LAN2LAN VPN zwischen zwei Fritzboxen 7490 steht aber keine Netzwerkgeräte erreichbar
Hallo zusammen,
ich wünsche erstmal ein gutes und gesundes neues Jahr 2016.
Folgendes Problem habe ich und konnte bisher keine passende Lösung im Netz finden.
Nun ist die Hoffnung, dass mir hier jemand den entscheidenden Hinweis geben kann.
Ein Freund und ich haben unsere Fritzboxen 7490 via VPN verbunden.
Erster Versuch gemäß schrittweiser AVM Anleitung über die jeweilige Web GUI und zweiter Versuch dann via "AVM Fernzugang einrichten" (auf einem WIN 10 Rechner) und anschließendem Import in die Fritzboxen.
Beide Male kam laut FritzBox GUI die Verbindung zustande aber
- pings gingen gar nicht durch (probiert von meinem WIn10-Rechner und von iOS Geräten bzw. einem Rasberry Pi der Gegenseite aus)
- ein tracert kam bis zur ip des jeweiligen Gerätes im Fremdnetz, zeigte dies 2x hintereinander an und dann kamen nur noch timeouts (siehe folgender Auszug)
C:\WINDOWS\system32>tracert 192.168.23.27
Routenverfolgung zu 192.168.23.27 über maximal 30 Hops
1 2 ms 2 ms 2 ms fritz.box [192.168.180.1]
2 44 ms 43 ms 43 ms 192.168.23.27
3 62 ms 61 ms 62 ms 192.168.23.27
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
Mein Freund hat es über diverse Apple Geräte probiert und kommt bei mir ebenfalls auf keine Netzwerkgerät.
Wir haben beide einen Dynamic DNS Account und folgende lokalen IP-Adressen, was nach meinen bisherigen Kenntnisse alles soweit korrekt sein müsste.
Fremdnetz ipaddr = 192.168.23.0; mask = 255.255.255.0;
Mein Netz: ipaddr = 192.168.180.0; mask = 255.255.255.0;
Die Problemlösungsansätze bei AVM habe ich schon durch:
kein spezielles Routing, keine Kindersicherung, ...
Auf der meiner Fritzbox konnte ich (unter Ereignisse) auch keine Meldungen sehen, die auf ein Problem hindeuten.
Eins noch: Ich bin ein ziemlicher Netzwerklaie, kenne mich nur grob aus und dachte das reicht bei Fritzboxen
Im Voraus vielen Dank für eure Antworten!
Viele Grüße,
Schnurcks
ich wünsche erstmal ein gutes und gesundes neues Jahr 2016.
Folgendes Problem habe ich und konnte bisher keine passende Lösung im Netz finden.
Nun ist die Hoffnung, dass mir hier jemand den entscheidenden Hinweis geben kann.
Ein Freund und ich haben unsere Fritzboxen 7490 via VPN verbunden.
Erster Versuch gemäß schrittweiser AVM Anleitung über die jeweilige Web GUI und zweiter Versuch dann via "AVM Fernzugang einrichten" (auf einem WIN 10 Rechner) und anschließendem Import in die Fritzboxen.
Beide Male kam laut FritzBox GUI die Verbindung zustande aber
- pings gingen gar nicht durch (probiert von meinem WIn10-Rechner und von iOS Geräten bzw. einem Rasberry Pi der Gegenseite aus)
- ein tracert kam bis zur ip des jeweiligen Gerätes im Fremdnetz, zeigte dies 2x hintereinander an und dann kamen nur noch timeouts (siehe folgender Auszug)
C:\WINDOWS\system32>tracert 192.168.23.27
Routenverfolgung zu 192.168.23.27 über maximal 30 Hops
1 2 ms 2 ms 2 ms fritz.box [192.168.180.1]
2 44 ms 43 ms 43 ms 192.168.23.27
3 62 ms 61 ms 62 ms 192.168.23.27
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
Mein Freund hat es über diverse Apple Geräte probiert und kommt bei mir ebenfalls auf keine Netzwerkgerät.
Wir haben beide einen Dynamic DNS Account und folgende lokalen IP-Adressen, was nach meinen bisherigen Kenntnisse alles soweit korrekt sein müsste.
Fremdnetz ipaddr = 192.168.23.0; mask = 255.255.255.0;
Mein Netz: ipaddr = 192.168.180.0; mask = 255.255.255.0;
Die Problemlösungsansätze bei AVM habe ich schon durch:
kein spezielles Routing, keine Kindersicherung, ...
Auf der meiner Fritzbox konnte ich (unter Ereignisse) auch keine Meldungen sehen, die auf ein Problem hindeuten.
Eins noch: Ich bin ein ziemlicher Netzwerklaie, kenne mich nur grob aus und dachte das reicht bei Fritzboxen
Im Voraus vielen Dank für eure Antworten!
Viele Grüße,
Schnurcks
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 292192
Url: https://administrator.de/forum/lan2lan-vpn-zwischen-zwei-fritzboxen-7490-steht-aber-keine-netzwerkgeraete-erreichbar-292192.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
10 Kommentare
Neuester Kommentar
Ein Freund und ich haben unsere Fritzboxen 7490 1x via GUI und 1x via AVM!Fernzugang (auf einem Win10 Rechner, was eigentlich nicht gehen sollte) einrichten verbunden.
