26
Hilfe gesucht: 2 Fritzboxen koppeln und Ports forwarden trotz Starlink CGNAT
Ich habe folgendes Problem: Ich habe aktuell 2 Standorte per LAN LAN Kopplung 2er Fritzboxen verbunden (DynDNS vorhanden). Die Telefonie läuft über eine davon, die andere ist als Telefonigerät bei dieser Registriert (selbe Vorwahl als eher kein Problem). Ferner habe ich auch einen kleinen Owncloud-Server laufen.
Nun ist die Internetandbindung an einem Standort echt mieserabel - sowohl per Mobilfunk wie auch per DSL.
Also habe ich probehalber Starlink geordert und siehe da - eigentlich perfekt aber: CGNAT im Weg.
Was ich weiterhin brauche ist die LAN/LAN Kopplung der beiden Fritzboxen / Standorte und weiterhin die Möglichkeit den kleinen Server von Aussen erreichbar machen zu können (auch dieser ist leider an dem Standort der Skylink bekommen soll).
Ich habe angefangen mich in die Materie einzuarbeiten und so wie es aussieht wäre es Möglich zumindest einzelne Ports durchzubekommen, indem man einen reverse VPN Tunnel mit Hilfe eines Raspis (wäre vorhanden) und eines VPN Servers mit öffentlicher IP Adresse (zB Lightsail) nutzt.
Mir schwebt aber aktuell vor meine Fritzbox komplett zu exponieren (so als wäre sie weiterhin der Internet-Gateway) damit ich an meinem Setup möglichst wenig ändern muss. Ist das irgendwie machbar ?
Nun ist die Internetandbindung an einem Standort echt mieserabel - sowohl per Mobilfunk wie auch per DSL.
Also habe ich probehalber Starlink geordert und siehe da - eigentlich perfekt aber: CGNAT im Weg.
Was ich weiterhin brauche ist die LAN/LAN Kopplung der beiden Fritzboxen / Standorte und weiterhin die Möglichkeit den kleinen Server von Aussen erreichbar machen zu können (auch dieser ist leider an dem Standort der Skylink bekommen soll).
Ich habe angefangen mich in die Materie einzuarbeiten und so wie es aussieht wäre es Möglich zumindest einzelne Ports durchzubekommen, indem man einen reverse VPN Tunnel mit Hilfe eines Raspis (wäre vorhanden) und eines VPN Servers mit öffentlicher IP Adresse (zB Lightsail) nutzt.
Mir schwebt aber aktuell vor meine Fritzbox komplett zu exponieren (so als wäre sie weiterhin der Internet-Gateway) damit ich an meinem Setup möglichst wenig ändern muss. Ist das irgendwie machbar ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6151581718
Url: https://administrator.de/contentid/6151581718
Printed on: May 5, 2024 at 11:05 o'clock
26 Comments
Latest comment
eigentlich perfekt aber: CGNAT im Weg.
Ist ja mit einem vServer als Jumphost keine wirkliche Hürde: 
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Aber solange ein Standort eine IPv4 Adresse hat musst du diese Klimmzüge gar nicht machen, denn das reicht für ein Site-to-Site VPN. Die CGNAT Seite darf dann immer nur VPN Initiator sein, also die Seite die die Tunnelverbindung aufbaut zur anderen Seite die Responder ist.
Das Einzige was nicht geht ist mit Port Forwarding lokale Hosts auf der CGNAT Seite per IPv4 im Internet zu exponieren. Das scheitert sofort am CGNAT Gateway des Providers und würde nur über die FritzBox klappen die eine öffentliche v4 IP hat oder mit der o.a. Jumphost Lösung.
Sofern der Dual Stack hat kannst du dann auf der CGNAT Seite nur mit IPv6 arbeiten. Mit der aktuellen Fritz Firmware 7.5.1 ist auch VPN mit IPv6 möglich.
Danke für den Link... Werde ich mir umgehende ansehen...
Was die LAN LAN Kopplung betrifft: Ja - das dachte ich eigentlich auch - nur gings nicht...
Allerdings habe ich jetzt Aufgrund deines Posts gesehen, dass die Fritzbox am Standort der KEIN Starlink bekommen soll einen DynDNS Fehler liefert und eventuell gar keine IPV4 mehr hat ! Ist nur nicht aufgefallen weil die andere ja bisher auch noch eine hatte... Muss ich mal wohl bei 1&1 Nachfragen ob sie mir die Wegoptimiert haben...
