01.02.2014

9143

LAN-LAN-Kopplung Fritbox6842LTE und Lancom

Moin miteinander,

ich habe mittlerweile eine Halsumfang > 1m

.

Seit Tagen versuche ich sporadisch ein VPN zwischen einer o.g. Fritzbox und einem Lancom 1780EW-3G zu basteln ... offenbar bin ich einfach zu doof.
Setup: Fritzbox6842LTE mit dynamischer öffentlicher Adresse mit folgender VPN-Konfiguration:

connections {
enabled = yes;
conn_type = conntype_lan;
name = "NAME_DER_VERBINDUNG";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 88.XX.XXX.XXX;
remote_virtualip = 0.0.0.0;
localid {
fqdn = FRITZBOX;
}
remoteid {
fqdn = LANCOM;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "PASSWORT";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.0.1.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 10.0.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 10.0.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

Ich habe die remote-ID auch schon über die statische Adresse des WAN-Ports des Lancoms (Funkmodem per pppoe) versucht, genau so erfolglos. Im Lancom ist NAT-traversal aktiv, SAs steht auf "gemeinsam für keep alive". Die VPN-Konfigurationen im LANCOM habe ich im Wesentlichen nach diesem howto konfiguriert, kann ich aber auch noch mal posten. Ich will Euch damit jetzt nicht langweilen.

Die Fritte baut das VPN nicht auf, Fehlermeldungen sind 0x1c und 0x2027, im LAN-Monitor sehe ich den Versuch des gescheiterten VPN-Aufbaus: "Nicht verbunden mit Name_der_Verbindung": Namensauflösung fehlgeschlagen (Initiator) [0x1109].

VPN aus dem Fritten-Netz zum Router über den VPN-Client von Lancom sind problemlos möglich...

Nehme Tipps und Beschimpfungen gerne entgegen

, ich bin offenbar hochbeschränkt.

LG, Thomas

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 228432

Url: https://administrator.de/forum/lan-lan-kopplung-fritbox6842lte-und-lancom-228432.html

Ausgedruckt am: 03.04.2025 um 08:04 Uhr

22 Kommentare

Neuester Kommentar

Moin Thomas,

ist ein Halsumfang > 1m anatomisch beim Menschen möglich? ;)

Hast du bei der FritzBox die aktuellste Version installiert? (Supportiert die schon 6.x?)

LG

Hi Christian,

6.01 ist drauf ...

LG, Thomas

Dann probier es mal übers Webinterface

Ggf. auch mal die derzeitige public IP eintragen als Endziel. (Ist es wirklich eine Public auf beiden Seiten?)

Zitat von @certifiedit.net:

Dann probier es mal übers Webinterface

??? Was soll ich da probieren ??? Auf dem Ding bin ich ja drauf ...

Ggf. auch mal die derzeitige public IP eintragen als Endziel. (Ist es wirklich eine Public auf beiden Seiten?)

Ich habe die als remote-ID sowohl den Gerätenamen des Lancoms als fqnd als auch die öffentliche IP für die Remote-IP versucht (in beiden Geräten natürlich) ... selbes Ergebnis.

Der Lancom hat eine statische WAN-IP, die Fritte eine dynamische, die aber öffnetlich ist und auf der auch ein DDNS-account synchronisiert ist (den sollte ich ja eigentlich aber gar nicht brauchen?). Ich stelle mir das so vor, dass nur die Fritte das VPN aufbaut?

LG, Thomas

Und was ist bei LTE mit dynamischen IPs?
Kann der Lancom damit umgehen oder braucht der statische ...
Wie sieht es auf der anderen Seite aus?

Pakete müssen ja den Weg immer auch zurück gehen können.

Gruß
Netman

Nein, per 6.0.x kannst du per WebGui die VPN Settings hinterlegen meinte ich ;)

Doch, brauchst du für das Aushandeln.

Die VPN-Konfigurationsmöglichkeiten im GUI der Fritte sind rudimentär, das habe ich mit dem AVM-support schon ausgekaspert, das das nicht geht. Das config-Programm von AVM kann man ja trotzdem nehmen.

