dodo-r
Goto Top

VPN Verbindung zwischen Cisco RV180 und Cisco RV340

Hallo!
Ich habe folgende Situation:
Zwei Wohnungen -
in der ersten Wohnung befindet sich ein NAS das an einem Cisco RV340 Router angeschlossen ist.
In der zweiten Wohnung befindet sich ein Cisco RV180 Router.
Ich würde nun gerne ein VPN einrichten, aber benötige dazu eure Hilfe, da meine Versuche bisher nicht geklappt haben.
In der ersten Wohnung laufen alles internen LAN IP auf 10.48.6.XXX in der zweitenWohnung auf 10.48.5.XXX
Das Subnetz ist bei beiden 255.255.255.0 und als Gateway und DNS die IP des Routers eingetragen 10.48.6.99 bzw 10.48.5.1
Welche Einstellungen muss ich vornehmen oder wäre es besser den RV180 ebenfalls auf einen RV340 zu tauschen?
Könnt ihr mir weiterhelfen?

Content-ID: 576353

Url: https://administrator.de/contentid/576353

Ausgedruckt am: 23.11.2024 um 22:11 Uhr

Vision2015
Vision2015 03.06.2020 um 20:56:16 Uhr
Goto Top
moin...

was genau klappt den nicht?

RouterEasy Setup Guide

Frank
dodo-r
dodo-r 03.06.2020 aktualisiert um 21:08:56 Uhr
Goto Top
Die Einrichtung des VPNs ;) ich weiss nicht ob ich alle Daten richtig eintrage.... evtl. könnte mir jemand helfen. Wäre auch bereits dafür etwas zu bezahlen.
Vision2015
Vision2015 03.06.2020 um 21:30:31 Uhr
Goto Top
Zitat von @dodo-r:

Die Einrichtung des VPNs ;) ich weiss nicht ob ich alle Daten richtig eintrage.... evtl. könnte mir jemand helfen. Wäre auch bereits dafür etwas zu bezahlen.
hast du den Setup Guide gelesen?

Frank
dodo-r
dodo-r 03.06.2020 um 21:35:12 Uhr
Goto Top
Ja. Sämtliche Konfiguration sind für mich logisch aber am VPN scheitere ich....
Vision2015
Vision2015 03.06.2020 um 21:44:57 Uhr
Goto Top
Zitat von @dodo-r:

Ja. Sämtliche Konfiguration sind für mich logisch aber am VPN scheitere ich....
was genau verstehst du nicht, wo bleibst du hängen?


Frank
dodo-r
dodo-r 03.06.2020 um 21:48:59 Uhr
Goto Top
Also sind die lokalen LAN-IP Adressen egal?
Sollen beide unterschiedliche lokale LAN IP-Bereiche haben? (10.48.6.XXX und 10.48.5.XXX)?
Sollen beide das selbe Subnetz (255.255.255.0)haben?
Vision2015
Vision2015 03.06.2020 um 21:52:03 Uhr
Goto Top
moin...

Zitat von @dodo-r:

Also sind die lokalen LAN-IP Adressen egal?
nein... nicht die gleichen netze nutzen!
Sollen beide unterschiedliche lokale LAN IP-Bereiche haben? (10.48.6.XXX und 10.48.5.XXX)?
ja..
Sollen beide das selbe Subnetz (255.255.255.0)haben?
ja

das wäre aber erstmal das Cisco setup...
wo ist dein VPN PROBLEM?

