3
VPN Probleme mit Fritz!Box 7270
Hallo!
Vielleicht kann mir jemand helfen, ich muss auf die Oberfläche mehrerer Rechner in zwei Netzwerken zugreifen können und und die Verbindung mit VPN über Fritz Fernzugang stellt mich vor Probleme. Die Konstellation ist Folgende:
Server ( Auf diesen Rechner möchte ich zugreifen):
OS: Win2003 Server
2 Netzwerkkarten
IP des Servers im "internen Netzwerk" (NIC1) 192.168.1.251
IP des Servers im "Internet Netzwerk" (NIC2) 192.168.0.251
Fritzbox 7270 IP: 192.168.0.254
DynDNS Zugang ist eingerichtet meinName.dyndns.org
Client:
WinXP Pro
IP: 192.168.2.x
FB 7170 192.168.2.254
Ich habe die Verbindung etabliert und komme auch auf die Oberfläche der entfernten Fritzbox. Leider sind aber weitere Rechner im Netzwerk nicht erreichbar und auch nicht anpingbar. Ping auf die FB funktioniert. Auflösung des dyndns Namnes per ping meinName.dyndns.org klappt auch.
Hier mal meine CFGs:
fritzbox.cfg:
/*
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "xxx";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.0.249;
remoteid {
user_fqdn = "xxx";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.0.0 255.255.255.0 192.168.0.249 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
EOF
vpnuser.cfg:
/*
*
version {
revision = "$Revision: 1.30 $";
creatversion = "1.1";
}
pwcheck {
}
datapipecfg {
security = dpsec_quiet;
icmp {
ignore_echo_requests = no;
destunreach_rate {
burstfactor = 6;
timeout = 1;
}
timeexceeded_rate {
burstfactor = 6;
timeout = 1;
}
echoreply_rate {
burstfactor = 6;
timeout = 1;
}
}
masqtimeouts {
tcp = 15m;
tcp_fin = 2m;
tcp_rst = 3s;
udp = 5m;
icmp = 30s;
got_icmp_error = 15s;
any = 5m;
tcp_connect = 6m;
tcp_listen = 2m;
}
ipfwlow {
input {
}
output {
}
}
ipfwhigh {
input {
}
output {
}
}
NAT_T_keepalive_interval = 20;
}
targets {
policies {
name = "xxx";
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = 192.168.0.249;
remoteip = 0.0.0.0;
remotehostname = "xxx";
localid {
user_fqdn = "xxx";
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "*";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0";
wakeupremote = no;
}
}
policybindings {
}
EOF
Hat irgendjemand eine Idee warum ich nicht auf weiteren PCs im Netz komme?
Des Weiteren habe ich da noch das andere Netzwerk mit der Adresse 192.168.1.x
AVM gab mir den Tipp, es mit einer Route zu versuchen:
Netzwerk 192.168.1.0
Subnetzmaske 255.255.255.0
Gateway 192.168.0.254
Leider kann ich auch keinen dieser PCs erreichen. Ich meine irgendwo gelesen zu haben, dass man in die Zeile accesslist weitere Netzwerke intragen muss, weiss aber leider nicht nach welchem Muster. AVM hüllt sich dazu leider in Schweigen.
Bitte um Hilfe, es ist dringend!
Grüße,
Happy-Max
Vielleicht kann mir jemand helfen, ich muss auf die Oberfläche mehrerer Rechner in zwei Netzwerken zugreifen können und und die Verbindung mit VPN über Fritz Fernzugang stellt mich vor Probleme. Die Konstellation ist Folgende:
Server ( Auf diesen Rechner möchte ich zugreifen):
OS: Win2003 Server
2 Netzwerkkarten
IP des Servers im "internen Netzwerk" (NIC1) 192.168.1.251
IP des Servers im "Internet Netzwerk" (NIC2) 192.168.0.251
Fritzbox 7270 IP: 192.168.0.254
DynDNS Zugang ist eingerichtet meinName.dyndns.org
Client:
WinXP Pro
IP: 192.168.2.x
FB 7170 192.168.2.254
Ich habe die Verbindung etabliert und komme auch auf die Oberfläche der entfernten Fritzbox. Leider sind aber weitere Rechner im Netzwerk nicht erreichbar und auch nicht anpingbar. Ping auf die FB funktioniert. Auflösung des dyndns Namnes per ping meinName.dyndns.org klappt auch.
Hier mal meine CFGs:
fritzbox.cfg:
/*
- C:\...
