Site to Site VPN LANCOM - Fritzbox
Ho,Ho,Ho ins Forum - allen schöne Weihnachten.
Es geht mir hier um ein site2site VPN zwischen einem Lancom 1781 und einer Fritzbox 7390.
Es funktioniert zwar doch ich bin ziemlich ratlos. Ich weiß praktisch nicht "warum" es funktioniert und brauche deshalb Eure Hilfe.
Es sieht so aus:
LAN „zentrale“ Lancom1781VAW
blabla.dyndns.org
192.168.238.238
LAN „aussen“ FB7390
blablablajaiv.myfritz.net
192.168.239.254
Zunächst hatte ich mich an die Anleitung von Benajmnin Lübbe gehalten:
http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lanco ...
Der erklärt es zwar gut aber bei mir hat es nicht funktioniert. Das wird sicherlich an mir liegen weil andere es genau so hingekriegt haben.
Danach bin ich auf das Tool VPN-Multiconnect gestossen:
https://sourceforge.net/projects/fritzvslancom
Für Leute wie mich (Klicki-Bunti) ist das ein geniales Tool.
Es generiert Config Files für die beiden jeweils unterschiedlichen Router.
Der Nachteil ist, dass man dadurch nicht weiß, was man eigentlich tut.
Vorweg: damit hat es sofort funktioniert, ABER:
...zunächst konnte das VPN nur einseitig - von der FB aus- initiiert werden.
Wenn ich von der FB aus den LC angepingt habe, stand sofort der Tunnel und funktionierte mehrere Stunden.
Das kann -aus meiner Sicht- eigentlich auch nur so sein weil Multiconnect mich mit keiner Silbe nach der WAN-IP / Dyn.Hostn. der FB gefragt hat:
Das Tool macht sicher alles richtig - nur scheine ich etwas Grundlegendes nicht verstanden zu haben.
Mir ist nicht klar, wie beide Router sich finden können, wenn nicht BEIDE WAN-IPs (bzw. Dyn.HN) konfiguriert werden.
Wer kann mir das erklären?
Ich habe dann auf Basis von Benjamin Lübbe´s HowTo, den Eintrag für das Remote Gateway ergänzt und seitdem funktioniert es auch beidseitig:
(Lanconfig: VPN->IKE/IPSEC->Verbindungsliste->Bearbeiten
Es funktioniert jetzt zwar aber es gibt sehr viele Fragen.
Ich fang´mal an:
1. Warum fragt "VPN-Multiconnect" im Profil "LC vs. FB" nicht nach BEIDEN WAN IP´s?
2. Ganz unten findet Ihr die CFG-Datei, die "VPN-Multiconnect" generiert hat. Die funktioniert doch gegenüber der CFG von Benjamin Lübbe gibt es einen Unterschied:
Der Abschnitt :
phase2remoteid {
ipnet {
ipaddr = 192.168.238.0;
mask = 255.255.255.0;} }
fehlt bei Benjamin Lübbe. Vielleicht hat das mit Frage 1 zu tun. Warum ist das so?
3. Ich habe mir mal die funktionierende LC-Konfiguration (Verbindungs-Parameter, Verbindungs-Liste, IPSEC Proposals, IKE-Schlüssel) angesehen, die "VPN Multiconnect" generiert hat. Sie unterscheidet sich in so vielen Parametern von B.Lübbe und anderen HowTo´s. Wie ist es möglich, dass so viele Wege nach Rom führen?
Sollte ich das irgendwann mal so hinkriegen, dass ich alles verstanden habe, baue ich daraus eine Anleitung und stelle sie hier für "Klicki Buntis" ins Forum.
Viele Grüße von der Ostsee!
Jens
/*
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "FRITZ!BOX";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "blablabla.dyndns.org";
localid {
fqdn = "fritzbox";
}
remoteid {
fqdn = "lancom";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "yblablablaAGWTw4quZXJKIsyB";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.239.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.238.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.238.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Es geht mir hier um ein site2site VPN zwischen einem Lancom 1781 und einer Fritzbox 7390.
Es funktioniert zwar doch ich bin ziemlich ratlos. Ich weiß praktisch nicht "warum" es funktioniert und brauche deshalb Eure Hilfe.