Ich versteh trotzdem immer noch nicht, wozu ich für die VPN-Konfiguration den DDNS-FQDN benötige? Wenn ich aus dem selben Netz über den VPN-Client auf den Lancom, benötige ich den doch auch nicht ...?? Und AVM nimmt in dem howto die DDNS-FQND komplett aus der Konfig raus?

Mich irritiert in erster Linie die Fehlermeldung aus dem LAN-Monitor ... WAS versucht die Fritzbox, die ja der Initiator sein sollte, da aufzulösen?

Ich seh allmählich den Wald vor lauter Bäumen nicht mehr ...

LG, Thomas

Hallo,

1
name = "NAME_DER_VERBINDUNG";  

Ist hoffentlich von Dir so geändert worden.

Mich irritiert in erster Linie die Fehlermeldung aus dem LAN-Monitor

Fehlermeldung "Error: IKE-Error 0x2027"

Noch etwas ist mir aufgefallen, die beiden Router sind via LTE und 3G
an das Internet angebunden, kann es sein dass es sich hierbei um
Consumer Flatrates handelt und nicht um Business Tarife, wo das VPN
auf jeden Fall nicht geblockt wird???

Hier noch ein Beispiel zu dem 0x1109 Error
X1109 Error

Viel Erfolg.

Gruß
Dobby

über umts nur in den teureren Verträgen mit vpn passthrough... wobei eine Gegenstelle kein umts/LTE sein darf.

Gruß, Arch Stanton

Zitat von @keine-ahnung:
Ich versteh trotzdem immer noch nicht, wozu ich für die VPN-Konfiguration den DDNS-FQDN benötige? Wenn ich aus dem
selben Netz über den VPN-Client auf den Lancom, benötige ich den doch auch nicht ...?? Und AVM nimmt in dem howto die
DDNS-FQND komplett aus der Konfig raus?

Hi Thomas,

zählt das zu den ernst gemeinten Beiträgen?
Logisch ist LAN anders als WAN.
Fang erst mal mit den Basistools an:
Ping
tracert
pathping
telnet auf dem VPN-Port

Und du wirst den Unterschied bemerken

Gruß
Netman

Zitat von @108012:

Hi,

name = "NAME_DER_VERBINDUNG" Ist hoffentlich von Dir so geändert worden.

Nee, ich freu mich immer so über Besuch ...

Noch etwas ist mir aufgefallen, die beiden Router sind via LTE und 3G an das Internet angebunden

Das habe ich nicht gesagt, lediglich der Fritte bleibt nix anderes über, als via LTE ins Netz zu gehen - die kann gar nicht anders. Der Lancom hängt via pppoe an einem WLAN-AP eines Providers. Das 3G-Modem dient nur als fallback ...

kann es sein dass es sich hierbei um Consumer Flatrates handelt und nicht um Business Tarife, wo das VPN auf jeden Fall nicht geblockt wird???

Neihein! Ich kann ohne Probleme von einem Windows-OS aus dem Netz der Fritzbox (dohoam) mit dem LANCOM VPN-client in mein Praxisnetz hinter dem Lancom.

Hier noch ein Beispiel zu dem 0x1109 Error X1109 Error

Yep, kannte ich auch schon ...

über umts nur in den teureren Verträgen mit vpn passthrough... wobei eine Gegenstelle kein umts/LTE sein darf.

Ist so schon in Ordnung. Der LTE-Vertrag ist zwar nix business, aber ein call'n'surf via LTE von den Telekomikern - VPN geht da.

zählt das zu den ernst gemeinten Beiträgen?

Nee, ist nur ein joke! Was soll ich sonst samstags machen

. Ich habe mich da wohl etwas unglücklich ausgedrückt, zumal AVM ja zwei Konfigs für die jeweilige Gegenstelle ausgibt. Vom Lancom nach Hause habe ich den DDNS-FQND der Fritte drin. Der Lancom selber braucht das nicht --> der hat eine statische Adresse, die ich in die config der Fritzbox eingetragen hat. Der findet auch die Fritte als Gateway.

