obefritz
Goto Top

VPN LAN-LAN Draytek Vigor 2800 mit Fritz!Box 7170

Ich habe Erfahrungen mit der VPN LAN-LAN Verbindung zwischen je zwei FritzBoxen 7170 und je zwei Drayteks, aber noch nicht mit 7170<->Draytek - hat das schon jemand gemacht?

Mein erster Versuch ist gescheitert, die Anleitungen für diverse andere DSL Router auf der AVM VPN Seite haben mir nicht wirklich geholfen. Ich mache mich die Tage weiter an diese Aufgabe und würde mich freuen, wenn jemand mir vorab Tipps geben könnte.
Ich hoffe, so eine Frage ist erlaubt und es wird nicht vorausgesetzt, dass man schon 3 Tage probiert hat ...
Vielen Dank im Voraus!
Obefritz

Content-Key: 82871

Url: https://administrator.de/contentid/82871

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: aqui
aqui 12.03.2008, aktualisiert am 18.10.2012 um 18:35:29 Uhr
Goto Top
Laut AVM Support Webpage

http://www.avm.de/de/Service/Service-Portale/Service-Portal/Labor/labor ...

benutzt die FB das IPsec Protokoll und sollte damit kompatibel sein zu den Draytek Routern die das ebenfalls supporten.
Zwingend ist dann das du auf den Drayteks natürlich IPsec als VPN Protokoll benutzt denn wie du weisst supportet der Draytek Router auch noch andere VPN Protokolle.

Wie du den Draytek für IPsec richtig konfigurierst kannst du hier sehen:

http://www.draytek.de/Beispiele_html/VPN/LAN-LAN-IPSec.htm
http://www.draytek.de/Beispiele_html/VPN/LAN-LAN-IPSec-Main-Mode.htm
http://www.draytek.de/Beispiele_html/VPN/LAN-LAN-IPSec-Aggressive.htm

Leider sagt die AVM Seite nicht ob sie im IPsec den Agressive Mode oder Main Mode benutzt, so das du leider ums Probieren dieser beiden Möglichkeiten nicht umhin kommst. Oder du rufst die AVM Hotline an um das zu klären ?!
Vermutlich wird es aber mit dem einen oder anderen Modus klappen, vermutlich dem Agressive Mode, da der einfacher zu implementieren ist in die Firmware !

Was der Main- oder Agressive Mode ist kannst du hier nachlesen:

IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Mitglied: obefritz
obefritz 12.03.2008 um 11:34:25 Uhr
Goto Top
Vielen Dank für die vielen Hinweise!

Ich habe das soweit verstanden, glaube ich!

Auf der FritzBox bekomme ich die Konfigurationsdateien fritzbox.cfg.

Der kritische Teil davon scheint mir:

mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "05h5eeca4]ea(01f796>t&93hecdc070b";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet { ipaddr = 10.0.0.0;
mask = 255.255.255.0;
} }
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 10.98.0.0 255.255.255.0";

zu sein, denn in der Draytek Konfiguration weiss ich nicht, wie ich insbesondere

phase1ss = "all/all/all"; und
phase2ss = "esp-all-all/ah-none/comp-all/pfs";

auf der Draytek umsetzen soll!

Obefritz
Mitglied: aqui
aqui 12.03.2008 um 19:51:04 Uhr
Goto Top
OK, der Konfig folgend macht die FB IPsec ESP im Agressive Mode mit Pre shared Keys.

Damit gilt dann für den Draytek diese Konfig:

http://www.draytek.de/Beispiele_html/VPN/LAN-LAN-IPSec-Aggressive.htm

Dort trägst du einfach alle relevanten Daten ein und dann sollte es klappen. Wichtig ist das du eindeutig die IPsec Client und Serverrolle zuweist in der Konfig.
Wichtig für die Draytek Konfig ist die WAN IP (nur dann wenn er VPN Client ist !) der FB, der Preshared Key und das Zielnetzwerk auf der FB und natürlich der Preshared Key (Schlüssel/Passwort)
Der Draytek kann im Setup ein Syslog schreiben, wenn du das aktivierst. Das ist sehr sinnvoll für den Test, da du bei einem eingehenden Connect Versuch (Dialout) der FB (...oder ausgehend sollte der Draytek den Servermodus (Dialin) haben) alle relevanten Statusmeldungen zum Troubleshooting sehen kannst.

