schnurcks
Goto Top

LAN2LAN VPN zwischen zwei Fritzboxen 7490 steht aber keine Netzwerkgeräte erreichbar

Hallo zusammen,

ich wünsche erstmal ein gutes und gesundes neues Jahr 2016.

Folgendes Problem habe ich und konnte bisher keine passende Lösung im Netz finden.
Nun ist die Hoffnung, dass mir hier jemand den entscheidenden Hinweis geben kann.

Ein Freund und ich haben unsere Fritzboxen 7490 via VPN verbunden.
Erster Versuch gemäß schrittweiser AVM Anleitung über die jeweilige Web GUI und zweiter Versuch dann via "AVM Fernzugang einrichten" (auf einem WIN 10 Rechner) und anschließendem Import in die Fritzboxen.

Beide Male kam laut FritzBox GUI die Verbindung zustande aber
- pings gingen gar nicht durch (probiert von meinem WIn10-Rechner und von iOS Geräten bzw. einem Rasberry Pi der Gegenseite aus)
- ein tracert kam bis zur ip des jeweiligen Gerätes im Fremdnetz, zeigte dies 2x hintereinander an und dann kamen nur noch timeouts (siehe folgender Auszug)

C:\WINDOWS\system32>tracert 192.168.23.27

Routenverfolgung zu 192.168.23.27 über maximal 30 Hops

1 2 ms 2 ms 2 ms fritz.box [192.168.180.1]
2 44 ms 43 ms 43 ms 192.168.23.27
3 62 ms 61 ms 62 ms 192.168.23.27
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.

Mein Freund hat es über diverse Apple Geräte probiert und kommt bei mir ebenfalls auf keine Netzwerkgerät.

Wir haben beide einen Dynamic DNS Account und folgende lokalen IP-Adressen, was nach meinen bisherigen Kenntnisse alles soweit korrekt sein müsste.
Fremdnetz ipaddr = 192.168.23.0; mask = 255.255.255.0;
Mein Netz: ipaddr = 192.168.180.0; mask = 255.255.255.0;

Die Problemlösungsansätze bei AVM habe ich schon durch:
kein spezielles Routing, keine Kindersicherung, ...

Auf der meiner Fritzbox konnte ich (unter Ereignisse) auch keine Meldungen sehen, die auf ein Problem hindeuten.

Eins noch: Ich bin ein ziemlicher Netzwerklaie, kenne mich nur grob aus und dachte das reicht bei Fritzboxen face-smile

Im Voraus vielen Dank für eure Antworten!

Viele Grüße,
Schnurcks

Content-Key: 292192

Url: https://administrator.de/contentid/292192

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: aqui
aqui 04.01.2016 um 17:44:17 Uhr
Goto Top
Ein Freund und ich haben unsere Fritzboxen 7490 1x via GUI und 1x via AVM!Fernzugang (auf einem Win10 Rechner, was eigentlich nicht gehen sollte) einrichten verbunden.
Unsinn wie immer. Beschreibt AVM sogar selber auf seiner VPN Seite:
http://avm.de/service/vpn/uebersicht/
pings gingen gar nicht durch (probiert von meinem WIn10-Rechner aus)
Kein Wunder. ICMP Protokoll (Ping) ist seit Win7 in der lokalen Firewall gesperrt:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Außerdem kommst du im jeweiligen IP Zielnetz mit einer fremden Absender IP an. Jedes Schulkind weiss mittlerweile das die lokale MS Firewall solche Pakete per Default filtert ! Siehe auch hier:
http://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Fazit: Lokale Firewall customizen dann klappt das auch !
ein tracert kam bis zur ip des jeweiligen Gerätes im Fremdnetz,
Hat dieses Gerät auch die VPN FB als Default Gateway eingetragen ?? Wenn nicht fehlt ggf. eine statische Route von dessen GW dahin ?!
Ein noch: Ich bin ein ziemlicher Netzwerklaie, kenne mich nur grob aus
Keine guten Voraussetzungen...weisst du aber selber. Nimm dir jemanden an die Hand der weiss was er da macht bei VPNs.
Grundlagen zu IPsec basierten VPNs wie sie auch die FBs nutzen kannst du in diesem Forumstutorial nachlesen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Mitglied: Schnurcks
Schnurcks 04.01.2016 um 18:03:25 Uhr
Goto Top
Hallo Aqui,

erstmal vielen Dank für die schnelle Antwort, die Hinweise lese ich mir gleich mal durch.
Ziel unserer Aktion ist ja hauptsächlich der gegenseitige Zugriff auf unser jeweiliges QNAP-NAS.