Ich habe aber das Gefühl, das die Fritzbox nach einem FQDN am Lancom sucht und weder die öffentliche IP noch den Gerätenamen (je nach config der Fritzbox und im Lancom selber hatte ich das korrespondierend eingetragen) als IKE-Identität akzeptiert ...??

Das Lancom-Forum scheint auch den BAch runter gegangen zu sein ...??

Na, ich werde mal das setup und die traces an den Lancom-Support schicken, mir gehen sämtliche Ideen aus. Dafür werden meine Augen immer eckiger

Wenn noch jemand eine Idee hat ... immer her damit.

LG, Thomas

Die Konfig ist scheinbar nicht die Wurzel des Übels sondern du hast irgendwie ein DNS Problem:
http://service.avm.de/support/de/SKB/FRITZ-Box-7270/687:Fehlermeldung-E ...
Das passt zur identischen Fehlermeldung auf der Lancom Seite "Namensauflösung fehlgeschlagen (Initiator) [0x1109] "
Kann es sein das du in der IKI Konfig (Phase 1) eine Seite mit dem FQDN und die andere mit der IP Adresse definiert hast ?
Das geht nicht und führt zu einem Abbruch der Phase 1.
Du kannst entweder nur beide Seiten mit FQDN oder IP machen aber nicht gemischt. Nur der Hostname des Lancom reicht nicht, es muss der vollständige FQDN sein.
Testweise kannst du mal beide Seiten rein mit der nachten Tunnel IP (WAN) definieren ! Damit sollte der Tunnel dann sofort hochkommen. Testweise klappt das mal ,da sich die FB IP ja erst wieder in 24 Std. ändert. Damit kannst du verifizieren das die VPN Konfig generell richtig ist.
Du solltest ferner drauf achten BEIDE Seiten in den Agressive Mode zu setzen. Das ist zwingend wenn beide Seiten unterschiedliche Hersteller haben.
Kannst du ggf. die Logs beider Geräte mit Syslog exportieren ? Das macht aber nur Sinn sofern die Syslogs detailierter sind als was die Geräte so oder so ausgeben !

Hi aqui,

Die Konfig ist scheinbar nicht die Wurzel des Übels sondern du hast irgendwie ein DNS Problem

ich wollte eigentlich den FQDN meines Netzes gar nicht einsetzen.

Kann es sein das du in der IKI Konfig (Phase 1) eine Seite mit dem FQDN und die andere mit der IP Adresse definiert hast ?

Ich denke eigentlich eher nicht, da ich wie oben geschrieben, die Veränderungen korrespondierend in beiden Geräten eingetragen habe. Allerdings arbeite ich am Notebook ...

Nur der Hostname des Lancom reicht nicht, es muss der vollständige FQDN

AVM gibt im Konfigurationstool die Möglichkeit vor, statt des DDNS-FQND die statische WAN-Adresse des Gegenübers einzubauen. Das schreibt sich dann auch so in die config-Datei. Ich denke, dass das eigentlich dann für die Route auch genügen sollte? Die Idee mit denIP auf beiden Seiten probiere ich mal aus, allerdings wird häufig empfohlen, die Fritte mal neu zu starten, wenn der Tunnelaufbau nicht klappt ... da beisst sich dann die Katze in den ###.

Du solltest ferner drauf achten BEIDE Seiten in den Agressive Mode zu setzen.

Yep - ist.

Na, ich schraube noch mal ein bisschen

LG, Thomas

ich wollte eigentlich den FQDN meines Netzes gar nicht einsetzen.

Das musst du aber leider zwangsweise machen weil eine Seite eben DynDNS nutzt. Es gibt eine Ausnahme: Wenn du den DynDNS Router als VPN Dialin Client sich aktiv am Lancom einwählt, dann kann das Arbeiten mit dem FQDN entfallen. Wegen der wechselnden Absender IP kann man dann hier "0.0.0.0" als Platzhalter einsetzen. Der "VPN Server" erzeugt dann einen dynamischen Eintrag. Das IPsec_Tutorial hier erklärt die ToDos ansatzweise.
Der VPN Dialin der Fritte ist vermutlich wirklich nicht 100% wasserdicht...leider. Ein anderer aktueller Leidensthread hier bestätigt das:
Site to Site VPN IPSec PfSense -- Fritzbox Tunnel down nach Disconnect oder Reboot
Möglich auch das da noch ein Firmware Bug enthalten ist.
Wie gesagt teste das mal mit den beiden IPs in der Konfig.