Unsinn wie immer. Beschreibt AVM sogar selber auf seiner VPN Seite:http://avm.de/service/vpn/uebersicht/
pings gingen gar nicht durch (probiert von meinem WIn10-Rechner aus)
Kein Wunder. ICMP Protokoll (Ping) ist seit Win7 in der lokalen Firewall gesperrt:https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Außerdem kommst du im jeweiligen IP Zielnetz mit einer fremden Absender IP an. Jedes Schulkind weiss mittlerweile das die lokale MS Firewall solche Pakete per Default filtert ! Siehe auch hier:
http://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Fazit: Lokale Firewall customizen dann klappt das auch !
ein tracert kam bis zur ip des jeweiligen Gerätes im Fremdnetz,
Hat dieses Gerät auch die VPN FB als Default Gateway eingetragen ?? Wenn nicht fehlt ggf. eine statische Route von dessen GW dahin ?!Ein noch: Ich bin ein ziemlicher Netzwerklaie, kenne mich nur grob aus
Keine guten Voraussetzungen...weisst du aber selber. Nimm dir jemanden an die Hand der weiss was er da macht bei VPNs.Grundlagen zu IPsec basierten VPNs wie sie auch die FBs nutzen kannst du in diesem Forumstutorial nachlesen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
CFG-Dateien, die für ein VPN (LAN-LAN) zwischen zwei FBen 7940 in meinem Zugriff sind, stelle ich mal zur Verfügung:
1. LAN023-LAN180.cfg
2. LAN180-LAN023.CFG
Die IP-Adressen habe ich bereits angepasst. Die Dateien wären noch abzuändern mit den richtigen/gewünschten Angaben und dem PreSharedKey vor dem Importieren in die jeweilige FB.
Vor Spielereien damit:
Bitte vorher unbedingt die bestehenden Konfigurationen sichern.
Gruß, Nemo_G
1. LAN023-LAN180.cfg
/*
* - dont_filter_netbios = yes; -> dont_filter_netbios = no;
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "LAN180";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "LAN180.myfritz.net";
localid {
fqdn = "LAN023.myfritz.net";
}
remoteid {
fqdn = "LAN180.myfritz.net";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "STRENGGEHEIM";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.23.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.180.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.180.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
2. LAN180-LAN023.CFG
/*
* - dont_filter_netbios = yes; -> dont_filter_netbios = no;
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "LAN023";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "LAN023.myfritz.net";
localid {
fqdn = "LAN180.myfritz.net";
}
remoteid {
fqdn = "LAN023.myfritz.net";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "STRENGGEHEIM";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.180.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.23.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.23.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Vor Spielereien damit:
Bitte vorher unbedingt die bestehenden Konfigurationen sichern.
Gruß, Nemo_G
Hallo Schnurcks,
Ich habe eben auf die Schnelle in meiner FB7490 keine Einstellung gefunden, die Pings blockt.
Wie sieht's mit QNAP aus? Meine Möglichkeiten bez. Synology helfen hier auch nicht weiter.
Kommst Du mit den öffentlichen IPs per Ping auf die fremde FB?
Ob's an den anderen DDNS-Providern liegt, kann ich mir eigentlich, nicht vorstellen, würde es aber nicht grundsätzlich ausschließen wollen.
Mehr fällt mir als Laie auf diesem Gebiet auch nicht ein.
Gruß, Nemo-G
Ich habe eben auf die Schnelle in meiner FB7490 keine Einstellung gefunden, die Pings blockt.
Wie sieht's mit QNAP aus? Meine Möglichkeiten bez. Synology helfen hier auch nicht weiter.
Kommst Du mit den öffentlichen IPs per Ping auf die fremde FB?
Ob's an den anderen DDNS-Providern liegt, kann ich mir eigentlich, nicht vorstellen, würde es aber nicht grundsätzlich ausschließen wollen.
Mehr fällt mir als Laie auf diesem Gebiet auch nicht ein.
Gruß, Nemo-G
Wir verwenden keine MyFritz-DynDNS Namen, sondern einmal einen von selfhost.eu und einmal einen von no-ip.biz.
Testweise um Probleme mit DynDNS sicher auszuschliessen IMMER die IP Adressen der Router verwenden.Welche das aktuell sind kann man mit einem Klick auf http://www.wieistmeineip.de sehen.
Aber das kann ja beides nicht das Problem sein, sonst würden die Fritzbox ja beim Verbindungsaufbau schon scheitern, oder?
Ja, eigentlich richtig. Aber...woraus schliesst du so sicher das der IPsec Tunnel mit beiden Phases vollständig aufgebaut wurde ??Hast du ggf. einen Log Auszug oder Syslog der das sicher belegt ?
ch frage mich, ob es sein kann, dass die Fritzboxen und unsere QNAPs jeweils das Ping aus einem anderen LAN nicht erlauben
Die FBs wohl eher nicht....Warum machst du dir es nicht ganz einfach und pingst mal eure Laptops oder PCs im jeweiligen Netz ???
Idealerweie hast du da vorher einen kostenlosen Wireshark installiert und lässt den laufen:
https://www.wireshark.org
Siehst du dort eingehende ICMP Echo Request Pakete (Ping Anforderungen) mit einer Absender IP aus dem anderen Netz weisst du doch ganz sicher ob die Ping Pakete über den VPN Tunnel ankommen !
So macht das jeder Erstklässler auch. Der Kabelhai ist dein bester Freund
Natürlich bei Winblows solltest du darauf achten das die lokale FW auch eingehende Pings erlaubt:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen