Routingprobleme unter VPN
Hallo zusammen,
ich bin neu hier und brauche dringend Hilfe, da ich nicht mehr weiterkomme.... Habe zwei Fritzboxen, die via VPN über LAN-LAN-Kopplung miteinander dauerhaft verbunden sind. Netzwerk A hat noch im gleichen IP-Bereich einen zusätzlichem Router, der an statische festgelegte Routen weiterleitet. Ping von Netzwerk A zu B und zurück funktionieren, kann auch die Freigabe von beiden Netzwerken erreichen. Problem ist nur, von Netzwerk B komme ich zwar auf den zusätzlichen Router, komme aber im VPN nicht in die statischen Routen weiter, hier kommt der Fehler, Netzwerk ist nicht erreichbar.... Trotz Routen adden funktioniert es nicht. Gibt es hier eine Befehlszeile oder Tool, die ich gesondert schreiben muss, das NW B auch via VPN in NW A und dann in den gesonderten Router mit diesen IP's kommt...????
Hatte vorher Windows-Rechner, wobei es hier mühelos funktioniert hat mit dem Parallelbetrieb ges zusätzlichen Routers. Wer kann mir helfen oder hat eine Idee, da es im Mac doch anders geregelt zu sein scheint..????
Vielen Dank
ich bin neu hier und brauche dringend Hilfe, da ich nicht mehr weiterkomme.... Habe zwei Fritzboxen, die via VPN über LAN-LAN-Kopplung miteinander dauerhaft verbunden sind. Netzwerk A hat noch im gleichen IP-Bereich einen zusätzlichem Router, der an statische festgelegte Routen weiterleitet. Ping von Netzwerk A zu B und zurück funktionieren, kann auch die Freigabe von beiden Netzwerken erreichen. Problem ist nur, von Netzwerk B komme ich zwar auf den zusätzlichen Router, komme aber im VPN nicht in die statischen Routen weiter, hier kommt der Fehler, Netzwerk ist nicht erreichbar.... Trotz Routen adden funktioniert es nicht. Gibt es hier eine Befehlszeile oder Tool, die ich gesondert schreiben muss, das NW B auch via VPN in NW A und dann in den gesonderten Router mit diesen IP's kommt...????
Hatte vorher Windows-Rechner, wobei es hier mühelos funktioniert hat mit dem Parallelbetrieb ges zusätzlichen Routers. Wer kann mir helfen oder hat eine Idee, da es im Mac doch anders geregelt zu sein scheint..????
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1533547687
Url: https://administrator.de/contentid/1533547687
Ausgedruckt am: 02.11.2024 um 22:11 Uhr
26 Kommentare
Neuester Kommentar
komme aber im VPN nicht in die statischen Routen weiter,
Das ist klar, denn sehr wahrscheinlich hast du das der FritzBox vergessen im VPN Setup mitzuteilen das du noch weitere IP Netze hinter ihr hast. Du musst für jedes IP Netz entsprechende Phase 2 SAs definieren oder mit einer intelligenten Subnetzmaske arbeiten sofern du deine remoten Netze intelligent gesubnettet hast.Fazit:
Nochmal das AVM Tutorial dazu genau durchlesen...
https://avm.de/service/vpn/praxis-tipps/ueber-vpn-verbindung-zwischen-zw ...
Diese Foren Tutorials beschreiben so ein Szenario ebenfalls:
PFSense mit Fritzboxen verbinden
Sophos UTM VPN zu FritzBox Subnetz hinter Fritzbox
Du machst hier einen gehörigen Denkfehler, vermutlich aus Unwissenheit ?!
Du musst der remoten FB doch über die IPsec Phase 2 SAs mitteilen welche IP Netze diese in den Tunnel routen muss. Da müssen dann also diese weiteren IP Netze die hinter dem zusätzlichen Router in Netz A liegen definiert sein.
Andernfalls weiss die remote FB an Standort B doch nicht das auch diese IP netze in den Tunnel müssen und würde diese immer lokal über ihr Default Gateway routen was diese dann ins Nirwana schickt. Genau also das Verhalten was du siehst....
