFAAATWCB641DYNYXGPJRCRF6VM6BK4K1GF2DHIA13GDH2ZWBD1WPIQINQFXZ1436";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.82.0;
                                mask = 255.255.254.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 192.168.82.0 255.255.254.0";  
                allowed_vpn_clients {
                        ipaddr = 192.168.0.33;
                        mask = 255.255.255.255;
                } {
                        ipaddr = 192.168.0.22;
                        mask = 255.255.255.255;
                } {
                        ipaddr = 192.168.0.15;
                        mask = 255.255.255.255;
                } {
                        ipaddr = 192.168.0.165;
                        mask = 255.255.255.255;
                }
                landevice_uids = "landevice2167", "landevice2186",  
                                 "landevice2227", "landevice2171";  
                app_id = 0;
        }
}

Ich habe da nur 3 Geräte drin, die durch den Tunnel dürfen. Und alle Passwörter und so sind verschlüsselt. Kann ich die auch so verschlüsselt dann importieren?

Ich passe das dann mal so an:

accesslist =
„permit ip any 192.168.82.0 255.255.254.0″,
„permit ip any 192.168.84.0 255.255.255.0″,
„permit ip any 192.168.90.0 255.255.255.0″,
„permit ip any 192.168.91.0 255.255.255.0″,
„permit ip any 192.168.92.0 255.255.255.0″;
2423392070
2423392070 Jun 23, 2022 at 07:43:40 (UTC)
Goto Top
Man kann aus der laufenden Konfig den VPN Teil nehmen, anpassen und dann wieder als VPN Konfig importieren.
hausrocker
hausrocker Jun 23, 2022 at 07:47:38 (UTC)
Goto Top
Ok. Das hat schon mal sehr gut funktioniert. Alle Netze drin und erreichbar.

Hat jetzt noch jemand eine Idee, wie ich es schaffe, dass die Verbindung von beiden Seiten aus aufgebaut werden kann?
Gibt es einen Grund, warum sich die Fritzbox nicht einwählen kann, wenn die VPN Parameter ja grundsätzlich passen? Einwahl grundsätzlich per Client VPN z.B. in den Draytek geht, da ist also auch kein eingehender Port dicht oder so.
aqui
aqui Jun 23, 2022 updated at 12:43:58 (UTC)
Goto Top
Das ist möglicherwiese dem IPsec Agressive Mode geschuldet in der die FB im Default rennt. AVM macht das deswegen weil die IP des Initiators der FB sehr oft nicht bekannt ist, da die meisten Consumer bzw. Heimnetze mit dynamischen IPs arbeiten. Damit aber beide oder eine Seite als Initiator arbeiten kann muss ihr immer die Peer Adresse bekannt sein oder ein Hostname.
Ist eben halt primär angepasst auf Heimnetze und deshalb in der Regel ungeeignet für Firmennetze.
Du kannst die FritzBox aber auch im besseren und auch deutlich sicheren Main Mode betreiben mit mode = phase1_mode_idp; im Setup.
Damit ist dann eine Initiator Funktion problemlos möglich sofern der Peer bekannt ist.