Mal wieder: Lancom -Fritz!box s2s-VPN
Moin at all,
mal wieder ein leidiges DAU-Thema.
Ich muss einer MFA einen Homeoffice-Arbeitsplatz einrichten, RDS-Zugriff auf den Arbeitsplatz in der Praxis und Anbindung eines Systemtelefons an meine TK sind notwendig.
Bei mir brubbelt ein LANCOM 1793VAW an einem DeutschlandLAN der Telekomiker über ftth, Gegenstelle wäre eine Fritte7530 an einem Vodafone-DSL-Anschluss (50/Irgendwas), der angeblich eine öffentliche ipV4-Adresse hat. DS lite (was immer das auch ist) hat der Vodafone support telefonisch negiert.
Im web-GUI der Fritzbox steht die Verbindung über ipV4, ipV6 ist da nicht aktiv.
Der LANCOM selbst hält ein VPN zu meinem Lancom Router dohoam, die Verbindung habe vor Zeiten ich mit dem Assi des Lancom zusammengeklickert ...
Da ich sowohl vom LCOS als auch von VPN viel keine-ahnung habe, habe ich wie hier beschrieben VPN-Multiconnect benutzt, um die Scripte für die Router zu generieren. Den Verbindungsnamen, remote-ID und local-ID habe ich im default belassen, also "LANCOM", "lancom" und "fritzbox", die lokalen LAN-ranges entsprechend den bestehenden Bedingungen geändert und die statische WAN-IP des Lancom eingetackert.
Dann habe ich die Scripte in die Router geladen und es passiert ... nix. Die VPN-Verbindung in der Fritte bleibt inaktiv, im Ereignisprotokoll sehe ich da bzgl. VPN nichts. Im SYSLOG des LANCOM sehe ich auch nicht, dass da Jemand anklopft, im Lanmonitor erscheint das VPN nicht
In der *.cfg der Fritte sind als local-ID und remote-ID "fritzbox" und "lancom" gelistet, von der Syntax her aber als fqdn? Liegt hier mein Denkfehler und die Identitäten müssen die fqdn der domains sein? Neustart habe ich bei beiden Kisten schon ergebnislos durchgeführt ...
Wäre schön, wenn Jemand mein träges Hirn erhellen könnte ...
Danke und LG, Thomas
mal wieder ein leidiges DAU-Thema.
Ich muss einer MFA einen Homeoffice-Arbeitsplatz einrichten, RDS-Zugriff auf den Arbeitsplatz in der Praxis und Anbindung eines Systemtelefons an meine TK sind notwendig.
Bei mir brubbelt ein LANCOM 1793VAW an einem DeutschlandLAN der Telekomiker über ftth, Gegenstelle wäre eine Fritte7530 an einem Vodafone-DSL-Anschluss (50/Irgendwas), der angeblich eine öffentliche ipV4-Adresse hat. DS lite (was immer das auch ist) hat der Vodafone support telefonisch negiert.
Im web-GUI der Fritzbox steht die Verbindung über ipV4, ipV6 ist da nicht aktiv.
Der LANCOM selbst hält ein VPN zu meinem Lancom Router dohoam, die Verbindung habe vor Zeiten ich mit dem Assi des Lancom zusammengeklickert ...
Da ich sowohl vom LCOS als auch von VPN viel keine-ahnung habe, habe ich wie hier beschrieben VPN-Multiconnect benutzt, um die Scripte für die Router zu generieren. Den Verbindungsnamen, remote-ID und local-ID habe ich im default belassen, also "LANCOM", "lancom" und "fritzbox", die lokalen LAN-ranges entsprechend den bestehenden Bedingungen geändert und die statische WAN-IP des Lancom eingetackert.
Dann habe ich die Scripte in die Router geladen und es passiert ... nix. Die VPN-Verbindung in der Fritte bleibt inaktiv, im Ereignisprotokoll sehe ich da bzgl. VPN nichts. Im SYSLOG des LANCOM sehe ich auch nicht, dass da Jemand anklopft, im Lanmonitor erscheint das VPN nicht
In der *.cfg der Fritte sind als local-ID und remote-ID "fritzbox" und "lancom" gelistet, von der Syntax her aber als fqdn? Liegt hier mein Denkfehler und die Identitäten müssen die fqdn der domains sein? Neustart habe ich bei beiden Kisten schon ergebnislos durchgeführt ...
Wäre schön, wenn Jemand mein träges Hirn erhellen könnte ...
Danke und LG, Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 661818
Url: https://administrator.de/contentid/661818
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
12 Kommentare
Neuester Kommentar
Leider kann ich Dir bei Deinem LANCOM-Problem nicht helfen ABER die verlinkte Anleitung bespricht ein “Site2Site-VPN”. Damit hättest Du ... sofern Du es zum Laufen bekommst ... (auch) Zugang zum Netzwerk Deiner MFA.
Ich denke, dass ist aus verschiedenen Gründen (u.a. Datenschutzgedönse) nicht im Sinne des Erfinders.
Ich denke, dass ist aus verschiedenen Gründen (u.a. Datenschutzgedönse) nicht im Sinne des Erfinders.