Ein Bild sagt mehr als 1000 Worte:
Du kannst hier sehen das die Phase 2 SAs dem Router an B sagen das er die Netze .178.0 /24 und .0.0 /22 in den VPN Tunnel routen soll. (.0.0 /22 inkludiert durch den /22 Prefix (Maske) alle Netze zw. .o.o und .3.255)
Er wird also alles was aus dem .188.0 er netz kommt und als Zieladressen .178.0 oder .0.0 bis .3.255 hat in den VPN Tunnel nach A routen und der dann wieder via zusätzlichen Router in die Zielnetze routet.
Es ist also exakt das Design was dir oben beschrieben wurde bzw. der AVM Knowledge Base Artikel beschreibt !
Du kannst mit intelligentem Subnetting die SAs auch soweit reduzieren das du wieder nur je einen Eintrag hat. Wenn man also beim VPN IP Adress Design etwas intelligent vorgegangen ist und z.B. auf der Einen Seite nur 192.168.0.0er Netze hat auf der anderen Seite aber 172.16.0.0er Netze dann kann man auch mit einer ganz einfache Phase 2 SA mit einer 16 Bit Maske arbeiten.
Der 172er Router schiebt dann alle IPs mit 192.168.x.y in den Tunnel und der andere vice versa alles was 172.16.x.y als Ziel hat. Ganz einfach also wenn man intelligent gesubnettet hat.
Leider machst du zu deiner IP Adressierung ja keinerlei Angaben so das man hier nur frei raten kann wie es aussehen könnte.
Du musst der remoten FB doch über die IPsec Phase 2 SAs mitteilen welche IP Netze diese in den Tunnel routen muss. Da müssen dann also diese weiteren IP Netze die hinter dem zusätzlichen Router in Netz A liegen definiert sein.
Andernfalls weiss die remote FB an Standort B doch nicht das auch diese IP netze in den Tunnel müssen und würde diese immer lokal über ihr Default Gateway routen was diese dann ins Nirwana schickt. Genau also das Verhalten was du siehst....
Ein Bild sagt mehr als 1000 Worte:
Du kannst hier sehen das die Phase 2 SAs dem Router an B sagen das er die Netze .178.0 /24 und .0.0 /22 in den VPN Tunnel routen soll. (.0.0 /22 inkludiert durch den /22 Prefix (Maske) alle Netze zw. .o.o und .3.255)
Er wird also alles was aus dem .188.0 er netz kommt und als Zieladressen .178.0 oder .0.0 bis .3.255 hat in den VPN Tunnel nach A routen und der dann wieder via zusätzlichen Router in die Zielnetze routet.
Es ist also exakt das Design was dir oben beschrieben wurde bzw. der AVM Knowledge Base Artikel beschreibt !
Du kannst mit intelligentem Subnetting die SAs auch soweit reduzieren das du wieder nur je einen Eintrag hat. Wenn man also beim VPN IP Adress Design etwas intelligent vorgegangen ist und z.B. auf der Einen Seite nur 192.168.0.0er Netze hat auf der anderen Seite aber 172.16.0.0er Netze dann kann man auch mit einer ganz einfache Phase 2 SA mit einer 16 Bit Maske arbeiten.
Der 172er Router schiebt dann alle IPs mit 192.168.x.y in den Tunnel und der andere vice versa alles was 172.16.x.y als Ziel hat. Ganz einfach also wenn man intelligent gesubnettet hat.
Leider machst du zu deiner IP Adressierung ja keinerlei Angaben so das man hier nur frei raten kann wie es aussehen könnte.
Jetzt musste ich leider betriebsbedingt auf Mac umsteigen,
Was heisst denn leider ?? Da hast du doch endlich mal einen richtigen Rechner und vor allem ein erheblich besseres Betriebssystem. Von der ganzen Viren- und Trojanerproblematik unter Winblows ja mal erst gar nicht zureden. Also ein Schritt in die richtige Richtung der dich von so einem Grusel OS wie Winblows wegbringt. Ein Grund zur Freude also !!also sorry, dass ich hier nicht so leuchte....
Das ist normal für verblendete Winblows Knechte die das Licht lange nicht mehr gesehen haben. Das bessert sich mit dem Mac !! Zu den IP-Adressen würde ich dir mal unsere Netzwerkstruktur aufschreiben
Entspricht ja dann exakt der Skizze von oben, oder ? Die Netzwerk IPs musst du dir dann nur auf deine Adressierung denken.müsste ich eigentlich dem Zusatz-Router eine andere IP geben
Nöö, wie kommst du darauf ? Welche IP der hat ist vollkommen Wumpe sofern sie im gleichen IP Netz liegt was ja bei dir der Fall ist.habe auch keine Fernzugang-Software für Mac gefunden.
