26
Routingprobleme unter VPN
Hallo zusammen,
ich bin neu hier und brauche dringend Hilfe, da ich nicht mehr weiterkomme.... Habe zwei Fritzboxen, die via VPN über LAN-LAN-Kopplung miteinander dauerhaft verbunden sind. Netzwerk A hat noch im gleichen IP-Bereich einen zusätzlichem Router, der an statische festgelegte Routen weiterleitet. Ping von Netzwerk A zu B und zurück funktionieren, kann auch die Freigabe von beiden Netzwerken erreichen. Problem ist nur, von Netzwerk B komme ich zwar auf den zusätzlichen Router, komme aber im VPN nicht in die statischen Routen weiter, hier kommt der Fehler, Netzwerk ist nicht erreichbar.... Trotz Routen adden funktioniert es nicht. Gibt es hier eine Befehlszeile oder Tool, die ich gesondert schreiben muss, das NW B auch via VPN in NW A und dann in den gesonderten Router mit diesen IP's kommt...????
Hatte vorher Windows-Rechner, wobei es hier mühelos funktioniert hat mit dem Parallelbetrieb ges zusätzlichen Routers. Wer kann mir helfen oder hat eine Idee, da es im Mac doch anders geregelt zu sein scheint..????
Vielen Dank
ich bin neu hier und brauche dringend Hilfe, da ich nicht mehr weiterkomme.... Habe zwei Fritzboxen, die via VPN über LAN-LAN-Kopplung miteinander dauerhaft verbunden sind. Netzwerk A hat noch im gleichen IP-Bereich einen zusätzlichem Router, der an statische festgelegte Routen weiterleitet. Ping von Netzwerk A zu B und zurück funktionieren, kann auch die Freigabe von beiden Netzwerken erreichen. Problem ist nur, von Netzwerk B komme ich zwar auf den zusätzlichen Router, komme aber im VPN nicht in die statischen Routen weiter, hier kommt der Fehler, Netzwerk ist nicht erreichbar.... Trotz Routen adden funktioniert es nicht. Gibt es hier eine Befehlszeile oder Tool, die ich gesondert schreiben muss, das NW B auch via VPN in NW A und dann in den gesonderten Router mit diesen IP's kommt...????
Hatte vorher Windows-Rechner, wobei es hier mühelos funktioniert hat mit dem Parallelbetrieb ges zusätzlichen Routers. Wer kann mir helfen oder hat eine Idee, da es im Mac doch anders geregelt zu sein scheint..????
Vielen Dank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1533547687
Url: https://administrator.de/contentid/1533547687
Ausgedruckt am: 02.11.2024 um 22:11 Uhr
26 Kommentare
Neuester Kommentar
komme aber im VPN nicht in die statischen Routen weiter,
Das ist klar, denn sehr wahrscheinlich hast du das der FritzBox vergessen im VPN Setup mitzuteilen das du noch weitere IP Netze hinter ihr hast. Du musst für jedes IP Netz entsprechende Phase 2 SAs definieren oder mit einer intelligenten Subnetzmaske arbeiten sofern du deine remoten Netze intelligent gesubnettet hast.Fazit:
Nochmal das AVM Tutorial dazu genau durchlesen...
https://avm.de/service/vpn/praxis-tipps/ueber-vpn-verbindung-zwischen-zw ...
Diese Foren Tutorials beschreiben so ein Szenario ebenfalls:
PFSense mit Fritzboxen verbinden
Sophos UTM VPN zu FritzBox Subnetz hinter Fritzbox
Hallo aqui, vielen Dank für die Info, aber der zusätzliche Router ist einfach nur parallel genutzt, d.h. an die FB A gesteckt und hat eine IP vom Netzwerk der Fritte A, also kein eigenes Netzwerk darstellend. DHCP über die Fritte A, im zusätzlichen Router ausgeschaltet. Also dürfte diese Einstellung, wie beschrieben, doch eigentlich gar nicht gehen...?!
Du machst hier einen gehörigen Denkfehler, vermutlich aus Unwissenheit ?!
Du musst der remoten FB doch über die IPsec Phase 2 SAs mitteilen welche IP Netze diese in den Tunnel routen muss. Da müssen dann also diese weiteren IP Netze die hinter dem zusätzlichen Router in Netz A liegen definiert sein.
Andernfalls weiss die remote FB an Standort B doch nicht das auch diese IP netze in den Tunnel müssen und würde diese immer lokal über ihr Default Gateway routen was diese dann ins Nirwana schickt. Genau also das Verhalten was du siehst....
Ein Bild sagt mehr als 1000 Worte:
Du kannst hier sehen das die Phase 2 SAs dem Router an B sagen das er die Netze .178.0 /24 und .0.0 /22 in den VPN Tunnel routen soll. (.0.0 /22 inkludiert durch den /22 Prefix (Maske) alle Netze zw. .o.o und .3.255)
Er wird also alles was aus dem .188.0 er netz kommt und als Zieladressen .178.0 oder .0.0 bis .3.255 hat in den VPN Tunnel nach A routen und der dann wieder via zusätzlichen Router in die Zielnetze routet.
Es ist also exakt das Design was dir oben beschrieben wurde bzw. der AVM Knowledge Base Artikel beschreibt !
Du kannst mit intelligentem Subnetting die SAs auch soweit reduzieren das du wieder nur je einen Eintrag hat. Wenn man also beim VPN IP Adress Design etwas intelligent vorgegangen ist und z.B. auf der Einen Seite nur 192.168.0.0er Netze hat auf der anderen Seite aber 172.16.0.0er Netze dann kann man auch mit einer ganz einfache Phase 2 SA mit einer 16 Bit Maske arbeiten.
Der 172er Router schiebt dann alle IPs mit 192.168.x.y in den Tunnel und der andere vice versa alles was 172.16.x.y als Ziel hat. Ganz einfach also wenn man intelligent gesubnettet hat.
Leider machst du zu deiner IP Adressierung ja keinerlei Angaben so das man hier nur frei raten kann wie es aussehen könnte.
Du musst der remoten FB doch über die IPsec Phase 2 SAs mitteilen welche IP Netze diese in den Tunnel routen muss. Da müssen dann also diese weiteren IP Netze die hinter dem zusätzlichen Router in Netz A liegen definiert sein.
Andernfalls weiss die remote FB an Standort B doch nicht das auch diese IP netze in den Tunnel müssen und würde diese immer lokal über ihr Default Gateway routen was diese dann ins Nirwana schickt. Genau also das Verhalten was du siehst....
Ein Bild sagt mehr als 1000 Worte:
Er wird also alles was aus dem .188.0 er netz kommt und als Zieladressen .178.0 oder .0.0 bis .3.255 hat in den VPN Tunnel nach A routen und der dann wieder via zusätzlichen Router in die Zielnetze routet.
Es ist also exakt das Design was dir oben beschrieben wurde bzw. der AVM Knowledge Base Artikel beschreibt !
Du kannst mit intelligentem Subnetting die SAs auch soweit reduzieren das du wieder nur je einen Eintrag hat. Wenn man also beim VPN IP Adress Design etwas intelligent vorgegangen ist und z.B. auf der Einen Seite nur 192.168.0.0er Netze hat auf der anderen Seite aber 172.16.0.0er Netze dann kann man auch mit einer ganz einfache Phase 2 SA mit einer 16 Bit Maske arbeiten.
Der 172er Router schiebt dann alle IPs mit 192.168.x.y in den Tunnel und der andere vice versa alles was 172.16.x.y als Ziel hat. Ganz einfach also wenn man intelligent gesubnettet hat.
Leider machst du zu deiner IP Adressierung ja keinerlei Angaben so das man hier nur frei raten kann wie es aussehen könnte.
