Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

LAN-LAN-Kopplung Fritbox6842LTE und Lancom

Frage Netzwerke Router & Routing

Mitglied: keine-ahnung

keine-ahnung (Level 5) - Jetzt verbinden

01.02.2014 um 14:30 Uhr, 5115 Aufrufe, 22 Kommentare, 2 Danke

Moin miteinander,

ich habe mittlerweile eine Halsumfang > 1m .

Seit Tagen versuche ich sporadisch ein VPN zwischen einer o.g. Fritzbox und einem Lancom 1780EW-3G zu basteln ... offenbar bin ich einfach zu doof.
Setup: Fritzbox6842LTE mit dynamischer öffentlicher Adresse mit folgender VPN-Konfiguration:

connections {
enabled = yes;
conn_type = conntype_lan;
name = "NAME_DER_VERBINDUNG";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 88.XX.XXX.XXX;
remote_virtualip = 0.0.0.0;
localid {
fqdn = FRITZBOX;
}
remoteid {
fqdn = LANCOM;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "PASSWORT";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.0.1.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 10.0.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 10.0.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

Ich habe die remote-ID auch schon über die statische Adresse des WAN-Ports des Lancoms (Funkmodem per pppoe) versucht, genau so erfolglos. Im Lancom ist NAT-traversal aktiv, SAs steht auf "gemeinsam für keep alive". Die VPN-Konfigurationen im LANCOM habe ich im Wesentlichen nach diesem howto konfiguriert, kann ich aber auch noch mal posten. Ich will Euch damit jetzt nicht langweilen.

Die Fritte baut das VPN nicht auf, Fehlermeldungen sind 0x1c und 0x2027, im LAN-Monitor sehe ich den Versuch des gescheiterten VPN-Aufbaus: "Nicht verbunden mit Name_der_Verbindung": Namensauflösung fehlgeschlagen (Initiator) [0x1109].

VPN aus dem Fritten-Netz zum Router über den VPN-Client von Lancom sind problemlos möglich...

Nehme Tipps und Beschimpfungen gerne entgegen , ich bin offenbar hochbeschränkt.

LG, Thomas
Mitglied: certifiedit.net
01.02.2014 um 14:38 Uhr
Moin Thomas,

ist ein Halsumfang > 1m anatomisch beim Menschen möglich? ;)

Hast du bei der FritzBox die aktuellste Version installiert? (Supportiert die schon 6.x?)

LG
Bitte warten ..
Mitglied: keine-ahnung
01.02.2014 um 14:47 Uhr
Hi Christian,

6.01 ist drauf ...

LG, Thomas
Bitte warten ..
Mitglied: certifiedit.net
LÖSUNG 01.02.2014, aktualisiert 03.02.2014
Dann probier es mal übers Webinterface

Ggf. auch mal die derzeitige public IP eintragen als Endziel. (Ist es wirklich eine Public auf beiden Seiten?)
Bitte warten ..
Mitglied: keine-ahnung
01.02.2014 um 15:04 Uhr
Zitat von certifiedit.net:

Dann probier es mal übers Webinterface
??? Was soll ich da probieren ??? Auf dem Ding bin ich ja drauf ...
Ggf. auch mal die derzeitige public IP eintragen als Endziel. (Ist es wirklich eine Public auf beiden Seiten?)
Ich habe die als remote-ID sowohl den Gerätenamen des Lancoms als fqnd als auch die öffentliche IP für die Remote-IP versucht (in beiden Geräten natürlich) ... selbes Ergebnis.

Der Lancom hat eine statische WAN-IP, die Fritte eine dynamische, die aber öffnetlich ist und auf der auch ein DDNS-account synchronisiert ist (den sollte ich ja eigentlich aber gar nicht brauchen?). Ich stelle mir das so vor, dass nur die Fritte das VPN aufbaut?

LG, Thomas
Bitte warten ..
Mitglied: MrNetman
01.02.2014 um 15:04 Uhr
Und was ist bei LTE mit dynamischen IPs?
Kann der Lancom damit umgehen oder braucht der statische ...
Wie sieht es auf der anderen Seite aus?

Pakete müssen ja den Weg immer auch zurück gehen können.

Gruß
Netman
Bitte warten ..
Mitglied: certifiedit.net
01.02.2014 um 15:08 Uhr
Nein, per 6.0.x kannst du per WebGui die VPN Settings hinterlegen meinte ich ;)

Doch, brauchst du für das Aushandeln.
Bitte warten ..
Mitglied: keine-ahnung
01.02.2014, aktualisiert um 16:58 Uhr
Die VPN-Konfigurationsmöglichkeiten im GUI der Fritte sind rudimentär, das habe ich mit dem AVM-support schon ausgekaspert, das das nicht geht. Das config-Programm von AVM kann man ja trotzdem nehmen.