Ein Syslog Server wie z.B. der freie Kiwi Syslog

http://www.kiwisyslog.com/

zeigt dir diese Meldungen an ! Für den Normalbetrieb sollte der Syslog dann wieder aus Performancegründen abgeschaltet sein wenn alles klappt !
Mitglied: obefritz
obefritz 13.03.2008 um 15:26:42 Uhr
Goto Top
vielen Dank nochmal,
ich habe es wie beschrieben versucht, aber ohne Erfolg bisher.
Was ich zum Beispiel überhaupt nicht sehe ist, wie ich der FritzBox eine Rolle zuweisen kann: Server oder Client, wie ich der Draytek das beibringe ist ja klar.
Jedenfalls bekomme ich es weder in der einen noch in der anderen Richtung zum Laufen bisher.
An der Draytek zum Beispiel weiss ich nicht, welchen Benutzernamen und welches Passwort ich eintragen müßte, wenn ich sie zum VPN Client machen wollte, der sich auf der FritzBox einwählen wollte.
Ich versuche es morgen wieder ...
Danke nochmal für die Unterstützung!
Obefritz
Mitglied: aqui
aqui 14.03.2008 um 09:33:09 Uhr
Goto Top
...welchen Benutzernamen und welches Passwort ich eintragen müßte...

Das wird doch oben im URL unter Punkt 3c. ganz klar beschrieben ! Dort ist doch der Buutton "IKE Pre Shared Key" !!! Beim Draytek ist das ja nun kein Problem.

Welche Rolle die FB ausführt sollte ja mindestens in der Doku stehen, sonst hilft ggf. die FB Hotline. Auf der anderen Seite kannst du es ja auch ausprobieren indem du den Draytek mal einwählen lässt (Draytek ist Client) oder wartest ob die FB siech einwählt (Draytek ist VPN Server).

So oder so solltest du in jedem Falle den Syslog auf dem Draytek (oder auch FB wenn die sowas supportet) aktivieren, damit du die VPN Status Meldungen sehen kannst was beim Rauswählen oder Reinwählen passiert.
Da siehst du dann meistens sofort woran es hakt !
Mitglied: Shadowdream
Shadowdream 09.06.2008 um 23:46:20 Uhr
Goto Top
Meine Config Funktioniert nach lagem Probieren.

Draytek Lan-Lan: im bereich 192.168.1.0

Profilname eingeben
Profil aktivieren
Verbindungsrichtung Rein (VPNServer)
Max Leerlaufzeit 0 Sek (damit Verb. nicht abbricht)

Unter einwahl von Externen LAN:
Einwahl zulassen über IPSec Tunnel
Entfernten Server zulassen Local ID eingeben
(bei mir DynDNS Adresse von FritzBox)
IPSec Schlüssel eingeben (xyz....)

Haken setzen bei
Mittlere Sicherheit (AH)
DES
3DES
AES

TCP/IP Einstellung eingeben:
Entfernte Netzwerk IP
(fritzbox bereich)z.b.192.168.0.0
Entfernte Teilnetzmaske
(fritzboxbereich)z.b. 255.255.255.0

Rip Pakete tauschen: Alle Richtungen
Rip Version 2
NAT Aus

FritzBox File:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "dyndnsname draytek";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "dyndnsname draytek";
localid {
fqdn = "dyndns fritzbox";
}
remoteid {
fqdn = "dyndnsname draytek";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "IPSEC Schlüssel eingeben";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


Viel ERFOLG
Mitglied: Buddy117
Buddy117 25.04.2009 um 11:45:23 Uhr
Goto Top
Hallo Shadowdream,

wir haben eine AVM Fritz!box 7270 und einen Draytek 2930 diese haben wir via VPN nach deiner Beschreibung
verbunden und es funktioniert auch soweit. Ping usw. geht nur Dateien kopieren geht nicht und bei einer Remote Desktop
Verbindung bricht diese teilweise die Verbindung ab (der VPN steht aber laut Protokoll). Ich denke das ganze liegt an
der MTU Size! Hattest du ähnliche Probleme und wenn ja konntest du das Problem lösen.

Vielen Dank für eine Antwort

Christian
Mitglied: Shadowdream
Shadowdream 29.04.2009 um 22:48:04 Uhr
Goto Top
Hallo Christian,

Trotz bestehender VPN-Verbindung werden die Computer des entfernten Netzwerkes nicht in der Netzwerkumgebung angezeigt.
Der Windows-Mechanismus NetBIOS-Broadcast zur automatischen Anzeige der Computer in der Windows-Netzwerkumgebung funktioniert nur innerhalb eines IP-Netzwerks.
Der Zugriff auf die Dateifreigaben von Computern im entfernten
Netzwerk
ist u.a. über deren
IP-Adresse
möglich:

Ermittel deine IP-Adresse des Computers im entfernten Netzwerk, auf dessen Dateifreigaben zugegriffen werden soll.

Windows Vista / Vista x64
Rufe das Windows-Startmenü auf.
Trage im Eingabefeld "Suche starten" \\[IP-Adresse des Computers mit Dateifreigaben] (z.B. \\192.168.115.20\freigabe) ein und drücke die ENTER-Taste.
Es öffnet sich ein Fenster, in dem alle Dateifreigaben des Computers angezeigt werden.
Durch Rechtsklick auf eine Dateifreigabe und Auswahl von "Netzlaufwerk zuordnen..." kannst Du die Dateifreigabe dauerhaft speichern.

