dett18
Goto Top

FritzBOX VPN FritzBox kein Verbindungsaufbau

Einen schönen Sonnigen guten Tag liebe Gemeinde.

Leider habe ich ein VPN Problem zwischen zwei Fritz!Boxen.
Nach einer Woche Probieren und lesen, habbe ich mich nun entschlosssen hier eine Anfrage zu stellen,
und hoffe es kann mir jemand weiterhelfen, denn ich habe schon graue Haare.
Kein Verbindungsaufbau zwischen zwei Fritz Boxen per VPN möglich, egal was ich einstelle.
Hier mal meine Konfi:

System 1 Wohnung
Fritz!Box 6360 v. 6.50 DSL 100
IP 192.168.250.220 Ping : Ok
Sub 255.255.255.0
VPN zu 192.168.255.229 Ping: Zeitüberschreitung
Adresse: Dyndns von System 2 Garten
Passwort: (geheim) identisch mit System 2

System 2 Garten
Fritz!Box 7490 v.6.80 DSL 50

IP 192.168.255.230 Ping : Zeitüberschreitung
Sub 255.255.255.0
VPN zu 192.168.250.219 Ping: Zielhost nicht erreichbar
Adresse: Dyndns von System 1 Wohnung

Es kommt keine Verbindung zustande, die Punkte bleiben grau.
Oder sind meine IP Adressen dafür vieleicht nicht geeignet ??
Ich habe eigentlich alles nach dem schema von AVM eingestellt, nur das ich halt
andere IP Adressen verwende, oder ist vieleicht gerade da mein fehler ??

Dyndns ist erreichbar, per dyndns komme ich auf die entfernte box, (System 2)
nur eine VPN Verbindung kommt nicht zustande.
System 1 ist ein Kabelanschluss von Kabeldeutschland (Vodafone)
System 2 ein Anschluss von 1&1.

für eine Antwort bin ich sehr Dankbar, da ich kurz davor stehe das ganze zu lassen, was ich aber eigentlich nicht will.

Content-Key: 329503

Url: https://administrator.de/contentid/329503

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: michi1983
michi1983 15.02.2017 um 13:17:36 Uhr
Goto Top
Hallo,

also erstmal solltest du natürlich unterschiedliche IP Adressierungen auf den beiden Boxen verwenden (sonst kann es zu Problemen kommen).

Und ansonsten ist das ja nix anderes als diese Anleitung abarbeiten.

Gruß
Mitglied: Dett18
Dett18 15.02.2017 um 13:21:17 Uhr
Goto Top
Hallo michi1983,

wenn ich richtig liege habe ich diese Anleitung abgearbeitet, aber eine verbindung habe ich
trotzdem nicht. und unterschiedliche IP's sind es auch.

Gruß
Detlef
Mitglied: michi1983
michi1983 15.02.2017 um 13:22:43 Uhr
Goto Top
Zitat von @Dett18:
wenn ich richtig liege habe ich diese Anleitung abgearbeitet
Offenbar hast du irgendwo einen Fehler drin, sonst würde es ja gehen.
Oder du erfüllst eine der gegebenen Anforderungen nicht die im Artikel stehen. Prüfe das nochmal.

Gruß
Gruß
Mitglied: aqui
aqui 15.02.2017 um 13:34:26 Uhr
Goto Top
Eigentlich ja ein Selbstgänger, denn das FB Netz bekommt man mit 3 Mausklicks in 5 Minuten zum Fliegen.
Vermutlich 2 mögliche Fehler:
  • IP Adressierung ist falsch oder teilweise falsch. Broadcast Bytes wie 255 sollte man besser vermeiden !
  • Der TO hat einen DS-Lite Anschluß am DSL, damit sind IPsec VPNs nicht möglich.

Als grundlegenden Test solltest du erstmal checken ob die die beiden öffentlichen IP Adressen auf dem DSL Port gegenseitig problemlos erreichbar sind. ( Ping).
DynDNS bedeutet immer Gefahr, denn wenn da nur irgendwas schiefgeht das eine Seite nicht auflösen kann usw. dann schlägt der Tunnelaufbau fehl.
Die IP Adressierungen ist auch etwas wirr oben, denn es sind immer nur Hostadressen statt Netze angegeben. Nehmen wir mal an das es 192.168.250.0 /24 und 192.168.255.0 /24
Mitglied: Dett18
Dett18 15.02.2017 um 20:12:12 Uhr
Goto Top
Ich glaube den fehler gefunden zu haben,
das Programm Fritz-Fernzugang hat durch meine IP Adressierung eine Subnetzmaske
mit 36-255.255.255.255 gemacht, tatsächlich habe ich aber wie alle auch die subnetmaske 24-255.255.255.0,
das habe ich nun in der Konfig.cfg geändert. Leider ist mein Dyndns gerade wegen vieler IP erneuerungen für 24 Stunden gesperrt,
so das ich es erst später Testen kann ob es dann funktioniert..
Schönen Abend noch face-smile
Gruß
Detlef
Mitglied: aqui
aqui 16.02.2017 aktualisiert um 09:38:48 Uhr
Goto Top
Eine 36 Bit Maske wäre ja auch kompletter Blödsinn denn das ist rechnerisch bei einer max. 32 Bit-igen Maske ja gar nicht möglich !
Eine Maske 255.255.255.255 ist eine Host Maske und hat max. 32 Bit. ( 4 mal 8 Bit)
Fatal wenn das Programm so einen gravierenden Fehler macht in der Maskierung. Da ist es dann klar das das niemals klappen kann.
Die 24 Bit Maske 255.255.255.0 ist auf alle Fälle richtig für dich !
Damit sollte es dann aber sicher klappen !
Mitglied: the-buccaneer
the-buccaneer 17.02.2017 um 08:23:29 Uhr
Goto Top
Hi Detlef!

