nichtsnutz
Goto Top

Site to Site VPN LANCOM - Fritzbox

Ho,Ho,Ho ins Forum - allen schöne Weihnachten.
Es geht mir hier um ein site2site VPN zwischen einem Lancom 1781 und einer Fritzbox 7390.
Es funktioniert zwar doch ich bin ziemlich ratlos. Ich weiß praktisch nicht "warum" es funktioniert und brauche deshalb Eure Hilfe.

Es sieht so aus:

LAN „zentrale“ Lancom1781VAW
blabla.dyndns.org
192.168.238.238

LAN „aussen“ FB7390
blablablajaiv.myfritz.net
192.168.239.254

Zunächst hatte ich mich an die Anleitung von Benajmnin Lübbe gehalten:
http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lanco ...

Der erklärt es zwar gut aber bei mir hat es nicht funktioniert. Das wird sicherlich an mir liegen weil andere es genau so hingekriegt haben.

Danach bin ich auf das Tool VPN-Multiconnect gestossen:
https://sourceforge.net/projects/fritzvslancom

Für Leute wie mich (Klicki-Bunti) ist das ein geniales Tool.
Es generiert Config Files für die beiden jeweils unterschiedlichen Router.
Der Nachteil ist, dass man dadurch nicht weiß, was man eigentlich tut.
Vorweg: damit hat es sofort funktioniert, ABER:
...zunächst konnte das VPN nur einseitig - von der FB aus- initiiert werden.
Wenn ich von der FB aus den LC angepingt habe, stand sofort der Tunnel und funktionierte mehrere Stunden.
Das kann -aus meiner Sicht- eigentlich auch nur so sein weil Multiconnect mich mit keiner Silbe nach der WAN-IP / Dyn.Hostn. der FB gefragt hat:
unbenannt

Das Tool macht sicher alles richtig - nur scheine ich etwas Grundlegendes nicht verstanden zu haben.
Mir ist nicht klar, wie beide Router sich finden können, wenn nicht BEIDE WAN-IPs (bzw. Dyn.HN) konfiguriert werden.
Wer kann mir das erklären?
Ich habe dann auf Basis von Benjamin Lübbe´s HowTo, den Eintrag für das Remote Gateway ergänzt und seitdem funktioniert es auch beidseitig:
(Lanconfig: VPN->IKE/IPSEC->Verbindungsliste->Bearbeiten
verbindungsliste

Es funktioniert jetzt zwar aber es gibt sehr viele Fragen.
Ich fang´mal an:
1. Warum fragt "VPN-Multiconnect" im Profil "LC vs. FB" nicht nach BEIDEN WAN IP´s?
2. Ganz unten findet Ihr die CFG-Datei, die "VPN-Multiconnect" generiert hat. Die funktioniert doch gegenüber der CFG von Benjamin Lübbe gibt es einen Unterschied:
Der Abschnitt :

phase2remoteid {
ipnet {
ipaddr = 192.168.238.0;
mask = 255.255.255.0;} }
fehlt bei Benjamin Lübbe. Vielleicht hat das mit Frage 1 zu tun. Warum ist das so?

3. Ich habe mir mal die funktionierende LC-Konfiguration (Verbindungs-Parameter, Verbindungs-Liste, IPSEC Proposals, IKE-Schlüssel) angesehen, die "VPN Multiconnect" generiert hat. Sie unterscheidet sich in so vielen Parametern von B.Lübbe und anderen HowTo´s. Wie ist es möglich, dass so viele Wege nach Rom führen?

Sollte ich das irgendwann mal so hinkriegen, dass ich alles verstanden habe, baue ich daraus eine Anleitung und stelle sie hier für "Klicki Buntis" ins Forum.

Viele Grüße von der Ostsee!


Jens


/*
    • Fritz!Box vs. LANCOM
    • Scriptvorlage für Fritz!Box
    • (c) M. Busche, 2012
    • elpatron_kiel@users.sourceforge.net
*
    • verwendete Platzhalter:
    • /REMOTE_LAN/ Internes Netzwerk der Fritz!Box
    • /LOCAL_LAN/ Internes Netzwerk des LANCOM
    • /LOCAL_NETMASK/ Netzwerkmaske des LANCOM
    • /REMOTE_NETMASK/ Netzwerkmaske Fritz!Box
    • /LOCAL_DN/ Domainname des LANCOM
    • /PSK/ Preshared Key der Verbindung
    • /ID_LOCAL/ Full qualified Domain Name des LANCOM
    • /ID_REMOTE/ Full qualified Domain Name der Fritz!Box
    • /REMOTE_PEER-NAME/ Name der Gegenstelle
*/

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "FRITZ!BOX";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "blablabla.dyndns.org";
localid {
fqdn = "fritzbox";
}
remoteid {
fqdn = "lancom";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "yblablablaAGWTw4quZXJKIsyB";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.239.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.238.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.238.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Content-Key: 324844

Url: https://administrator.de/contentid/324844

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: el-capitano86
Lösung el-capitano86 25.12.2016, aktualisiert am 26.12.2016 um 00:30:08 Uhr
Goto Top
Moin,

um es kurz zu machen:

Zu 1.
Es gibt immer eine aufbauende und eine annehmende Stelle. Im Agressive Mode ist es ausreichend bei der aufbauenden Seite den Namen oder die IP des annehmenden Routers anzugeben.