UPDATE: Ne... Leider nicht... die Fritzbox ohne Starlink hat eine IPV4 und diese ist auch beim DynDNS Provider richtig hinterlegt gewesen - sie zeigt jetzt gerade auch keinen Fehler mehr an - trotzdem bekomme ich die Verbindung nicht zu Stande sobald eine Box per Starlink am Netz hängt... Wenn ich das richtig sehe, dann trage ich für die Fritzbox die Hinter dem Starlink Router steht jeweiles keine Adresse im Setup der IPSEC Verbindung ein - oder ? Also bei "Internet-Adresse dieser Fritzbox" trage ich auf der hinter Skylink nix ein und dann bei "Internet-Adresse der anderen Fritzbox" trage ich in der Fritzbox "ohne Starlink" nix ein. Korrekt ?
Was die LAN LAN Kopplung betrifft: Ja - das dachte ich eigentlich auch - nur gings nicht...
Allerdings habe ich jetzt Aufgrund deines Posts gesehen, dass die Fritzbox am Standort der KEIN Starlink bekommen soll einen DynDNS Fehler liefert und eventuell gar keine IPV4 mehr hat ! Ist nur nicht aufgefallen weil die andere ja bisher auch noch eine hatte... Muss ich mal wohl bei 1&1 Nachfragen ob sie mir die Wegoptimiert haben...
UPDATE: Ne... Leider nicht... die Fritzbox ohne Starlink hat eine IPV4 und diese ist auch beim DynDNS Provider richtig hinterlegt gewesen - sie zeigt jetzt gerade auch keinen Fehler mehr an - trotzdem bekomme ich die Verbindung nicht zu Stande sobald eine Box per Starlink am Netz hängt... Wenn ich das richtig sehe, dann trage ich für die Fritzbox die Hinter dem Starlink Router steht jeweiles keine Adresse im Setup der IPSEC Verbindung ein - oder ? Also bei "Internet-Adresse dieser Fritzbox" trage ich auf der hinter Skylink nix ein und dann bei "Internet-Adresse der anderen Fritzbox" trage ich in der Fritzbox "ohne Starlink" nix ein. Korrekt ?
nur gings nicht...
Dann hast du etwas falsch gemacht oder was auch gut sein kann das der Provider UDP 500, 4500 und ESP (wenn IPsec VPN) bei Consumer Kunden blockiert. Bei Sat Verbindungen ist das durchaus üblich um mehr Bandreite für besser zahlende Businesskunden vorzuhalten. Hier solltest du dich nochmal beim Provider erkundigen um ganz sicher zu sein, sonst suchst du dir einen Wolf. die Fritzbox ohne Skylink hat eine IPV4
WAS für einen denn, eine öffentliche?? Wenn es private RFC1918 IPs sind oder eine 100.64.0.0/10er ist es immer ein CGNAT Anschluss!https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
trage ich in der Fritzbox "ohne Skylink" nix ein. Korrekt ?
Nein, das ist nicht ganz korrekt, das macht man immer mit einer customizten VPN Konfig Datei. Guckst du auch hier bei IPsec:Routingprobleme über OpenVPN auf Fritzbox
always_renew = ; no=FB ist nur Responder, yes=FB ist Initiator
Ich probiers Morgen nochmal ggF auch mit der Custom Config. Und Recherchiere mal bei Skylink...
Basteilen am Hausnetz haben ab jetzt dann einen sehr niedrigen WAF
Ohne Starlink haben beide meine Fritzboxen eine öffentliche IPv4 nur keine statische (aktuell zB 46.114.xx.xx) - ich habe die beiden 1&1 Verträge schon so lange, dass die noch da sind
und als ich vor Jahren mal nachgegoogelt habe war die Aussage von 1&1 dass sie das im Prinzip überwachen und solange sie sehen, dass der Kunde die noch braucht bleibt das bei ihm auch so... Und da ich ja munter die beiden Boxen per IPv4 und DynDNS verbunden halte... (noch)... Ist das bei mir tatsächlich noch so...
Gäbe es denn einen Plan B falls Starlink die Ports blockiert hat ? Dann doch irgenwie mit reverse Tunnel - sei es Wireguard oder IPSEc ?