Von der Gegenstelle aus scheiterte auch ein Telnetzugriffsversuch von einem iPad aus. (dort gibt es keine Windows-Rechner mehr)

In beiden Netzen gibt es nur jeweils die eine FB. Statische Routen sind in keiner der beiden FBs eingerichtet.

Viele Grüße,
Schurcks
Mitglied: Schnurcks
Schnurcks 04.01.2016 um 19:38:26 Uhr
Goto Top
Hallo Aqui,

nach einiger weitere Lektüre im Netz habe ich meine Frage leicht korrigiert, da sie offensichtlich etwas missverständlich war.

Die NAS-Server und die Fritzboxen lassen sich im jeweiligen Netz übrigens problemlos pingen, aber eben nicht aus dem jeweils anderen Netz.

Viele Grüße,
Schnurcks
Mitglied: Nemo-G
Nemo-G 04.01.2016 um 20:41:10 Uhr
Goto Top
CFG-Dateien, die für ein VPN (LAN-LAN) zwischen zwei FBen 7940 in meinem Zugriff sind, stelle ich mal zur Verfügung:
1. LAN023-LAN180.cfg
/*
 * - dont_filter_netbios = yes;				-> dont_filter_netbios = no;
 */

vpncfg {
        connections {
                     enabled = yes;
                     conn_type = conntype_lan;
                     name = "LAN180";  
                     always_renew = no;
                     reject_not_encrypted = no;
                     dont_filter_netbios = yes;
                     localip = 0.0.0.0;
                     local_virtualip = 0.0.0.0;
                     remoteip = 0.0.0.0;
                     remote_virtualip = 0.0.0.0;
                     remotehostname = "LAN180.myfritz.net";  
                     localid  {
                               fqdn = "LAN023.myfritz.net";  
                              }
                     remoteid {
                               fqdn = "LAN180.myfritz.net";  
                              }
                     mode = phase1_mode_aggressive;
                     phase1ss = "all/all/all";  
                     keytype = connkeytype_pre_shared;
                     key = "STRENGGEHEIM";  
                     cert_do_server_auth = no;
                     use_nat_t = yes;
                     use_xauth = no;
                     use_cfgmode = no;
                     phase2localid {
                                    ipnet {
                                           ipaddr = 192.168.23.0;
                                           mask = 255.255.255.0;
                                          }
                                   }
                     phase2remoteid {
                                     ipnet {
                                            ipaddr = 192.168.180.0;
                                            mask = 255.255.255.0;
                                           }
                                    }
                     phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                     accesslist = "permit ip any 192.168.180.0 255.255.255.0";  
                    }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
       }


// EOF

2. LAN180-LAN023.CFG
/*
 * - dont_filter_netbios = yes;				-> dont_filter_netbios = no;
 */

vpncfg {
        connections {
                     enabled = yes;
                     conn_type = conntype_lan;
                     name = "LAN023";  
                     always_renew = no;
                     reject_not_encrypted = no;
                     dont_filter_netbios = yes;
                     localip = 0.0.0.0;
                     local_virtualip = 0.0.0.0;
                     remoteip = 0.0.0.0;
                     remote_virtualip = 0.0.0.0;
                     remotehostname = "LAN023.myfritz.net";  
                     localid {
                               fqdn = "LAN180.myfritz.net";  
                             }
                     remoteid {
                               fqdn = "LAN023.myfritz.net";  
                              }
                     mode = phase1_mode_aggressive;
                     phase1ss = "all/all/all";  
                     keytype = connkeytype_pre_shared;
                     key = "STRENGGEHEIM";  
                     cert_do_server_auth = no;
                     use_nat_t = yes;
                     use_xauth = no;
                     use_cfgmode = no;
                     phase2localid {
                                    ipnet {
                                           ipaddr = 192.168.180.0;
                                           mask = 255.255.255.0;
                                          }
                                   }
                     phase2remoteid {
                                     ipnet {
                                            ipaddr = 192.168.23.0;
                                            mask = 255.255.255.0;
                                           }
                                    }
                     phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                     accesslist = "permit ip any 192.168.23.0 255.255.255.0";  
                    }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
       }

// EOF
Die IP-Adressen habe ich bereits angepasst. Die Dateien wären noch abzuändern mit den richtigen/gewünschten Angaben und dem PreSharedKey vor dem Importieren in die jeweilige FB.

Vor Spielereien damit:
Bitte vorher unbedingt die bestehenden Konfigurationen sichern.