Frank
dodo-r
dodo-r 03.06.2020 um 22:11:19 Uhr
Goto Top
Was muss ich im RV340 einrichten? Site-to-Site?
aqui
aqui 03.06.2020 um 22:44:53 Uhr
Goto Top
Beides sind Router ohne integriertes Modem und nur mit Ethernet Anschluss. Die Kardinalsfrage die NICHT beantwortet wurde ist WIE sind diese Router angeschlossen ???
Mit einer Router Kaskade, sprich also mit einem weiteren Router davor ?
Mit einem reinen Modem davor ?
Bei einem NAT Router davor, sprich also eine Router Kaskade musst du bei einem IPsec VPN das entsprechende Port Forwarding beachten. Dieses Tutorial erklärt dir wie:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Beachte auch das es wichtig ist zu wissen ob einer oder beide Router über einen DS-Lite Provider ins Internet gehen. Das würde ggf. bedeuten das ggf. VPN technisch nicht möglich ist.
Damit wir hier also weiter kommen musst du unbedingt diese 2 Punkte klären:
  • Kaskade ja oder nein
  • DS-Lite ja oder nein.
dodo-r
dodo-r 03.06.2020 aktualisiert um 22:50:45 Uhr
Goto Top
Also ein Internet ist ein Kabelinternet d.h. es ist ein Kabelmodem am WAN Ausgang.
Das zweite Internet ist ein Funkinternet sprich ein WLAN Empfänger am WAN Ausgang angeschlossen.
Kein DS-Lite.
aqui
aqui 03.06.2020 aktualisiert um 22:59:22 Uhr
Goto Top
Also ein Internet ist ein Kabelinternet
Schon mal sehr schlecht, denn 99% aller Kabel Provider betreiben ein DS-Lite Netz weil sie keine IPv4 Adressen mehr frei haben:
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Solltest du also klären !!
Wenn der andere Router auch ein DS-Lite System ist eine VPN Verbindung, egal wie, technisch unmöglich.
Dann müsstest du wenigstens für eine Seite eine öffentliche IPv4 Adresse beantragen.
Leider ist das zu befürchten, denn alle billigen Funkaccounts werden von 90% der Provider auch als DS-Lite betrieben.
Deine Chancen das zum Fliegen zu brimgen sehen also sehr schlecht aus.
Aber um das hier final zu beurteilen zu können musst du das mit deinen Providern klären ob die DS-Lite verwenden !
Du kannst das auch immer an der WAN IP Adresse auf der Providerseite des Routers sehen. Ist das ein privates RFC 1918 IP Netz:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
siehts schlecht aus.
dodo-r
dodo-r 03.06.2020 um 23:01:50 Uhr
Goto Top
Sollte aber funktionieren, da ich das Office-Paket habe vom Kabel. Mit fixer IP.
dodo-r
dodo-r 03.06.2020 um 23:07:17 Uhr
Goto Top
Beim Funkinternet habe ich die WAN IP 172.17.0.XXX als öffentliche fixe wurde mir 82.218.XXX.XXX zugewiesen.
Beim Kabelnetz habe ich 62.93.XXX.XXX und als öffentlich fixe IP auch.
dodo-r
dodo-r 04.06.2020 um 06:04:04 Uhr
Goto Top
Im Anhang Screenshots der Einstellungen am Router RV340 (Wohnung 2 /Öffentliche IP 62.93.XXX.XXX)
screenshot_2020-06-04 rv340 dual wan gigabit vpn router(1)
screenshot_2020-06-04 rv340 dual wan gigabit vpn router(4)
screenshot_2020-06-04 rv340 dual wan gigabit vpn router(3)
screenshot_2020-06-04 rv340 dual wan gigabit vpn router
screenshot_2020-06-04 rv340 dual wan gigabit vpn router(2)
dodo-r
dodo-r 04.06.2020 um 06:16:20 Uhr
Goto Top
Im Anhang Bilder vom RV180 Wohnung 1 / 82.218.XXX.XXX
screenshot_2020-06-04 rv180-multifunktions-vpn firewall(2)
screenshot_2020-06-04 rv180-multifunktions-vpn firewall(1)
screenshot_2020-06-04 rv180-multifunktions-vpn firewall
screenshot_2020-06-04 rv180-multifunktions-vpn firewall(3)
Vision2015
Lösung Vision2015 04.06.2020 um 07:38:45 Uhr
Goto Top
Moin...
RV 340
trage bitte mal bei Local IP Type = Subnet -> IP Adresse = 10.46.5.0
und Remote = 10.46.6.0 ein


