11
VPN Keine Verbindung
Hallo Leute!
vor einiger Zeit hatte ich bereits hier eine Frage gestellt welche mir sehr professionell beantwortet wurde.
Nun habe ich aber genau mit diesem Thema ein riesen Problem!!!
Daher hoffe ich sehr auf eure Hilfe.
Ich kann einfach keine VPN Verbindung hinbekommen...
Site to Site VPN über Fritzbox 7390
Standort1
2 Leitungen
10.42.110.220 DHCP ein
Leitung 1 - Geschäft - Router - Switch - 2 PC's+Server
VPN ip10.42.111.230 / 255.255.255.0 Switch/Telefon - IP Telefone
Leitung 2 - Privat/Geschäft - Router - DHCP aus Switch/PC's - 2 PC's+Server
Switch von Leitung 1 ...
Leitung 2 muss DHCP aus sein weil sonst ziehen sich die pc's von Leitung1 die ip von Leitung 2...
Standort2
1 Leitung
10.42.111.230
Leitung 1 - Privat/Geschäft - Router - DHCP ein 2 PC's
Es muss folgendes funktionieren: ein Pc aus Standort 2 muss auf den Server von Standort1 Leitung 1 zugreifen, deshalb ist die fritzbox auch an den Switch von Leitung 1 angeschlossen...
Die Konfiguration habe ich mit dem Fernwartungsassi von avm gemacht, bei der Konfi. will der mir nur als Subnetzmaske immer 255.255.255.255 vorgeben, habe dies mal so übernommen, die Fritzboxen connecten auch miteinander weil ich auto renew yes reingeschrieben habe... aber weder ein Ping noch der direkte Zugriff auf den Server von Leitung 1 gehen...
Ich hoffe so, dass ihr mir weiterhelfen könnt...
Vielen Dank!
Gruß,
Mika
vor einiger Zeit hatte ich bereits hier eine Frage gestellt welche mir sehr professionell beantwortet wurde.
Nun habe ich aber genau mit diesem Thema ein riesen Problem!!!
Daher hoffe ich sehr auf eure Hilfe.
Ich kann einfach keine VPN Verbindung hinbekommen...
Site to Site VPN über Fritzbox 7390
Standort1
2 Leitungen
10.42.110.220 DHCP ein
Leitung 1 - Geschäft - Router - Switch - 2 PC's+Server
VPN ip10.42.111.230 / 255.255.255.0 Switch/Telefon - IP Telefone
Leitung 2 - Privat/Geschäft - Router - DHCP aus Switch/PC's - 2 PC's+Server
Switch von Leitung 1 ...
Leitung 2 muss DHCP aus sein weil sonst ziehen sich die pc's von Leitung1 die ip von Leitung 2...
Standort2
1 Leitung
10.42.111.230
Leitung 1 - Privat/Geschäft - Router - DHCP ein 2 PC's
Es muss folgendes funktionieren: ein Pc aus Standort 2 muss auf den Server von Standort1 Leitung 1 zugreifen, deshalb ist die fritzbox auch an den Switch von Leitung 1 angeschlossen...
Die Konfiguration habe ich mit dem Fernwartungsassi von avm gemacht, bei der Konfi. will der mir nur als Subnetzmaske immer 255.255.255.255 vorgeben, habe dies mal so übernommen, die Fritzboxen connecten auch miteinander weil ich auto renew yes reingeschrieben habe... aber weder ein Ping noch der direkte Zugriff auf den Server von Leitung 1 gehen...
Ich hoffe so, dass ihr mir weiterhelfen könnt...
Vielen Dank!
Gruß,
Mika
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 196610
Url: https://administrator.de/contentid/196610
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
11 Kommentare
Neuester Kommentar
Mahlzeit Mika,
zwischen den beiden Standorten ist aber das Internet und du hast 3 verschiedene Internetzugänge, ja?
Du möchtest jetzt den WAN-Anschluss der FB 1 mit dem WAN des zweiten Standortes mittels VPN verbinden.
Dafür solltest du zuerst mal einen anderen Subnetzbereich auswählen, als er in Standort 1 vorhanden ist.
Kopiere doch mal die Konfig des Fernwartungsassis und stelle sie hier ein (bitte anonymisiert und mit Code-Tags).
Dann ist das Analysieren des Problems einfacher.
zwischen den beiden Standorten ist aber das Internet und du hast 3 verschiedene Internetzugänge, ja?
Du möchtest jetzt den WAN-Anschluss der FB 1 mit dem WAN des zweiten Standortes mittels VPN verbinden.
Dafür solltest du zuerst mal einen anderen Subnetzbereich auswählen, als er in Standort 1 vorhanden ist.