Ich versteh trotzdem immer noch nicht, wozu ich für die VPN-Konfiguration den DDNS-FQDN benötige? Wenn ich aus dem selben Netz über den VPN-Client auf den Lancom, benötige ich den doch auch nicht ...?? Und AVM nimmt in dem howto die DDNS-FQND komplett aus der Konfig raus?

Mich irritiert in erster Linie die Fehlermeldung aus dem LAN-Monitor ... WAS versucht die Fritzbox, die ja der Initiator sein sollte, da aufzulösen?

Ich seh allmählich den Wald vor lauter Bäumen nicht mehr ...

LG, Thomas
Bitte warten ..
Mitglied: Dobby
01.02.2014 um 19:24 Uhr
Hallo,

01.
name = "NAME_DER_VERBINDUNG";
Ist hoffentlich von Dir so geändert worden.

Mich irritiert in erster Linie die Fehlermeldung aus dem LAN-Monitor
Fehlermeldung "Error: IKE-Error 0x2027"

Noch etwas ist mir aufgefallen, die beiden Router sind via LTE und 3G
an das Internet angebunden, kann es sein dass es sich hierbei um
Consumer Flatrates handelt und nicht um Business Tarife, wo das VPN
auf jeden Fall nicht geblockt wird???

Hier noch ein Beispiel zu dem 0x1109 Error
X1109 Error

Viel Erfolg.

Gruß
Dobby
Bitte warten ..
Mitglied: Arch-Stanton
01.02.2014 um 19:49 Uhr
über umts nur in den teureren Verträgen mit vpn passthrough... wobei eine Gegenstelle kein umts/LTE sein darf.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: MrNetman
01.02.2014 um 20:10 Uhr
Zitat von keine-ahnung:
Ich versteh trotzdem immer noch nicht, wozu ich für die VPN-Konfiguration den DDNS-FQDN benötige? Wenn ich aus dem
selben Netz über den VPN-Client auf den Lancom, benötige ich den doch auch nicht ...?? Und AVM nimmt in dem howto die
DDNS-FQND komplett aus der Konfig raus?

Hi Thomas,

zählt das zu den ernst gemeinten Beiträgen?
Logisch ist LAN anders als WAN.
Fang erst mal mit den Basistools an:
Ping
tracert
pathping
telnet auf dem VPN-Port

Und du wirst den Unterschied bemerken

Gruß
Netman
Bitte warten ..
Mitglied: keine-ahnung
01.02.2014, aktualisiert um 20:37 Uhr
Zitat von Dobby:

Hi,
name = "NAME_DER_VERBINDUNG" Ist hoffentlich von Dir so geändert worden.
Nee, ich freu mich immer so über Besuch ...
Noch etwas ist mir aufgefallen, die beiden Router sind via LTE und 3G an das Internet angebunden
Das habe ich nicht gesagt, lediglich der Fritte bleibt nix anderes über, als via LTE ins Netz zu gehen - die kann gar nicht anders. Der Lancom hängt via pppoe an einem WLAN-AP eines Providers. Das 3G-Modem dient nur als fallback ...
kann es sein dass es sich hierbei um Consumer Flatrates handelt und nicht um Business Tarife, wo das VPN auf jeden Fall nicht geblockt wird???
Neihein! Ich kann ohne Probleme von einem Windows-OS aus dem Netz der Fritzbox (dohoam) mit dem LANCOM VPN-client in mein Praxisnetz hinter dem Lancom.
Hier noch ein Beispiel zu dem 0x1109 Error X1109 Error
Yep, kannte ich auch schon ...
über umts nur in den teureren Verträgen mit vpn passthrough... wobei eine Gegenstelle kein umts/LTE sein darf.
Ist so schon in Ordnung. Der LTE-Vertrag ist zwar nix business, aber ein call'n'surf via LTE von den Telekomikern - VPN geht da.
zählt das zu den ernst gemeinten Beiträgen?
Nee, ist nur ein joke! Was soll ich sonst samstags machen . Ich habe mich da wohl etwas unglücklich ausgedrückt, zumal AVM ja zwei Konfigs für die jeweilige Gegenstelle ausgibt. Vom Lancom nach Hause habe ich den DDNS-FQND der Fritte drin. Der Lancom selber braucht das nicht --> der hat eine statische Adresse, die ich in die config der Fritzbox eingetragen hat. Der findet auch die Fritte als Gateway.

Ich habe aber das Gefühl, das die Fritzbox nach einem FQDN am Lancom sucht und weder die öffentliche IP noch den Gerätenamen (je nach config der Fritzbox und im Lancom selber hatte ich das korrespondierend eingetragen) als IKE-Identität akzeptiert ...??

Das Lancom-Forum scheint auch den BAch runter gegangen zu sein ...??

