1
VPN zwischen zwei Fritzboxen mit "Internet-Weitergabe" und funktionierendem VOIP
Hallo liebe Community,
ich versuche derzeit zwischen zwei Fritzboxen eine VPN-Verbindung herzustellen. Über diese Verbindungen sollen nur bestimmte Geräte das Internet der anderen Fritzbox nutzen dürfen.
Im Großen und Ganzen habe ich dieses Problem relativ einfach mit den AVM Boardmitteln lösen können. Die größte Schwierigkeit, die sich ergeben hat ist, dass sobald ich den Haken bei "Gesamten Netzwerkverkehr über die VPN-Verbindung senden" setze, alle 3 Telekom VOIP-Nummern nicht mehr registriert werden. Diese werden anscheinend auch durch den VPN Tunnel gesendet und können sich nicht (nomadisch) an der anderen Fritzbox registrieren.
Durch etwas Nachforschungen und Googlen bin ich nun darauf gestoßen, dass man das mit Hilfe einer VPN.cfg und der darin enthaltenen Accesslist umgehen kann, indem man gewisse Ports und IP-Bereiche für VOIP aus der VPN-Verbindung ausschließt.
Gesagt getan habe ich diese config erstellt und in der Fritzbox hochgeladen. Die Verbindung zwischen beiden Boxen wurde hergestellt, das Internet ging dann aber nicht mehr bei den einzelnen Geräten, die über die VPN-Verbindung bei der anderen Fritzbox ins Netz sollen.
Der Aufbau sieht folgendermaßen aus:
Standort A - Fritzbox 7530 AX (IP Netzwerk 192.168.178.0; 255.255.255.0/24) - Firmware 7.31 - Telekom VDSL 100
Standort B - Fritzbox 7530 (IP Netzwerk 192.168.188.0; 255.255.255.0/24) - Firmware 7.50 - Telekom VDSL 50
Anbei der Auszug aus der VPN.cfg
Ich bin leider an meine Grenzen gestoßen und weiß nicht, was ich jetzt noch tun kann, damit mein Szenario funktioniert.
Für hilfreiche Ratschläge wäre ich sehr dankbar
ich versuche derzeit zwischen zwei Fritzboxen eine VPN-Verbindung herzustellen. Über diese Verbindungen sollen nur bestimmte Geräte das Internet der anderen Fritzbox nutzen dürfen.
Im Großen und Ganzen habe ich dieses Problem relativ einfach mit den AVM Boardmitteln lösen können. Die größte Schwierigkeit, die sich ergeben hat ist, dass sobald ich den Haken bei "Gesamten Netzwerkverkehr über die VPN-Verbindung senden" setze, alle 3 Telekom VOIP-Nummern nicht mehr registriert werden. Diese werden anscheinend auch durch den VPN Tunnel gesendet und können sich nicht (nomadisch) an der anderen Fritzbox registrieren.
Durch etwas Nachforschungen und Googlen bin ich nun darauf gestoßen, dass man das mit Hilfe einer VPN.cfg und der darin enthaltenen Accesslist umgehen kann, indem man gewisse Ports und IP-Bereiche für VOIP aus der VPN-Verbindung ausschließt.
Gesagt getan habe ich diese config erstellt und in der Fritzbox hochgeladen. Die Verbindung zwischen beiden Boxen wurde hergestellt, das Internet ging dann aber nicht mehr bei den einzelnen Geräten, die über die VPN-Verbindung bei der anderen Fritzbox ins Netz sollen.