RV180
Subnet -> IP Adresse = 10.46.6.0

Remote = 10.46.5.0

Frank
dodo-r
dodo-r 04.06.2020 um 12:58:50 Uhr
Goto Top
Habe ich gemacht... Es wird als Status noch immer "Down" angezeigt.
dodo-r
dodo-r 04.06.2020 um 22:00:06 Uhr
Goto Top
Trotz mehrfacher Versuche funktioniert das ganze immer noch nicht...
aqui
Lösung aqui 05.06.2020 aktualisiert um 08:57:40 Uhr
Goto Top
Stelle beide Geräte mal als Mode auf den Agressive Mode und ändere die DH Gruppe auf 2. Gruppe 5 benutzt kein Mensch. Auch das auf BEIDEN Seiten anpassen ! AES128, SHA1 und DH-Group2
Kollege @Vision2015 hat es oben ja schon gesagt wenn du in der Phase 2 Subnetze angibst, was richtig ist, dann dürfen da logischerweise niemals Hostadressen stehen sondern immer die jeweils lokalen und remoten IP Netze !! Netzadressen gibt man an indem alle Hostbits auf 0 sind ! Sollte man als Netzwerker wissen. Wichtig: Das muss immer auf BEIDEN Seiten so eingestellt sein !!

Was noch ganz wichtig ist:
  • Router Firmware sollte auf BEIDEN Seiten zwingend auf dem aktuellsten Stand geflasht sein !! RV180 auf 1.0.5.4 und RV340 auf 1.0.0.3.17 !!
  • Bitte aktiviere unbedingt das Logging in beiden Routern und poste dringenst die Log Outputs hier ! Ohne das wir explizit wissen woran sich die Router stören kommen wir nicht weiter ! Es ist völlig unnormal das sich VPNs mit gleichen Herstellern und öffentlichen IPs auf beiden Seiten nicht aufbauen lassen. Deshalb kann man hier nur irgendwelche Tipp- oder Flüchtigkeitsfehler im PSK, Sonderzeichenim PSK oder Zahelndreher bei IP Adressen und Masken usw. vermuten. Überprüfe das genau !
dodo-r
dodo-r 08.06.2020 um 20:13:39 Uhr
Goto Top
Hallo,
ich habe alles so eingestellt wie du geschrieben hast, aber leider ohne Erfolg.
dodo-r
dodo-r 08.06.2020 um 20:38:18 Uhr
Goto Top
Im Anhang der Log vom RV340...
bildschirmfoto 2020-06-08 um 20.36.44
aqui
aqui 09.06.2020 aktualisiert um 13:51:03 Uhr
Goto Top
Das Log ist absolut nichtssagend in Bezug auf den IPsec Tunnel. face-sad
Hast du den Log Level in den Debug Mode geschaltet ??
logcis

Es geht primär darum etwas detailiertere Logs zu bekommen die auf einen Fehler hinweisen.
Ideal wäre es wenn man die von beiden Routern bekommen könnte.
aqui
aqui 09.06.2020 aktualisiert um 15:40:33 Uhr
Goto Top
Vielleicht zwischendurch einmal ein Testresultat mit dem Cisco RV für dich.
In Ermangelung eines 2ten RV Routers musste hier eine pfSense VPN Firewall herhalten, was aber ja egal ist solange die Gegenstelle irgendwie IPsec VPN spricht.
So sieht der Testaufbau aus:

rvtest

Nur zur Info die Konfiguration der pfSense Firewall. Wichtig sind die beidseitigen Phase 1 und 2 Parameter:
  • AES 256
  • Hash: SHA 1
  • DH-Group 2
cispf2

Hier siehst du das der Tunnel fehlerfrei aufgebaut wurde (Established):
cispf1

back-to-topKonfig des Cisco RV Routers:
Phase 1:
cispf5

Phase 2:
cispf6

Übersicht:
cispf4

Verbindungs Status:
Muss man sicher nicht extra betonen das die Tunnelverbindung sofort fehlerlos aufgebaut wurde.
cispf3

Ping Test von einem Client im RV Router LAN
C:\Windows>ping -t -l 1024 -n 3 172.16.1.1

Ping wird ausgeführt für 172.16.1.1 mit 1024 Bytes Daten:
Antwort von 172.16.1.1: Bytes=1024 Zeit=21ms TTL=63
Antwort von 172.16.1.1: Bytes=1024 Zeit=15ms TTL=63
Antwort von 172.16.1.1: Bytes=1024 Zeit=20ms TTL=63