Hallo, leider bin ich noch kein vollkommener IT-ler und war bisher immer nur mit Windows-PC am Laufen, was meinerseits immer gut zu bedienen war. Jetzt musste ich leider betriebsbedingt auf Mac umsteigen, was mich erst einmal viel Nachlesearbeit gekostet hat, da ich mich mit diesen Teilen und dem Betriebssystem überhaupt nicht ausgekannt habe....also sorry, dass ich hier nicht so leuchte....
Deine Skizze ist eigentlich sehr einleuchtend, aber in praxi auch nicht so einfach umzusetzen als Nicht-Netzwerker.....
Zu den IP-Adressen würde ich dir mal unsere Netzwerkstruktur aufschreiben, damit du mal sagen könntest, was ich hier falsch mache, wäre nett.
Standort A 192.168.100.0. , Subnetz 255.255.255.0 mit der Fritzbox 7490 , hier ist mit der IP 192.168.100.3 der zusätzliche Router über LAN dran und arbeitet im Parallelbetrieb,
Standort B. 192.168.101.0, Subnetz 255.255.255.0, auch mit Fritzbox 7490.
Wenn ich deine Ausführungen richtig verstehe, müsste ich eigentlich dem Zusatz-Router eine andere IP geben, oder wäre eine WAN-Anbindung sinnvoll...? Sonst komme ich doch nicht durch den Router, da er ja im gleichen IP-Bereich ist, oder....
Da ich über LAN-LAN-Kopplung die VPN am Laufen habe, konnte ich bisher auch keine CFG-Datei ändern, habe auch keine Fernzugang-Software für Mac gefunden. Hatte dies über Windows-PC mal gemacht, aber hier hakt es auch, so dass er nach Einlesen in meinen heimischen Mac keine VPN zur Fritze A macht. Bräuchte ich denn dann überhaupt noch die VPN über LAN.LAN, wenn es über Fernzugang einzustellen wäre...?
Evtl. gibt es hier noch Anregungen oder Ideen.
Habe mittlerweile auch Computer-Firma da gehabt, aber leider haben die es, als IT-Profis, mit dem Routen auch nicht hinbekommen, da sie hauptsächlich Windows bearbeiten und mit Macs sich am wenigsten auskennen. Nun bin ich also genauso weit wie vorher, da es weiter nicht funktioniert.
Deine Skizze ist eigentlich sehr einleuchtend, aber in praxi auch nicht so einfach umzusetzen als Nicht-Netzwerker.....
Zu den IP-Adressen würde ich dir mal unsere Netzwerkstruktur aufschreiben, damit du mal sagen könntest, was ich hier falsch mache, wäre nett.
Standort A 192.168.100.0. , Subnetz 255.255.255.0 mit der Fritzbox 7490 , hier ist mit der IP 192.168.100.3 der zusätzliche Router über LAN dran und arbeitet im Parallelbetrieb,
Standort B. 192.168.101.0, Subnetz 255.255.255.0, auch mit Fritzbox 7490.
Wenn ich deine Ausführungen richtig verstehe, müsste ich eigentlich dem Zusatz-Router eine andere IP geben, oder wäre eine WAN-Anbindung sinnvoll...? Sonst komme ich doch nicht durch den Router, da er ja im gleichen IP-Bereich ist, oder....
Da ich über LAN-LAN-Kopplung die VPN am Laufen habe, konnte ich bisher auch keine CFG-Datei ändern, habe auch keine Fernzugang-Software für Mac gefunden. Hatte dies über Windows-PC mal gemacht, aber hier hakt es auch, so dass er nach Einlesen in meinen heimischen Mac keine VPN zur Fritze A macht. Bräuchte ich denn dann überhaupt noch die VPN über LAN.LAN, wenn es über Fernzugang einzustellen wäre...?
Evtl. gibt es hier noch Anregungen oder Ideen.
Habe mittlerweile auch Computer-Firma da gehabt, aber leider haben die es, als IT-Profis, mit dem Routen auch nicht hinbekommen, da sie hauptsächlich Windows bearbeiten und mit Macs sich am wenigsten auskennen. Nun bin ich also genauso weit wie vorher, da es weiter nicht funktioniert.
Jetzt musste ich leider betriebsbedingt auf Mac umsteigen,
Was heisst denn leider ?? Da hast du doch endlich mal einen richtigen Rechner und vor allem ein erheblich besseres Betriebssystem. Von der ganzen Viren- und Trojanerproblematik unter Winblows ja mal erst gar nicht zureden. Also ein Schritt in die richtige Richtung der dich von so einem Grusel OS wie Winblows wegbringt. Ein Grund zur Freude also !!also sorry, dass ich hier nicht so leuchte....
Das ist normal für verblendete Winblows Knechte die das Licht lange nicht mehr gesehen haben. Das bessert sich mit dem Mac !! Zu den IP-Adressen würde ich dir mal unsere Netzwerkstruktur aufschreiben
Entspricht ja dann exakt der Skizze von oben, oder ? Die Netzwerk IPs musst du dir dann nur auf deine Adressierung denken.müsste ich eigentlich dem Zusatz-Router eine andere IP geben
Nöö, wie kommst du darauf ? Welche IP der hat ist vollkommen Wumpe sofern sie im gleichen IP Netz liegt was ja bei dir der Fall ist.habe auch keine Fernzugang-Software für Mac gefunden.
Ist auch Blödsinn und benötigt man nicht. Die .cfg Datei ist eine stinknormale ASCII Text Datei die du auf dem Mac mit einem klassischen Text Editor wie dem "TextEdit" bearbeiten kannst und dann einfach über das WebGUI der FritzBox einspielst und fertig ist der Lack. Eine Sache von 3 Minuten... Bräuchte ich denn dann überhaupt noch die VPN über LAN.LAN, wenn es über Fernzugang einzustellen wäre...?
WAS genau willst du denn erreichen ??Es soll doch eine Site to Site Kopplung der beiden Netze Standort A und Standort B sein, oder ?
Wenn ja benötigst du da nicht unbedingt die Fernzugangs Software, das kann man auch mit ein paar Mausklicks direkt im WebGUI der FB machen.
Wenn du dann übrigens unter "System" gehst und dort eine Konfig Sicherung machst hast du die VPN Konfig auch als Text Datei.
Die bei Sichern abgespeicherte .cfg Datei kannst du auch ganz stinknormal mit einem Texteditor öffnen (Rechtsklick und "öffnen mit") wie dem "TextEdit".
Ganz am Ende der Datei findetst du die VPN Konfig dann. So kannst du dir auch ohne den überflüssigen Unsinn der Fernzugangssoftware die VPN Konfig extrahieren indem du einfach den restlichen über der VPN Konfig stehenden Text weglöschst. So einfach ist das...
Evtl. gibt es hier noch Anregungen oder Ideen.
Nöö, einfach Klicki Bunti im WebGUI der FritzBox. Bringt die doch alles mit Bordmitteln mit !aber leider haben die es, als IT-Profis, mit dem Routen auch nicht hinbekommen
🤣 Sorry, aber mal im Ernst. Was für Pfeifen sind das denn die auf einem simplen, billigen Consumer Plaste Router sowas Einfaches nicht zum Fliegen bekommen ??Das macht dir jeder Fachinformatiker Azubi im ersten Lehrjahr in 30 Minuten fertig.
Das Wort "Profi" ist da dann für diese heinis wohl wirklich fehl am Platze. Für die passt nichtmal das Wort "Bastler"... Ohne Worte...
Kann man nur hoffen das die wenigstens kein Geld von dir genommen habe für diese heldenhafte Glanzleistung ?!
da sie hauptsächlich Windows bearbeiten und mit Macs sich am wenigsten auskennen.