Zu 2.
Soweit ich weiß, wird mit diesen Zeilen die SA der Phase 2 beschrieben und ist erforderlich für den Aufbau des Tunnels.

Zu 3.
Es gibt endlich viele Möglichkeiten der Konfiguration, entscheidender Knackpunkt: Auf beiden Seiten muss es gleich eingestellt sein. Wenn man möchte kann man alle Defaultwerte umstellen, das halte ich aber für wenig sinnvoll.

Beste Grüße
Tim

Gesendet von unterwegs
Mitglied: Nichtsnutz
Nichtsnutz 26.12.2016 um 08:55:02 Uhr
Goto Top
Moin Tim,
Frage 3 habe ich inzwischen verstanden - Haken hinter- die anderen beiden nicht.

Deine Antwort zu "2" sehe ich ähnlich - doch warum funktioniert dann die CFG von Benjamin Lübbe (siehe unten)?

Zu 1:
Es müssen/sollten doch immer beide Seiten in der Lage sein, den Tunnel aufzubauen, oder?
Warum fehlt dann die "Ziel-IP / Hostname" der FB?
Warum fragt das Tool bei einem Site2Site VPN nicht nach beiden WAN-IP?

Zusatzfrage:
Welche Parameter definieren, wie lange die Verbindung steht? Macht es Sinn, den Tunnel ständig zu verbinden?
Welche Parameter sind dazu seinnvoll?

Danke und viele Güße!

Jens

Fritz-CFG von Benjamin Lübbe:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "NAME_DER_VERBINDUNG";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "DYNDNS.org-NAME";
localid {
fqdn = "LOKALER_NAME";
}
remoteid {
fqdn = "ENTFERNTER_NAME";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "DEIN_PASSWORT";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 172.16.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
Mitglied: aqui
Lösung aqui 26.12.2016 um 12:26:26 Uhr
Goto Top
Ein paar Grundlagen zu dem Thema findest du auch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Mitglied: el-capitano86
Lösung el-capitano86 26.12.2016 um 12:42:26 Uhr
Goto Top
Moin,

das versteh ich jetzt nicht ganz. Anfangs hast du geschrieben, dass die Config von Benjamin Lübbe nicht funktioniert und dass die Zeilen für Phase 2 fehlen. Jetzt schreibst du dass die Config funktioniert, außerdem enthält die Konfiguration jetzt auch einen Phase 2 Eintrag...ich bin verwirrt.

Zu 1:
Prinzipiell könnte es egal sein welche Seite aufbaut
ABER: Im Fehlerfall muss man wissen wer den Tunnel initiiert und wer annimmt, andernfalls kannst du die Glaskugel aus der Schublade holen.

UND:
Ein Site-2-Site-Tunnel ist in den meisten Fällen permanent verbunden, ein Aufbau bei Bedarf ist eher selten. Bricht der Tunnel zusammen, sollte er schnellstmöglich wieder aufgebaut werden. Bauen beide Seiten gleichzeitig auf, wird das scheitern und der Tunnel kommt nicht zustande. Hier müsste man dann bspw. mit DPD-Polling arbeiten.
Aber warum sollte man das tun? Lass eine Seite aufbauen, das wird dir das Leben einfacher machen.

Gruß
Tim
Mitglied: Nichtsnutz
Nichtsnutz 26.12.2016 um 13:33:25 Uhr
Goto Top
Danke Tim!
Die CFG von B.Lübbe muss funktionieren (siehe Gästebuch auf seiner Seite)- nur eben nicht bei mir.
In dieser CFG "fehlt" (??) der Abschnitt:

phase2remoteid {
ipnet {
ipaddr = 192.168.238.0;
mask = 255.255.255.0;

Das hatte mich verwundert. Was bewirken diese Einträge genau?
Die FB muss doch wissen, wie das LAN der Gegenseite (192.168.238.0) aussieht... oder??
In meinmer funktionierenden CFG sind die Einträge so vorhanden.

Danke für die Infos zum einseitigen Aufbau. Ich werde das beherzigen.
Demzufolge ist das bei "VPN-Multiconnect" so gewollt - es reicht also schlichtweg wenn eine Seite die Verbindung initiert.
Bei Problemen würde ich den Tunnel aber gerne von beiden Seiten anschieben wollen.
Seit ich den Eintrag "Remote Gateway" auf dem LC ergänzt habe (Lanconfig: VPN->IKE/IPSEC->Verbindungsliste->Bearbeiten), funktioniert das Starten des Tunnels (von beiden Seiten). Ist das so eine "erlaubte Konfiguration"?
Zu DPD-Polling werde ich mich belsen...

Viele Grüße!