Basteilen am Hausnetz haben ab jetzt dann einen sehr niedrigen WAF
Ohne Starlink haben beide meine Fritzboxen eine öffentliche IPv4 nur keine statische (aktuell zB 46.114.xx.xx) - ich habe die beiden 1&1 Verträge schon so lange, dass die noch da sind
und als ich vor Jahren mal nachgegoogelt habe war die Aussage von 1&1 dass sie das im Prinzip überwachen und solange sie sehen, dass der Kunde die noch braucht bleibt das bei ihm auch so... Und da ich ja munter die beiden Boxen per IPv4 und DynDNS verbunden halte... (noch)... Ist das bei mir tatsächlich noch so...Gäbe es denn einen Plan B falls Starlink die Ports blockiert hat ? Dann doch irgenwie mit reverse Tunnel - sei es Wireguard oder IPSEc ?
Gäbe es denn einen Plan B falls Skylink die Ports blockiert hat ?
Nur wenn du FBs hast die Wireguard können! Dann wählst du einen UDP Port für den Tunnel im Bereich der Ephemeral Ports von 49152 bis 65535. Da man den Port bei WG frei wählen kann müsste der Provider den gesamten Port Bereich blocken was natürlich utopisch ist. Du kannst sogar für Initiator und Responder unterschiedliche Ports wählen. Siehe auch hier.
Zitat von @BigKid:
Nun ist die Internetandbindung an einem Standort echt mieserabel - sowohl per Mobilfunk wie auch per DSL.
Also habe ich probehalber Skylink geordert und siehe da - eigentlich perfekt aber: CGNAT im Weg.
Also habe ich probehalber Skylink geordert und siehe da - eigentlich perfekt aber: CGNAT im Weg.
Damit ist jetzt aber nicht Starlink gemeint? Dann wäre der falsche Vertrag gebucht worden.
Verflixt… ich nu wieder… ja es ist Starlink gemeint… Hab Op und Überschrift korrigiert… Falscher Vertrag… ich hab noch 25 Tage um es mir anders zu überlegen - aber ich glaube viele bezahlbare Anbieter die ohne terrestrischen Rückkanal auskommen gibts nicht…
Die beiden Fritzboxen können seit einem der letzten Updates auch Wireguard… Sind 7590er…
Die beiden Fritzboxen können seit einem der letzten Updates auch Wireguard… Sind 7590er…
schau doch mal ob sowas wie tailscale oder Zerotier als workaround helfen kann. Ist wenn du nicht zu viel brauchst auch kostenlos
- in Zerotier ist eine VPN wenn man fit in Sachen Netzwerk ist sehr schnell eingerichtet (ich habe mit Benutzer erstellen 10 Minuten gebraucht)
- warum richtest du VoIP nicht einfach direkt an dem anderen standort ein?
- in Zerotier ist eine VPN wenn man fit in Sachen Netzwerk ist sehr schnell eingerichtet (ich habe mit Benutzer erstellen 10 Minuten gebraucht)
- warum richtest du VoIP nicht einfach direkt an dem anderen standort ein?
Von Zerotier kann man nur dringenst abraten wenn dir Datensicherheit wichtig ist. Das ist ein externer VPN Dienstleister der Zugriff auf den Tunneltraffic hat und die Tunnelendpunkte kontrolliert. Besser ist imemr ein VPN in Eigenregie. Mit Wireguard ist das ja nun auch wirklich kein Thema!
1
Weil 1&1 die Anmeldedaten ihrer VOIP Server nicht rausrückt... Bedeutet ich müsste die Nummern zu einem unabhängigen VOIP Anbieter umziehen... Das steht mittelfristig auf dem Plan aber ein Schritt nach dem anderen...
Update: Also ich habe es jetzt noch einmal versucht mit Boardmitteln der Fritzboxen...
Um Dinge gegenprüfen und basteln zu können ohne den Rest der Familie lahmzulegen habe ich eine dritte Fritzbox hinzugezogen - eine 7590AX mit Labor Firmware 7.39 um auch dort an Wireguard zu kommen...