Na, ich werde mal das setup und die traces an den Lancom-Support schicken, mir gehen sämtliche Ideen aus. Dafür werden meine Augen immer eckiger

Wenn noch jemand eine Idee hat ... immer her damit.

LG, Thomas
Bitte warten ..
Mitglied: aqui
LÖSUNG 01.02.2014, aktualisiert 03.02.2014
Die Konfig ist scheinbar nicht die Wurzel des Übels sondern du hast irgendwie ein DNS Problem:
http://service.avm.de/support/de/SKB/FRITZ-Box-7270/687:Fehlermeldung-E ...
Das passt zur identischen Fehlermeldung auf der Lancom Seite "Namensauflösung fehlgeschlagen (Initiator) [0x1109] "
Kann es sein das du in der IKI Konfig (Phase 1) eine Seite mit dem FQDN und die andere mit der IP Adresse definiert hast ?
Das geht nicht und führt zu einem Abbruch der Phase 1.
Du kannst entweder nur beide Seiten mit FQDN oder IP machen aber nicht gemischt. Nur der Hostname des Lancom reicht nicht, es muss der vollständige FQDN sein.
Testweise kannst du mal beide Seiten rein mit der nachten Tunnel IP (WAN) definieren ! Damit sollte der Tunnel dann sofort hochkommen. Testweise klappt das mal ,da sich die FB IP ja erst wieder in 24 Std. ändert. Damit kannst du verifizieren das die VPN Konfig generell richtig ist.
Du solltest ferner drauf achten BEIDE Seiten in den Agressive Mode zu setzen. Das ist zwingend wenn beide Seiten unterschiedliche Hersteller haben.
Kannst du ggf. die Logs beider Geräte mit Syslog exportieren ? Das macht aber nur Sinn sofern die Syslogs detailierter sind als was die Geräte so oder so ausgeben !
Bitte warten ..
Mitglied: keine-ahnung
01.02.2014, aktualisiert um 21:24 Uhr
Hi aqui,
Die Konfig ist scheinbar nicht die Wurzel des Übels sondern du hast irgendwie ein DNS Problem
ich wollte eigentlich den FQDN meines Netzes gar nicht einsetzen.
Kann es sein das du in der IKI Konfig (Phase 1) eine Seite mit dem FQDN und die andere mit der IP Adresse definiert hast ?
Ich denke eigentlich eher nicht, da ich wie oben geschrieben, die Veränderungen korrespondierend in beiden Geräten eingetragen habe. Allerdings arbeite ich am Notebook ...
Nur der Hostname des Lancom reicht nicht, es muss der vollständige FQDN
AVM gibt im Konfigurationstool die Möglichkeit vor, statt des DDNS-FQND die statische WAN-Adresse des Gegenübers einzubauen. Das schreibt sich dann auch so in die config-Datei. Ich denke, dass das eigentlich dann für die Route auch genügen sollte? Die Idee mit denIP auf beiden Seiten probiere ich mal aus, allerdings wird häufig empfohlen, die Fritte mal neu zu starten, wenn der Tunnelaufbau nicht klappt ... da beisst sich dann die Katze in den ###.
Du solltest ferner drauf achten BEIDE Seiten in den Agressive Mode zu setzen.
Yep - ist.

Na, ich schraube noch mal ein bisschen

LG, Thomas
Bitte warten ..
Mitglied: aqui
LÖSUNG 02.02.2014, aktualisiert 03.02.2014
ich wollte eigentlich den FQDN meines Netzes gar nicht einsetzen.
Das musst du aber leider zwangsweise machen weil eine Seite eben DynDNS nutzt. Es gibt eine Ausnahme: Wenn du den DynDNS Router als VPN Dialin Client sich aktiv am Lancom einwählt, dann kann das Arbeiten mit dem FQDN entfallen. Wegen der wechselnden Absender IP kann man dann hier "0.0.0.0" als Platzhalter einsetzen. Der "VPN Server" erzeugt dann einen dynamischen Eintrag. Das IPsec_Tutorial hier erklärt die ToDos ansatzweise.
Der VPN Dialin der Fritte ist vermutlich wirklich nicht 100% wasserdicht...leider. Ein anderer aktueller Leidensthread hier bestätigt das:
http://www.administrator.de/contentid/228049
Möglich auch das da noch ein Firmware Bug enthalten ist.
Wie gesagt teste das mal mit den beiden IPs in der Konfig.
Bitte warten ..
Mitglied: keine-ahnung
03.02.2014 um 10:07 Uhr
So,

ich habe das dann gestern beendet, ein VPN wird auch mit der Eingabe der WAN-IP als remotehost beidseits nicht aufgebaut ... die Fehlermeldungen sind immer die selben. Ich werde als nächsten step mal einen weiteren LANCOM-Router hinter die Fritzbox klemmen und schauen, ob sich dieser mit dem Praxisrouter konnektiert - ich habe irgendwie das Gefühl, dass der VPN-client der Fritte buggy ist. Alternativ natürlich ich ...