Windows XP / XP x64 / 2000 /
Server
2003

Rufe das Windows-Startmenü auf und wähle "Ausführen".
Trage im Eingabefeld "Öffnen:" \\[IP-Adresse des Computers mit Dateifreigaben] (z.B. \\192.168.115.20) ein und klicken Sie auf "OK".
Es öffnet sich ein Fenster, in dem alle Dateifreigaben des Computers angezeigt werden.
Durch Rechtsklick auf eine Dateifreigabe und Auswahl von "Netzlaufwerk zuordnen..." kannst Du die Dateifreigabe dauerhaft speichern.

Mit remote desktop verbindung und Dateien Kopieren habe ich keine Probleme

Viel Erfolg
Mitglied: Buddy117
Buddy117 01.05.2009 um 10:13:19 Uhr
Goto Top
Hallo Shadowdream

erst einmal Danke für deine Antwort.
das mit dem Zugriff via IP-Adresse hab ich schon durchgeführt. Der Zugriff
funktioniert auch ohne Problem nur das kopieren von Rechner im Netzwerk
mit der Fritzbox greift auf das Netzwerk mit dem Draytek zu funktioniert nicht
andersrum geht es aber. Ich habe jetzt auch mit AVM gesprochen und diese
geben zwar keinen Support für das ganze aber er meinte es könnte an der
Komprimierung liegen? Welchen Draytek verwendest du bitte noch einmal?
Wir verwenden den 2930 und als Fritz!box die 7270.

schönen Feiertag

Christian
Mitglied: Shadowdream
Shadowdream 06.05.2009 um 00:04:51 Uhr
Goto Top
Hallo Christian,

Router Modell Draytek Vigor 2300

VPN dauerhaft zu Fritzbox 7240 Firmware-Version 73.04.70
VPN dauerhaft zu Fritzbox 7270 Firmware-Version 54.04.70

Funktioniert denn deine Übertragung wenn Du dich über Fritz!Fernzugang einwählst ??
Zwischen FB und deinem PC.

Gruß Shadowdream
Mitglied: Buddy117
Buddy117 06.05.2009 um 16:32:26 Uhr
Goto Top
Hallo Shadowdream,

ja die Einwahl über Fritzferzugang funktioniert ohne Probleme wobei
ich ja auch aus dem Netzwerk vom Draytek Router auf das
Netzwerk mit der Fritz!box ohne Probleme zugreifen kann.

MFG

Christian

P.S. ich habe das ganze jetzt an Draytek weitergegeben und diese haben es an
ihre Entwicklungsabteilung weitergegeben und jetzt warte ich auf Antwort. Sobald
ich mehr weis gebe ich gerne Bescheid.
Mitglied: m.msc01
m.msc01 16.02.2010 um 10:30:23 Uhr
Goto Top
Hey Buddy

Hat sich schon was mit Draytek ergeben?

ich hab genau das gleiche problem. Vigor 2930 und Fritzbox 7270, das VPN von der Vigor zu Fritzbox kann ich sauber aufmachen und dann steht auch der Tunnel!

Nur von der Fritzbox zu Vigor den Tunnel aufmachen geht nicht, bin mal gespannt auf deine Antwort


gruss
Michi
Mitglied: Buddy117
Buddy117 13.03.2010 um 15:54:53 Uhr
Goto Top
Hallo m.msc01,

leider habe ich bis heute keine Lösung gefunden denn weder Draytek noch AVM konnten
oder wollten mir helfen. Ich habe den Tunnel zwar von beiden Seiten aufbauen
können aber wie gesagt große Probleme mit RDP extrem langsam und teilweise
wurde die RDP abgebrochen obwohl der Tunnel noch aufgebaut war. Dateizugriff
war auch nicht wirklich möglich. Wenn du eine Lösung hast dann gib mir bitte Bescheid.

MFG

Buddy117
Mitglied: m.msc01
m.msc01 24.05.2010 um 23:23:20 Uhr
Goto Top
Hey buddy117

habe gerade gesehen das eine neue firmware für den vigor 2930 erschienen ist,
ich werde es mal mit dieser genauer testen

du bist in deinem Problem nicht weitergekommen, oder?

Bin immer noch verzweifelt an dem Problem drann das die fritzbox 7270 den Tunnel nicht zur vigor aufmacht,
von vigor zur fritzbox kein Problem aber Fritz zur vigor nicht, ich schau mir das mal mit der neuen Firmware an


Gruss
michi
Mitglied: Shadowdream
Shadowdream 28.05.2010 um 22:27:26 Uhr
Goto Top
Hallo Michi,

wenn die fritzbox keinen Tunnel von selbst aufmacht dann Installiere doch einfach z.b.
Website ping auf eínem PC der immer läuft.
Pinge den Draytek immer alle 5min. an dann sollte auch nach einer Zwangstrennung dein Tunnel wieder da sein.
http://www.heise.de/software/download/websiteping_lite/29649

Gruß Shadowdream