Kopiere doch mal die Konfig des Fernwartungsassis und stelle sie hier ein (bitte anonymisiert und mit Code-Tags).
Dann ist das Analysieren des Problems einfacher.
Hallo Mika,
in der Regel sind bei den Firtz!Boxen die IP Adressen und/oder deren IP Range schon vorgegeben.
Um nun aber eine Site-to-Site VPN Verbindung aufzubauen, muss auf jeder Seite ein anderes Subnetz
vorhanden sein, sonst funktioniert es nicht.
Standort A:
LAN 192.168.178.0/24 (255.255.255.0)
Standort B:
LAN 192.168.0.0/24 (255.255.255.0)
Stück für Stück Anleitung auf deutsch von AVM Fritz!Box to Fritz!Box VPN
Gruß
Dobby
in der Regel sind bei den Firtz!Boxen die IP Adressen und/oder deren IP Range schon vorgegeben.
Um nun aber eine Site-to-Site VPN Verbindung aufzubauen, muss auf jeder Seite ein anderes Subnetz
vorhanden sein, sonst funktioniert es nicht.
Leitung 2 muss DHCP aus sein weil sonst ziehen sich die pc's von Leitung1 die ip von Leitung 2...
Versuche einmal lieber;Standort A:
LAN 192.168.178.0/24 (255.255.255.0)
Standort B:
LAN 192.168.0.0/24 (255.255.255.0)
Stück für Stück Anleitung auf deutsch von AVM Fritz!Box to Fritz!Box VPN
Gruß
Dobby
Servus Goscho,
ich habe an einem Standort auch nur einen Internetanschluss und an dem Anderen 2 Internetanschlüsse.
Es geht halt darum, wir vertreiben Produkte einer Firma, diese stellt it etc zur Verfügung. Diese ist jedoch nur für einen Standort ausgelegt da die Datenbanken (access, jaaa ich weiß) auf einem lokalten Server liegen. Da der eine Standort nun auf die Access Datenbanken zugreifen soll gibt es die Lösung mit VPN...
und
ich habe an einem Standort auch nur einen Internetanschluss und an dem Anderen 2 Internetanschlüsse.
Es geht halt darum, wir vertreiben Produkte einer Firma, diese stellt it etc zur Verfügung. Diese ist jedoch nur für einen Standort ausgelegt da die Datenbanken (access, jaaa ich weiß) auf einem lokalten Server liegen. Da der eine Standort nun auf die Access Datenbanken zugreifen soll gibt es die Lösung mit VPN...
/*
*
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "vhaus-musberg.no-ip.org";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "####";
localid {
fqdn = "####";
}
remoteid {
fqdn = "####";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "####";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.42.111.230;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 10.42.110.230;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 10.42.110.230 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF/*
*
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "####";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "####";
localid {
fqdn = "####";
}
remoteid {
fqdn = "####";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "####";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.42.110.230;
mask = 255.255.255.255;
}
}
phase2remoteid {
ipnet {
ipaddr = 10.42.111.230;
mask = 255.255.255.255;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 10.42.111.230 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Warum hälst du dich nicht strikt an die Vorgaben von AVM ?! Damit kommt es sofort zum Fliegen:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
und auch:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
mit dem Beispiel einer gut kommentierten cfg Datei:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/images/Reda ...
Wenn man diese Schritte richtig und sauber umsetzt funktioniert es auf Anhieb !
Wichtig ist natürlich das du das Routing entsprechend anpasst auf der Seite wo 2 Internetzugänge sind, klar !
Das hat aber erstmal rein gar nichts mit der VPN Tunnelverbindung zu tun die, wenn man es richtig macht, immer sauber zustande kommt.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
und auch:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
mit dem Beispiel einer gut kommentierten cfg Datei:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/images/Reda ...
Wenn man diese Schritte richtig und sauber umsetzt funktioniert es auf Anhieb !
Wichtig ist natürlich das du das Routing entsprechend anpasst auf der Seite wo 2 Internetzugänge sind, klar !
Das hat aber erstmal rein gar nichts mit der VPN Tunnelverbindung zu tun die, wenn man es richtig macht, immer sauber zustande kommt.
Danke für deine Anleitungen, welche ich genauestens befolgt habe s. unten. Es geht aber immer noch nicht...
