10
VPN Verbindung Fritz!Box LANCOM Router kein Routing möglich
Hallo Forumsmitglieder,
ich habe eine Routing Problem über eine VPN Verbindung zwischen einer Fritz!Box und einem LANCOM Router mit mehreren Netzwerken dahinter.
Die Fritz!Box (192.168.12.254) baut die VPN Verbindung zu einem zentralen LANCOM Router (192.168.100.254) auf. An dem LANCOM Router sind mehrere Netzwerke per VPN (192.168.5.0 usw.).
Mit der Konfiguration ist aus dem 192.168.12.0 Netz nur das 192.168.100.0 Netz erreichbar:
Auszug aus der VPN.cfg der Fritz!Box:
phase2localid {
ipnet {
ipaddr = 192.168.12.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0",
"permit ip any 192.168.5.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Ebenso mit dieser Konfiguration:
phase2localid {
ipnet {
ipaddr = 192.168.12.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0",
"permit ip any 192.168.5.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Mit dieser Konfiguration ist aus dem 192.168.12.0 Netz nur das 192.168.5.0 Netz erreichbar:
phase2localid {
ipnet {
ipaddr = 192.168.12.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.5.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0",
"permit ip any 192.168.5.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Wie kann ich die VPN.cfg anpassen, dass über die VPN Verbindung beide Netzwerke ''(192.168.5.0 und 192.168.100.0) erreichbar sind ?
Nette Grüße
Scout71
ich habe eine Routing Problem über eine VPN Verbindung zwischen einer Fritz!Box und einem LANCOM Router mit mehreren Netzwerken dahinter.
Die Fritz!Box (192.168.12.254) baut die VPN Verbindung zu einem zentralen LANCOM Router (192.168.100.254) auf. An dem LANCOM Router sind mehrere Netzwerke per VPN (192.168.5.0 usw.).
Mit der Konfiguration ist aus dem 192.168.12.0 Netz nur das 192.168.100.0 Netz erreichbar:
Auszug aus der VPN.cfg der Fritz!Box:
phase2localid {
ipnet {
ipaddr = 192.168.12.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0",
"permit ip any 192.168.5.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Ebenso mit dieser Konfiguration:
phase2localid {
ipnet {
ipaddr = 192.168.12.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0",
"permit ip any 192.168.5.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Mit dieser Konfiguration ist aus dem 192.168.12.0 Netz nur das 192.168.5.0 Netz erreichbar:
phase2localid {
ipnet {
ipaddr = 192.168.12.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.5.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0",
"permit ip any 192.168.5.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Wie kann ich die VPN.cfg anpassen, dass über die VPN Verbindung beide Netzwerke ''(192.168.5.0 und 192.168.100.0) erreichbar sind ?
Nette Grüße
Scout71
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 376306
Url: https://administrator.de/contentid/376306
Printed on: April 19, 2024 at 01:04 o'clock
10 Comments
Latest comment
Ist ja auch alles richtig, wo kein Routing ist kann auch kein Routing stattfinden.
Ergänze mal an der FB die Route in die Netze hinter dem Lancom. Rückrouten beachten.
Ergänze mal an der FB die Route in die Netze hinter dem Lancom. Rückrouten beachten.
Hallo,
wo trage ich das Routing in der VPN.cfg ein ?
Nette Grüße
Scout71
wo trage ich das Routing in der VPN.cfg ein ?
Nette Grüße
Scout71
Das geht bei na FB soweit ich weiß nicht dort.
Wenn musst du das unter der Netzwerk Konfig der Box anpassen.
Brauchst ja nur kurz Googlen um das heraus zu finden.
Wenn musst du das unter der Netzwerk Konfig der Box anpassen.
Brauchst ja nur kurz Googlen um das heraus zu finden.
Nein, zusätzlich zu den Einträgen in der accesslist der cfg brauchst du noch eine statische Route die du im GUI anlegst, hier nachzulesen:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Das die anderen Netze im Lancom diesen als GW haben müssen bzw. das nachgeschaltete Router ebenfalls auf diesen verweisen versteht sich ja von selbst (Rückroute).
