8
Was fehlt in der cfg-Datei? Verbindung Fritzbox 7390 zu Fritzbox 7390 via VPN
Hallo allerseits,
folgende Situation:
kleines Unternehmen mit Zentrale und Filialen in A und B.
Alle Standorte verfügen über Fritzbox 7390 Router mit aktueller Firmware. Nun habe ich VPN-Verbindungen eingerichtet, so dass die Filialen hervorragend auf die Server in der Zentrale
zugreifen können. Dies funktioniert tadellos. Ping aus den Filialen ist problemlos möglich. Leider funktioniert kein Ping aus der Zentrale auf bspw. die Router in den Zentralen.
Dies ist aber notwendig, da künftig eine IP-Telefonanlage zum Einsatz kommen soll, welche den Zugriff in beide Richtungen benötigt.
Ich gehe davon aus, dass die cfg-Datei entsprechend anzupassen ist. Meine Frage lautet was ich an den cfg-Dateien ändern muss, um die LAN-LAN Kopplung in beide Richtungen zu erreichen.
Hier die cfg-Datei der Zentrale:
vpncfg {
connections {
} {
enabled = yes;
conn_type = conntype_lan;
name = "filialeA.dyndns.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "filialeA.dyndns.org";
localid {
fqdn = "zentrale.dyndns.org";
}
remoteid {
fqdn = "filialeA.dyndns.org";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "81w17fdcbba6R9ea394Gf9895c5ua0x91";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.20.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.20.0 255.255.255.0";
EOF
Hier die cfg der Filiale A:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "zentrale.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "zentrale.dyndns.org";
localid {
fqdn = "filialeA.dyndns.org";
}
remoteid {
fqdn = "zentrale.dyndns.org";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "81w17fdcbba6R9ea394Gf9895c5ua0x91";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.20.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
EOF
Ich vermute, dass ich die accesslist editieren bzw. ergänzen muss. Wenn ja, für Filiale A und für die Zentrale?
Ich hoffe Ihr könnt mir helfen.
Viele Grüße,
Christian
folgende Situation:
kleines Unternehmen mit Zentrale und Filialen in A und B.
Alle Standorte verfügen über Fritzbox 7390 Router mit aktueller Firmware. Nun habe ich VPN-Verbindungen eingerichtet, so dass die Filialen hervorragend auf die Server in der Zentrale
zugreifen können. Dies funktioniert tadellos. Ping aus den Filialen ist problemlos möglich. Leider funktioniert kein Ping aus der Zentrale auf bspw. die Router in den Zentralen.
Dies ist aber notwendig, da künftig eine IP-Telefonanlage zum Einsatz kommen soll, welche den Zugriff in beide Richtungen benötigt.
Ich gehe davon aus, dass die cfg-Datei entsprechend anzupassen ist. Meine Frage lautet was ich an den cfg-Dateien ändern muss, um die LAN-LAN Kopplung in beide Richtungen zu erreichen.
Hier die cfg-Datei der Zentrale:
vpncfg {
connections {
} {
enabled = yes;
conn_type = conntype_lan;
name = "filialeA.dyndns.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "filialeA.dyndns.org";
localid {
fqdn = "zentrale.dyndns.org";
}
remoteid {
fqdn = "filialeA.dyndns.org";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "81w17fdcbba6R9ea394Gf9895c5ua0x91";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.20.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.20.0 255.255.255.0";
EOF
Hier die cfg der Filiale A:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "zentrale.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "zentrale.dyndns.org";
localid {
fqdn = "filialeA.dyndns.org";
}
remoteid {
fqdn = "zentrale.dyndns.org";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "81w17fdcbba6R9ea394Gf9895c5ua0x91";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.20.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
EOF
Ich vermute, dass ich die accesslist editieren bzw. ergänzen muss. Wenn ja, für Filiale A und für die Zentrale?
Ich hoffe Ihr könnt mir helfen.