In der von Michi verlinkten und von dir abgearbeiteten AVM-Anleitung wird die Software "FritzFernzugang einrichten" nicht mal erwähnt...

Wenns wieder nicht klappt, kannst du ja mal die vpn.cfg posten. Selbst mit der /32 Maske sollte aber ein Verbindungsaufbau möglich sein. Nur das dahinterliegende Netz wäre nicht erreichbar. Ich befürchte fast, da ist noch ein Fehler drin...
Buc
Mitglied: Dett18
Dett18 17.02.2017 um 15:11:13 Uhr
Goto Top
Hallo the-buccaneer,

hier ist die cfg zur Garten Box, die gleiche existiert umgegehrt zur Wohnung, ich komme nach wie vor nicht per VPN an die Box, bzw
die Boxen verbinden sich nicht miteinander, sodas ich bereits Graue Haare bekomme. Vieleicht muss ich doch mal alle IPs der Boxen ändern.
Die eigentliche Box IP habe ich mal daneben geschrieben.
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "istdrin.myfritz.net";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "istdrin.myfritz.net";
localid {
fqdn = "istdrin.myfritz.net";
}
remoteid {
fqdn = "istdrin.myfritz.net";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "ist OK";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.255.229;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.250.219; Box IP ist 192.168.255.230
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.250.219 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";

Es müsste nun alles nach AVM richtlinie eingestellt sein da ich es noch mals geprüft hatte.
Mal sehen ob doch ein fehler drin ist.
Gruß Detlef
Mitglied: the-buccaneer
the-buccaneer 17.02.2017 um 15:29:08 Uhr
Goto Top
remotehostname = "istdrin.myfritz.net";
localid {
fqdn = "istdrin.myfritz.net";
}
remoteid {
fqdn = "istdrin.myfritz.net";

Wie soll eine Verbindung zustande kommen, wenn Remote ID und local ID gleich sind?

phase2remoteid {
ipnet {
ipaddr = 192.168.250.219; Box IP ist 192.168.255.230
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.250.219 255.255.255.0";

Auch hier ist noch Chaos drin.
Vorschlag: Du erstellst mittels "Fernzugang einrichten" 2 neue Konfigurationen mit den richtigen Daten (DynDNS und IP Ranges) und spielst diese dann jeweils auf der Box ein, oder du verwendest die verlinkte Anleitung von AVM.
Gruß
Buc
Mitglied: aqui
aqui 17.02.2017 aktualisiert um 15:50:27 Uhr
Goto Top
Wie soll eine Verbindung zustande kommen, wenn Remote ID und local ID gleich sind?
Das ist auch der Kardinalsfehler. Kein Wunder das IPsec daran scheitert, denn das würde ja 2 identische Hostnamen implizieren die es niemals im TCP/IP geben darf ! Klassischer Anfängerfehler...
Adressen sind immer einzigartig. Das gilt auch für DynDNS Adressen.
Kein Wunder also das das scheitert. Steht aber auch alles in der AVM Anleitung. Man sollte doch mal etwas lesen face-wink
https://avm.de/service/vpn/uebersicht/
Mitglied: Dett18
Dett18 17.02.2017 um 15:58:28 Uhr
Goto Top
Hallo Buc,

Die Remote ID und Local ID sind natürlich nicht gleich, hatte das hier nur so eingtragen, Lokal ID ist korekt eingetragen
und Remote ID natürlich auch.
Sorry für die verwirrung face-smile

alle Dyndns Daten sind richtig eingegeben, wurden nur hier fürs Forum entfernt und durch istdrin ersetzt.
Bei der Box IP habe ich einen schreibfehler drin, die Box IP ist natürlich 192.168.250.220 und nicht 192.168.255.230
komme schon beim schreiben hier völlig durcheinander.

Gruß
Detlef
Mitglied: Dett18
Dett18 17.02.2017 um 18:02:47 Uhr
Goto Top
Hallo Buc,

habe bei der entfernten Box die IP geändert, und schon steht die VPN verbindung zwischen beiden Boxen.
Beide Punkte sind nun entlich Grün face-smile.

Wenn ich jetzt aber meinen Datei Explorrer öffne sehe ich nur leider mein entferntes Netzwerk nicht, ich bin davon ausgegangen
das ich dann das Netzwerk sehen kann, oder ist das nicht so ??