- Mon Jul 21 14:36:43 2008
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "xxx";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.0.249;
remoteid {
user_fqdn = "xxx";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.0.0 255.255.255.0 192.168.0.249 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
EOF
vpnuser.cfg:
/*
*
- Mon Jul 21 14:36:43 2008
version {
revision = "$Revision: 1.30 $";
creatversion = "1.1";
}
pwcheck {
}
datapipecfg {
security = dpsec_quiet;
icmp {
ignore_echo_requests = no;
destunreach_rate {
burstfactor = 6;
timeout = 1;
}
timeexceeded_rate {
burstfactor = 6;
timeout = 1;
}
echoreply_rate {
burstfactor = 6;
timeout = 1;
}
}
masqtimeouts {
tcp = 15m;
tcp_fin = 2m;
tcp_rst = 3s;
udp = 5m;
icmp = 30s;
got_icmp_error = 15s;
any = 5m;
tcp_connect = 6m;
tcp_listen = 2m;
}
ipfwlow {
input {
}
output {
}
}
ipfwhigh {
input {
}
output {
}
}
NAT_T_keepalive_interval = 20;
}
targets {
policies {
name = "xxx";
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = 192.168.0.249;
remoteip = 0.0.0.0;
remotehostname = "xxx";
localid {
user_fqdn = "xxx";
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "*";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0";
wakeupremote = no;
}
}
policybindings {
}
EOF
Hat irgendjemand eine Idee warum ich nicht auf weiteren PCs im Netz komme?
Des Weiteren habe ich da noch das andere Netzwerk mit der Adresse 192.168.1.x
AVM gab mir den Tipp, es mit einer Route zu versuchen:
Netzwerk 192.168.1.0
Subnetzmaske 255.255.255.0
Gateway 192.168.0.254
Leider kann ich auch keinen dieser PCs erreichen. Ich meine irgendwo gelesen zu haben, dass man in die Zeile accesslist weitere Netzwerke intragen muss, weiss aber leider nicht nach welchem Muster. AVM hüllt sich dazu leider in Schweigen.
Bitte um Hilfe, es ist dringend!
Grüße,
Happy-Max
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 92568
Url: https://administrator.de/contentid/92568
Printed on: April 19, 2024 at 06:04 o'clock
3 Comments
Latest comment
Diese statische Route ist kompletter Unsinn, denn das 192.168.1.0er Netz erreichst du ja nicht über die .0.254 sondern über dei .0.251 also den Rechner mit den 2 Netzkarten.
Besser du löscht den Unsinn gleich wieder.
Wie man das Szenario sauber aufsetzt das kannst du in diesem Tutorial nachlesen:
Damit sollte der Zugriff dann funktionieren.
Bedenke bitte das die Firewall auf den Rechnern Zugriffe aus einem Fremdnetz blockiert (VPN). Du solltest also entsprechende Ausnahmen in der FW konfigurieren oder sie zum Testen erstmal ganz abschalten.
Außerdem zeigt ein Traceroute oder Pathping dir sofort wo es routingtechnisch klemmt.
Besser du löscht den Unsinn gleich wieder.
Wie man das Szenario sauber aufsetzt das kannst du in diesem Tutorial nachlesen:
Damit sollte der Zugriff dann funktionieren.
Bedenke bitte das die Firewall auf den Rechnern Zugriffe aus einem Fremdnetz blockiert (VPN). Du solltest also entsprechende Ausnahmen in der FW konfigurieren oder sie zum Testen erstmal ganz abschalten.
Außerdem zeigt ein Traceroute oder Pathping dir sofort wo es routingtechnisch klemmt.
Hallo aqui,
vielen Dank für Deine Hilfe, es funktioniert jetzt. Die Route ist in die Box eingetragen und funktioniert. Habe durch die Hilfe eines Bekannten den Tipp bekommen, die virtuelle IP in ein anderes SubNet zu legen:
emote_virtualip = 192.168.2.249
Dann gab' es noch ein paar kleine Routingprobleme auf dem Server, aber damit geht jetzt alles.
Danke,
Happy-Max
vielen Dank für Deine Hilfe, es funktioniert jetzt. Die Route ist in die Box eingetragen und funktioniert. Habe durch die Hilfe eines Bekannten den Tipp bekommen, die virtuelle IP in ein anderes SubNet zu legen:
emote_virtualip = 192.168.2.249
Dann gab' es noch ein paar kleine Routingprobleme auf dem Server, aber damit geht jetzt alles.
Danke,
Happy-Max