Es sieht so aus:
LAN „zentrale“ Lancom1781VAW
blabla.dyndns.org
192.168.238.238
LAN „aussen“ FB7390
blablablajaiv.myfritz.net
192.168.239.254
Zunächst hatte ich mich an die Anleitung von Benajmnin Lübbe gehalten:
http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lanco ...
Der erklärt es zwar gut aber bei mir hat es nicht funktioniert. Das wird sicherlich an mir liegen weil andere es genau so hingekriegt haben.
Danach bin ich auf das Tool VPN-Multiconnect gestossen:
https://sourceforge.net/projects/fritzvslancom
Für Leute wie mich (Klicki-Bunti) ist das ein geniales Tool.
Es generiert Config Files für die beiden jeweils unterschiedlichen Router.
Der Nachteil ist, dass man dadurch nicht weiß, was man eigentlich tut.
Vorweg: damit hat es sofort funktioniert, ABER:
...zunächst konnte das VPN nur einseitig - von der FB aus- initiiert werden.
Wenn ich von der FB aus den LC angepingt habe, stand sofort der Tunnel und funktionierte mehrere Stunden.
Das kann -aus meiner Sicht- eigentlich auch nur so sein weil Multiconnect mich mit keiner Silbe nach der WAN-IP / Dyn.Hostn. der FB gefragt hat:
Das Tool macht sicher alles richtig - nur scheine ich etwas Grundlegendes nicht verstanden zu haben.
Mir ist nicht klar, wie beide Router sich finden können, wenn nicht BEIDE WAN-IPs (bzw. Dyn.HN) konfiguriert werden.
Wer kann mir das erklären?
Ich habe dann auf Basis von Benjamin Lübbe´s HowTo, den Eintrag für das Remote Gateway ergänzt und seitdem funktioniert es auch beidseitig:
(Lanconfig: VPN->IKE/IPSEC->Verbindungsliste->Bearbeiten
Es funktioniert jetzt zwar aber es gibt sehr viele Fragen.
Ich fang´mal an:
1. Warum fragt "VPN-Multiconnect" im Profil "LC vs. FB" nicht nach BEIDEN WAN IP´s?
2. Ganz unten findet Ihr die CFG-Datei, die "VPN-Multiconnect" generiert hat. Die funktioniert doch gegenüber der CFG von Benjamin Lübbe gibt es einen Unterschied:
Der Abschnitt :
phase2remoteid {
ipnet {
ipaddr = 192.168.238.0;
mask = 255.255.255.0;} }
fehlt bei Benjamin Lübbe. Vielleicht hat das mit Frage 1 zu tun. Warum ist das so?
3. Ich habe mir mal die funktionierende LC-Konfiguration (Verbindungs-Parameter, Verbindungs-Liste, IPSEC Proposals, IKE-Schlüssel) angesehen, die "VPN Multiconnect" generiert hat. Sie unterscheidet sich in so vielen Parametern von B.Lübbe und anderen HowTo´s. Wie ist es möglich, dass so viele Wege nach Rom führen?
Sollte ich das irgendwann mal so hinkriegen, dass ich alles verstanden habe, baue ich daraus eine Anleitung und stelle sie hier für "Klicki Buntis" ins Forum.
Viele Grüße von der Ostsee!
Jens
/*
- Fritz!Box vs. LANCOM
- Scriptvorlage für Fritz!Box
- (c) M. Busche, 2012
- elpatron_kiel@users.sourceforge.net
- verwendete Platzhalter:
- /REMOTE_LAN/ Internes Netzwerk der Fritz!Box
- /LOCAL_LAN/ Internes Netzwerk des LANCOM
- /LOCAL_NETMASK/ Netzwerkmaske des LANCOM
- /REMOTE_NETMASK/ Netzwerkmaske Fritz!Box
- /LOCAL_DN/ Domainname des LANCOM
- /PSK/ Preshared Key der Verbindung
- /ID_LOCAL/ Full qualified Domain Name des LANCOM
- /ID_REMOTE/ Full qualified Domain Name der Fritz!Box
- /REMOTE_PEER-NAME/ Name der Gegenstelle
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "FRITZ!BOX";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "blablabla.dyndns.org";
localid {
fqdn = "fritzbox";
}
remoteid {
fqdn = "lancom";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "yblablablaAGWTw4quZXJKIsyB";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.239.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.238.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.238.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 324844
Url: https://administrator.de/contentid/324844
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
um es kurz zu machen:
Zu 1.
