VPN Fritzbox 7270 und Netgear FVS 318v3 Routing
Hallo an Alle,
ich habe nach ewigen Zeiten und einer super Anleitung von hier meine FritzBox 7270 (192.168.177.1) mit einem Netgear Router FVS318v3 (192.168.99.4) per VPN verbunden. Die Verbindung steht und klappt auch super.
Auf der Netgear Seite kann ich unter Static Routes eine Weiterleitung anlegen und somit von dem 99er IP-Breich auf den 177er zugreifen.
In diese Richtung ist dies aber nicht gewollt.
Wie kann ich meine Firtzbox konfigurieren damit dies funktioniert? Ich habe es bei IP-Routing probiert, aber alle möglichen Einstellungen klappen nicht.
Auf der Netgear Seite befindet sich eine Domäne mit SBS 2008, kann ich den Server dazu bringen dem fremden IP-Bereich 19.168.177. ... zu "vertrauen"? Also das ich ohne der Domäne beizutreten zum Beispiel eine Remotedesktopverbindung starten kann (Ports sind auch für fremden IP-Bereich freigegeben-klappt aber nicht)?
Danke für Eure Hilfe
Waldi76
ich habe nach ewigen Zeiten und einer super Anleitung von hier meine FritzBox 7270 (192.168.177.1) mit einem Netgear Router FVS318v3 (192.168.99.4) per VPN verbunden. Die Verbindung steht und klappt auch super.
Auf der Netgear Seite kann ich unter Static Routes eine Weiterleitung anlegen und somit von dem 99er IP-Breich auf den 177er zugreifen.
In diese Richtung ist dies aber nicht gewollt.
Wie kann ich meine Firtzbox konfigurieren damit dies funktioniert? Ich habe es bei IP-Routing probiert, aber alle möglichen Einstellungen klappen nicht.
Auf der Netgear Seite befindet sich eine Domäne mit SBS 2008, kann ich den Server dazu bringen dem fremden IP-Bereich 19.168.177. ... zu "vertrauen"? Also das ich ohne der Domäne beizutreten zum Beispiel eine Remotedesktopverbindung starten kann (Ports sind auch für fremden IP-Bereich freigegeben-klappt aber nicht)?
Danke für Eure Hilfe
Waldi76
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 170611
Url: https://administrator.de/contentid/170611
Ausgedruckt am: 05.11.2024 um 21:11 Uhr
17 Kommentare
Neuester Kommentar
Tach auch,
Kannst du PCs auf der jeweils anderen Seite anpingen und bekommst eine Antwort?
Wenn du ein VPN zwischen diesen beiden Netzwerken eingerichtet hast, musst du nichts von LAN A (.177) in LAN B (.99) routen.
Im Netgear wird das unter 'Traffic Selector' eingetragen, bei der FB in die cfg unter 'accesslist'.
Zitat von @Waldi76:
ich habe nach ewigen Zeiten und einer super Anleitung von hier meine
FritzBox 7270 (192.168.177.1) mit einem Netgear Router FVS318v3 (192.168.99.4) per VPN verbunden. Die Verbindung steht und klappt
auch super.
Das ist schön.ich habe nach ewigen Zeiten und einer super Anleitung von hier meine
FritzBox 7270 (192.168.177.1) mit einem Netgear Router FVS318v3 (192.168.99.4) per VPN verbunden. Die Verbindung steht und klappt
auch super.
Kannst du PCs auf der jeweils anderen Seite anpingen und bekommst eine Antwort?
Auf der Netgear Seite kann ich unter Static Routes eine Weiterleitung anlegen und somit von dem 99er IP-Breich auf den 177er
zugreifen.
Wieso willst du hier ein Routing einrichten?zugreifen.
Wenn du ein VPN zwischen diesen beiden Netzwerken eingerichtet hast, musst du nichts von LAN A (.177) in LAN B (.99) routen.