IP der Router 10.41.110.1 und 10.21.111.1
/*
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "vhaus-musberg.no-ip.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "####";
localid {
fqdn = "####";
}
remoteid {
fqdn = "####";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "####";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.42.111.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 10.42.110.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 10.42.110.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF/*
* C:\Users\mika\AppData\Roaming\AVM\FRITZ!Fernzugang\vhaus-musberg_no-ip_org\fritzbox_vhaus-musberg_no-ip_org.cfg
* Tue Jan 08 19:21:23 2013
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "vhaus.no-ip.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "####";
localid {
fqdn = "####";
}
remoteid {
fqdn = "####";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "####";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.42.110.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 10.42.111.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 10.42.111.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
so! Verbindung steht! Aber!!! ich kann nur die Fritzbox selbst anpingen, die PC's aber nicht.
Morgen werde ich mal probieren ob der Laptop von Standort 2 auf den Server an Standort 1 Leitung 1 zugreifen kann.
Was meint ihr??? Muss ich da noch was machen? außer lmhosts.sam bearbeiten sodass der Server auch über den Servernamen erreichbar ist...
Morgen werde ich mal probieren ob der Laptop von Standort 2 auf den Server an Standort 1 Leitung 1 zugreifen kann.
Was meint ihr??? Muss ich da noch was machen? außer lmhosts.sam bearbeiten sodass der Server auch über den Servernamen erreichbar ist...
es wäre doch zu schön gewesen...
Bekomme mit dem Geschäftsnotebook keine Verbindung hin. Liegt es evtl an den IP-Adressen?
Geschäftsleitung/Server 10.42.108.225
VPN Router 1 10.42.110.2
VPN Router 2 10.42.111.3
ich kann von 10.42.111.3 auf 10.42.110.2 zugreifen, aber dann geht davon ja ein Switch zur Geschäftsleitung und von da aus in den Geschäftsserver, dieser bekommt per DHCP eine IP vom Geschäftsrouter zugewiesen 10.42.108.225
Also alle Geräte an der Geschäftsleitung erhalten per DHCP eine IP 10.42.108.xxx und an der Privatleitung wo auch der VPN Tunnel liegt 10.42.110.xxx aber statisch...
Bekomme mit dem Geschäftsnotebook keine Verbindung hin. Liegt es evtl an den IP-Adressen?
Geschäftsleitung/Server 10.42.108.225
VPN Router 1 10.42.110.2
VPN Router 2 10.42.111.3
ich kann von 10.42.111.3 auf 10.42.110.2 zugreifen, aber dann geht davon ja ein Switch zur Geschäftsleitung und von da aus in den Geschäftsserver, dieser bekommt per DHCP eine IP vom Geschäftsrouter zugewiesen 10.42.108.225
Also alle Geräte an der Geschäftsleitung erhalten per DHCP eine IP 10.42.108.xxx und an der Privatleitung wo auch der VPN Tunnel liegt 10.42.110.xxx aber statisch...
Wenn du noch die Güte hättest und uns auch die Subnetzmaske zu den IP Adressen mitteilen könntest, dann könnten wir auch sagen ob es an den IPs liegt 
Da die IP Adressen nicht stimmen hast du vermutlich auch noch ein Routing Problem und genau das ist (geraten) wohl das Kernproblem. Wie gesagt, das kann man aber nur sagen wenn du uns mal die Subnetzmasken zu den 10er Netzen mitteilst.
Sinvoll wäre mal eine Zeichnung WIE die Netze verteilt sind und WO sie geroutet werden. Fakt ist das das einfach mit den FB zu lösen ist....wenn man weis was man tut !
Da die IP Adressen nicht stimmen hast du vermutlich auch noch ein Routing Problem und genau das ist (geraten) wohl das Kernproblem. Wie gesagt, das kann man aber nur sagen wenn du uns mal die Subnetzmasken zu den 10er Netzen mitteilst.
Sinvoll wäre mal eine Zeichnung WIE die Netze verteilt sind und WO sie geroutet werden. Fakt ist das das einfach mit den FB zu lösen ist....wenn man weis was man tut !
also 10.42.108.220 / 255.255.255.224 , 10.42.110.1 / 255.255.254.0 , 10.42.111.1 255.255.255.0
Standort 1
10.42.111.1 / 255.255.255.0
Stellt eine Verbindung zu
Standort 2
10.42.110.1 / 255.255.254.0
her
soweit sogut
ein PC muss aber weiter, und zwar
bis zum
10.42.108.220 / 255.255.255.224
da steht der benötigte Server
10.42.108.226 / 255.255.255.224
An Standort 2 sieht es folgendermaßen aus:
Internetleitung 1
Router / 10.42.108.220 - 255.255.255.224 -> Switch -> Server 10.42.108.226 - 255.255.255.224
Internetleitung 2
Router / 10.42.110.1 - 255.255.254.0 und von hier aus muss ein PC aus Standort 1 auf den Server von Internetleitung 1 zugreifen...