Ping-Statistik für 172.16.1.1:
Pakete: Gesendet = 3, Empfangen = 3, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 15ms, Maximum = 21ms, Mittelwert = 18ms


Klappt also fehlerlos und es ist mit Sicherheit davon auszugehen das das auch unter Komponenten des gleichen Herstellers Cisco passiert. Hier kam ja noch eine Hersteller fremde Komponenten erschwerend hinzu wenn man so will und trotz dessen klappt es einwandfrei.
Allerdings viel auf das eine testweise Umstellung auf eine größeres 256Bit Hashing nicht ganz stabil lief. Du solltest also unbedingt bei den oben angegebenen Parametern für die Phase 1 und 2 bleiben beidseitig !
  • AES 256
  • Hash: SHA 1
  • DH-Group 2
dodo-r
dodo-r 09.06.2020 aktualisiert um 20:08:19 Uhr
Goto Top
Hallo!
Debugging ist im Log aktiviert.
Habe nun auch AES 256 an beiden Routern eingestellt anstatt AES 128 aber bringt auch nix...
Irgendwie bin ich ratlos...
aqui
aqui 09.06.2020 aktualisiert um 20:17:25 Uhr
Goto Top
Dann bleibt eigentlich nur die Option das ein oder im worst Case beide Provider IPsec Pakete filtern.
Das ist leider nicht ungewöhnlich wenn du z.B. auf beiden oder nur auf einer Seite einen reinen, billigen Nur Surfen Consumer Account hast. Dort filtern Provider VPN IPsec Pakete da diese Funktion dann nur den teureren Business Accounts vorbehalten ist.
Damit du also nicht noch mehr graue Haare vom Troubleshooting bekommst solltest du das besser klären !
dodo-r
dodo-r 09.06.2020 um 20:22:41 Uhr
Goto Top
Ich habe aber das Offive Paket mit fixer IP vom Kabelfernsehbetreiber...
dodo-r
dodo-r 05.06.2021 um 10:09:22 Uhr
Goto Top
Hallo, ich habe mittlerweile zwei RV340 im Einsatz - die VPN Verbindung Client-to-Site wurde an beiden Routern probblemlos einegrichtet, so dass am Handy oder Macbook eine VPN verbindung von Extern hergestellt werden kann.
Was ist aber dann genau das Problem wenn ich Site-to-Site verwende - wenn Client-to-Site funktioniert...
Vision2015
Vision2015 05.06.2021 um 10:41:27 Uhr
Goto Top
moin...

Zitat von @dodo-r:

Hallo, ich habe mittlerweile zwei RV340 im Einsatz - die VPN Verbindung Client-to-Site wurde an beiden Routern probblemlos einegrichtet, so dass am Handy oder Macbook eine VPN verbindung von Extern hergestellt werden kann.
Prima...
Was ist aber dann genau das Problem wenn ich Site-to-Site verwende - wenn Client-to-Site funktioniert...
was klappt den nicht, und was sagt das Fehler Protokoll?
ein Cisco Site-to-Site VPN ist super simpel....

Frank
dodo-r
dodo-r 05.06.2021 um 10:46:41 Uhr
Goto Top
Ich habe ja anscheinend eine private IP.
Beim Funkinternet habe ich die WAN IP 172.17.0.XXX als öffentliche fixe wurde mir 82.218.XXX.XXX zugewiesen.
Beim Kabelnetz habe ich 62.93.XXX.XXX und als öffentlich fixe IP auch.
Aber warum funktioniert dann Client-to-Site ...
Vision2015
Vision2015 05.06.2021 um 10:53:18 Uhr
Goto Top
moin...
Zitat von @dodo-r:

Ich habe ja anscheinend eine private IP.
Beim Funkinternet habe ich die WAN IP 172.17.0.XXX als öffentliche fixe wurde mir 82.218.XXX.XXX zugewiesen.
Beim Kabelnetz habe ich 62.93.XXX.XXX und als öffentlich fixe IP auch.
wer ist dein Provider im Kabel Netz?
Aber warum funktioniert dann Client-to-Site ...
Frank
dodo-r
dodo-r 05.06.2021 um 10:54:30 Uhr
Goto Top
Ein kleiner Kabelnetzbetreiber. Das Funkinternet KabelPlus
Vision2015
Vision2015 05.06.2021 um 11:13:11 Uhr
Goto Top
moin...
Zitat von @dodo-r:

Ein kleiner Kabelnetzbetreiber. Das Funkinternet KabelPlus
du darfst sagen wer es ist.....

und was genau sagen die VPN logs, zu geht nicht?