In diese Richtung ist dies aber nicht gewollt.
Du musst in den VPN-Konfigurationen festlegen, auf welche IP-Adressen/-Subnetze/-Bereiche du Zugriffe aus dem anderen LAN ermöglichen willst.Im Netgear wird das unter 'Traffic Selector' eingetragen, bei der FB in die cfg unter 'accesslist'.
Routen zu konfigurieren ist Blödsinn, da die beiden Netze ja über den VPN Tunnel direkt verbunden sind und so "direkt" am Router dran sind. Alle Geräte in den lokalen Netzten "sehen" also auch alle Geräte auf der anderen Seite, da die beiden VPN Router ja alle ihre lokalen Netze kennen. Routen dafür einzutragen ist also sinnlos und kontraproduktiv.
Vermutlich hast du wie immer in diesem Falle vergessen die lokalen Firewalls anzupassen das die Zugriffe aus den remoten IP Bereichen zulassen !! Normalerweise werde die ja wie allgemein bekannt blockiert !
Hier kannst du sehen wie man es richtig einstellt:
http://www.google.de/url?sa=t&source=web&cd=1&ved=0CBgQFjAA ...
und
http://www.senki.de/index.php?option=com_content&view=article&i ...
die AVM Seite hat selber auch ein paar Beispiele für andere NetGear Gurken parat. Die IPsec Konfig ist aber immer wieder die selbe !
Vermutlich hast du wie immer in diesem Falle vergessen die lokalen Firewalls anzupassen das die Zugriffe aus den remoten IP Bereichen zulassen !! Normalerweise werde die ja wie allgemein bekannt blockiert !
Hier kannst du sehen wie man es richtig einstellt:
http://www.google.de/url?sa=t&source=web&cd=1&ved=0CBgQFjAA ...
und
http://www.senki.de/index.php?option=com_content&view=article&i ...
die AVM Seite hat selber auch ein paar Beispiele für andere NetGear Gurken parat. Die IPsec Konfig ist aber immer wieder die selbe !
Es müsste dir doch selber einleuchten das statische Routen sinnlos sind. Alle deine IP Netze inkl. der VPN Netze sind doch direkt am Router auf der jeweiligen Seite dran. Damit ist doch die IP Wegefindung auch ohne statische Routen absolut eindeutig !
Wenn die Rechner in den Netzen alle diese Router als Default Gateways eingetragen haben sind statische Routen logischerweise obsolet.
Meist zeigt das einen Konfigurationsfehler an oder einen Bug in der VPN Software.
Bei netGear kein Wunder, denn was das Thema VPN anbetrifft sind die ja nun nicht gerade erste Wahl wenn man die zahllosen Leidensthreads hier im Forum liest...
Wenn die Rechner in den Netzen alle diese Router als Default Gateways eingetragen haben sind statische Routen logischerweise obsolet.
Meist zeigt das einen Konfigurationsfehler an oder einen Bug in der VPN Software.
Bei netGear kein Wunder, denn was das Thema VPN anbetrifft sind die ja nun nicht gerade erste Wahl wenn man die zahllosen Leidensthreads hier im Forum liest...
Zitat von @Waldi76:
Soweit denke ich habe ich das auch fast verstanden. Eine Frage habe ich noch.
Alle Rechner haben einen Gateway (die interne Router-IP). Dieser Router soll dann den richtigen Weg zum entfernten Gateway wissen
oder soll ich als zusätzlichen Gateway die Adresse des fremden Routers eintragen?
Nein, du musst kein zusätzliches Gateway eintragen.Soweit denke ich habe ich das auch fast verstanden. Eine Frage habe ich noch.
Alle Rechner haben einen Gateway (die interne Router-IP). Dieser Router soll dann den richtigen Weg zum entfernten Gateway wissen
oder soll ich als zusätzlichen Gateway die Adresse des fremden Routers eintragen?