Ich setze den Fred mal als gelöst, sollte das an der Fritzbos liegen, poste ich das am nächsten Wochenende hier noch mal rein ...

LG und Danke für die inputs, Thomas
Bitte warten ..
Mitglied: aqui
03.02.2014 um 11:14 Uhr
Vielleicht hilft dir DAS noch für einen allerletzten Versuch:

http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...

http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lanco ...

http://lelug.de/hardware/13-vpn-fritz-box-mit-lancom-in-15-min.html

Bei allen klappt es wunderbar, beim letzten sogar in 15 Minuten !!
Generell scheint es also zu klappen ! Du solltest ggf. also noch einen versuch wagen....
Bitte warten ..
Mitglied: keine-ahnung
03.02.2014 um 11:31 Uhr
Hallo aqui,

habe ich alle in der Mache gehabt ... kein Resultat. Respektive das oben beschriebene. Der Lancom findet die Fritte, die Fritte findet den Lancom, das VPN baut sich nicht auf. Irgendwann neige ich dann schon zur Kapitulation ... zumal es sich mit den Software-clients eigentlich auch recht hübsch arbeiten lässt. Ich hatte nur die Idee, mir noch ein Telefon als VOIP-Nebenstelle meiner Praxis-TK in die Wohnung zu stellen ... wäre eh nur ein gimmick.

Ich teste das nächstes WE nochmal mit einem Lancom-Router, dem ich die Fritte via pppoe als WAN-gateway anbiete, wenn das funktioniert, sollte der VPN-client der Fritzbox schuldig sein, wenn nicht - bin ich es .

LG, Thomas
Bitte warten ..
Mitglied: Dobby
03.02.2014 um 12:51 Uhr
wenn nicht - bin ich es
Sooo unbedarft bist ja nun auch nicht und ich denke es ist wohl eher eine
Kleinigkeit die Du übersiehst und daher funktioniert es nicht richtig.

Ich würde einfach mal alles von vorne neu eingeben und bei null starten, aber
eben auch nicht tausend Sachen probieren die es so gibt denn da verheddert man
sich auch schnell einmal.

Gruß
Dobby
Bitte warten ..
Mitglied: keine-ahnung
03.02.2014 um 13:20 Uhr
Zitat von Dobby:

Ich würde einfach mal alles von vorne neu eingeben und bei null starten, aber eben auch nicht tausend Sachen probieren
Nee, waren nur 998, dann habe ich aufgehört

Ich habe momentan 0-Bock auf die Kistchen und werde bis zum Wochenende das Gedöhns in Ruhe lassen ...

LG, Thomas
Bitte warten ..
Mitglied: kabuschke
06.08.2015 um 08:04 Uhr
Hallo,

sorry das ich den alten Threat nochmal belebe.
Wie hast du das Problem gelöst?
Hat die Verbindung zwischen zwei Lancoms funktioniert?
Oder hast du es mit dem Lancom und der Fritzbox hinbekommen?

Habe das selbe Problem/Fehlermeldung - und die gleichen Voraussetzungen (1x LTE-Anschluss an der Zentrale (Lancom) und 1x VDSL-Anschluss (Fritzbox)).
Würde mich freuen wenn ihr die Lösung posten könntet.

Ich werde heute Abend aber zeitgleich auch noch eine Verbindung von meinem Lancom auf die Zentrale auf zu bauen - melde mich dann wieder.

Grüße
Kabuschke
Bitte warten ..
Mitglied: keine-ahnung
06.08.2015 um 08:18 Uhr
Moin,
ich habe das mit der LTE-Fritte und dem LANCOM vor Lachen nicht hinbekommen, nach Zukauf eines 1780-4G EW habe ich die Fritte in den Ruhestand geschickt und das VPN steht seitdem wie eine Eins. keine-ahnung, was da nicht miteinander kann - aber Zeit war auch Geld und die Fritte kann ich ja bei Gelegenheit in der Bucht anbieten.

LG, Thomas
Bitte warten ..
Mitglied: kabuschke
06.08.2015 um 08:31 Uhr
Hallo Thomas,

super - vielen Dank für deine schnelle Antwort!

Grüße
Tobi
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
FritzBox 7490 LAN zu LAN Kopplung (5)

Frage von diemilz zum Thema Router & Routing ...

Router & Routing
Fritzbox LAN-LAN-Kopplung mit IP klappt nicht (6)

Frage von achim222 zum Thema Router & Routing ...

LAN, WAN, Wireless
W-LAN mit Lancom Geräten (9)

Frage von Vancouverona zum Thema LAN, WAN, Wireless ...

Netzwerke
LAN und WLAN je mit gleicher IP (13)

Frage von dauatitsbest zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (29)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...