Ist auch Blödsinn und benötigt man nicht. Die .cfg Datei ist eine stinknormale ASCII Text Datei die du auf dem Mac mit einem klassischen Text Editor wie dem "TextEdit" bearbeiten kannst und dann einfach über das WebGUI der FritzBox einspielst und fertig ist der Lack. Eine Sache von 3 Minuten... Bräuchte ich denn dann überhaupt noch die VPN über LAN.LAN, wenn es über Fernzugang einzustellen wäre...?
WAS genau willst du denn erreichen ??Es soll doch eine Site to Site Kopplung der beiden Netze Standort A und Standort B sein, oder ?
Wenn ja benötigst du da nicht unbedingt die Fernzugangs Software, das kann man auch mit ein paar Mausklicks direkt im WebGUI der FB machen.
Wenn du dann übrigens unter "System" gehst und dort eine Konfig Sicherung machst hast du die VPN Konfig auch als Text Datei.
Die bei Sichern abgespeicherte .cfg Datei kannst du auch ganz stinknormal mit einem Texteditor öffnen (Rechtsklick und "öffnen mit") wie dem "TextEdit".
Ganz am Ende der Datei findetst du die VPN Konfig dann. So kannst du dir auch ohne den überflüssigen Unsinn der Fernzugangssoftware die VPN Konfig extrahieren indem du einfach den restlichen über der VPN Konfig stehenden Text weglöschst. So einfach ist das...
Evtl. gibt es hier noch Anregungen oder Ideen.
Nöö, einfach Klicki Bunti im WebGUI der FritzBox. Bringt die doch alles mit Bordmitteln mit !aber leider haben die es, als IT-Profis, mit dem Routen auch nicht hinbekommen
🤣 Sorry, aber mal im Ernst. Was für Pfeifen sind das denn die auf einem simplen, billigen Consumer Plaste Router sowas Einfaches nicht zum Fliegen bekommen ??Das macht dir jeder Fachinformatiker Azubi im ersten Lehrjahr in 30 Minuten fertig.
Das Wort "Profi" ist da dann für diese heinis wohl wirklich fehl am Platze. Für die passt nichtmal das Wort "Bastler"... Ohne Worte...
Kann man nur hoffen das die wenigstens kein Geld von dir genommen habe für diese heldenhafte Glanzleistung ?!
da sie hauptsächlich Windows bearbeiten und mit Macs sich am wenigsten auskennen.
So ein Quatsch !!! Was haben denn Endgeräte und deren Betriebssystem mit einer Netzwerk Konfig zu tun. Diesen Unsinn müssten die mal in einem Adminsitrator Forum näher erklären. So ein Blödsinn...ohne Worte. Ob Winblows, Linux oder Mac die kommunizieren doch alle über TCP/IP und nur das ist relevant. Ohh man....OK, zurück zum Thema ??
Definiere erstmal genau WAS du erreichen willst bevor wir ins Eingemachte gehen
- Site to Site Kopplung A und B (rennt ja bereits, oder ?)
- Standort A soll auf Standort B plus die IP Netze hinter dem Router .100.3 zugreifen
Inhaltsverzeichnis
Beispielnetzwerk nach deinem Design
- Standort A LAN = 192.168.198.0 /24 (FritzBox = .198.1)
- Standort B LAN = 192.168.188.0 /24 (FritzBox = .188.1)
- Zusätzlicher Router Standort B = 192.168.188.3
- Weitere IP Netze hinter zusätzlichem Router = Alle IP Netze im Bereich 172.16.x.y
- Statische Route dieser Netze auf der FritzBox an Gateway IP 192.168.188.3 (zusätzlicher Router)
- Zusätzlicher Router hat Default Route auf die FritzBox, Standort B
VPN Konfigurationsdatei für FritzBox A
Beachte hier den zusätzlichen Eintrag "permit ip any 172.16.0.0 255.255.0.0"; für die IP Netze hinter dem zusätzlichen Router ! Weitere Netze werden dort Komma getrennt ggf. angefügt.Siehe dazu auch den AVM Knowledgebase Artikel HIER.