Ein tracert zeigt dir sofort wo's klemmt. Ansonsten Wireshark schnappen und Router abklappern.
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Das die anderen Netze im Lancom diesen als GW haben müssen bzw. das nachgeschaltete Router ebenfalls auf diesen verweisen versteht sich ja von selbst (Rückroute).
Ein tracert zeigt dir sofort wo's klemmt. Ansonsten Wireshark schnappen und Router abklappern.
@Spirit-of-Eli
Hi,
leider habe ich dazu nichts gefunden.
@136166
Hi,
die Anleitung beschriebt leider keinen LAN LAN Kopplung mit mehreren Netzwerken hinter dem zweiten Router (LANCOM).
Die Rückrouter funktionieren - Mein Problem ist wie dem VPN Tunnel in VPN.cfg (Fritz@box) das Routing für mehrere Netzwerke mitgeben.
Nette Grüße
Scout71
Hi,
leider habe ich dazu nichts gefunden.
@136166
Hi,
die Anleitung beschriebt leider keinen LAN LAN Kopplung mit mehreren Netzwerken hinter dem zweiten Router (LANCOM).
Die Rückrouter funktionieren - Mein Problem ist wie dem VPN Tunnel in VPN.cfg (Fritz@box) das Routing für mehrere Netzwerke mitgeben.
Nette Grüße
Scout71
Mein Problem ist wie dem VPN Tunnel in VPN.cfg (Fritz@box) das Routing für mehrere Netzwerke mitgeben.
Das ist mit den beiden Accesslisten bereits gegeben, mehr muss auf Fritzboxseite nicht gemacht werden. Der Lancom ist hier primär in der Pflicht seine Subnetze in Phase zwei mitzuteilen!Ich schätze deine Lancom Config ist einfach noch nicht korrekt (Er propagiert in Phase zwei nicht seine zu erreichenden Subnetze). Kannst du aber leicht via tracert und WIRESHARK rausfinden, dann ist das in 5 Minuten erledigt und man muss nicht stundenlang rumraten.
Wieso denn nichts gefunden?
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Das Logik Problem ist doch, dass die FB die anderen Netze nicht kennt. Also müssen diese bekannt gemacht werden.
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Das Logik Problem ist doch, dass die FB die anderen Netze nicht kennt. Also müssen diese bekannt gemacht werden.
Ich habe die Lösung gefunden, leider ist bei mehreren VPN Verbindungen die Fritz!Box etwas überlastet.
Die Phase2 Konfiguration muss in der VPN.cfg für jedes Netzwerk auf der Gegenstelle sep. eingetragen werden.
Nette Grüße
Scout71
Die Phase2 Konfiguration muss in der VPN.cfg für jedes Netzwerk auf der Gegenstelle sep. eingetragen werden.
Nette Grüße
Scout71
Die Phase2 Konfiguration muss in der VPN.cfg für jedes Netzwerk auf der Gegenstelle sep. eingetragen werden.
Wurde ja bereits mehrfach genannt.
Hallo Scout,
zeigst du bitte mal deine fertige Konfiguration? Welche Firmwareversion benutzt du?
Das Problem ist die ungünstige Adressierung. Wenn es für dich eine Option ist, dann ändere das IP-Netz hinter der Fritzbox ( z.B. 10.168.12.0/24) und trage das bei phase2localid ein. Bei phase2remoteid könntest du dann die 192.168.0.0/16 benutzen. Danach die ACL anpassen. Auf Seiten des Lancom müsste es dann auch entsprechend geändert werden. Dadurch hättest du nur eine Verbindung.
BB
zeigst du bitte mal deine fertige Konfiguration? Welche Firmwareversion benutzt du?
Das Problem ist die ungünstige Adressierung. Wenn es für dich eine Option ist, dann ändere das IP-Netz hinter der Fritzbox ( z.B. 10.168.12.0/24) und trage das bei phase2localid ein. Bei phase2remoteid könntest du dann die 192.168.0.0/16 benutzen. Danach die ACL anpassen. Auf Seiten des Lancom müsste es dann auch entsprechend geändert werden. Dadurch hättest du nur eine Verbindung.
BB