Frank
dodo-r
dodo-r 05.06.2021 um 13:26:25 Uhr
Goto Top
Siehe PN!
aqui
Lösung aqui 05.06.2021 aktualisiert um 13:44:15 Uhr
Goto Top
Ich habe ja anscheinend eine private IP.
Auf dem WAN Port ?? Ist das ein DS-Lite Anschluss mit CGN ??
Das ist kein Hinderungsgrund bei IPsec ! Alternativ kannst du ja auch immer einen FQDN Namen benutzen bei der Authentisierung dann umgehst du die IP Adressen komplett !
dodo-r
dodo-r 05.06.2021 um 13:47:38 Uhr
Goto Top
Ja beim Funkinternet: WAN IP 172.17.0.XXX als öffentliche fixe wurde mir 82.218.XXX.XXX zugewiesen.
Über die 82.218.XXX.XXX kann ich von extern zugreifen. Und auch via VPN vom iPhone z.B. nur das mit Site-to-Site habe ich noch nicht hinbekommen...
dodo-r
dodo-r 05.06.2021 um 14:01:00 Uhr
Goto Top
Hallo, habe jetzt einen FQDN Namen an beiden eingtragen, jetzt wurde die Verbindung erfolgreich aufgebaut. Danke!
Vision2015
Vision2015 05.06.2021 um 14:47:59 Uhr
Goto Top
moin...
Zitat von @dodo-r:

Hallo, habe jetzt einen FQDN Namen an beiden eingtragen, jetzt wurde die Verbindung erfolgreich aufgebaut. Danke!
siehste geht doch face-smile

Frank
aqui
aqui 05.06.2021 um 19:09:34 Uhr
Goto Top
habe jetzt einen FQDN Namen an beiden eingtragen
Holla die Waldfee, was eine schwere Geburt ! Aber gut wenn's nun rennt. face-wink

Bitte dann auch nicht vergessen den Thread hier zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
dodo-r
dodo-r 07.06.2021 um 11:53:07 Uhr
Goto Top
Ja das stimmt war eine schwere Geburt.
Bevor ich das Thema schließe…
Zum Verstöndnis noch… Ist es eigentlich möglich wenn ich eine Client to Site Verbindung zu Router A aufbaue (vom iPhone weg) welcher mit Router B via Client to Client VPN verbunden ist, dann müsste ich doch auf eine lokale IP des NAS 10.46.5.X welches an Router B angeschlossen ist zugreifen können? Oder etwa nicht? Klar könnte ich eine Client to Site Verbindung zum Router B auch aufbauen, aber nur zum Verständnis.
Weil leider kann man am iPhone die VPN Verbindung nur unter Einstellungen wechseln… Danke!
aqui
Lösung aqui 07.06.2021 um 18:25:41 Uhr
Goto Top
welcher mit Router B via Client to Client VPN verbunden ist
Bahnhof ??? Ist wohl ein freudscher Vertipper und du meinst sicher "Site-to-Site", richtig ?!
dann müsste ich doch auf eine lokale IP des NAS 10.46.5.X welches an Router B angeschlossen ist zugreifen können?
Ja, naklar. Das funktioniert natürlich. Ist ja eine klassische VPN Anwendung wo VPN Clients auf Endgeräten an anderen remoten VPN SiteToSite Standorten arbeiten. Üblicher Standard...
Man benötigt nur einen Client Dialin Server und der Rest rennt dann über das VPN SiteToSite Backbone. Andersrum wäre es ja Blödsinn denn bei 100 Standorten hättest du dann 100 VPN Einträge im iPhone. Wäre ja sinnfrei und wenig zielführend. face-wink
dodo-r
dodo-r 07.06.2021 um 19:43:10 Uhr
Goto Top
Upps. Ein Schreibfehler - Site-to-Site.
Super danke für die Info.
Danke für eure Hilfe und schönen Abend noch.
glg