Warum sollte das auch etwas bringen? Windows-PCs nutzen sowieso nur das Standardgateway.
Ich denke nicht, dass du die Funktionalität eines VPN verstanden hast.
@aqui,
ja, viele dieser Netgear-Geräte sind ziemlich billig und außerdem können die billigen nur IPSec-VPN.
Trotzdem ist in den allermeisten Fällen nicht das Gerät das Problem, sondern zumeist der Admin, ob der fehlenden Grundkenntnisse.
Zitat von @Waldi76:
Verstanden oder nicht?
Zwei Netze mit verschiedenen Adressbereichen, Firewalls deaktiviert, Ping auf den Router geht im eigenen Netz, Ping ins fremde
Netz = Zielhost nicht erreichbar.
Er erkennt die Zieladresse nicht, weiß nicht wo er das andere Subnetz suchen soll.
Das liegt aber nicht an fehlenden Routingeinstellungen, sondern an Fehlern in deiner VPN-Konfiguration.Verstanden oder nicht?
Zwei Netze mit verschiedenen Adressbereichen, Firewalls deaktiviert, Ping auf den Router geht im eigenen Netz, Ping ins fremde
Netz = Zielhost nicht erreichbar.
Er erkennt die Zieladresse nicht, weiß nicht wo er das andere Subnetz suchen soll.
Ja,...auf den ersten Blick:
phase2remoteid {
ipnet {
ipaddr = fremde interne IP; -->> Das versteht kein Router ! Dort muss eine "wirkliche" Netzwerk IP Adresse (Host Bits auf 0) hin !
mask = 255.255.255.0;
Desgleichen:
accesslist = "permit ip any fremde interne IP 255.255.255.0";
und
fqdn = "Home DDNS"; --> Da muss der DynDNS Domain Name hin !
name = "fremde IP";
remoteip = fremde IP;
remoteid ipaddr = fremdeIP;
Die Konfig ist voll dieser Fehler. Sieh dir doch bitte Hier:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/images/Reda ...
einmal an wie das korrekt auszusehen hat zu einem FVS318 und halte dich daran !! AVM direkt wird es ja wohl nicht falsch machen, oder ?!
Für die Text Platzhalterr musst du doch logischerweise richtige IP Netze ala 172.16.1.0 oder 10.1.1.0 usw. eintragen genau wie DU sie in deinem Netzwerk auf beiden Seiten verwendest. Folglich also die 192.168.177.0 und die 192.168.99.0 !! Der Text ist doch nur Platzhalter !! Dzzzz....
Steht auch so in der AVM Anleitung....natürlich nur wenn man sie denn mal durchliest !
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
So schwer kann es doch nicht sein das einfach mal abzutippen....
phase2remoteid {
ipnet {
ipaddr = fremde interne IP; -->> Das versteht kein Router ! Dort muss eine "wirkliche" Netzwerk IP Adresse (Host Bits auf 0) hin !
mask = 255.255.255.0;
Desgleichen:
accesslist = "permit ip any fremde interne IP 255.255.255.0";
und
fqdn = "Home DDNS"; --> Da muss der DynDNS Domain Name hin !
name = "fremde IP";
remoteip = fremde IP;
remoteid ipaddr = fremdeIP;
Die Konfig ist voll dieser Fehler. Sieh dir doch bitte Hier:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/images/Reda ...
einmal an wie das korrekt auszusehen hat zu einem FVS318 und halte dich daran !! AVM direkt wird es ja wohl nicht falsch machen, oder ?!
Für die Text Platzhalterr musst du doch logischerweise richtige IP Netze ala 172.16.1.0 oder 10.1.1.0 usw. eintragen genau wie DU sie in deinem Netzwerk auf beiden Seiten verwendest. Folglich also die 192.168.177.0 und die 192.168.99.0 !! Der Text ist doch nur Platzhalter !! Dzzzz....