So,

ich habe das dann gestern beendet, ein VPN wird auch mit der Eingabe der WAN-IP als remotehost beidseits nicht aufgebaut ... die Fehlermeldungen sind immer die selben. Ich werde als nächsten step mal einen weiteren LANCOM-Router hinter die Fritzbox klemmen und schauen, ob sich dieser mit dem Praxisrouter konnektiert - ich habe irgendwie das Gefühl, dass der VPN-client der Fritte buggy ist. Alternativ natürlich ich ...

Ich setze den Fred mal als gelöst, sollte das an der Fritzbos liegen, poste ich das am nächsten Wochenende hier noch mal rein ...

LG und Danke für die inputs, Thomas

Vielleicht hilft dir DAS noch für einen allerletzten Versuch:

http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...

http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lanco ...

http://lelug.de/hardware/13-vpn-fritz-box-mit-lancom-in-15-min.html

Bei allen klappt es wunderbar, beim letzten sogar in 15 Minuten !!
Generell scheint es also zu klappen ! Du solltest ggf. also noch einen versuch wagen....

Hallo aqui,

habe ich alle in der Mache gehabt ... kein Resultat. Respektive das oben beschriebene. Der Lancom findet die Fritte, die Fritte findet den Lancom, das VPN baut sich nicht auf. Irgendwann neige ich dann schon zur Kapitulation ... zumal es sich mit den Software-clients eigentlich auch recht hübsch arbeiten lässt. Ich hatte nur die Idee, mir noch ein Telefon als VOIP-Nebenstelle meiner Praxis-TK in die Wohnung zu stellen ... wäre eh nur ein gimmick.

Ich teste das nächstes WE nochmal mit einem Lancom-Router, dem ich die Fritte via pppoe als WAN-gateway anbiete, wenn das funktioniert, sollte der VPN-client der Fritzbox schuldig sein, wenn nicht - bin ich es

.

LG, Thomas

wenn nicht - bin ich es

Sooo unbedarft bist ja nun auch nicht und ich denke es ist wohl eher eine
Kleinigkeit die Du übersiehst und daher funktioniert es nicht richtig.

Ich würde einfach mal alles von vorne neu eingeben und bei null starten, aber
eben auch nicht tausend Sachen probieren die es so gibt denn da verheddert man
sich auch schnell einmal.

Gruß
Dobby

Zitat von @108012:

Ich würde einfach mal alles von vorne neu eingeben und bei null starten, aber eben auch nicht tausend Sachen probieren

Nee, waren nur 998, dann habe ich aufgehört

Ich habe momentan 0-Bock auf die Kistchen und werde bis zum Wochenende das Gedöhns in Ruhe lassen ...

LG, Thomas

Hallo,

sorry das ich den alten Threat nochmal belebe.
Wie hast du das Problem gelöst?
Hat die Verbindung zwischen zwei Lancoms funktioniert?
Oder hast du es mit dem Lancom und der Fritzbox hinbekommen?

Habe das selbe Problem/Fehlermeldung - und die gleichen Voraussetzungen (1x LTE-Anschluss an der Zentrale (Lancom) und 1x VDSL-Anschluss (Fritzbox)).
Würde mich freuen wenn ihr die Lösung posten könntet.

Ich werde heute Abend aber zeitgleich auch noch eine Verbindung von meinem Lancom auf die Zentrale auf zu bauen - melde mich dann wieder.

Grüße
Kabuschke

Moin,
ich habe das mit der LTE-Fritte und dem LANCOM vor Lachen nicht hinbekommen, nach Zukauf eines 1780-4G EW habe ich die Fritte in den Ruhestand geschickt und das VPN steht seitdem wie eine Eins. keine-ahnung, was da nicht miteinander kann - aber Zeit war auch Geld und die Fritte kann ich ja bei Gelegenheit in der Bucht anbieten.

LG, Thomas