keine-ahnung
Goto Top

Mal wieder: Lancom -Fritz!box s2s-VPN

Moin at all,

mal wieder ein leidiges DAU-Thema.

Ich muss einer MFA einen Homeoffice-Arbeitsplatz einrichten, RDS-Zugriff auf den Arbeitsplatz in der Praxis und Anbindung eines Systemtelefons an meine TK sind notwendig.
Bei mir brubbelt ein LANCOM 1793VAW an einem DeutschlandLAN der Telekomiker über ftth, Gegenstelle wäre eine Fritte7530 an einem Vodafone-DSL-Anschluss (50/Irgendwas), der angeblich eine öffentliche ipV4-Adresse hat. DS lite (was immer das auch ist) hat der Vodafone support telefonisch negiert.
Im web-GUI der Fritzbox steht die Verbindung über ipV4, ipV6 ist da nicht aktiv.

Der LANCOM selbst hält ein VPN zu meinem Lancom Router dohoam, die Verbindung habe vor Zeiten ich mit dem Assi des Lancom zusammengeklickert ... face-sad

Da ich sowohl vom LCOS als auch von VPN viel keine-ahnung habe, habe ich wie hier beschrieben VPN-Multiconnect benutzt, um die Scripte für die Router zu generieren. Den Verbindungsnamen, remote-ID und local-ID habe ich im default belassen, also "LANCOM", "lancom" und "fritzbox", die lokalen LAN-ranges entsprechend den bestehenden Bedingungen geändert und die statische WAN-IP des Lancom eingetackert.

Dann habe ich die Scripte in die Router geladen und es passiert ... nix. Die VPN-Verbindung in der Fritte bleibt inaktiv, im Ereignisprotokoll sehe ich da bzgl. VPN nichts. Im SYSLOG des LANCOM sehe ich auch nicht, dass da Jemand anklopft, im Lanmonitor erscheint das VPN nicht

In der *.cfg der Fritte sind als local-ID und remote-ID "fritzbox" und "lancom" gelistet, von der Syntax her aber als fqdn? Liegt hier mein Denkfehler und die Identitäten müssen die fqdn der domains sein? Neustart habe ich bei beiden Kisten schon ergebnislos durchgeführt ...

Wäre schön, wenn Jemand mein träges Hirn erhellen könnte ...

Danke und LG, Thomas

Content-ID: 661818

Url: https://administrator.de/contentid/661818

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

Visucius
Visucius 12.03.2021 aktualisiert um 09:48:46 Uhr
Goto Top
Leider kann ich Dir bei Deinem LANCOM-Problem nicht helfen ABER die verlinkte Anleitung bespricht ein “Site2Site-VPN”. Damit hättest Du ... sofern Du es zum Laufen bekommst ... (auch) Zugang zum Netzwerk Deiner MFA.

Ich denke, dass ist aus verschiedenen Gründen (u.a. Datenschutzgedönse) nicht im Sinne des Erfinders.
keine-ahnung
keine-ahnung 12.03.2021 um 09:54:45 Uhr
Goto Top
@Visucius

bespricht ein “Site2Site-VPN”

ja. Das habe ich so ja auch in die Überschrift einformuliert. Lassen wir die datenschutzrechtliche Seite mal aussen vor - dass kann man vertraglich absichern und hat auch ein wenig mit Vertrauen zu tun.

LG, Thomas
killtec
killtec 12.03.2021 um 09:57:34 Uhr
Goto Top
Hi,
hattest du nicht Auerswald Telefone? Die können ja z.B. direkt ein openVPN aufbauen. Ich denke der LANCOM kann auch openVPN. Dann wäre das doch eine Idee. Dann noch auf dem Client nen OPVN drauf und los geht's ;)

Ist halt ein anderer Ansatz.
tikayevent
Lösung tikayevent 12.03.2021 um 10:07:55 Uhr
Goto Top
LANCOM Router können kein OpenVPN, dass können die Rohde&Schwarz-Firewalls, die jetzt unter dem Namen LANCOM verkauft werden.

Schau dir mal bitte ein vpn-status-Trace an (auf der Konsole mit tr # vpn-status oder über den LANtracer). Hast du denn die Verbindung aktiv von der Fritzbox aufgebaut, also durch einen Ping oder so ins LANCOM-Netz?
Vision2015
Vision2015 12.03.2021 um 10:09:37 Uhr
Goto Top
moin...

was spricht gegen den Lancom VPN client?


Frank
keine-ahnung
keine-ahnung 12.03.2021 um 10:15:48 Uhr
Goto Top
@tikayevent

Schau dir mal bitte ein vpn-status-Trace an (auf der Konsole mit tr # vpn-status oder über den LANtracer)

Hier überforderst Du mich schon ...

Hast du denn die Verbindung aktiv von der Fritzbox aufgebaut

Nein. Ich habe allerdings auch nur Zugriff auf die Fritte über diesen komischen myFritz-Zugang. Einen ping kann ich von da aus nicht auslösen?

@Vision2015

was spricht gegen den Lancom VPN client?

Die Geschichte mit dem Telefon ...