Gruß
Detlef
Mitglied: BitBurg
Lösung BitBurg 17.02.2017 um 18:12:58 Uhr
Goto Top
Hallo Detlef,

ich hoffe, du kannst auf dem Bild halbwegs was erkennen:

fb

Wenn FB1 die Adresse 192.168.250.220 mit der Maske 255.255.255.0 hat, dann ist das die IP-Adresse 220 im Netz 192.168.250.0. Das Netz trägst du bei phase2localid ein. Die anderen Einträge entsprechend.

Auf FB2 nach dem gleichen Prinzip. Netz 192.168.255.0 bei phase2localid und so weiter. Die Accesslisten darfst du nicht vergessen. Mit den Identitäten in deinem Beispiel würde es übrigens auch funktionieren.

BB
Mitglied: Dett18
Dett18 17.02.2017 um 19:20:59 Uhr
Goto Top
Hallo BitBurg,

vielen Dank, das funktioniert auch, habe meine alten IP Adressen wieder Aktiviert.
Bei den IP Adressen wäre ich im leben nicht darauf gekommen am ende einfach eine 0 ein zu geben.
Aber nun sind die Boxen miteinander verbunden.
Müsste ich im Datei Explorrer nicht auch unter Netzwerk, das entfernte Netzwerk sehen ??
Hintergrund ist, das wenn ich am 2 Anschluss also im Garten bin, möchte ich auch auf das entfernte Netzwerk zugreifen können,
speziell auf den Mediaserver der ja eigentlich angezeigt werden müsste, oder liege ich da falsch ??
Ich hatte bei der ganzen suche wegen meiner verbindung mal eine Abbildung im Internet gesehen, wo im Explorrer alle verbindungen angezeigt wurden.

Gruß
Detlef
Mitglied: aqui
aqui 18.02.2017 aktualisiert um 00:14:34 Uhr
Goto Top
nicht darauf gekommen am ende einfach eine 0 ein zu geben.
Das bezeichnet immer das IP Netz selber ! Alle Hostbits der Adresse auf 0
Müsste ich im Datei Explorrer nicht auch unter Netzwerk, das entfernte Netzwerk sehen ??
Nein ! Denn der Winblows Naming Service basiert auf UDP Broadcasts und die können im TCP/IP nie über Router übertragen werden. Simpelste Grundlage TCP/IP !
Du kannst aber kinderleicht eine feste Zuordnung machen indem du das statisch in die hosts oder lmhosts Datei einträgst.
Guckst du auch hier:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Gilt natürlich auch noch bis Win 10
oder liege ich da falsch ??
Da liegst du falsch ! Siehe oben...
Mitglied: the-buccaneer
the-buccaneer 18.02.2017 um 01:02:06 Uhr
Goto Top
Ist ja fast geschafft...
Kommst du denn nun vom Garten auf die Wohnzimmerkiste, wenn du deren IP im Explorer direkt eingibst?
Dann trage sie in die Hosts Datei ein um auch den Namen aufzulösen.

Oder hast du den Fall, dass kein Traffic läuft trotz "grüner Lämpchen" (dat jibbet auch...)

Deine IP 192.168.255.x würde ich wirklich vermeiden wollen. Das (.255) ist eine Broadcastadresse, die macht was anderes.
Wenn @aqui sagt, dass es eine schlechte Idee ist, ist es bei Netzwerkfragen meist eine gute Idee das zu berücksichtigen. face-wink

Warum sind die 254 davor liegenden Ranges schlechter?

Buc
Mitglied: BitBurg
BitBurg 19.02.2017 aktualisiert um 09:54:08 Uhr
Goto Top
Detlef,
Zitat von @Dett18:
Müsste ich im Datei Explorrer nicht auch unter Netzwerk, das entfernte Netzwerk sehen ??
Hintergrund ist, das wenn ich am 2 Anschluss also im Garten bin, möchte ich auch auf das entfernte Netzwerk zugreifen können, speziell auf den Mediaserver der ja eigentlich angezeigt werden müsste, oder liege ich da falsch ??
Über die IPSec-Verbindung werden nur Daten aus den Netzen übertragen, die bei phase2localid und phase2remoteid eingetragen wurden. IP Pakete müssen also als Quelle und Ziel immer Adressen aus den beiden Netzen enthalten.

Wenn du im Datei Explorer (PC im Garten) auf Netzwerk klickst, dann sendet er keine Anfrage an Adressen im anderen Netz (Wohnung). Es werden Anfragen ins lokale Netz und an eine Multicastadresse gesendet, jedoch nicht an Adressen die den Einstellungen der FB entsprechen. Was du im Internet gesehen hast, wurde mit hoher Wahrscheinlichkeit mit einem anderen Protokoll gemacht.

Eine Namensauflösung kann man allerdings machen, wie ja Aqui und Buccaner bereits schrieben. Den Rest (UDP Broadcast, Broadcastadresse) kannst du allerdings ignorieren.

Was den Zugriff auf den Mediaplayer angeht, kann ich dir leider gar nicht helfen. Meine Kenntnisse in dem Bereich sind leider rudimentär bis gar nicht vorhanden.

BB