Viele Grüße,
Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 173079
Url: https://administrator.de/contentid/173079
Printed on: April 16, 2024 at 09:04 o'clock
8 Comments
Latest comment
Hallo Christian.
Von wo nach wo hast du getestet ?! VOn einem PC der Zentrale auf den Router der NL !?
Hast du auch mal versucht einen Client in der NL anzupingen ?!
Fehlt den entsprechenden Rechern "nur" das GW ?!
Gruß
Carsten
Von wo nach wo hast du getestet ?! VOn einem PC der Zentrale auf den Router der NL !?
Hast du auch mal versucht einen Client in der NL anzupingen ?!
Fehlt den entsprechenden Rechern "nur" das GW ?!
Gruß
Carsten
Hallo Carsten,
vielen Dank für Deine Antwort.
Getestet habe ich von 2 verschiedenen Rechner aus der Zentrale alle verfügbaren Clients inkl. Router in der Filiale A anzupingen. (mittels Angry-IP).
Erreichen kann ich nur deren Drucker. Warum auch immer.
Aus der Filiale A kann ich wiederum hervorragend Rechner und Geräte in der Zentrale anpingen.
Momentan ist der Gateway in der Filiale deren Fritzbox. Sollte ich dies ändern bzw. ergänzen?
Grüße,
Christian
vielen Dank für Deine Antwort.
Getestet habe ich von 2 verschiedenen Rechner aus der Zentrale alle verfügbaren Clients inkl. Router in der Filiale A anzupingen. (mittels Angry-IP).
Erreichen kann ich nur deren Drucker. Warum auch immer.
Aus der Filiale A kann ich wiederum hervorragend Rechner und Geräte in der Zentrale anpingen.
Momentan ist der Gateway in der Filiale deren Fritzbox. Sollte ich dies ändern bzw. ergänzen?
Grüße,
Christian
Hi,
wie pingst du den die Rechner in der Filiale A an? (über den Computernamen oder die IP-Adresse?)
wenn du ihn über den Rechnernamen anpingst, könnte es ein Problem mit der DNS-Auflösung sein. Probiers dann bitte mal über die IP.
mfg
n4426
wie pingst du den die Rechner in der Filiale A an? (über den Computernamen oder die IP-Adresse?)
wenn du ihn über den Rechnernamen anpingst, könnte es ein Problem mit der DNS-Auflösung sein. Probiers dann bitte mal über die IP.
mfg
n4426
Ich pinge über die IP-Adresse an. Namen nutzen ich eher selten.
MfG
Christian
MfG
Christian
Das komische ist, dass ich in beiden Filialen nur die Drucker erreiche. Also vermute ich, dass es mit den Sicherheitseinstellungen der PCs bzw. der Fritzbox zu tun haben könnte.
was auch sein könnte ist, das z.B. die Windows-Fierwall die Antwort auf das Pingen unterbindet. Schau dir mal die Einstellungen der Windows-Fierwall an bzw. deaktivere die zum Testen auf einem Client in der Filiale A.
mfg
n4426
mfg
n4426
Zitat von @n4426:
was auch sein könnte ist, das z.B. die Windows-Fierwall die Antwort auf das Pingen unterbindet. Schau dir mal die
Einstellungen der Windows-Fierwall an bzw. deaktivere die zum Testen auf einem Client in der Filiale A.
mfg
n4426
was auch sein könnte ist, das z.B. die Windows-Fierwall die Antwort auf das Pingen unterbindet. Schau dir mal die
Einstellungen der Windows-Fierwall an bzw. deaktivere die zum Testen auf einem Client in der Filiale A.
mfg
n4426
Bingoingo..
Das würde ich genauso sehen..
Carsten
Hallo allerseits,
vielen Dank für die Tipps. Es lag wie zu erwarten an den den restriktiven und undurchsichtigen Eigenschaften der Windows-Firewall.
Beste Grüße,
Christian
vielen Dank für die Tipps. Es lag wie zu erwarten an den den restriktiven und undurchsichtigen Eigenschaften der Windows-Firewall.
Beste Grüße,
Christian