http://s14.directupload.net/images/130109/4emjx4o7.jpg
Die rotschwarze linie ist die wichtigste Verbindung
Standort 1
10.42.111.1 / 255.255.255.0
Stellt eine Verbindung zu
Standort 2
10.42.110.1 / 255.255.254.0
her
soweit sogut
ein PC muss aber weiter, und zwar
bis zum
10.42.108.220 / 255.255.255.224
da steht der benötigte Server
10.42.108.226 / 255.255.255.224
An Standort 2 sieht es folgendermaßen aus:
Internetleitung 1
Router / 10.42.108.220 - 255.255.255.224 -> Switch -> Server 10.42.108.226 - 255.255.255.224
Internetleitung 2
Router / 10.42.110.1 - 255.255.254.0 und von hier aus muss ein PC aus Standort 1 auf den Server von Internetleitung 1 zugreifen...
http://s14.directupload.net/images/130109/4emjx4o7.jpg
Die rotschwarze linie ist die wichtigste Verbindung
Keiner eine Idee???
Hallo mikahaapamaeki,
vorab ich bin kein Netzwerkprofi und schon gar nicht auf @aqui seinem Niveau.
Ich habe Dir mal eine Zeichnung angefertigt und so sollte Dein Problem zu lösen sein.
Sicherlich hängt das auch davon ab;
- Das ich mich jetzt nicht gehörig verhauen habe
- Das Du gewillt bist etwas um zu stellen
- Eventuell neue Hardware ran muss! Denn einfach nur "Router" in das Bild schreiben ist nicht toll.
Was sind das denn für Router?
Hersteller / Modellname (Serie) / Modellnummer
Was sind das für Internetprovider und/oder Verbindungen?
Warum sind nicht an jedem Standort nur ein Netzwerk?
Wenn Geld nicht da ist, sollte man aber zumindest pro Standort nur ein Netzwerk haben!
Als Beispiel:
Standort 1 = Public IP > 192.168.0.0 / 255.255.255.0
Standort 2 = Public IP > 192.178.0.0 / 255.255.255.0
Extern was sie wollen, ist ja nicht Dein Kram!
Damit sollte Dein Vorhaben dann auch gleich funktionieren!
Innerhalb von Standort 2 kann man dann einfach die Switche uplinken oder per Geo Stack
miteinander verbinden, fertig.
Wenn nicht sollte zwischen dem Router von Standort 1 und den beiden Routern von Standort 2 jeweils
ein VPN Tunnel laufen, ich glaube das die Fritz!Boxen bis zu drei IPSec Verbindungen unterstützen.
Aber das hängt von Dir ab was und wie Du das erledigen willst (Zeit), kannst (Geld)
oder darfst (Chef und Firmen Vorgaben)!
Gruß
Dobby
P.S.
Beispiele: Zeichnung
Kannst ja drüber gucken und sagen ob da was für Dich dabei ist.
vorab ich bin kein Netzwerkprofi und schon gar nicht auf @aqui seinem Niveau.
Ich habe Dir mal eine Zeichnung angefertigt und so sollte Dein Problem zu lösen sein.
Sicherlich hängt das auch davon ab;
- Das ich mich jetzt nicht gehörig verhauen habe
- Das Du gewillt bist etwas um zu stellen
- Eventuell neue Hardware ran muss! Denn einfach nur "Router" in das Bild schreiben ist nicht toll.
Was sind das denn für Router?
Hersteller / Modellname (Serie) / Modellnummer
Was sind das für Internetprovider und/oder Verbindungen?
Warum sind nicht an jedem Standort nur ein Netzwerk?
Wenn Geld nicht da ist, sollte man aber zumindest pro Standort nur ein Netzwerk haben!
Als Beispiel:
Standort 1 = Public IP > 192.168.0.0 / 255.255.255.0
Standort 2 = Public IP > 192.178.0.0 / 255.255.255.0
Extern was sie wollen, ist ja nicht Dein Kram!
Damit sollte Dein Vorhaben dann auch gleich funktionieren!
Innerhalb von Standort 2 kann man dann einfach die Switche uplinken oder per Geo Stack
miteinander verbinden, fertig.
Wenn nicht sollte zwischen dem Router von Standort 1 und den beiden Routern von Standort 2 jeweils
ein VPN Tunnel laufen, ich glaube das die Fritz!Boxen bis zu drei IPSec Verbindungen unterstützen.
Aber das hängt von Dir ab was und wie Du das erledigen willst (Zeit), kannst (Geld)
oder darfst (Chef und Firmen Vorgaben)!
Gruß
Dobby
P.S.
Beispiele: Zeichnung
Kannst ja drüber gucken und sagen ob da was für Dich dabei ist.