Alle Fritzboxen sind in meinem DynDNS Account registriert (a.a.de , b.a.de und c.a.de)
Fritzbox 1: 1&1 Anschluss
Fritzbox 2: anderer 1&1 Anschluss
Fritzbox 3: Ist als Router konfigruiert , der die Internetverbindung des Starlink Routers per WLAN mitbenutzt (Einstellung bei Zugangsdaten "anderer Anbieter", "vorhandene Verbindung per WLAN mitbenutzen". Den Anschluss per Kabel würde ich zunächst gerne vermeiden, da der Starlink Router erstmal provisorisch auf dem Balkon steht. Aber vermutlich ist das eine weitere Komplikation. Ich habe den Ethernet-Adapter von Starlink bestellt und werde sobald ich kann auch noch testen ob es einen unterschied macht den Starlink Router in den "Modem" Modus zu schalten...
Ob also die DynDNS Einträge von Router 3 nicht absoluter Blödsinn sind wäre noch festzustellen... Ich gehe davon aus, dass die Infos, die die FB3 bekommt falsch sind weil da ja noch der Starlink Router dazwischen hängt...
Versuch zunächst noch einmal mit Boardmitteln:
- Wireguard gemäss Beschreibung von AVM eingerichtet 1 <-> 3 - keine Verbindung
- IPSEC 1 <-> 3 - keine Verbindung (der Versuch mit deine custom cfg steht noch aus, versucht habe ich bei für Fritzbox 3: keine Einträge bei Internet-Adresse eigene , Keep Alive ja
Fritzbox 1: kein Eintrag bei Internet-Adresse andere Box, Keep Alive nein
- IPSEC 1<-> 2 besteht munter weiter
Jetzt wäre ich sehr froh, wenn mir jemand mit den IPSEC Custom.cfgs für die beiden Boxen helfen könnte um mal zu schauen ob es damit hinzubekommen ist.
VPN Verbindung vom Firmenlaptop über Starlink geht jedenfalls (selbst wenn der Laptop an Fritzbox 3 hängt) ... Also ganz Aussichtslos ist das nicht...
UPDATE2: Ich habe es geschafft über IPSEC und eine custom.cfg - die entscheidenden Hinweise damit ich es auch verstehe hab ich in einem Thread im ip phone Forum gefunden.
https://www.ip-phone-forum.de/threads/lan-lan-koppelung-mit-nur-1-%C3%B6 ...
Im Prinzip erstellt man mit dem Uralt-WIndows PRG 2 normale ipsec configs und löscht dann bei der Box die eine echte IP Adresse hat den remotehostname = "" damit sie nicht auf die Idee kommt die Verbindung von sich aus zu initiieren... Die Internatadresse der Fritzbox ohne echt IP kann man sich "ausdenken" - die brauchts soweit ich das verstehe nur zur "Identifikation" beim Aufbau...
Wenn mir jetzt noch jemand verrät wieso es über Wireguard nicht geht bzw. ob/wie man für WireGuard eine ähnliche auch irgendwie eine Custom Config machen kann...
Um Dinge gegenprüfen und basteln zu können ohne den Rest der Familie lahmzulegen habe ich eine dritte Fritzbox hinzugezogen - eine 7590AX mit Labor Firmware 7.39 um auch dort an Wireguard zu kommen...
Alle Fritzboxen sind in meinem DynDNS Account registriert (a.a.de , b.a.de und c.a.de)
Fritzbox 1: 1&1 Anschluss
Fritzbox 2: anderer 1&1 Anschluss
Fritzbox 3: Ist als Router konfigruiert , der die Internetverbindung des Starlink Routers per WLAN mitbenutzt (Einstellung bei Zugangsdaten "anderer Anbieter", "vorhandene Verbindung per WLAN mitbenutzen". Den Anschluss per Kabel würde ich zunächst gerne vermeiden, da der Starlink Router erstmal provisorisch auf dem Balkon steht. Aber vermutlich ist das eine weitere Komplikation. Ich habe den Ethernet-Adapter von Starlink bestellt und werde sobald ich kann auch noch testen ob es einen unterschied macht den Starlink Router in den "Modem" Modus zu schalten...
Ob also die DynDNS Einträge von Router 3 nicht absoluter Blödsinn sind wäre noch festzustellen... Ich gehe davon aus, dass die Infos, die die FB3 bekommt falsch sind weil da ja noch der Starlink Router dazwischen hängt...
