Probleme mit VPN und AVM Fritz Box
Hallo,
ich weiß, dass über die Fritz Box und VPN schon diverse Beiträge vorhanden sind, aber ich komme trotzdem nicht weiter.
Meine Fritzbox hat die Adresse 192.168.1.1 - DHCP von 192.168.1.2 - 192.168.1.200
Ich wähle mich von außen per Mobile Hotspot ein. Dieser hat die Adresse 192.168.3.1
Die nachfolgende Konfig funktioniert zwar, aber wenn ich mir die vom AVM Assistenten erstellte Konfig anschaue, müssten eigentlich an zwei Stellen andere Werte eingetragen werden - dann klappt der Zugriff aber nur bis zur Eingabe von Usernamen und Passwort.
ipaddr = 0.0.0.0;
mask = 255.255.255.0; Müsste hier nicht statt 0.0.0.0 192.168.1.0 eingetragen werden?
accesslist = "permit ip 0.0.0.0 255.255.255.0 192.168.1.201 255.255.255.255"; Müsste hier nicht statt 0.0.0.0 192.168.1.0 eingetragen werden?
Kann mir jemand kurz erklären, welche Werte da stehen sollten?
Danke
Andreas
ich weiß, dass über die Fritz Box und VPN schon diverse Beiträge vorhanden sind, aber ich komme trotzdem nicht weiter.
Meine Fritzbox hat die Adresse 192.168.1.1 - DHCP von 192.168.1.2 - 192.168.1.200
Ich wähle mich von außen per Mobile Hotspot ein. Dieser hat die Adresse 192.168.3.1
Die nachfolgende Konfig funktioniert zwar, aber wenn ich mir die vom AVM Assistenten erstellte Konfig anschaue, müssten eigentlich an zwei Stellen andere Werte eingetragen werden - dann klappt der Zugriff aber nur bis zur Eingabe von Usernamen und Passwort.
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "Meine-E-Mail";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.1.201;
remoteid {
key_id = "Meine-E-Mail";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "MeinKey";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
use_cfgmode = no;
xauth {
valid = yes;
username = "Username";
passwd = "Passwort";
}
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.1.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist = "permit ip 0.0.0.0 255.255.255.0 192.168.1.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
ipaddr = 0.0.0.0;
mask = 255.255.255.0; Müsste hier nicht statt 0.0.0.0 192.168.1.0 eingetragen werden?
accesslist = "permit ip 0.0.0.0 255.255.255.0 192.168.1.201 255.255.255.255"; Müsste hier nicht statt 0.0.0.0 192.168.1.0 eingetragen werden?
Kann mir jemand kurz erklären, welche Werte da stehen sollten?
Danke
Andreas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 174717
Url: https://administrator.de/contentid/174717
Ausgedruckt am: 23.11.2024 um 04:11 Uhr
7 Kommentare
Neuester Kommentar
Die ACl ist generell fehlerhaft mit 2 aufeinenader folgenden Einträgen. Wie sie syntaktisch korrekt auszusehen hat kannst du an einem AVm Beispiel sehen:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/images/Reda ...
Die AVm VPn Portalseite hat dazu detailierte Tips wie man es richtig macht:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Nebenbei: Es ist übrigens nicht besonders intelligent dumme 192.168er Allerweltsnete im VPN Umfeld zu benutzen ! Warum ?
Guckst du hier:
VPNs einrichten mit PPTP
http://www.avm.de/de/Service/Service-Portale/Service-Portal/images/Reda ...
Die AVm VPn Portalseite hat dazu detailierte Tips wie man es richtig macht:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Nebenbei: Es ist übrigens nicht besonders intelligent dumme 192.168er Allerweltsnete im VPN Umfeld zu benutzen ! Warum ?
Guckst du hier:
VPNs einrichten mit PPTP
Das kannst du in den beispielen ja dann auch hier verifizieren ob dem so ist...
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Unter Punkt 11 (Konfig) ist das auch entsprechend so angegeben !!
Das ist aber nur möglich mit einem bestimmten Firmware Level !
Zudem macht es nur Sinn wenn mal alle Verbindungen durch den Tunnel schicken will. Sollen andere Server lokal erreicht werden, dann darf man das "0.0.0.0 0.0.0.0" NICHT hinzufügen sondern lediglich nur das remote IP Netz in der ACL was ja auch logisch klingt !
Wenns das denn war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Unter Punkt 11 (Konfig) ist das auch entsprechend so angegeben !!
Das ist aber nur möglich mit einem bestimmten Firmware Level !
Zudem macht es nur Sinn wenn mal alle Verbindungen durch den Tunnel schicken will. Sollen andere Server lokal erreicht werden, dann darf man das "0.0.0.0 0.0.0.0" NICHT hinzufügen sondern lediglich nur das remote IP Netz in der ACL was ja auch logisch klingt !
Wenns das denn war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Eigentlich nicht. Das mag aber auch eine Eigenart des Cisco VPN Clients im Zusammenspiel mit der FB sein.
Mit einem Cisco Gateway ist das de facto nicht der Fall.
Hast du spaßeshalber mal
accesslist = "permit ip 192.168.1.0 255.255.255.0 192.168.1.201 255.255.255.255";
versucht. Ist zwar irgendwie unsinnig aber hilft vielleicht....?!
Die 192.168.1er IP als lokales netz ist wie gesagt nicht sehr intelligent im VPN Umfeld. Du musst also absolut sicherstellen das der Client so ein IP Netz nicht irgendwie "sieht".
Ansnsten ist die VPN Verbindung nicht möglich.
Mit einem Cisco Gateway ist das de facto nicht der Fall.
Hast du spaßeshalber mal
accesslist = "permit ip 192.168.1.0 255.255.255.0 192.168.1.201 255.255.255.255";
versucht. Ist zwar irgendwie unsinnig aber hilft vielleicht....?!
Die 192.168.1er IP als lokales netz ist wie gesagt nicht sehr intelligent im VPN Umfeld. Du musst also absolut sicherstellen das der Client so ein IP Netz nicht irgendwie "sieht".
Ansnsten ist die VPN Verbindung nicht möglich.
Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!