Steht auch so in der AVM Anleitung....natürlich nur wenn man sie denn mal durchliest !
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
So schwer kann es doch nicht sein das einfach mal abzutippen....
Zitat von @Waldi76:
Und nochmals die Verbindung wird korrekt aufgebaut, ich sehe bei der Fritzbox einen grünen Punkt und beim Netgear FVS318v3
steht auch die Verbindung steht.
Das klingt doch schon mal gut, aber wenn ich dann das hier lese:Und nochmals die Verbindung wird korrekt aufgebaut, ich sehe bei der Fritzbox einen grünen Punkt und beim Netgear FVS318v3
steht auch die Verbindung steht.
Der Fehler liegt bei der Fritzbox. Wenn ich mit tracert auf einem an der FritzBox angeschlossenen Rechner eine fremde interne IP
Adresse eingebe (auch die Netgear IP), kann er diese Adresse nicht auflösen.
So glaube ich, dass es trotzdem noch einen Konfigurationsfehler gibt.Adresse eingebe (auch die Netgear IP), kann er diese Adresse nicht auflösen.
Ich habe mehrere VPNs zwischen FBs und Netgear-Routern (zwar kein FVS318, aber egal) am Laufen und denke daher nicht, dass es ein generelles Problem ist.
Teste mal folgende Änderungen an deiner Konfiguration:
25. use_nat_t = yes;
Wenn dein Netgear nicht hinter einem Router hängt, dann kannst du NAT-T ausschalten.40. phase2ss = "esp-all-all/ah-none/comp-all/pfs";
Stell dies bitte mal folgendermaßen ein:
- phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs";
Natürlich musst du auch die korrekten Einstellungen am Netgear Router vornehmen.
Zitat von @Waldi76:
Mit den anderen Einstellungen bekomme ich leider keine Verbindung. Bekomme es an der Netgear Box nicht hin.
Das kann ich nicht nachvollziehen. Mit den anderen Einstellungen bekomme ich leider keine Verbindung. Bekomme es an der Netgear Box nicht hin.
Ich habe mehrere VPNs zwischen FB und Netgear Routern stehen, immer habe ich die Verschlüsselung auf 3DES gestellt.
Ich habe selbst die Erfahrung gemacht, dass diese die bessere Variante gegenüber AES bei dieser Kombination von Routern ist.
Die Einstellung no-pfs bedeutet, dass du im Netgear-Router in der VPN-Policy den Haken bei PFS rausnimmst.
Ich habe beim FVS318 von Netgear den PING erlaubt. Über die externe Adresse kommt er an.
Das ist unabhängig vom funktionierenden VPN.Intern über die 192.168.xxx.x kommt er nicht an. Fehlermeldung Zielhost nicht erreichbar. Vom Netzwerk hinter dem Netgear auf das Netzwerk mit der Fritzbox
kommt alles an (auch wenn das nicht gewollt ist ). Das ist aber nicht das Problem.
Vermutlich hast du in der Netgear-VPN-Konfiguration einen Fehler.kommt alles an (auch wenn das nicht gewollt ist ). Das ist aber nicht das Problem.
Ich möchte von dem Rechner hinter der Fritzbox auf das Netgear Netzwerk zugreifen.
Hat noch jemand eine Idee, wie ich die Fritzbox "überreden" kann, die entsprechenden Anfragen an das andere
Netzwerk über VPN weiterzuleiten?
Das sollte nicht an der Fritzbox liegen, denn nach deinen Aussagen steht das VPN ja (Fritzbox hat grünen Punkt bei VPN, Netgear VPN-Log sagt alles o.k.).Hat noch jemand eine Idee, wie ich die Fritzbox "überreden" kann, die entsprechenden Anfragen an das andere
Netzwerk über VPN weiterzuleiten?
Gehe bitte deine Einstellungen nochmal genau durch. Bestimmt ist dort nur ein kleiner Fehler enthalten.