So ein Quatsch !!! Was haben denn Endgeräte und deren Betriebssystem mit einer Netzwerk Konfig zu tun. Diesen Unsinn müssten die mal in einem Adminsitrator Forum näher erklären. So ein Blödsinn...ohne Worte. Ob Winblows, Linux oder Mac die kommunizieren doch alle über TCP/IP und nur das ist relevant. Ohh man....OK, zurück zum Thema ??
Definiere erstmal genau WAS du erreichen willst bevor wir ins Eingemachte gehen
- Site to Site Kopplung A und B (rennt ja bereits, oder ?)
- Standort A soll auf Standort B plus die IP Netze hinter dem Router .100.3 zugreifen
Inhaltsverzeichnis
Beispielnetzwerk nach deinem Design
- Standort A LAN = 192.168.198.0 /24 (FritzBox = .198.1)
- Standort B LAN = 192.168.188.0 /24 (FritzBox = .188.1)
- Zusätzlicher Router Standort B = 192.168.188.3
- Weitere IP Netze hinter zusätzlichem Router = Alle IP Netze im Bereich 172.16.x.y
- Statische Route dieser Netze auf der FritzBox an Gateway IP 192.168.188.3 (zusätzlicher Router)
- Zusätzlicher Router hat Default Route auf die FritzBox, Standort B
VPN Konfigurationsdatei für FritzBox A
Beachte hier den zusätzlichen Eintrag "permit ip any 172.16.0.0 255.255.0.0"; für die IP Netze hinter dem zusätzlichen Router ! Weitere Netze werden dort Komma getrennt ggf. angefügt.Siehe dazu auch den AVM Knowledgebase Artikel HIER.
Dieser Eintrag bewirkt das alle Clients aus Standort A auch alle Netz an Standort B inklusive der Netze hinter dem zusätzlichen Router erreichen !
vpncfg {
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "Standort-B";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = x.y.z.h;
remote_virtualip = 0.0.0.0;
keepalive_ip = 192.168.188.1;
remoteid {
ipaddr = x.y.z.h;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "geheim1234";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.198.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.188.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.188.0 255.255.255.0",
"permit ip any 172.16.0.0 255.255.0.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
} Diese einfachen VPN Konfig Dateien werden über das GUI der FritzBox hochgeladen:
Statische Route FritzBox B zu den IP Netzen des zusätzlichen Routers
Routet hier ALLE Beispielnetze hinter dem zusätzlichen Router. Geht hier der Einfachheit halber davon aus das sich diese Netze alle im Bereich 172.16.x.y befinden. Ggf. muss man das auf die eigene Adressierung anpassen !
VPN Konfigurationsdatei für FritzBox B
vpncfg {
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "Standort-A";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = x.y.z.h;
remote_virtualip = 0.0.0.0;
keepalive_ip = 192.168.198.1;
remoteid {
ipaddr = x.y.z.h;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "geheim1234";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.188.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.198.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.198.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
} Ping Check vom Client A auf Netzwerk B und Netzwerk zusätzlicher Router
Client in Netzwerk Standort A pingt erfolgreich- FritzBox IP in Netzwerk B
- Router IP des zusätzlichen Routers
Fazit
Works as designed !! 😉Mit der Anleitung schafft es auch ein Laie (oder die o.a. "Super Profis") im Handumdrehen dieses nun wirklich einfache VPN Szenario in 30 Minuten zum Fliegen zu bringen !
Und wie du selber sehen kannst hat das überhaupt gar nichts damit zu tun ob man das mit Linux, Apple Mac oder Winblows umsetzt. Soviel zu den Systemhaus "Helden" die sich hinter angeblicher Mac Unwissenheit verstecken...
Mehr Silbertablett für nicht Netzwerker geht jetzt nicht mehr über ein Forum. Du musst jetzt einfach nur Abtippen und "machen". Oder... es ausdrucken und den "Profi Helden" zum Abtippen geben !! Dafür wirds bei denen sicher reichen (hoffentlich).
1
Hallo, das ist ja eine super Anleitung, mit der eigentlich jeder klarkommen sollte. Dies würde ich mir jetzt auch zutrauen....
Nur noch die Frage, beim Hochladen nur die VPN-Config in dei Box hochladen oder die gesamte Sicherrungsdatei als Wiederherstellung hochladen..???, Der bestehende Tunnel müsste ja dann bleiben, ist ja nur ein weiteres Routing gesetzt, oder ? Habe oben nochmals gelesen, nur die VPN rausnehmen und als cfg Datei in Bx zurück.... Das ist ja machbar....
Zu den zusätzlichen Routen noch die Frage, kann ich da jegliche Routen so eintragen, die im zusätzlichen Router als statische Routen angegeben wurden und die ich auch benötige...? Du hast hier das 172-er Netz genommen, aber sicher der Einfachheit halber und zum Erklären. Die Routen, die ich brauche, haben immer ganz andere IP, so dass ich die nach deiner Anleitung immer durch Komma getrennt nacheinander dazu schreiben würde und abschließend mit Semikolon beenen würde. Ist dies so auch aus deiner Sicht richtig..?
Also wenn das funktioniert, fress ich einen Besen...., und falle vom Glauben ab über die Leistungsfähigkeit unserer lokalen Computerexperten. Das sind doch Sachen, die solche Spezialisten beherrschen sollten und anwenden können müssten...?!?! Mir wurde auch immer nur gesagt, dass geht niemals mit einer Fritzbox und ich solle mir doch einen richtigen Router (Lancom) kaufen, bei diesen tollen Teilen geht dies spielend einfach, aber mit den Billigroutern kann es gar nicht gehen.... Was soll man dazu sagen!
Ich versuche mal mein Glück und hoffe, dass hinterher noch alles funktioniert.....
Noch eine andere Mac-spezifische Frage, die ich als alter Windowsnutzer nicht wusste, habe sonst in meinem Netz mit dem zusätzlichen Router die Routen immer fix gehabt und kam vorher immer drauf, jetzt sind diese Routen immer nach Neustart wieder weg und ich muss mit sudo-Befehl diese immer wieder ins Terminal einpflegen, dann gehts. Gibt es hier nicht ein Tool, was diese Routen als permanent setzt und auch nach Neustart alles noch vorhanden ist...? Hatte bereits das Routesplit runtergeladen, aber das geht nicht in der 32 bit Version und mein Mac sagt mir ich solle nach neuem Programm suchen, aber noch nichts gefunden.
Vorerst mal vielen Dank für deine große Mühe, aber du hast mir die Netzwerksache nahe gebracht und einen geringen Frustanteil über Mac's, den ich dadurch anfangs hatte, genommen, so dass ich doch zunehmend Begeisterung finden kann......will aber den Tag nicht vor dem Abend loben, versuche es erst einmal und würde dir das ergebnis mitteilen......
Schönen Abend
Nur noch die Frage, beim Hochladen nur die VPN-Config in dei Box hochladen oder die gesamte Sicherrungsdatei als Wiederherstellung hochladen..???, Der bestehende Tunnel müsste ja dann bleiben, ist ja nur ein weiteres Routing gesetzt, oder ? Habe oben nochmals gelesen, nur die VPN rausnehmen und als cfg Datei in Bx zurück.... Das ist ja machbar....
Zu den zusätzlichen Routen noch die Frage, kann ich da jegliche Routen so eintragen, die im zusätzlichen Router als statische Routen angegeben wurden und die ich auch benötige...? Du hast hier das 172-er Netz genommen, aber sicher der Einfachheit halber und zum Erklären. Die Routen, die ich brauche, haben immer ganz andere IP, so dass ich die nach deiner Anleitung immer durch Komma getrennt nacheinander dazu schreiben würde und abschließend mit Semikolon beenen würde. Ist dies so auch aus deiner Sicht richtig..?