LG, Thomas
Vision2015
Vision2015 12.03.2021 um 10:18:14 Uhr
Goto Top
Zitat von @keine-ahnung:

@tikayevent

Schau dir mal bitte ein vpn-status-Trace an (auf der Konsole mit tr # vpn-status oder über den LANtracer)

Hier überforderst Du mich schon ...

Hast du denn die Verbindung aktiv von der Fritzbox aufgebaut

Nein. Ich habe allerdings auch nur Zugriff auf die Fritte über diesen komischen myFritz-Zugang. Einen ping kann ich von da aus nicht auslösen?

@Vision2015

was spricht gegen den Lancom VPN client?

Die Geschichte mit dem Telefon ...
ahso... VOIP über VPN....

LG, Thomas
Frank
keine-ahnung
keine-ahnung 12.03.2021 um 10:23:36 Uhr
Goto Top
@tikayevent

Hast du denn die Verbindung aktiv von der Fritzbox aufgebaut

Das scheint es gewesen zu sein ... face-sad

Ich habe mal meinen DC der Fritte temporär als NTP-Server aufgedrängelt ... jetzt scheint das VPN sauber zu laufen. Da steh' ich mal wieder ganz schön doof da - aber vielen Dank!!!!

LG, Thomas
aqui
aqui 12.03.2021 aktualisiert um 10:39:09 Uhr
Goto Top
DS lite (was immer das auch ist)
Guckst du hier:
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Da hat der Provider dann keine öffentlichen IPv4 Adresen mehr für seine Kunden:
https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
und kann diese dann nur mit mit IPv6 anbinden und tunnel dann im IPv6 die Kunden meist mit einem internen 100.64.0.0 /10er IPv4 Netz (RFC 6598) was er dann mit einem zentralen NAT Gateway auf seine wenigen öffentlichen IPv4 Adressen umsetzt. Nennt man dann auch "Carrier Grade NAT" (CGN).
Müsste man jetzt mal schwer nachdenken wie dazu ein medizinischer Vergleich für dich aussehen würde.... Vielleicht so mit Echinococcus granulosus der sich tarnt und allerlei anstellt um zum Ziel seiner Hydatidenzysten zu kommen... face-wink
Zurück zum Thema...
Bei der FritzBox musst du aufpassen was die IPsec Parameter anbetrifft. Sie will zwingend...
  • Nur den Agressive Mode
  • Nur SHA 1 und DH Group 2 (1024)
in den Schlüsselparametern haben. Alles abweichende davon führt zum Nichtaufbau des Tunnels, also das was du siehst. Siehe auch hier am Beispiel Mikrotik Router:
Fritz!Box VPN Mikrotik als VPN Client
oder pfSense Firewall:
PFsense VPN tunnel zur FritzBox 7390 (IPSec)
Das solltest du also beim Peer Setup auf dem Lancom für die FB unbedingt berücksichtigen. Generell ist das FB VPN sehr genügsam und rennt in der Regel problemlos mit anderen Geräten wenn man die beiden o.a. Parameter zwingend berücksichtigt.

Bedenklich ist allerdings die Diagnose das du keinerlei eingehende IPsec Requests im Log des Lancom siehst. Ist der Lancom direkt ohne einen kaskadierten Router davor am FTTH der Telekom ? Vermutlich ja, oder ?
Falls nein musst du als ersten Therapieschritt ggf. Port Forwarding auf einem davor kaskadierten Router beachten.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ziel IP für das FritzBox VPN ist immer die öffentliche Telekom WAN IP Adresse deines Lancoms.
Im Lancom Log sollte eigentlich immer etwas vom VPN Zugriff zu sehen sein.
tikayevent
tikayevent 12.03.2021 um 10:25:55 Uhr
Goto Top
Irgendwie muss der Tunnel aufgebaut werden, damit es zu einer Fehlermeldung kommen. Dann musst du dir irgendwie Zugriff auf einen Rechner hinter der Fritzbox beschaffen.

https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/lantools_tra ...

VPN-Status wird benötigt.
keine-ahnung
keine-ahnung 12.03.2021 um 10:39:36 Uhr
Goto Top
@aqui

Guckst du hier

Habe ich gestern abend schon gemacht ... face-wink

wie dazu ein medizinischer Vergleich für dich aussehen würde

Klingt schwer nach Verknispelung der Antibinoxen durch akute Aklimatusen-Degrative ... ist aber eine unzuverlässige Ferndiagnose face-smile

LG, Thomas
aqui
aqui 12.03.2021 aktualisiert um 11:12:10 Uhr
Goto Top
Um überhaupt erstmal einen Lancom Log Eintrag zu triggern starte mal einen bordeigenen IPsec Client im Rechner oder Mobilgerät mit irgendwelchen Phantasieusern und Passwort von remote auf die WAN IP des Lancom.
Das scheitert dann natürlich aber der Lancom sollte dann in jedem Falle irgendwas ausgeben im Log. Nur um zu sehen das das VPN Logging klappt.
Du kennst das wenn du Cortison gibst um eine Autoimmun Diagnose zu verifizieren... face-wink
Ist so ein bischen wie HIER. Oder als Lektüre für ein verregnetes Couch Wochenende... face-wink