Der Aufbau sieht folgendermaßen aus:
Standort A - Fritzbox 7530 AX (IP Netzwerk 192.168.178.0; 255.255.255.0/24) - Firmware 7.31 - Telekom VDSL 100
Standort B - Fritzbox 7530 (IP Netzwerk 192.168.188.0; 255.255.255.0/24) - Firmware 7.50 - Telekom VDSL 50
Anbei der Auszug aus der VPN.cfg
vpncfg {
vpncfg_version = 1;
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "xxx";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = no;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "Fritzbox Adresse 1";
keepalive_ip = 192.168.188.1;
localid {
fqdn = "Fritzbox Adresse 1";
}
remoteid {
fqdn = "Fritzbox Adresse 2"
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "$$$$2IHJIXXK4CCCBV6R4UBXQHVLXSZDEUCAX4VQMEINWMUQYGLD3KJIKPRCZ1O5OXHSZNBZ3FK4R6P33AAA";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.188.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "reject udp any any eq 53",
"reject udp any any eq 5060",
"reject udp any any eq 5070",
"reject udp any any eq 5080",
"reject udp any any eq 3478",
"reject udp any any eq 3479",
"reject udp any any eq 8089",
"reject tcp any any eq 8089",
"reject udp any any range 7078 7109",
"reject udp any any range 30000 31000",
"reject udp any any range 40000 41000",
"reject ip any 217.0.0.0 255.255.0.0",
"permit ip any any";
allowed_vpn_clients {
ipaddr = 192.168.178.32;
mask = 255.255.255.255;
}
landevice_uids = "landevice9524";
app_id = 0;
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOFIch bin leider an meine Grenzen gestoßen und weiß nicht, was ich jetzt noch tun kann, damit mein Szenario funktioniert.
Für hilfreiche Ratschläge wäre ich sehr dankbar
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5924150345
Url: https://administrator.de/contentid/5924150345
Printed on: April 28, 2024 at 03:04 o'clock
1 Comment
und können sich nicht (nomadisch) an der anderen Fritzbox registrieren.
Das klappt problemlos auf der FB wenn man es richtig macht! Siehe HIER.Diese werden anscheinend auch durch den VPN Tunnel gesendet
Was hattest du denn anderes erwartet wenn du der FB mit dem Haken sagst die soll ihren "Gesamten Netzwerkverkehr über die VPN-Verbindung senden"?! Warum sollte sie sich dann denken das ihr Herr uns Meister einige bestimmte IP Pakete dann doch nicht in den Tunnel routen will...? KI gibt es in der FB (noch) nicht.Mit dem Haken erstellst du ein Gateway Redirect, sprich die FB wird dann jedes IP Paket mit einer nicht lokalen IP Adresse in den Tunnel routen. Simpelstes IP Routing.
Dein Ansinnen kannst du nur mit einem Policy Based Routing Ansatz lösen, das Traffic der spezifischen Clientadressen selektiert und immer in den VPN Tunnel routet. Die FB ist aber ein billiger Consumer Router mit dem das nicht zu bewerkstelligen ist weil er dieses Feature schlicht und einfach nicht supportet.
Wenn du also nicht gewillt bist andere Router Hardware anzuschaffen die das kann musst du dein Konzept grundsätzlich überdenken.
Ohne entsprechende Router Hardware ist es dann einfacher kein Site-to-Site Konzept zu verwenden und schlicht und einfach auf der remoten Seite nur einen VPN Server zu betreiben sei es mit Wireguard, OpenVPN oder IKEv2 auf den deine spezifischen lokalen Clients dann direkt zugreifen.
Im VPN Client Setup auf diesen Rechnern machst du dann ein Gateway Redirect. Damit wird dann clientspezifisch deren gesamter Traffic auf die andere Seite gesendet, am VPN Server ausgekoppelt und von dort ins Internet gesendet. Also letztlich genau was du willst.
Das erledigt z.B. ein kleiner Raspberry Pi als VPN Server. Anleitungen und Tutorials findest du hier im Forum und Internet zuhauf.
Merkzettel: VPN Installation mit Wireguard
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Die VoIP Kopplung der FritzBoxen lässt du dann über das bordeigene Site-to-Site laufen wie im obigen Heise Tutorial beschrieben.