Versuch zunächst noch einmal mit Boardmitteln:
- Wireguard gemäss Beschreibung von AVM eingerichtet 1 <-> 3 - keine Verbindung
- IPSEC 1 <-> 3 - keine Verbindung (der Versuch mit deine custom cfg steht noch aus, versucht habe ich bei für Fritzbox 3: keine Einträge bei Internet-Adresse eigene , Keep Alive ja
Fritzbox 1: kein Eintrag bei Internet-Adresse andere Box, Keep Alive nein
- IPSEC 1<-> 2 besteht munter weiter
Jetzt wäre ich sehr froh, wenn mir jemand mit den IPSEC Custom.cfgs für die beiden Boxen helfen könnte um mal zu schauen ob es damit hinzubekommen ist.
VPN Verbindung vom Firmenlaptop über Starlink geht jedenfalls (selbst wenn der Laptop an Fritzbox 3 hängt) ... Also ganz Aussichtslos ist das nicht...
UPDATE2: Ich habe es geschafft über IPSEC und eine custom.cfg - die entscheidenden Hinweise damit ich es auch verstehe hab ich in einem Thread im ip phone Forum gefunden.
https://www.ip-phone-forum.de/threads/lan-lan-koppelung-mit-nur-1-%C3%B6 ...
Im Prinzip erstellt man mit dem Uralt-WIndows PRG 2 normale ipsec configs und löscht dann bei der Box die eine echte IP Adresse hat den remotehostname = "" damit sie nicht auf die Idee kommt die Verbindung von sich aus zu initiieren... Die Internatadresse der Fritzbox ohne echt IP kann man sich "ausdenken" - die brauchts soweit ich das verstehe nur zur "Identifikation" beim Aufbau...
Wenn mir jetzt noch jemand verrät wieso es über Wireguard nicht geht bzw. ob/wie man für WireGuard eine ähnliche auch irgendwie eine Custom Config machen kann...
Weil 1&1 die Anmeldedaten ihrer VOIP Server nicht rausrückt...
Dazu sind sie in der EU laut Gesetz verpflichtet! Du lässt dich scheinbar sehr leicht abwimmeln?!die die FB3 bekommt falsch sind weil da ja noch der Starlink Router dazwischen hängt...
Muss ja, denn der FB WAN Port ist ja das WLAN was an den Starlink koppelt, da du eine [ Router Kaskade] nutzt. Die FB reportet also immer die WAN IP Adresse des Starlink Routers an den DDNS Service. Um die FB dann erreichbar zu machen musst du die entsprechenden TCP oder UDP Ports am Starlink Router forwarden. Siehe dazu hier.Macht natürlich nur dann Sinn wenn der Starlink auf seinem WAN Port eine öffentliche IP Adresse hat.
wenn mir jemand mit den IPSEC Custom.cfgs für die beiden Boxen helfen könnte
Dazu müsstest du sie logischerweise einmal hier in Code Tags posten. Gedanken lesen können wir (noch) nicht. 
Im Prinzip erstellt man mit dem Uralt-WIndows PRG 2 normale ipsec configs
Ist nicht zwingend. Mit jedem einfache Texteditor wie z.B. Notepad++ geht das auch. Die CFG Datei ist eine simple Textdatei.wieso es über Wireguard nicht geht
Vermutlich fehlendes Port Forwarding am Starlink Router für den WG UDP Port?! (geraten)
Ich bin grade ein wenig am Verzweifeln. Ich hatte ein Setup das lief und habe mich dann drann gemacht die Einstellungen auf die Fritzbox zu übertragen die ich gerne Final benutzen würde.
Und nu geht es wieder nich...
Ich fange mal an mit den cfgs:
Box 1 - das ist die, die eigentlich eine öffentliche IP haben sollte...
Box 3 - das ist die ohne öffentliche IP
Alles was ich geändert hatte ist, dass die Box im erfolgreichen Versuch 192.168.40.0 als Netz hatte... Ich habe das in der Box und auch in den beiden Configs angepasst auf 192.168.20.0 ...
Ich verstehs einfach nicht...
Was mir noch aufgefallen ist, ist dass die BOX die eigentlich ne IP haben sollte anscheinend mittlerweile doch per DS-Lite angebunden zu sein scheint... Den Switch habe ich aber nicht wirklich mitbekommen...
Und nu geht es wieder nich...
Ich fange mal an mit den cfgs:
Box 1 - das ist die, die eigentlich eine öffentliche IP haben sollte...
