7
Fritzbox 3170 VPN Problem Site to Site
Hallo zusammen, ich möchte zwei Netzwerke per VPN miteinander verbinden. Site to Site
Ich habe zwei 3170 Fritzboxen, beide mit der aktuellsten Firmwareversion.
Ich bin anhand der FritzFernzugangtools vorgegangen und habe zwei Configfiles erstellt diese dann an den Boxen eingespielt und woala, beide Boxen zeigen verbunden an, allerdings und hier ist mein Problem komme ich nicht in das Netzwerk rein, weder ein Ping noch ein Webauruf der anderen Fritzbox funktioniert.
Ich weiß aber nicht woran es liegen könnte, gibt es bei den Configs iwas zu ändern?
Mach ich über das Handy eine End to Site Verbindung kann ich ganz normal zugreifen und bekomme kein Problem, wo könnte ich meinen Fehler haben?
Vielen Dank für eure Hilfe schonmal.
Ich habe zwei 3170 Fritzboxen, beide mit der aktuellsten Firmwareversion.
Ich bin anhand der FritzFernzugangtools vorgegangen und habe zwei Configfiles erstellt diese dann an den Boxen eingespielt und woala, beide Boxen zeigen verbunden an, allerdings und hier ist mein Problem komme ich nicht in das Netzwerk rein, weder ein Ping noch ein Webauruf der anderen Fritzbox funktioniert.
Ich weiß aber nicht woran es liegen könnte, gibt es bei den Configs iwas zu ändern?
Mach ich über das Handy eine End to Site Verbindung kann ich ganz normal zugreifen und bekomme kein Problem, wo könnte ich meinen Fehler haben?
Vielen Dank für eure Hilfe schonmal.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 213295
Url: https://administrator.de/contentid/213295
Printed on: April 16, 2024 at 23:04 o'clock
7 Comments
Latest comment
Zitat von @Patriot:
Mach ich über das Handy eine End to Site Verbindung kann ich ganz normal zugreifen und bekomme kein Problem, wo könnte
ich meinen Fehler haben?
Mach ich über das Handy eine End to Site Verbindung kann ich ganz normal zugreifen und bekomme kein Problem, wo könnte
ich meinen Fehler haben?
Mon,
Meine Kristallkugel sagt:
IP-Netzwerkeinstellungen : Du hast in beiden Netzen das defautl-netzwerk der fritzbox (192.168.178-0/24) gelassen udn nun wissen die nicht, auf welcher Seite vom, VPN-tunnel der rechner sitzt.
lks
Vielen Dank für deine Antwort:
Nein ich hab
LAN1 192.168.0.0 /24
LAN2 192.168.1.0 /14
Vom Smartphone aus klappt es ohne Probleme, hier mal meine Config
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "xyz";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "xyz";
localid {
fqdn = "xyz";
}
remoteid {
fqdn = "xyz";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xyz";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";
} {
enabled = yes;
conn_type = conntype_user;
name = "xyzt";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.0.201;
remoteid {
key_id = "xyzt";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xyz";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
xauth {
valid = yes;
username = "xyz";
passwd = "xyz";
}
use_cfgmode = yes;
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.0.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 192.168.0.0 255.255.255.0 192.168.0.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Nein ich hab
LAN1 192.168.0.0 /24
LAN2 192.168.1.0 /14
Vom Smartphone aus klappt es ohne Probleme, hier mal meine Config
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "xyz";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "xyz";
localid {
fqdn = "xyz";
}
remoteid {
fqdn = "xyz";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xyz";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";
} {
enabled = yes;
conn_type = conntype_user;
name = "xyzt";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.0.201;
remoteid {
key_id = "xyzt";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xyz";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
xauth {
valid = yes;
username = "xyz";
passwd = "xyz";
}
use_cfgmode = yes;
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.0.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 192.168.0.0 255.255.255.0 192.168.0.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Tippfehler?
Hast Du das und das gelesen und beachtet?
Das Smartphone muß nicht routen und ist nach dem verbinden "im gleichen Netz". Daher sagt das nur aus, daß eine VPN-verbindung prinzipiell geht.
Hast Du mal versucht direkt von der fritzbox mal einen ping oder traceroute durch den Tunnel zu machen, um zu schauen, ob da korrekt geroutet wird?
lks
PS. telnetd auf der Fritzbox wird mit #96*7* ein und mit #96*6* ausgeschaltet (nicht vergessen nachdem man fertig ist).
PPS: hast Du geprüft, ob die fritzboxen beide eine routbare Adresse vom Provider bekommen? mnche Provider geben heutzutage macnhmal nur v6-only oder eine RFC1918-Adresse "raus", weil die inzwischen knapp geworden sind.
Hallo,
ja ein Tippfehler beide Netze haben die Range /24.
Ich habe beide Links schon vorher gelesen bzw. als Fehlersuche genutzt. Leider kein Erfolg.
Ich kann auf der Fritzbox 3170 (laut google) kein telnet aktivieren, die kann das einfach nicht,.
ja ein Tippfehler beide Netze haben die Range /24.
Ich habe beide Links schon vorher gelesen bzw. als Fehlersuche genutzt. Leider kein Erfolg.
Ich kann auf der Fritzbox 3170 (laut google) kein telnet aktivieren, die kann das einfach nicht,.
Vermutlich wie immer der klassische Fehler mit den internen Firewalls !
Bedenke das deine Absender IP bei einer LAN zu LAN Kopplung immer eine fremde ist für das Zielnetz wo der Zielrechner steht.
Lokale Firewalls blocken also immer solche Pakete per Default die nicht aus dem eigenen lokalen Netzwerk sind !
Folglich ist es klar das dann vermeintlich keinerlei Connecticity herrscht bei einer VPN LAN zu LAN Kopplung.
Passe die Firewall Einstellungen an und dann klappt das auch sofort !
Bedenke das deine Absender IP bei einer LAN zu LAN Kopplung immer eine fremde ist für das Zielnetz wo der Zielrechner steht.
Lokale Firewalls blocken also immer solche Pakete per Default die nicht aus dem eigenen lokalen Netzwerk sind !
Folglich ist es klar das dann vermeintlich keinerlei Connecticity herrscht bei einer VPN LAN zu LAN Kopplung.
Passe die Firewall Einstellungen an und dann klappt das auch sofort !
Ich kann ja nicht mal das Webinterface meines Routers im anderen Netz erreichen,
Oder muss ich an der Firewall der Fritzbox was ändern? Habe aber garkeinen Menüpunkt zur auswahl.
Oder muss ich an der Firewall der Fritzbox was ändern? Habe aber garkeinen Menüpunkt zur auswahl.
Nein lokale Firewall der Endgeräte im Netz natürlich !
Wenn du nichtmal das lokale LAN Interface des Routers auf der anderen Seite pingen kannst dann hast du de facto etwas falsch gemacht bei deiner VPN Konfig !! Dann ist die VPN Konfig schlicht falsch und KEIN Tunnel zustandegekommen !!
Besser also nochmal genau prüfen WAS bei einer LAN zu LAN VPN Kopplung zu beachten ist:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
bzw.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Grundlagen dazu findest du auch hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Wenn du nichtmal das lokale LAN Interface des Routers auf der anderen Seite pingen kannst dann hast du de facto etwas falsch gemacht bei deiner VPN Konfig !! Dann ist die VPN Konfig schlicht falsch und KEIN Tunnel zustandegekommen !!
Besser also nochmal genau prüfen WAS bei einer LAN zu LAN VPN Kopplung zu beachten ist:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
bzw.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Grundlagen dazu findest du auch hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