Dieser Eintrag bewirkt das alle Clients aus Standort A auch alle Netz an Standort B inklusive der Netze hinter dem zusätzlichen Router erreichen !
vpncfg {
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "Standort-B";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = x.y.z.h;
remote_virtualip = 0.0.0.0;
keepalive_ip = 192.168.188.1;
remoteid {
ipaddr = x.y.z.h;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "geheim1234";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.198.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.188.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.188.0 255.255.255.0",
"permit ip any 172.16.0.0 255.255.0.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Diese einfachen VPN Konfig Dateien werden über das GUI der FritzBox hochgeladen:
Du kannst diese und auch die untere Datei als einfache Textvorlage für deine Konfig Dateien deiner beiden FritzBoxen benutzen und musst sie nur einfach mit einem Texteditor wie dem "TextEdit" des Macs auf deine IP Adressierung anpassen.
Statische Route FritzBox B zu den IP Netzen des zusätzlichen Routers
Routet hier ALLE Beispielnetze hinter dem zusätzlichen Router. Geht hier der Einfachheit halber davon aus das sich diese Netze alle im Bereich 172.16.x.y befinden. Ggf. muss man das auf die eigene Adressierung anpassen !VPN Konfigurationsdatei für FritzBox B
vpncfg {
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "Standort-A";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = x.y.z.h;
remote_virtualip = 0.0.0.0;
keepalive_ip = 192.168.198.1;
remoteid {
ipaddr = x.y.z.h;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "geheim1234";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.188.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.198.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.198.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Ping Check vom Client A auf Netzwerk B und Netzwerk zusätzlicher Router
Client in Netzwerk Standort A pingt erfolgreich- FritzBox IP in Netzwerk B
- Router IP des zusätzlichen Routers
Fazit
Works as designed !! 😉Mit der Anleitung schafft es auch ein Laie (oder die o.a. "Super Profis") im Handumdrehen dieses nun wirklich einfache VPN Szenario in 30 Minuten zum Fliegen zu bringen !
Und wie du selber sehen kannst hat das überhaupt gar nichts damit zu tun ob man das mit Linux, Apple Mac oder Winblows umsetzt. Soviel zu den Systemhaus "Helden" die sich hinter angeblicher Mac Unwissenheit verstecken...
Mehr Silbertablett für nicht Netzwerker geht jetzt nicht mehr über ein Forum. Du musst jetzt einfach nur Abtippen und "machen". Oder... es ausdrucken und den "Profi Helden" zum Abtippen geben !! Dafür wirds bei denen sicher reichen (hoffentlich).
Nur noch die Frage, beim Hochladen nur die VPN-Config in dei Box hochladen oder die gesamte Sicherrungsdatei als Wiederherstellung hochladen..???
Rein NUR diese Datei oben hochladen. NICHT die gesamte Konfig. Im VPN Setup ist rein nur dieser spezifische VPN Teil gefordert !Zu den zusätzlichen Routen noch die Frage, kann ich da jegliche Routen so eintragen, die im zusätzlichen Router als statische Routen angegeben wurden und die ich auch benötige...?
Ja, das kannst du.Oben ist natürlich die Deluxe Version angegeben die mit einer sog. "Summary Route" den gesamten Netzwerk Bereich 172.16.x.y abdeckt. (Man achte auf die 16 Bit Maske 255.255.0.0 !!)
Alternativ kannst du passend zum obigen Setup aber auf für die 2 IP Netze statt der Summary Route beide bzw. alle Netze einzeln angeben ala...
Zielnetz: 172.16.1.0 Maske: 255.255.255.0 Gateway: 192.168.188.3
Zielnetz: 172.16.2.0 Maske: 255.255.255.0 Gateway: 192.168.188.3
Das ist gehupft wie gesprungen.
Es hängt immer davon ab WIEVIELE Netze hinter dem zusätzlichen Router liegen. Wenn es nur eine Handvoll ist kann man die auch einzeln angeben. Bzw. muss das auch machen wenn hier nicht intelligent gesubnettet wurde also diese Netze nicht in einem zusammenhängenden Bereich liegen.
Leider machst du dazu ja keinerlei Angaben...
Was ebenso wichtig wäre: WIE nutzt du die Internet Adressen der beiden FritzBoxen ??
- Hast du da beidseitig statische IP Adressen ?
- Oder nutzt du bei wechselnden IP Adressen DynDNS Hostnamen ?
Die Routen, die ich brauche, haben immer ganz andere IP
Deshalb steht ja oben auch das das nur ein Beispiel ist und du das auf DEINE eigenen Netze anpassen musst. Dürfte ja kein Problem sein, denn die IP Netze hinter dem zusätzlichen Router kennst du ja alle !Hättest du vorher etwas nachgedacht und eine IP Topologie Skizze deines Netzes hier an den Thread angehängt hätte uns das diese Nachfragerei erspart.
Dann hätte man dir hier eine massgeschneiderte Konfig präsentieren können OHNE mit Beispielen raten zu müssen. 🧐
Also wenn das funktioniert, fress ich einen Besen....
Das musst du gar nicht, das ist ein millionenfaches Standard Design simpelster Art und wird ganz sicher funktionieren. Dafür ist das doch alles gemacht in den Routern !!...und falle vom Glauben ab über die Leistungsfähigkeit unserer lokalen Computerexperten.
In der Tat ! Das sollte dir schwer zu denken geben ! Sowas macht normalerweise der Azubi im ersten Lehrjahr. Die sind sicher alles andere aber gewiss keine Experten !!dass geht niemals mit einer Fritzbox
Na ja normalerweise haben billige Consumer Boxen in einer Firma auch nichts zu suchen. Aber mal abgesehen davon ist die FB gar nicht so schlecht und sowas Einfaches wie bei dir wuppt die mit links ! aber mit den Billigroutern kann es gar nicht gehen.... Was soll man dazu sagen!
Na ja, die Antwort auf diese Frage kennst du ja jetzt. Siehe oben !Druck das aus und halte das den Ekschberde mal vor die Nase.
und ich muss mit sudo-Befehl diese immer wieder ins Terminal einpflegen, dann gehts.
Du hast vermutlich den -p Parameter vergessen, oder ? (p=permanent). Siehe auch hier.Aber du machst hier vermutlich einen generellen Denkfehler.
Statische Routen haben NICHTS auf einem Endgerät zu suchen. Routen tut im Netzwerk ausschliesslich der Router aber keine Endgeräte !
In deinem o.a. Netz muss keiner der Clients zusätzliche statische Routen haben.
Wenn du meinst auf einem Endgerät statisch routen zu müssen ist das zu 99% ein Zeichen dafür das im Netzwerk routingtechnisch etwas falsch konfiguriert wurde !!
Viel Erfolg bei der Umsetzung !
Hier nutze ich DynDNS über die myfritz-Adressen, geht gut und hat bisher immer funktioniert.
Das geht natürlich auch problemlos nur hier musst du die vpn.conf Datei oben für die FBs dann auch entsprechend anpassen auf diese Namen ! HIER findest du ein Beispiel zu einem FB Setup mit DynDNS Adressen!wenn ich am client in ein bestimmtes Netz will geht es erst, wenn die sudo Sache mache,
Ja, zeigt das an der FritzBox die statischen Routen fehlen in die Netze hinter dem zusätzlichen Router.Wenn du da eine genaue Topologieskizze zur IP Netzadressierung liefern könntest, dann kann man dir hier ein 2tes Silbertablett liefern damit du das mal richtig machst.
Da ist wohl bei eurer Netzkonfig noch allerlei im Argen bzw. NICHT gemacht worden.
Das ist doch krank das man am Endgerät fummeln muss damit das Routing klappt...das weist du auch sicher als Laie das das Unsinn ist und nie so sein dürfte.
Das sind ja durch die Bank alles öffentliche IP Netze.... 🤔
OK die müsstest du alle natürlich als statische Routen in der FritzBox B eintragen mit Gateway 192.168.101.3 (Zusatzrouter) wenn du die über den zusätzlichen Router routen willst !
ACHTUNG:!!!
Damit dir Rückroute vom Zusatzrouter klappt musst du das FritzBox Netz des Standortes A auch auf diesem zusätzlichen Router via FritzBox B als Gateway eintragen !
Logisch, denn der Zusatzrouter muss ja alles an das Standort A Netz geht an die FritzBox B senden.
Im Zusatzrouter muss also sowas stehen wie:
Zielnetz: 192.168.100.0 Maske: 255.255.255.0 Gateway: 192.168.188.1
OK die müsstest du alle natürlich als statische Routen in der FritzBox B eintragen mit Gateway 192.168.101.3 (Zusatzrouter) wenn du die über den zusätzlichen Router routen willst !
ACHTUNG:!!!
Damit dir Rückroute vom Zusatzrouter klappt musst du das FritzBox Netz des Standortes A auch auf diesem zusätzlichen Router via FritzBox B als Gateway eintragen !
Logisch, denn der Zusatzrouter muss ja alles an das Standort A Netz geht an die FritzBox B senden.
Im Zusatzrouter muss also sowas stehen wie:
Zielnetz: 192.168.100.0 Maske: 255.255.255.0 Gateway: 192.168.188.1
wie sehe ich an den IP-Adressen, in welches Subnetz die gehen müssen
Mit deiner o.a. Anrwort hast du dir die Frage schon intuitiv selber richtig beantwortet. Das "/29" gibt das vor, denn das ist die Subnetzmaske ! (z.B. /29 = 29 Bit Maske = 255.255.255.248)Guckst du dazu auch hier: https://de.wikipedia.org/wiki/Netzmaske#Präfixlängen_als_Netzg ...
Es gäbe noch eine andere Lösung:
Sofern der "Zusatzrouter" auch ein Internet Router ist und der auch das Internet aller Clients im 192.168.101er Netz bedienen könnte, könntest du (Konjunktiv !) den Clients im 192.168.101er IP Netz auch per Default die 192.168.101.3 als Default Gateway geben !
Damit wären dann alle .101.0er Clients gleich da wo sie hinsollten. Er bräuchte dann zusätzlich einfach nur noch eine statische Route "Zielnetz: 192.168.100.0 Maske: 255.255.255.0 Gateway: 192.168.188.1" damit diese Clients weiter ins .100er Standort-A Netz kommen.
Das hätte den Vorteil das die gesamten statischen Routen auf der FritzBox B entfallen würden. Logisch, denn die .101.0er Clients wären dann ja schon direkt an dem Router der in die anderen IP Netze geht und der kennt dann alle diese Routen. Nur die ins 100er (A) Netz müsste man ihm dann noch bekanntgeben.
Geht aber nur wenn dieser Router auch Internet Zugang hat und auch die .101.0er Clients bedienen könnte.
Sollte er keinen Internet Zugang haben und rein nur diese o.a. IP Netze bedienen würde es auch gehen, denn dann bräuchte er lediglich eine Default Route auf die FritzBox B.
Sprich er routet dann alle o.a. angegebenen Routen und würde alles was er nicht kennt bzw. Internet ist, an die FritzBox B schicken.
Auch so könnte man die Routing Problematik elegant lösen. Wie gesagt...hängt vom Zusatzrouter ab !
Geht das nicht dann einfach, wie zuvor beschrieben, statisch alle Netze in der FritzBox B routen an die .101.3.
Beide Lösungen erfordern KEINE lokale Frickelei mit statischen Routen auf den Endgeräten selber !
Es gibt mehrere sinnvolle (Routing) Wege nach Rom...
aber wie könnte ich dies testen, ob der Router das macht...?
Mit einem ganz einfachen Ping ! Z.B. auf 8.8.8.8 (Google)Einfach mal testweise deine Gateway IP am PC statisch auf die .101.3 ändern und 2 Ping Versuche machen
- Nackte IP mit 8.8.8.8
- Via Hostnamen (DNS Check) z.B. www.heise.de
da dieser die vordefinierten statischen Routen als gesonderte VPN und Fachanwendungen bedienen muss.
Diese musst (und sollst) du ja auch gar nicht anfassen !!Aber leider....geht es nicht !!!
Du hast zu 99% einen Konfig Fehler begangen !! Um das beurteilen zu können müsste man deine Konfig Files bzw. Screenshots von beiden Seiten anonymisiert hier mal sehen !Bedenke:
Ohne die statische Route ins A Netz am Zusatzrouter ist es technisch unmöglich die Netze dahinter zu erreichen, denn der Zusatzrouter MUSS die Rückroute kennen !!
Routing funktioniert immer Hop für Hop !
Über Netstat kann ich aber die gesetzten neuen Routen sehen
Über netstat ??? Eimne FritzBox kann gar kein netstat ?? Fragt sich was du hier wieder für ein Unsinn machst ??- Die statischen Routen der Netze müssen auf die FritzBox B via .101.3
- Wenn die FritzBox diese Routen hat dürfen die Endgeräte in .101.0 keine dieser statischen Routen mehr haben ! Die müssen alle entfernt werden.
- Wenn das A Netz in alles diese Netze soll müssen alle diese Netze hinter dem Zusatzrouter sowohl in die VPN Konfig von FritzBox A als auch statisch im Routing Setup in die FritzBox B eingetragen sein. Und... es muss eine statische Route im Zusatzrouter ins .100.0er Netz (A) definiert sein ! Hast du diese Schritte umgesetzt ??
Die VPN-Config in der nahen FB muss ich doch nicht ändern
Richtig, die muss nicht geändert werden nur A und in B müssen die statischen Routen eingetragen werden und im Zusatzrouter die Route auf A. Ohne diese Setups wird es nicht klappen.Benutze immer die traceroute Funktion auf dem Mac, die zeigt dir immer alle Routing Hops einzeln an. So kannst du immer genau sehen wo es kneift.
traceroute -I <Ziel_IP>
ob noch irgendwelche Routen stehen, hat nichts mit FB zu tun.....
Ahhhsooo...sorry.Sonst habe ich nur die VPN.config in die FB eingepflegt, was ging und angenommen wurde.
Die Konfig ist auch korrekt so !dass diese Routen nicht mit enthalten sind
In den Routen stehen die auch NICHT drin !! Sie müssen aber im VPN Konfig Abschnitt so mit dem "accesslist = "permit ip any..." ALLE drinstehen !!!Was komisch ist...
Du siehst oben selber das du zweimal die Konfig in einer Text Datei hast !!! Das ist natürlich völliger Blödsinn. Der letzte Teil ohne die zusätzlichen Netze überschreibt dann wieder die erste Version.
Ausserdem hast du unsinnigerweise die IP Netze des Testsetup (.188.0) drin die bei dir ja gar nicht vorhanden sind. Dafür dann wieder das IP Netz an Standort B vergessen (.101.0) so das es nichtmal VPN Connectivity dahin geben kann.
Sorry, aber soviel Intelligenz sollte man doch haben solche simplen Fehler zu erkennen zumal dort am Ende der cfg Datei auch noch ein "EOF" steh (End of File) !
Wenn du so einen Quatsch in die Konfig Datei reinschreibst muss man sich doch gar nicht wundern das es nicht klappt...
Fazit:
Korrigiere also deine VPN Konfig Datei für FB A auf eine und ein richtiges Format und keine sinnfreie Doppeldatei !!
vpncfg {
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "Standort-B";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = x.y.z.h;
remote_virtualip = 0.0.0.0;
keepalive_ip = 192.168.101.1;
remoteid {
ipaddr = x.y.z.h;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "geheim1234";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.101.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.101.0 255.255.255.0",
"permit ip any 188.144.0.0 255.254.0.0",
"permit ip any 100.102.0.0 255.255.128.0",
"permit ip any 100.103.0.0 255.255.0.0",
"permit ip any 100.102.128.0 255.255.0.0",
"permit ip any 100.102.8.6 255.255.255.255",
"permit ip any 161.156.128.32 255.255.255.240",
"permit ip any 100.96.0.0 255.252.0.0",
"permit ip any 100.64.0.0 255.224.0.0",
"permit ip any 100.100.0.0 255.254.0.0",
"permit ip any 213.146.104.80 255.255.255.248";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
die 188 er IP ist meine Heimat-IP und damit kein Blödsinn,
OK, sorry vergessen. Shame on me... wenn man kein absoluter IP-Netzwerkprofi ist
Der sich aber in ein Administrator Forum wagt... Da sollte man also schon etwas Rückgrat mitbringen wenns mal windig wird... Bedenke immer das wir hier dann solchen Kandidaten wie dir die 3fache Zeit und Tipparbeit widmen müssen was man einem Netzwerker in 5 Minuten erklärt mit max. 3 Stichworten. Also auch immer mal die andere Seite fair betrachten ! So nun wieder zum Thema
Richtig !die Config ist so, wie sie sein sollte
Das kannst du ja immer selber wasserdicht checken wenn du dir die Gesamtkonfig sicherst und dann mit einem Texteditor (z.B. TextEdit) ansiehst und dann am Ende dir den Bereich der vpncfg ansiehst !denn mein Netz der FB A hat wie ganz oben beschrieben die 100 er Reihe als IP, hier ist mit der 100.3 der ZusatzRouter drinn, das entfernte Netz ist die 101 er Reihe
Du hast Recht...im Eifer des Gefechts durcheinander gebracht...nochmal sorry !da es ja eigentlich so einfach sein soll.
Es ist ja auch so einfach !!! Siehe Skizze und Setup oben !Bitte checke deine aktuelle VPN Konfig Sektion in der Konfig Datei und poste die hier nochmal...
Eine genaue Topologie Zeichnung deines Netzes wäre ebenso hilfreich.
Problem ist die Checksumme, die wird bei Änderungen geändert und damit darf die nicht zurückgespielt werden
Das ist jedem Administrator allgemein bekannt. Genau deshalb wurde dir oben ja mehrfach gesagt das du nur den vpncfg Abschnitt aus dieser Konfig Datei rauskopierst und als neue Datei sicherst wie die Beispiele oben.Damit hast du dann eine universelle FritzBox VPN Konfig Datei in der du nach Herzenslust editieren kannst und die du immer problemlos auch wieder rücksichern kannst als VPN Konfig.
Lesen hilft wirklich !!
also müsste doch alles gehen.
Ja das müsste es und tut es natürlich auch !Hast du als ersten Schritt einmal von einem Client im A Netz den Zusatzrouter in B .100.3 angepingt ?? Was kam dabei raus, klappt das ?
Das würde zumindestens schonmal verifizieren das die Route dort sauber arbeitet.
Knackpunkt ist aber das du bis jetzt der mehrfachen Bitte einer genauen Topologie Zeichnung nicht nachgekommen bist und sich dieser Thread weiter und weiter in die Länge zieht weil man ALLES einzeln nachfragen muss was mit einer Skizze längst geklärt ist.
Die große Frage ist ob alle diese Zusatzrouter Netze 100.102.0.0 255.255.128.0, 213.146.104.80 255.255.255.248 usw. usw. direkt am Zusatzrouter betrieben werden ??
Ist das der Fall sollte alles klappen.
Ist das NICHT der Fall und routet dieser Router diese IP Netze weiter auf andere Zielrouter mit VPNs, Standleitungen usw. dann kann es nicht gehen und muss scheitern.
Warum ist das so...?! Das leuchtet dir vermutlich auch selber ein, oder.
Nehmen wir als Beispiel mal 100.102.0.0 255.255.128.0. Die Hinroute wird klappen also die B FritzBox wird ein IP Paket mit der Zieladresse z.B. 100.102.0.222 and den Zusatzrouter schicken und der hat dann eine Route z.B. auf den Zielrouter der das 100.102.0.0er Netz bedient.
Dort kommt das Paket auch am Ziel an und das dortige Endgerät schickt dann ein Antwortpaket mit der Zieladresse 192.168.101.xyz zurück. Zuerst natürlich an den Router der vor Ort ist und genau da scheitert es dann weil der (vermutlich) nur das FritzBox B Netz mit der 100.0 kennt, nicht aber das FritzBox A Netz .101.0 weil die Route fehlt.
Folglich verwirft er das Paket und die Daten landen im Nirwana.
Mit anderen Worten:
Du musst, sofern diese Zielnetze von weiteren Routern bedient werden, dort eine statische Route ins .101.0er Fritz A Netz eintragen, damit auch die Rückroute funktioniert.
Wie gesagt...alles jetzt mal geraten weil diese wichtigen Details deine Netzes weiter im Dunkeln liegen.
Sollte es das denn nun gewesen sein bitte den Thread dann auch als erledigt markieren !
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
waren immer wieder neu gesetzt enthalten.....
Kein Wunder wenn man mit dem -p Parameter gearbeitet hat was diese Routen permanent macht so das sie einen Reboot überstehen. Dann nach nochmaliger Kontrolle geht es wie verrückt.....!!!!
👏 Glückwunsch ! 👍War ja aber ne echt schwere Geburt mit dir !
da Hilfe von örtlichen Fachkräften nicht zu erwarten war.
Soviel zum Thema "Fachkräfte". Muss man sicher nicht weiter kommentieren wenn ein relativer Routing Newbie wie du sowas schon mit ein bischen an die Hand nehmen zum Fliegen bekommt.Nun weisst du hoffentlich wo du dran bist mit deinen "Fachkräften" oder der "Computer-Firma mit IT-Profis".
Ich bin nun in der Mac-Welt angekommen und begeistert....!
So sollte es sein ! Schöne Feiertage und bis die Tage.
Ebenso und weiter viel Erfolg auf deinem Weg zum Netzwerk Profi ! 😉