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "AltbauNeubau";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "";
localid {
fqdn = "a.a.de";
}
remoteid {
fqdn = "b.a.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "verrate ich nicht";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.30.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.20.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.20.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOFBox 3 - das ist die ohne öffentliche IP
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "AltbauNeubau";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "a.a.de";
localid {
fqdn = "b.a.de";
}
remoteid {
fqdn = "a.a.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "ne den verrate ich nicht";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.20.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.30.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.30.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}Alles was ich geändert hatte ist, dass die Box im erfolgreichen Versuch 192.168.40.0 als Netz hatte... Ich habe das in der Box und auch in den beiden Configs angepasst auf 192.168.20.0 ...
Ich verstehs einfach nicht...
Was mir noch aufgefallen ist, ist dass die BOX die eigentlich ne IP haben sollte anscheinend mittlerweile doch per DS-Lite angebunden zu sein scheint... Den Switch habe ich aber nicht wirklich mitbekommen...
Box 2 - das ist die ohne öffentliche IP
Hier solltest du unbedingt noch einkeepalive_ip = 192.168.30.1;
einfügen nach dem Parameter "remote_virtualip = 0.0.0.0;" wenn die .1 die lokale LAN IP der remoten FB ist.
Der Tunnel wird nur dann aufgebaut wenn relevanter Traffic da ist. Ohne den Traffic baut sich der Tunnel nicht auf. Mit dem Keepalive Eintrag ist das immer sichergestellt.
Der Rest ist soweit OK.
Moment... Dann sollte die keep alive Adresse doch 192.168.20.1 sein - oder ?
Box 2 ist die ohne öffentliche ip. Das 30er Netz ist ihres, das 20er Netz wäre das der FB MIT ip-adresse (hoffentlich).
UPDATE: Um nicht zusätzlich zu verwirren habe ich die Boxen in meinen Posts nach dem indem ich die 3 Boxen nenne nochmal einheitlich durchnummeriert... Ich hoffe ich erreiche damit nicht das Genenteil und Sorry...
Box 2 ist die ohne öffentliche ip. Das 30er Netz ist ihres, das 20er Netz wäre das der FB MIT ip-adresse (hoffentlich).
UPDATE: Um nicht zusätzlich zu verwirren habe ich die Boxen in meinen Posts nach dem indem ich die 3 Boxen nenne nochmal einheitlich durchnummeriert... Ich hoffe ich erreiche damit nicht das Genenteil und Sorry...
Immer die FB die Initiator ist muss logischerweise den Keepalive senden um den Tunnel zu triggern. Versteht man deine Konfig richtig ist das doch die FB2, oder? Denn diese ist die, die die remote Tunnel IP hat. Die FB 1 hat keine, kann also deshalb niemals rauswählen und ist damit immer der (passive) Responder.
Oder...du hast das selber verwechselt oben?!
Oder...du hast das selber verwechselt oben?!
Nein... Aber jetzt grade bin ich durcheinander gekommen... Du hast völlig recht...
Die Fritzbox 2 mit dem 20er Netz hat keine IP, muss also der Initiator sein... Die 1er mit dem 30er Netz SOLLTE eine habe... Ich habe um 16:57 Mist geschrieben und sollte wohl mal meinen Koffeeingehalt pushen...
Ich bin grade über die IP-Adressen der Netze gestolpert... die waren vor dem Umzug nämlich noch anders...
Die Fritzbox 2 mit dem 20er Netz hat keine IP, muss also der Initiator sein... Die 1er mit dem 30er Netz SOLLTE eine habe... Ich habe um 16:57 Mist geschrieben und sollte wohl mal meinen Koffeeingehalt pushen...
Ich bin grade über die IP-Adressen der Netze gestolpert... die waren vor dem Umzug nämlich noch anders...
Ich habe meine Posts auf eine einheitliche Nummerierung der Boxen umgstellt und bitte um Entschuldigung...
Aber was ich jetzt schreibe macht sonst keinen Sinn, weil Box2 im einen Post die eine war und in nem späteren dann eine andere...
Also: Da ich bisher kein Glück hatte, habe ich Box3 (die "hinter" Starlink-Box, die mal Box 2 ersetzen soll) ausser Betrieb genommen und wollte mich einmal auf die Boxen fokussieren, die eine funktionierende Verbindung haben... Das sind Box 1 + 2. Starlink ist erst einmal raus bis ich verstehe wieso diese Verbindung klappt... Da Box 3 mal Box 2 ersetzen soll - hjaben sie die selben interne Ip-Netze (mit der 20 am Ende).