Also wenn das funktioniert, fress ich einen Besen...., und falle vom Glauben ab über die Leistungsfähigkeit unserer lokalen Computerexperten. Das sind doch Sachen, die solche Spezialisten beherrschen sollten und anwenden können müssten...?!?! Mir wurde auch immer nur gesagt, dass geht niemals mit einer Fritzbox und ich solle mir doch einen richtigen Router (Lancom) kaufen, bei diesen tollen Teilen geht dies spielend einfach, aber mit den Billigroutern kann es gar nicht gehen.... Was soll man dazu sagen!
Ich versuche mal mein Glück und hoffe, dass hinterher noch alles funktioniert.....
Noch eine andere Mac-spezifische Frage, die ich als alter Windowsnutzer nicht wusste, habe sonst in meinem Netz mit dem zusätzlichen Router die Routen immer fix gehabt und kam vorher immer drauf, jetzt sind diese Routen immer nach Neustart wieder weg und ich muss mit sudo-Befehl diese immer wieder ins Terminal einpflegen, dann gehts. Gibt es hier nicht ein Tool, was diese Routen als permanent setzt und auch nach Neustart alles noch vorhanden ist...? Hatte bereits das Routesplit runtergeladen, aber das geht nicht in der 32 bit Version und mein Mac sagt mir ich solle nach neuem Programm suchen, aber noch nichts gefunden.
Vorerst mal vielen Dank für deine große Mühe, aber du hast mir die Netzwerksache nahe gebracht und einen geringen Frustanteil über Mac's, den ich dadurch anfangs hatte, genommen, so dass ich doch zunehmend Begeisterung finden kann......will aber den Tag nicht vor dem Abend loben, versuche es erst einmal und würde dir das ergebnis mitteilen......
Schönen Abend
Nur noch die Frage, beim Hochladen nur die VPN-Config in dei Box hochladen oder die gesamte Sicherrungsdatei als Wiederherstellung hochladen..???
Rein NUR diese Datei oben hochladen. NICHT die gesamte Konfig. Im VPN Setup ist rein nur dieser spezifische VPN Teil gefordert !Zu den zusätzlichen Routen noch die Frage, kann ich da jegliche Routen so eintragen, die im zusätzlichen Router als statische Routen angegeben wurden und die ich auch benötige...?
Ja, das kannst du.Oben ist natürlich die Deluxe Version angegeben die mit einer sog. "Summary Route" den gesamten Netzwerk Bereich 172.16.x.y abdeckt. (Man achte auf die 16 Bit Maske 255.255.0.0 !!)
Alternativ kannst du passend zum obigen Setup aber auf für die 2 IP Netze statt der Summary Route beide bzw. alle Netze einzeln angeben ala...
Zielnetz: 172.16.1.0 Maske: 255.255.255.0 Gateway: 192.168.188.3
Zielnetz: 172.16.2.0 Maske: 255.255.255.0 Gateway: 192.168.188.3
Das ist gehupft wie gesprungen.
Es hängt immer davon ab WIEVIELE Netze hinter dem zusätzlichen Router liegen. Wenn es nur eine Handvoll ist kann man die auch einzeln angeben. Bzw. muss das auch machen wenn hier nicht intelligent gesubnettet wurde also diese Netze nicht in einem zusammenhängenden Bereich liegen.
Leider machst du dazu ja keinerlei Angaben...
Was ebenso wichtig wäre: WIE nutzt du die Internet Adressen der beiden FritzBoxen ??
- Hast du da beidseitig statische IP Adressen ?
- Oder nutzt du bei wechselnden IP Adressen DynDNS Hostnamen ?
Die Routen, die ich brauche, haben immer ganz andere IP
Deshalb steht ja oben auch das das nur ein Beispiel ist und du das auf DEINE eigenen Netze anpassen musst. Dürfte ja kein Problem sein, denn die IP Netze hinter dem zusätzlichen Router kennst du ja alle !Hättest du vorher etwas nachgedacht und eine IP Topologie Skizze deines Netzes hier an den Thread angehängt hätte uns das diese Nachfragerei erspart.
Dann hätte man dir hier eine massgeschneiderte Konfig präsentieren können OHNE mit Beispielen raten zu müssen. 🧐
Also wenn das funktioniert, fress ich einen Besen....
Das musst du gar nicht, das ist ein millionenfaches Standard Design simpelster Art und wird ganz sicher funktionieren. Dafür ist das doch alles gemacht in den Routern !!...und falle vom Glauben ab über die Leistungsfähigkeit unserer lokalen Computerexperten.
In der Tat ! Das sollte dir schwer zu denken geben ! Sowas macht normalerweise der Azubi im ersten Lehrjahr. Die sind sicher alles andere aber gewiss keine Experten !!dass geht niemals mit einer Fritzbox
Na ja normalerweise haben billige Consumer Boxen in einer Firma auch nichts zu suchen. Aber mal abgesehen davon ist die FB gar nicht so schlecht und sowas Einfaches wie bei dir wuppt die mit links ! aber mit den Billigroutern kann es gar nicht gehen.... Was soll man dazu sagen!
Na ja, die Antwort auf diese Frage kennst du ja jetzt. Siehe oben !Druck das aus und halte das den Ekschberde mal vor die Nase.
und ich muss mit sudo-Befehl diese immer wieder ins Terminal einpflegen, dann gehts.
Du hast vermutlich den -p Parameter vergessen, oder ? (p=permanent). Siehe auch hier.Aber du machst hier vermutlich einen generellen Denkfehler.
Statische Routen haben NICHTS auf einem Endgerät zu suchen. Routen tut im Netzwerk ausschliesslich der Router aber keine Endgeräte !
In deinem o.a. Netz muss keiner der Clients zusätzliche statische Routen haben.
Wenn du meinst auf einem Endgerät statisch routen zu müssen ist das zu 99% ein Zeichen dafür das im Netzwerk routingtechnisch etwas falsch konfiguriert wurde !!
Viel Erfolg bei der Umsetzung !
Es hängt immer davon ab WIEVIELE Netze hinter dem zusätzlichen Router liegen. Wenn es nur eine Handvoll ist kann man die auch einzeln angeben. Bzw. muss das auch machen wenn hier nicht intelligent gesubnettet wurde also diese Netze nicht in einem zusammenhängenden Bereich liegen.
Leider machst du dazu ja keinerlei Angaben...
Das sind immer ganz andere IP, da es immer zu anderen Anbietern geht, so dass die sich völlig voneinander unterscheiden.....
Was ebenso wichtig wäre: WIE nutzt du die Internet Adressen der beiden FritzBoxen ??
Hast du da beidseitig statische IP Adressen ?
Oder nutzt du bei wechselnden IP Adressen DynDNS Hostnamen ?
Hier nutze ich DynDNS über die myfritz-Adressen, geht gut und hat bisher immer funktioniert. Habe auch mal in die Konfig reingeschaut, da sind diese auch aufgelistet.
Mit dem Routen ist es wirklich so, wenn ich am client in ein bestimmtes Netz will geht es erst, wenn die sudo Sache mache, sonst findet der die Verbindung nicht, aber evtl. geht es ja dann, wenn ich die neue Konfiguration übertragen habe.....
Leider machst du dazu ja keinerlei Angaben...
Das sind immer ganz andere IP, da es immer zu anderen Anbietern geht, so dass die sich völlig voneinander unterscheiden.....
Was ebenso wichtig wäre: WIE nutzt du die Internet Adressen der beiden FritzBoxen ??
Hast du da beidseitig statische IP Adressen ?
Oder nutzt du bei wechselnden IP Adressen DynDNS Hostnamen ?
Hier nutze ich DynDNS über die myfritz-Adressen, geht gut und hat bisher immer funktioniert. Habe auch mal in die Konfig reingeschaut, da sind diese auch aufgelistet.
Mit dem Routen ist es wirklich so, wenn ich am client in ein bestimmtes Netz will geht es erst, wenn die sudo Sache mache, sonst findet der die Verbindung nicht, aber evtl. geht es ja dann, wenn ich die neue Konfiguration übertragen habe.....
Hier nutze ich DynDNS über die myfritz-Adressen, geht gut und hat bisher immer funktioniert.
Das geht natürlich auch problemlos nur hier musst du die vpn.conf Datei oben für die FBs dann auch entsprechend anpassen auf diese Namen ! HIER findest du ein Beispiel zu einem FB Setup mit DynDNS Adressen!wenn ich am client in ein bestimmtes Netz will geht es erst, wenn die sudo Sache mache,
Ja, zeigt das an der FritzBox die statischen Routen fehlen in die Netze hinter dem zusätzlichen Router.Wenn du da eine genaue Topologieskizze zur IP Netzadressierung liefern könntest, dann kann man dir hier ein 2tes Silbertablett liefern damit du das mal richtig machst.
Da ist wohl bei eurer Netzkonfig noch allerlei im Argen bzw. NICHT gemacht worden.
Das ist doch krank das man am Endgerät fummeln muss damit das Routing klappt...das weist du auch sicher als Laie das das Unsinn ist und nie so sein dürfte.
Also in der Config stehen die Namen bereits drinnen, da muss ich ja nichts ändern, sonst hier mal einige IP, auf die ich Routen muss....
Habe sie mal als Bild eingefügt.... sind im Router als statisch gesetzt, so dass hierhin geschickt werden muss.
Habe sie mal als Bild eingefügt.... sind im Router als statisch gesetzt, so dass hierhin geschickt werden muss.
Das sind ja durch die Bank alles öffentliche IP Netze.... 🤔
OK die müsstest du alle natürlich als statische Routen in der FritzBox B eintragen mit Gateway 192.168.101.3 (Zusatzrouter) wenn du die über den zusätzlichen Router routen willst !
ACHTUNG:!!!
Damit dir Rückroute vom Zusatzrouter klappt musst du das FritzBox Netz des Standortes A auch auf diesem zusätzlichen Router via FritzBox B als Gateway eintragen !
Logisch, denn der Zusatzrouter muss ja alles an das Standort A Netz geht an die FritzBox B senden.
Im Zusatzrouter muss also sowas stehen wie:
Zielnetz: 192.168.100.0 Maske: 255.255.255.0 Gateway: 192.168.188.1
OK die müsstest du alle natürlich als statische Routen in der FritzBox B eintragen mit Gateway 192.168.101.3 (Zusatzrouter) wenn du die über den zusätzlichen Router routen willst !
ACHTUNG:!!!
Damit dir Rückroute vom Zusatzrouter klappt musst du das FritzBox Netz des Standortes A auch auf diesem zusätzlichen Router via FritzBox B als Gateway eintragen !
Logisch, denn der Zusatzrouter muss ja alles an das Standort A Netz geht an die FritzBox B senden.
Im Zusatzrouter muss also sowas stehen wie:
Zielnetz: 192.168.100.0 Maske: 255.255.255.0 Gateway: 192.168.188.1
Kurze Frage noch, wie sehe ich an den IP-Adressen, in welches Subnetz die gehen müssen, sehe ich das an den Präfixen oder kann ich da ich Netz danach suchen....
Habe was gefunden,was dem entsprechen müsste....
https://wiki.manitu.de/index.php/Server:IPv4-Subnetze
https://wiki.manitu.de/index.php/Server:IPv4-Subnetze
wie sehe ich an den IP-Adressen, in welches Subnetz die gehen müssen
Mit deiner o.a. Anrwort hast du dir die Frage schon intuitiv selber richtig beantwortet. Das "/29" gibt das vor, denn das ist die Subnetzmaske ! (z.B. /29 = 29 Bit Maske = 255.255.255.248)Guckst du dazu auch hier: https://de.wikipedia.org/wiki/Netzmaske#Präfixlängen_als_Netzg ...
Es gäbe noch eine andere Lösung:
Sofern der "Zusatzrouter" auch ein Internet Router ist und der auch das Internet aller Clients im 192.168.101er Netz bedienen könnte, könntest du (Konjunktiv !) den Clients im 192.168.101er IP Netz auch per Default die 192.168.101.3 als Default Gateway geben !
Damit wären dann alle .101.0er Clients gleich da wo sie hinsollten. Er bräuchte dann zusätzlich einfach nur noch eine statische Route "Zielnetz: 192.168.100.0 Maske: 255.255.255.0 Gateway: 192.168.188.1" damit diese Clients weiter ins .100er Standort-A Netz kommen.
Das hätte den Vorteil das die gesamten statischen Routen auf der FritzBox B entfallen würden. Logisch, denn die .101.0er Clients wären dann ja schon direkt an dem Router der in die anderen IP Netze geht und der kennt dann alle diese Routen. Nur die ins 100er (A) Netz müsste man ihm dann noch bekanntgeben.
Geht aber nur wenn dieser Router auch Internet Zugang hat und auch die .101.0er Clients bedienen könnte.
Sollte er keinen Internet Zugang haben und rein nur diese o.a. IP Netze bedienen würde es auch gehen, denn dann bräuchte er lediglich eine Default Route auf die FritzBox B.
Sprich er routet dann alle o.a. angegebenen Routen und würde alles was er nicht kennt bzw. Internet ist, an die FritzBox B schicken.
Auch so könnte man die Routing Problematik elegant lösen. Wie gesagt...hängt vom Zusatzrouter ab !
Geht das nicht dann einfach, wie zuvor beschrieben, statisch alle Netze in der FritzBox B routen an die .101.3.
Beide Lösungen erfordern KEINE lokale Frickelei mit statischen Routen auf den Endgeräten selber !
Es gibt mehrere sinnvolle (Routing) Wege nach Rom...
Hallo, vielen Dank für den zusätzlichen Tipp, aber wie könnte ich dies testen, ob der Router das macht...? Er kann eigenes DHCP verwalten und so denke ich doch, dass es gehen würde. Nur hier Einstellungen vorzunehmen, ist mir nicht ganz geheuer, da dieser die vordefinierten statischen Routen als gesonderte VPN und Fachanwendungen bedienen muss. Man kann hier sicher die Clients anlegen, da er auch IP-Bereiche abfragt.....
Nun ja, habe aber vorerst deine obige Beschreibung vollbracht, die geänderte VPN-config in die FB des entfernten Netzes eingeladen, was auch genommen wurde. In der lokalen FB habe ich die statischen Routen gesetzt und auch diese sind angenommen worden. Aber leider....geht es nicht !!!
Habe mich auf das entfernte Netz eingelockt und Ping etc durchgeführt, wobei er aber sagt, das nahe Netz ist nicht erreichbar. Über Netstat kann ich aber die gesetzten neuen Routen sehen, die auch über den zusätzlichen Router als Gateway laufen. Ich finde aber keine Fehler, habe ich was vergessen. ??
Da ich über VPN auch mit dem nahen Netz über mein MacBook verbunden bin, kann ich aber jetzt schon wieder auf manche geroutete Seiten zugreifen, also etwas geht schon wieder. Die VPN-Config in der nahen FB muss ich doch nicht ändern, da ja statische Routen in der FB gesetzt worden sind. Hast du noch eine Idee, was ich noch machen könnte, komm mal wieder nicht weiter......
Nun ja, habe aber vorerst deine obige Beschreibung vollbracht, die geänderte VPN-config in die FB des entfernten Netzes eingeladen, was auch genommen wurde. In der lokalen FB habe ich die statischen Routen gesetzt und auch diese sind angenommen worden. Aber leider....geht es nicht !!!
Habe mich auf das entfernte Netz eingelockt und Ping etc durchgeführt, wobei er aber sagt, das nahe Netz ist nicht erreichbar. Über Netstat kann ich aber die gesetzten neuen Routen sehen, die auch über den zusätzlichen Router als Gateway laufen. Ich finde aber keine Fehler, habe ich was vergessen. ??
Da ich über VPN auch mit dem nahen Netz über mein MacBook verbunden bin, kann ich aber jetzt schon wieder auf manche geroutete Seiten zugreifen, also etwas geht schon wieder. Die VPN-Config in der nahen FB muss ich doch nicht ändern, da ja statische Routen in der FB gesetzt worden sind. Hast du noch eine Idee, was ich noch machen könnte, komm mal wieder nicht weiter......
aber wie könnte ich dies testen, ob der Router das macht...?
Mit einem ganz einfachen Ping ! Z.B. auf 8.8.8.8 (Google)Einfach mal testweise deine Gateway IP am PC statisch auf die .101.3 ändern und 2 Ping Versuche machen
- Nackte IP mit 8.8.8.8
- Via Hostnamen (DNS Check) z.B. www.heise.de
da dieser die vordefinierten statischen Routen als gesonderte VPN und Fachanwendungen bedienen muss.
Diese musst (und sollst) du ja auch gar nicht anfassen !!Aber leider....geht es nicht !!!
Du hast zu 99% einen Konfig Fehler begangen !! Um das beurteilen zu können müsste man deine Konfig Files bzw. Screenshots von beiden Seiten anonymisiert hier mal sehen !Bedenke:
Ohne die statische Route ins A Netz am Zusatzrouter ist es technisch unmöglich die Netze dahinter zu erreichen, denn der Zusatzrouter MUSS die Rückroute kennen !!
Routing funktioniert immer Hop für Hop !
Über Netstat kann ich aber die gesetzten neuen Routen sehen
Über netstat ??? Eimne FritzBox kann gar kein netstat ?? Fragt sich was du hier wieder für ein Unsinn machst ??- Die statischen Routen der Netze müssen auf die FritzBox B via .101.3
- Wenn die FritzBox diese Routen hat dürfen die Endgeräte in .101.0 keine dieser statischen Routen mehr haben ! Die müssen alle entfernt werden.
- Wenn das A Netz in alles diese Netze soll müssen alle diese Netze hinter dem Zusatzrouter sowohl in die VPN Konfig von FritzBox A als auch statisch im Routing Setup in die FritzBox B eingetragen sein. Und... es muss eine statische Route im Zusatzrouter ins .100.0er Netz (A) definiert sein ! Hast du diese Schritte umgesetzt ??
Die VPN-Config in der nahen FB muss ich doch nicht ändern
Richtig, die muss nicht geändert werden nur A und in B müssen die statischen Routen eingetragen werden und im Zusatzrouter die Route auf A. Ohne diese Setups wird es nicht klappen.Benutze immer die traceroute Funktion auf dem Mac, die zeigt dir immer alle Routing Hops einzeln an. So kannst du immer genau sehen wo es kneift.
traceroute -I <Ziel_IP>
Mit netstat mạch ich keinen Unsinn, sondern habe ich im entfernten Client geschaut, ob noch irgendwelche Routen stehen, hat nichts mit FB zu tun.....
Sonst habe ich nur die VPN.config in die FB eingepflegt, was ging und angenommen wurde. Nur leider ohne Erfolg. Meine Verlaufskontrolle mit Auslösen einer Sicherungsdatei dieser FB hat aber leider ergeben, dass diese Routen nicht mit enthalten sind, ergo dürfte es auch nicht gehen und die Routen , die nur durch die eingespielte Config drinnen sein sollten, haben nicht geklappt.....Grund ist für mich nicht ersichtlich.
Habe sogar die komplette Sicherungsdatei mit editiert und hier die neuen Routen in den VPN-Anteil eingefügt und wollte diese gleiche Datei als Wiederherstellung zurückschreiben, aber leider auch dies geht nicht, da er sagt, es wäre keine Importdatei......?????
Also drehen im Kreis ohne jeglichen Erfolg. Sende dir mal den VPN-Anteil, den ich eingespielt habe, anonymisiert als Bild zu. Kannst ja mal schauen, wo evtl. ein Fehler ist. In der nahen FB habe ich die stat. Routen alle gesetzt und die stehen auch alle.
Lösungsmöglichkeiten aus deiner Sicht.
Hier die VPN.config der entfernten FB:
vpncfg {
vpncfg_version = 1;
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "....myfritz.net";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "....myfritz.net";
keepalive_ip = 192.168.100.1;
localid {
fqdn = "$$$$4QVJQPN4E6LNWEEHBG65NG5UKEOCR1MJUKRGBUQWGLSPEW6MFPCZOWZYHXSO5SZMDZKH5AGKYHSCPNQTICFDTFJVOLQG1RPUCC1OC1IA";
}
remoteid {
fqdn = "$$$$BP6YE3VTZDQJSOLWZNAH3MXKSODD2IWCJVI5XDXUE3LTIYQI43OF1NR45WTYDDLLZGBKJZKYSFSAZ2QN4GJDI4LNZBR6BESSBO5VXDIA";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "$$$$XHLPFHCEA3XGN1WKQZDINGZANSG5BCEXBSI4XN1PYFKUDSWBVRJ6NMEPEDZHRTWGZI2CCPLEGPSNBD65JC5HFLTVUP4JT5NJRFDGUMYA";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.101.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0",
"permit ip any 188.144.0.0 255.254.0.0",
"permit ip any 100.102.0.0 255.255.128.0",
"permit ip any 100.103.0.0 255.255.0.0",
"permit ip any 100.102.128.0 255.255.0.0",
"permit ip any 100.102.8.6 255.255.255.255",
"permit ip any 161.156.128.32 255.255.255.240",
"permit ip any 100.96.0.0 255.252.0.0",
"permit ip any 100.64.0.0 255.224.0.0",
"permit ip any 100.100.0.0 255.254.0.0",
"permit ip any 213.146.104.80 255.255.255.248";
app_id = 0;
} {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = ".....myfritz.net";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "......myfritz.net";
keepalive_ip = 192.168.188.1;
localid {
fqdn = "$$$$DQDHJQYX5GZK3BMSR4IF2IVZGJLR5XZ3JLM4KXHQ1FTTSNWGKPRK1XCGVD4ZYUDQOEYORPA2LFLV5AH5X61R2JMPVFVL3AR6PETNOKLX";
}
remoteid {
fqdn = "$$$$TSOT5FRNUUEZMYQFQXPTOAEVVSGN4DY3UVT6HPYQSZEXPO66YBQ3MDQVA5QIA5BBBZLCJATWREVJB5HSU44XL56QQY4CBIBSD3MVMKLX";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "$$$$HTGS65EX5YVQOABVMECOBQGDZIJMG551IGNRG4WNZJ1XZCJIPGYX1R4IPO6E4EUOQVT1BQCQXQ6FYA53FWEITIYTRZSY32WNEWX5IEQA";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.101.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.188.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.188.0 255.255.255.0";
app_id = 0;
}
}
Nicht wundern, dass noch eine zweite VPN-Verbindung generiert ist, das ist der Zugang in mein Heimnetz.
Sonst habe ich nur die VPN.config in die FB eingepflegt, was ging und angenommen wurde. Nur leider ohne Erfolg. Meine Verlaufskontrolle mit Auslösen einer Sicherungsdatei dieser FB hat aber leider ergeben, dass diese Routen nicht mit enthalten sind, ergo dürfte es auch nicht gehen und die Routen , die nur durch die eingespielte Config drinnen sein sollten, haben nicht geklappt.....Grund ist für mich nicht ersichtlich.
Habe sogar die komplette Sicherungsdatei mit editiert und hier die neuen Routen in den VPN-Anteil eingefügt und wollte diese gleiche Datei als Wiederherstellung zurückschreiben, aber leider auch dies geht nicht, da er sagt, es wäre keine Importdatei......?????
Also drehen im Kreis ohne jeglichen Erfolg. Sende dir mal den VPN-Anteil, den ich eingespielt habe, anonymisiert als Bild zu. Kannst ja mal schauen, wo evtl. ein Fehler ist. In der nahen FB habe ich die stat. Routen alle gesetzt und die stehen auch alle.
Lösungsmöglichkeiten aus deiner Sicht.
Hier die VPN.config der entfernten FB:
vpncfg {
vpncfg_version = 1;
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "....myfritz.net";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "....myfritz.net";
keepalive_ip = 192.168.100.1;
localid {
fqdn = "$$$$4QVJQPN4E6LNWEEHBG65NG5UKEOCR1MJUKRGBUQWGLSPEW6MFPCZOWZYHXSO5SZMDZKH5AGKYHSCPNQTICFDTFJVOLQG1RPUCC1OC1IA";
}
remoteid {
fqdn = "$$$$BP6YE3VTZDQJSOLWZNAH3MXKSODD2IWCJVI5XDXUE3LTIYQI43OF1NR45WTYDDLLZGBKJZKYSFSAZ2QN4GJDI4LNZBR6BESSBO5VXDIA";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "$$$$XHLPFHCEA3XGN1WKQZDINGZANSG5BCEXBSI4XN1PYFKUDSWBVRJ6NMEPEDZHRTWGZI2CCPLEGPSNBD65JC5HFLTVUP4JT5NJRFDGUMYA";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.101.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0",
"permit ip any 188.144.0.0 255.254.0.0",
"permit ip any 100.102.0.0 255.255.128.0",
"permit ip any 100.103.0.0 255.255.0.0",
"permit ip any 100.102.128.0 255.255.0.0",
"permit ip any 100.102.8.6 255.255.255.255",
"permit ip any 161.156.128.32 255.255.255.240",
"permit ip any 100.96.0.0 255.252.0.0",
"permit ip any 100.64.0.0 255.224.0.0",
"permit ip any 100.100.0.0 255.254.0.0",
"permit ip any 213.146.104.80 255.255.255.248";
app_id = 0;
} {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = ".....myfritz.net";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "......myfritz.net";
keepalive_ip = 192.168.188.1;
localid {
fqdn = "$$$$DQDHJQYX5GZK3BMSR4IF2IVZGJLR5XZ3JLM4KXHQ1FTTSNWGKPRK1XCGVD4ZYUDQOEYORPA2LFLV5AH5X61R2JMPVFVL3AR6PETNOKLX";
}
remoteid {
fqdn = "$$$$TSOT5FRNUUEZMYQFQXPTOAEVVSGN4DY3UVT6HPYQSZEXPO66YBQ3MDQVA5QIA5BBBZLCJATWREVJB5HSU44XL56QQY4CBIBSD3MVMKLX";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "$$$$HTGS65EX5YVQOABVMECOBQGDZIJMG551IGNRG4WNZJ1XZCJIPGYX1R4IPO6E4EUOQVT1BQCQXQ6FYA53FWEITIYTRZSY32WNEWX5IEQA";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.101.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.188.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.188.0 255.255.255.0";
app_id = 0;
}
}
Nicht wundern, dass noch eine zweite VPN-Verbindung generiert ist, das ist der Zugang in mein Heimnetz.
ob noch irgendwelche Routen stehen, hat nichts mit FB zu tun.....
Ahhhsooo...sorry.Sonst habe ich nur die VPN.config in die FB eingepflegt, was ging und angenommen wurde.
Die Konfig ist auch korrekt so !dass diese Routen nicht mit enthalten sind
In den Routen stehen die auch NICHT drin !! Sie müssen aber im VPN Konfig Abschnitt so mit dem "accesslist = "permit ip any..." ALLE drinstehen !!!Was komisch ist...
Du siehst oben selber das du zweimal die Konfig in einer Text Datei hast !!! Das ist natürlich völliger Blödsinn. Der letzte Teil ohne die zusätzlichen Netze überschreibt dann wieder die erste Version.
Ausserdem hast du unsinnigerweise die IP Netze des Testsetup (.188.0) drin die bei dir ja gar nicht vorhanden sind. Dafür dann wieder das IP Netz an Standort B vergessen (.101.0) so das es nichtmal VPN Connectivity dahin geben kann.
Sorry, aber soviel Intelligenz sollte man doch haben solche simplen Fehler zu erkennen zumal dort am Ende der cfg Datei auch noch ein "EOF" steh (End of File) !
Wenn du so einen Quatsch in die Konfig Datei reinschreibst muss man sich doch gar nicht wundern das es nicht klappt...
Fazit:
Korrigiere also deine VPN Konfig Datei für FB A auf eine und ein richtiges Format und keine sinnfreie Doppeldatei !!
vpncfg {
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "Standort-B";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = x.y.z.h;
remote_virtualip = 0.0.0.0;
keepalive_ip = 192.168.101.1;
remoteid {
ipaddr = x.y.z.h;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "geheim1234";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.101.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.101.0 255.255.255.0",
"permit ip any 188.144.0.0 255.254.0.0",
"permit ip any 100.102.0.0 255.255.128.0",
"permit ip any 100.103.0.0 255.255.0.0",
"permit ip any 100.102.128.0 255.255.0.0",
"permit ip any 100.102.8.6 255.255.255.255",
"permit ip any 161.156.128.32 255.255.255.240",
"permit ip any 100.96.0.0 255.252.0.0",
"permit ip any 100.64.0.0 255.224.0.0",
"permit ip any 100.100.0.0 255.254.0.0",
"permit ip any 213.146.104.80 255.255.255.248";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Nochmals, wie bereits oben beschrieben, die 188 er IP ist meine Heimat-IP und damit kein Blödsinn, sondern mein VPN-Tunnel in meine Wohnung, wodurcu ich auf beide FB im Netz A und Netz B komme...!!!! Also wäre ich ja dumm, wenn ich diese rausnehme, da ich dann keine VPN mehr nach Hause habe, also nicht gleich überbewerten und Text zu Ende lesen, da steht es eben auch !!!!
Ich finde, auch wenn man kein absoluter IP-Netzwerkprofi ist, sollte man den anderen nicht gleich dumm machen...., denn der andere hat sicher auch Grips und sich was dabei gedacht !
So nun wieder zum Thema, die Config ist so, wie sie sein sollte, denn mein Netz der FB A hat wie ganz oben beschrieben die 100 er Reihe als IP, hier ist mit der 100.3 der ZusatzRouter drinn, das entfernte Netz ist die 101 er Reihe, also versuche ich die VPN-Route vom 101 auf die 100 er Reihe und dann via 100.3 in den Zusatzrouter zu bekommen...mehr ist das nicht. Und dies geht eben nicht, was mich absolut nervt, da es ja eigentlich so einfach sein soll. Gibt es hier eine Lösung?
Vielen Dank für die Hilfe....
Ich finde, auch wenn man kein absoluter IP-Netzwerkprofi ist, sollte man den anderen nicht gleich dumm machen...., denn der andere hat sicher auch Grips und sich was dabei gedacht !
So nun wieder zum Thema, die Config ist so, wie sie sein sollte, denn mein Netz der FB A hat wie ganz oben beschrieben die 100 er Reihe als IP, hier ist mit der 100.3 der ZusatzRouter drinn, das entfernte Netz ist die 101 er Reihe, also versuche ich die VPN-Route vom 101 auf die 100 er Reihe und dann via 100.3 in den Zusatzrouter zu bekommen...mehr ist das nicht. Und dies geht eben nicht, was mich absolut nervt, da es ja eigentlich so einfach sein soll. Gibt es hier eine Lösung?