LANCOM Router können kein OpenVPN, dass können die Rohde&Schwarz-Firewalls, die jetzt unter dem Namen LANCOM verkauft werden.
Schau dir mal bitte ein vpn-status-Trace an (auf der Konsole mit tr # vpn-status oder über den LANtracer). Hast du denn die Verbindung aktiv von der Fritzbox aufgebaut, also durch einen Ping oder so ins LANCOM-Netz?
Schau dir mal bitte ein vpn-status-Trace an (auf der Konsole mit tr # vpn-status oder über den LANtracer). Hast du denn die Verbindung aktiv von der Fritzbox aufgebaut, also durch einen Ping oder so ins LANCOM-Netz?
Zitat von @keine-ahnung:
@tikayevent
Hier überforderst Du mich schon ...
Nein. Ich habe allerdings auch nur Zugriff auf die Fritte über diesen komischen myFritz-Zugang. Einen ping kann ich von da aus nicht auslösen?
@Vision2015
Die Geschichte mit dem Telefon ...
ahso... VOIP über VPN....@tikayevent
Schau dir mal bitte ein vpn-status-Trace an (auf der Konsole mit tr # vpn-status oder über den LANtracer)
Hier überforderst Du mich schon ...
Hast du denn die Verbindung aktiv von der Fritzbox aufgebaut
Nein. Ich habe allerdings auch nur Zugriff auf die Fritte über diesen komischen myFritz-Zugang. Einen ping kann ich von da aus nicht auslösen?
@Vision2015
was spricht gegen den Lancom VPN client?
Die Geschichte mit dem Telefon ...
LG, Thomas
DS lite (was immer das auch ist)
Guckst du hier:https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Da hat der Provider dann keine öffentlichen IPv4 Adresen mehr für seine Kunden:
https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
und kann diese dann nur mit mit IPv6 anbinden und tunnel dann im IPv6 die Kunden meist mit einem internen 100.64.0.0 /10er IPv4 Netz (RFC 6598) was er dann mit einem zentralen NAT Gateway auf seine wenigen öffentlichen IPv4 Adressen umsetzt. Nennt man dann auch "Carrier Grade NAT" (CGN).
Müsste man jetzt mal schwer nachdenken wie dazu ein medizinischer Vergleich für dich aussehen würde.... Vielleicht so mit Echinococcus granulosus der sich tarnt und allerlei anstellt um zum Ziel seiner Hydatidenzysten zu kommen...
Zurück zum Thema...
Bei der FritzBox musst du aufpassen was die IPsec Parameter anbetrifft. Sie will zwingend...
- Nur den Agressive Mode
- Nur SHA 1 und DH Group 2 (1024)
Fritz!Box VPN Mikrotik als VPN Client
oder pfSense Firewall:
PFsense VPN tunnel zur FritzBox 7390 (IPSec)
Das solltest du also beim Peer Setup auf dem Lancom für die FB unbedingt berücksichtigen. Generell ist das FB VPN sehr genügsam und rennt in der Regel problemlos mit anderen Geräten wenn man die beiden o.a. Parameter zwingend berücksichtigt.
Bedenklich ist allerdings die Diagnose das du keinerlei eingehende IPsec Requests im Log des Lancom siehst. Ist der Lancom direkt ohne einen kaskadierten Router davor am FTTH der Telekom ? Vermutlich ja, oder ?
Falls nein musst du als ersten Therapieschritt ggf. Port Forwarding auf einem davor kaskadierten Router beachten.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ziel IP für das FritzBox VPN ist immer die öffentliche Telekom WAN IP Adresse deines Lancoms.
Im Lancom Log sollte eigentlich immer etwas vom VPN Zugriff zu sehen sein.
Irgendwie muss der Tunnel aufgebaut werden, damit es zu einer Fehlermeldung kommen. Dann musst du dir irgendwie Zugriff auf einen Rechner hinter der Fritzbox beschaffen.
https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/lantools_tra ...
VPN-Status wird benötigt.
https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/lantools_tra ...
VPN-Status wird benötigt.
Um überhaupt erstmal einen Lancom Log Eintrag zu triggern starte mal einen bordeigenen IPsec Client im Rechner oder Mobilgerät mit irgendwelchen Phantasieusern und Passwort von remote auf die WAN IP des Lancom.
Das scheitert dann natürlich aber der Lancom sollte dann in jedem Falle irgendwas ausgeben im Log. Nur um zu sehen das das VPN Logging klappt.
Du kennst das wenn du Cortison gibst um eine Autoimmun Diagnose zu verifizieren...
Ist so ein bischen wie HIER. Oder als Lektüre für ein verregnetes Couch Wochenende...
Das scheitert dann natürlich aber der Lancom sollte dann in jedem Falle irgendwas ausgeben im Log. Nur um zu sehen das das VPN Logging klappt.
Du kennst das wenn du Cortison gibst um eine Autoimmun Diagnose zu verifizieren...
Ist so ein bischen wie HIER. Oder als Lektüre für ein verregnetes Couch Wochenende...