Es gibt immer eine aufbauende und eine annehmende Stelle. Im Agressive Mode ist es ausreichend bei der aufbauenden Seite den Namen oder die IP des annehmenden Routers anzugeben.
Zu 2.
Soweit ich weiß, wird mit diesen Zeilen die SA der Phase 2 beschrieben und ist erforderlich für den Aufbau des Tunnels.
Zu 3.
Es gibt endlich viele Möglichkeiten der Konfiguration, entscheidender Knackpunkt: Auf beiden Seiten muss es gleich eingestellt sein. Wenn man möchte kann man alle Defaultwerte umstellen, das halte ich aber für wenig sinnvoll.
Beste Grüße
Tim
Gesendet von unterwegs
um es kurz zu machen:
Zu 1.
Es gibt immer eine aufbauende und eine annehmende Stelle. Im Agressive Mode ist es ausreichend bei der aufbauenden Seite den Namen oder die IP des annehmenden Routers anzugeben.
Zu 2.
Soweit ich weiß, wird mit diesen Zeilen die SA der Phase 2 beschrieben und ist erforderlich für den Aufbau des Tunnels.
Zu 3.
Es gibt endlich viele Möglichkeiten der Konfiguration, entscheidender Knackpunkt: Auf beiden Seiten muss es gleich eingestellt sein. Wenn man möchte kann man alle Defaultwerte umstellen, das halte ich aber für wenig sinnvoll.
Beste Grüße
Tim
Gesendet von unterwegs
Ein paar Grundlagen zu dem Thema findest du auch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Moin,
das versteh ich jetzt nicht ganz. Anfangs hast du geschrieben, dass die Config von Benjamin Lübbe nicht funktioniert und dass die Zeilen für Phase 2 fehlen. Jetzt schreibst du dass die Config funktioniert, außerdem enthält die Konfiguration jetzt auch einen Phase 2 Eintrag...ich bin verwirrt.
Zu 1:
Prinzipiell könnte es egal sein welche Seite aufbaut
ABER: Im Fehlerfall muss man wissen wer den Tunnel initiiert und wer annimmt, andernfalls kannst du die Glaskugel aus der Schublade holen.
UND:
Ein Site-2-Site-Tunnel ist in den meisten Fällen permanent verbunden, ein Aufbau bei Bedarf ist eher selten. Bricht der Tunnel zusammen, sollte er schnellstmöglich wieder aufgebaut werden. Bauen beide Seiten gleichzeitig auf, wird das scheitern und der Tunnel kommt nicht zustande. Hier müsste man dann bspw. mit DPD-Polling arbeiten.
Aber warum sollte man das tun? Lass eine Seite aufbauen, das wird dir das Leben einfacher machen.
Gruß
Tim
das versteh ich jetzt nicht ganz. Anfangs hast du geschrieben, dass die Config von Benjamin Lübbe nicht funktioniert und dass die Zeilen für Phase 2 fehlen. Jetzt schreibst du dass die Config funktioniert, außerdem enthält die Konfiguration jetzt auch einen Phase 2 Eintrag...ich bin verwirrt.
Zu 1:
Prinzipiell könnte es egal sein welche Seite aufbaut
ABER: Im Fehlerfall muss man wissen wer den Tunnel initiiert und wer annimmt, andernfalls kannst du die Glaskugel aus der Schublade holen.
UND:
Ein Site-2-Site-Tunnel ist in den meisten Fällen permanent verbunden, ein Aufbau bei Bedarf ist eher selten. Bricht der Tunnel zusammen, sollte er schnellstmöglich wieder aufgebaut werden. Bauen beide Seiten gleichzeitig auf, wird das scheitern und der Tunnel kommt nicht zustande. Hier müsste man dann bspw. mit DPD-Polling arbeiten.
Aber warum sollte man das tun? Lass eine Seite aufbauen, das wird dir das Leben einfacher machen.
Gruß
Tim