Vielen Dank für die Hilfe....
die 188 er IP ist meine Heimat-IP und damit kein Blödsinn,
OK, sorry vergessen. Shame on me... wenn man kein absoluter IP-Netzwerkprofi ist
Der sich aber in ein Administrator Forum wagt... Da sollte man also schon etwas Rückgrat mitbringen wenns mal windig wird... Bedenke immer das wir hier dann solchen Kandidaten wie dir die 3fache Zeit und Tipparbeit widmen müssen was man einem Netzwerker in 5 Minuten erklärt mit max. 3 Stichworten. Also auch immer mal die andere Seite fair betrachten ! So nun wieder zum Thema
Richtig !die Config ist so, wie sie sein sollte
Das kannst du ja immer selber wasserdicht checken wenn du dir die Gesamtkonfig sicherst und dann mit einem Texteditor (z.B. TextEdit) ansiehst und dann am Ende dir den Bereich der vpncfg ansiehst !denn mein Netz der FB A hat wie ganz oben beschrieben die 100 er Reihe als IP, hier ist mit der 100.3 der ZusatzRouter drinn, das entfernte Netz ist die 101 er Reihe
Du hast Recht...im Eifer des Gefechts durcheinander gebracht...nochmal sorry !da es ja eigentlich so einfach sein soll.
Es ist ja auch so einfach !!! Siehe Skizze und Setup oben !Bitte checke deine aktuelle VPN Konfig Sektion in der Konfig Datei und poste die hier nochmal...
Eine genaue Topologie Zeichnung deines Netzes wäre ebenso hilfreich.
Hallo, habe jetzt nach viel Hin und Her die gesamte Sicherungsdatei mit allen VPN-Rooten in FB des 101er Netz bekommen, Problem ist die Checksumme, die wird bei Änderungen geändert und damit darf die nicht zurückgespielt werden, aber mit Recherche habe ich ein Tool gefunden, dass diese aktualisiert und es geht....
So nun habe ich die Routen im 101 , aber es geht immer noch nicht. Im Zusatzrouter (100.3) ist die Route zurück hinterlegt, d.h. 101er via 100.254 (FB des 100er Netzes), also müsste doch alles gehen. Jetzt könnte es doch nur noch sein, dass die statischen Routen im Client des 101 er die festgelegten Routen blockiert oder stört, oder was meinst Du....? Den in FB des 100er Netzes sind die statischen Routen zum Zusatzrouter (100.3) gesetzt.
So nun habe ich die Routen im 101 , aber es geht immer noch nicht. Im Zusatzrouter (100.3) ist die Route zurück hinterlegt, d.h. 101er via 100.254 (FB des 100er Netzes), also müsste doch alles gehen. Jetzt könnte es doch nur noch sein, dass die statischen Routen im Client des 101 er die festgelegten Routen blockiert oder stört, oder was meinst Du....? Den in FB des 100er Netzes sind die statischen Routen zum Zusatzrouter (100.3) gesetzt.
Problem ist die Checksumme, die wird bei Änderungen geändert und damit darf die nicht zurückgespielt werden
Das ist jedem Administrator allgemein bekannt. Genau deshalb wurde dir oben ja mehrfach gesagt das du nur den vpncfg Abschnitt aus dieser Konfig Datei rauskopierst und als neue Datei sicherst wie die Beispiele oben.Damit hast du dann eine universelle FritzBox VPN Konfig Datei in der du nach Herzenslust editieren kannst und die du immer problemlos auch wieder rücksichern kannst als VPN Konfig.
Lesen hilft wirklich !!
also müsste doch alles gehen.
Ja das müsste es und tut es natürlich auch !Hast du als ersten Schritt einmal von einem Client im A Netz den Zusatzrouter in B .100.3 angepingt ?? Was kam dabei raus, klappt das ?
Das würde zumindestens schonmal verifizieren das die Route dort sauber arbeitet.
Knackpunkt ist aber das du bis jetzt der mehrfachen Bitte einer genauen Topologie Zeichnung nicht nachgekommen bist und sich dieser Thread weiter und weiter in die Länge zieht weil man ALLES einzeln nachfragen muss was mit einer Skizze längst geklärt ist.
Die große Frage ist ob alle diese Zusatzrouter Netze 100.102.0.0 255.255.128.0, 213.146.104.80 255.255.255.248 usw. usw. direkt am Zusatzrouter betrieben werden ??
Ist das der Fall sollte alles klappen.
Ist das NICHT der Fall und routet dieser Router diese IP Netze weiter auf andere Zielrouter mit VPNs, Standleitungen usw. dann kann es nicht gehen und muss scheitern.
Warum ist das so...?! Das leuchtet dir vermutlich auch selber ein, oder.
Nehmen wir als Beispiel mal 100.102.0.0 255.255.128.0. Die Hinroute wird klappen also die B FritzBox wird ein IP Paket mit der Zieladresse z.B. 100.102.0.222 and den Zusatzrouter schicken und der hat dann eine Route z.B. auf den Zielrouter der das 100.102.0.0er Netz bedient.
Dort kommt das Paket auch am Ziel an und das dortige Endgerät schickt dann ein Antwortpaket mit der Zieladresse 192.168.101.xyz zurück. Zuerst natürlich an den Router der vor Ort ist und genau da scheitert es dann weil der (vermutlich) nur das FritzBox B Netz mit der 100.0 kennt, nicht aber das FritzBox A Netz .101.0 weil die Route fehlt.
Folglich verwirft er das Paket und die Daten landen im Nirwana.
Mit anderen Worten:
Du musst, sofern diese Zielnetze von weiteren Routern bedient werden, dort eine statische Route ins .101.0er Fritz A Netz eintragen, damit auch die Rückroute funktioniert.
Wie gesagt...alles jetzt mal geraten weil diese wichtigen Details deine Netzes weiter im Dunkeln liegen.
Sollte es das denn nun gewesen sein bitte den Thread dann auch als erledigt markieren !
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Nach langem Versuchen konnte ich die statischen Routen dann endlich aus den Clients entfernen, waren immer wieder neu gesetzt enthalten.....
Dann nach nochmaliger Kontrolle geht es wie verrückt.....!!!!
Auf diesem Wege nochmals vielen Dank für die Hilfe und Hinweise, wäre sonst nichts geworden, da Hilfe von örtlichen Fachkräften nicht zu erwarten war.
Ich bin nun in der Mac-Welt angekommen und begeistert....!
Schöne Feiertage und bis die Tage.
Dann nach nochmaliger Kontrolle geht es wie verrückt.....!!!!
Auf diesem Wege nochmals vielen Dank für die Hilfe und Hinweise, wäre sonst nichts geworden, da Hilfe von örtlichen Fachkräften nicht zu erwarten war.
Ich bin nun in der Mac-Welt angekommen und begeistert....!
Schöne Feiertage und bis die Tage.
1waren immer wieder neu gesetzt enthalten.....
Kein Wunder wenn man mit dem -p Parameter gearbeitet hat was diese Routen permanent macht so das sie einen Reboot überstehen. Dann nach nochmaliger Kontrolle geht es wie verrückt.....!!!!
👏 Glückwunsch ! 👍War ja aber ne echt schwere Geburt mit dir !
da Hilfe von örtlichen Fachkräften nicht zu erwarten war.
Soviel zum Thema "Fachkräfte". Muss man sicher nicht weiter kommentieren wenn ein relativer Routing Newbie wie du sowas schon mit ein bischen an die Hand nehmen zum Fliegen bekommt.Nun weisst du hoffentlich wo du dran bist mit deinen "Fachkräften" oder der "Computer-Firma mit IT-Profis".
Ich bin nun in der Mac-Welt angekommen und begeistert....!
So sollte es sein ! Schöne Feiertage und bis die Tage.
Ebenso und weiter viel Erfolg auf deinem Weg zum Netzwerk Profi ! 😉