Gruß, Nemo_G
Mitglied: Schnurcks
Schnurcks 06.01.2016 um 13:23:22 Uhr
Goto Top
Hallo Nemo,

vielen Dank für die Mühe.
Die Konfigurationsdateien sehen genauso aus, wie bei uns mit 2 Ausnahme,
1. Wir verwenden keine MyFritz-DynDNS Namen, sondern einmal einen von selfhost.eu und einmal einen von no-ip.biz.
2. Die Verbindungsnamen entsprechen den DynDNS NAmen

Aber das kann ja beides nicht das Problem sein, sonst würden die Fritzbox ja beim Verbindungsaufbau schon scheitern, oder?

Ich frage mich, ob es sein kann, dass die Fritzboxen und unsere QNAPs jeweils das Ping aus einem anderen LAN nicht erlauben und wir bei den Tests einfach hieran scheiterten? Aber wie kann ich das feststellen? Aus dem jeweiligen Netz geht das ja ohne Probleme.

Viele Grüße,
Schnurcks
Mitglied: Nemo-G
Nemo-G 06.01.2016 um 14:01:34 Uhr
Goto Top
Hallo Schnurcks,

Ich habe eben auf die Schnelle in meiner FB7490 keine Einstellung gefunden, die Pings blockt.
Wie sieht's mit QNAP aus? Meine Möglichkeiten bez. Synology helfen hier auch nicht weiter.
Kommst Du mit den öffentlichen IPs per Ping auf die fremde FB?
Ob's an den anderen DDNS-Providern liegt, kann ich mir eigentlich, nicht vorstellen, würde es aber nicht grundsätzlich ausschließen wollen.
Mehr fällt mir als Laie auf diesem Gebiet auch nicht ein.

Gruß, Nemo-G
Mitglied: aqui
aqui 06.01.2016 aktualisiert um 14:33:41 Uhr
Goto Top
Wir verwenden keine MyFritz-DynDNS Namen, sondern einmal einen von selfhost.eu und einmal einen von no-ip.biz.
Testweise um Probleme mit DynDNS sicher auszuschliessen IMMER die IP Adressen der Router verwenden.
Welche das aktuell sind kann man mit einem Klick auf http://www.wieistmeineip.de sehen.
Aber das kann ja beides nicht das Problem sein, sonst würden die Fritzbox ja beim Verbindungsaufbau schon scheitern, oder?
Ja, eigentlich richtig. Aber...woraus schliesst du so sicher das der IPsec Tunnel mit beiden Phases vollständig aufgebaut wurde ??
Hast du ggf. einen Log Auszug oder Syslog der das sicher belegt ?
ch frage mich, ob es sein kann, dass die Fritzboxen und unsere QNAPs jeweils das Ping aus einem anderen LAN nicht erlauben
Die FBs wohl eher nicht....
Warum machst du dir es nicht ganz einfach und pingst mal eure Laptops oder PCs im jeweiligen Netz ???
Idealerweie hast du da vorher einen kostenlosen Wireshark installiert und lässt den laufen:
https://www.wireshark.org
Siehst du dort eingehende ICMP Echo Request Pakete (Ping Anforderungen) mit einer Absender IP aus dem anderen Netz weisst du doch ganz sicher ob die Ping Pakete über den VPN Tunnel ankommen !
So macht das jeder Erstklässler auch. Der Kabelhai ist dein bester Freund face-wink
Natürlich bei Winblows solltest du darauf achten das die lokale FW auch eingehende Pings erlaubt:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Mitglied: Schnurcks
Schnurcks 06.01.2016 um 17:40:04 Uhr
Goto Top
Hallo zusammen,

vielen Dank für die Tipps und Ratschläge, ich habe einiges gelernt.
Letztendlich war es aber mal wieder ein Anwenderproblem, denn die Info zum IP-Adressraum auf der Gegenseite war falsch, trotz mehrfacher Rückfrage meinerseits face-sad

Kaum korrigiert hat auch alles funktioniert.

Viele Grüße,
Schnurcks
Mitglied: Nemo-G
Nemo-G 06.01.2016 um 17:46:54 Uhr
Goto Top
Hallo Schnurcks,

Das kenne ich, wenn man mal auf dem Schlauch steht:
Kaum macht man's richtig, schon funktioniert's.
Dann viel Spaß mit Deinem VPN-Tunnel.

Gruß, Nemo-G
Mitglied: aqui
aqui 06.01.2016 um 18:07:03 Uhr
Goto Top
Auf das einfachste, das der Fehler oft zwischen den Kopfhörern liegt, kommt man ja fast nie...jedenfalls nicht in einem Admin Forum face-big-smile
Klasse wenns nun rennt wie es soll...!