Hinweis: Box 2+3 haben während der obigen Versuche nie Verbindung zueinander gehabt und Box 1 immer nur mit der einen ODER der anderen...
Das Problem: Obwohl die funktionierende Verbindung von Box 1+2 mittels Weboberfläche der Boxen gemacht wurde und somit sicher nix geheimnisvolles enthält schaffe ich es nicht eine neue Verbindung zu erstellen die auch funktioniert ?!? Wenn ich aber das Sicherheitshalber gemacht Backup der beiden Boxen einspiele ist sie sofort wieder da ?!? Ich muss mir das Morgen wohl nochmal von vorne ansehen... Irgendwo habe ich einen Denkfehler...
Aber was ich jetzt schreibe macht sonst keinen Sinn, weil Box2 im einen Post die eine war und in nem späteren dann eine andere...
Also: Da ich bisher kein Glück hatte, habe ich Box3 (die "hinter" Starlink-Box, die mal Box 2 ersetzen soll) ausser Betrieb genommen und wollte mich einmal auf die Boxen fokussieren, die eine funktionierende Verbindung haben... Das sind Box 1 + 2. Starlink ist erst einmal raus bis ich verstehe wieso diese Verbindung klappt... Da Box 3 mal Box 2 ersetzen soll - hjaben sie die selben interne Ip-Netze (mit der 20 am Ende).
Hinweis: Box 2+3 haben während der obigen Versuche nie Verbindung zueinander gehabt und Box 1 immer nur mit der einen ODER der anderen...
Das Problem: Obwohl die funktionierende Verbindung von Box 1+2 mittels Weboberfläche der Boxen gemacht wurde und somit sicher nix geheimnisvolles enthält schaffe ich es nicht eine neue Verbindung zu erstellen die auch funktioniert ?!? Wenn ich aber das Sicherheitshalber gemacht Backup der beiden Boxen einspiele ist sie sofort wieder da ?!? Ich muss mir das Morgen wohl nochmal von vorne ansehen... Irgendwo habe ich einen Denkfehler...
schaffe ich es nicht eine neue Verbindung zu erstellen die auch funktioniert ?!?
Wenn es am Import der VPN Konfig Datei scheitert hast du einen Syntax Fehler in der Konfig Datei!Ansonsten taucht die importierte Konfig in der VPN Übersicht immer zusätzlich auf.
Wenn ich die alte Verbindung lösche, dann taucht die neue auch auf, das ist nicht unbedingt das Problem - es kommt nur keine Verbindung mehr zustande. Das ist es was ich mir dann Morgen ansehen wollte für heute ist erstmal gut...
Wenn ich schon zwischen den beiden Boxen keine neue Verbindung hin bekomme, wie solls dann hinter Starlink klappen...
Wenn ich schon zwischen den beiden Boxen keine neue Verbindung hin bekomme, wie solls dann hinter Starlink klappen...
Was sagt denn das Log zum Fehler?? Wie immer die erste Anlaufstelle.
Ja... Im Log waren Timeouts... 2027...
Neuer Tag neues Glück... Ich habe nochmal ganz von vorne angefangen und konnte mit einer neuen ipsec config Datei erfolgreich die Verbindung zwischen BOX1 und BOX2 herstellen... Soweit so gut...
Das klappt selbst dann noch wenn ich BOX1 die Adresse von BOX2 wegnehme und somit erzwinge, dass BOX2 die Verbindung initiert...
Kein Glück hingegen habe ich bisher sobald BOX3 hinter Starlink ins Spiel kommt... Ich weiss nicht ob es daran liegt, dass sie den Internetzugang per WLAN bezieht (und daher zB auch das Gastnetz Stillegen muss)..
Das Problem ist, dass ich selbst mit Keepalive_IP gar keine VERSUCHE im Log der BOX3 sehe überhaupt eine Verbindung aufzubauen ?!
UPDATE: Geduld ist angesagt: Wenn ich lange genug Warte dann sehe ich in BOX3 Timeouts (0x2027) ...
Das ist die Config in BOX3 bzw. BOX2 (jeweils immer nur eine aktiv...)
Neuer Tag neues Glück... Ich habe nochmal ganz von vorne angefangen und konnte mit einer neuen ipsec config Datei erfolgreich die Verbindung zwischen BOX1 und BOX2 herstellen... Soweit so gut...
Das klappt selbst dann noch wenn ich BOX1 die Adresse von BOX2 wegnehme und somit erzwinge, dass BOX2 die Verbindung initiert...
Kein Glück hingegen habe ich bisher sobald BOX3 hinter Starlink ins Spiel kommt... Ich weiss nicht ob es daran liegt, dass sie den Internetzugang per WLAN bezieht (und daher zB auch das Gastnetz Stillegen muss)..
Das Problem ist, dass ich selbst mit Keepalive_IP gar keine VERSUCHE im Log der BOX3 sehe überhaupt eine Verbindung aufzubauen ?!
UPDATE: Geduld ist angesagt: Wenn ich lange genug Warte dann sehe ich in BOX3 Timeouts (0x2027) ...
Das ist die Config in BOX3 bzw. BOX2 (jeweils immer nur eine aktiv...)
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "freymodur.eloradana.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
keepalive_ip = 192.168.30.1;
remotehostname = "b.a.de";
localid {
fqdn = "a.a.de";
}
remoteid {
fqdn = "b.a.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "irgendein key";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.20.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.30.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.30.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}Wenn ich lange genug Warte dann sehe ich in BOX3 Timeouts (0x2027) ...
Zeigt das der dann sein IP Ziel nicht erreichen kann und in einen Timeout rennt. Das hat vermutlich etwas mit der asymetrischen Kommunikation über einen separaten Rückkanal (WLAN) zu tun.
MAAANNN...
Das Problem war, dass man die Fritzboxen NEUSTARTEN muss...
Irgendwie bin ich durchgedreht denn mal gings mit der neuen Config zwischen BOX1+2 und mal nicht...
Und dann hatte ich ja vor 2 Tagen das Gefühl dass es KURZ auch mal mit BOX3 ging (da hatte ich sie aber nicht als Ersatz für BOX2 konfiguriert sondern mit eigenem IP Bereich)...
Was soll ich sagen: Ich habe den Fehler gefunden -> ICH MUSS DIE BOXEN DURCHSTARTEN...
Nur die VPN Configs zu ändern führt genau zu dem Bild dass ich plötzlich 2027er Fehler bekomme - auch zwischen Box 1+2 ... Das Laden der Backups führt vermutlich zu einem Neustart...
Nachdem ich das wusste habe BOX2 wieder stillgelegt, die Box3 hinter Starlink wieder ins Spiel gebracht... Die IPSEC Config für (identisch für BOX2+3 ) geladen... -Box 1 + 3 durchgestartet...
-> VPN Verbindung steht
Jetzt muss ich mir noch überlegen wie ich die ganzen WLAN Brücken-Krücken (weil ich ja nirgends Bohren oder Kabel verlegen darf) neu aufstelle damit ich den Starlink Router als neu dazugekomme Ecke und den Rest von dem alten Schuppen verbinde... aber das macht mir keine Angst...
Das Problem war, dass man die Fritzboxen NEUSTARTEN muss...
Irgendwie bin ich durchgedreht denn mal gings mit der neuen Config zwischen BOX1+2 und mal nicht...
Und dann hatte ich ja vor 2 Tagen das Gefühl dass es KURZ auch mal mit BOX3 ging (da hatte ich sie aber nicht als Ersatz für BOX2 konfiguriert sondern mit eigenem IP Bereich)...
Was soll ich sagen: Ich habe den Fehler gefunden -> ICH MUSS DIE BOXEN DURCHSTARTEN...
Nur die VPN Configs zu ändern führt genau zu dem Bild dass ich plötzlich 2027er Fehler bekomme - auch zwischen Box 1+2 ... Das Laden der Backups führt vermutlich zu einem Neustart...
Nachdem ich das wusste habe BOX2 wieder stillgelegt, die Box3 hinter Starlink wieder ins Spiel gebracht... Die IPSEC Config für (identisch für BOX2+3 ) geladen... -Box 1 + 3 durchgestartet...
-> VPN Verbindung steht
Jetzt muss ich mir noch überlegen wie ich die ganzen WLAN Brücken-Krücken (weil ich ja nirgends Bohren oder Kabel verlegen darf) neu aufstelle damit ich den Starlink Router als neu dazugekomme Ecke und den Rest von dem alten Schuppen verbinde... aber das macht mir keine Angst...
1
👏 👍
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
