flavourflo
Goto Top

Site-to-Site VPN mit LTE Router Teltonika RTU950 und Fritzbox 7390

Hallo zusammen,

ich versuche aktuell eine Site-to-Site-VPN mit meinem Teltonika RTU950 LTE Router nach Zuhause zur Fritzbox 7390 aufzubauen.
Allerdings bin ich mir nicht sicher wie ich die Konfiguration am Teltonika Router eintragen muss und ob die Einstellungen in der Fritzbox überhaupt stimmen.

Eine öffentliche IP-Adresse im LTE-Netz der Telekom (APN internet.t-d1.de) inklusive DynDNS ist bereits am Teltonika Router konfiguriert.

Mithilfe des Programms "Fritz Fernzugang einrichten" habe ich bereits folgende Konfigurationsdatei erzeugt und in der Fritzbox importiert:

Fritzbox 7390.cfg
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "DynDNS-Domain des LTE Routers";  
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "DynDNS-Domain des LTE Routers";  
                localid {
                        fqdn = "DynDNS-Domain der Fritzbox";  
                }
                remoteid {
                        fqdn = "DynDNS-Domain des LTE Routers";  
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "XXXXXXXXXXXXXXXX";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";  
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}

Die Konfiguration der zweiten Konfigurationsdatei muss ich nun irgendwie im Teltonika Router eintragen:

Teltonika.cfg
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "DynDNS-Domain der Fritzbox";  
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "DynDNS-Domain der Fritzbox";  
                localid {
                        fqdn = "DynDNS-Domain des LTE-Routers";  
                }
                remoteid {
                        fqdn = "DynDNS-Domain der Fritzbox";  
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "XXXXXXX";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 192.168.1.0 255.255.255.0";  
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}

Und genau hier bin ich mir nicht sicher wie ich das Ganze eintragen muss.

Folgende Maske habe ich im Teltonika Router:

2016-09-28 09_04_31-teltonika - ipsec - web ui
2016-09-28 09_05_08-teltonika - ipsec - web ui

Sind meine Einstellungen korrekt?

IKE Version IKEv1 oder IKEv2?
Modus Aggressive oder Main?
Identifier type FQDN, User FQDN oder Adresse und was dann bei My identifier eintragen?
Was muss bei Phase1 und Phase2 eingetragen werden?

Kann mir jemand sagen ob überhaupt eine Site-to-Site VPN Verbindung mit den beiden Geräten möglich ist?
Wie muss ich den Teltonika Router konfigurieren?
Wo ich den Status der VPN-Verbindung überprüfen kann, ist mir ebenfalls unbekannt.

Kann mir hier jemand weiterhelfen?

LG
Flo

Content-Key: 316404

Url: https://administrator.de/contentid/316404

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: aqui
Lösung aqui 28.09.2016 aktualisiert um 11:16:22 Uhr
Goto Top
Das IPsec Praxis Tutorial dazu hast du gelesen ? Das beantwortet alle deine Fragen zu Konfig und VPN Status etc.
Es beschreibt auch die Vorgehensweise für FB Router:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Site to Site sollte in jedem Falle möglich sein. Wenn es mit den im Tutorial geschilderten VPN Systemen fehlerfrei funktioniert, dann auch mit deinem.
Das AVM VPN Portal hat auch Infos zu VPNs auf andere Hersteller: https://avm.de/service/vpn/uebersicht/

Entscheidend für dich ist bei einem Mobilfunk Zugang die Frage ob du im LTE Netz vom Provider eine öffentliche IP Adresse bekommst ?? Wenn dein Mobilfunk Provider dort private RFC 1918 IP Adressen verwendet mit einem zentralisierten NAT hast du keine Chance ein VPN zu etablieren, da du die zentrale NAT Firewall dann nicht mit IPsec überwinden kannst. Hier hilft dann nur ein SSL basiertes VPN.
Dieser Thread beschreibt das Thema:
VPN über webn walk Stick IV nicht mehr möglich
Mitglied: keine-ahnung
keine-ahnung 28.09.2016 um 12:04:12 Uhr
Goto Top
Moin,
eine sichere öffentliche Adresse bekommst Du bei den Telekomikern für mobile-sim's nur in business-Tarifen mit der Option Mobile IP VPN. Darüber hinaus ... mir ist es nicht gelungen, mit einer öffentlichen LTE-IP (stationärer Tarif) zwischen einer LTE-Fritte und einem Lancom-Router ein funktionales S2S-VPN herzustellen.

Viel Spass beim Basteln, Thomas
Mitglied: flavourflo
flavourflo 28.09.2016 um 13:42:53 Uhr
Goto Top
Also aktuell habe ich eine LTE Flat 6000 von mobilcom debitel und nutze den APN internet.t-d1.de. Mit dieser Konfiguration habe ich soeben die IP-Adresse 37.81.198.XX bekommen, welche von außen erreichbar ist. Das müsste somit also eigentlich eine öffentliche IP sein oder ?
Mitglied: flavourflo
flavourflo 28.09.2016 um 13:46:45 Uhr
Goto Top
Vielen Dank für den Hinweis ich werde mir die Tutorials dazu durchlesen.
Mir geht es ja nur darum dass ich mit dem Webinterface des Routers nicht wirklich zurechtkomme, da dieses anders ist, wie die in den Tutorials beschriebenen Geräte. Ich kann momentan nichtmal einsehen ob er versucht eine Verbindung aufzubauen oder an was es scheitert..
Mitglied: aqui
Lösung aqui 28.09.2016 aktualisiert um 15:30:04 Uhr
Goto Top
Das müsste somit also eigentlich eine öffentliche IP sein oder ?
Yepp, das ist richtig und das sieht schonmal gut aus. Daran wirds also nicht scheitern face-wink
da dieses anders ist, wie die in den Tutorials beschriebenen Geräte.
Nein, das ist Blödsinn und siehst du auch selber wenn du dir die IPsec Credentials mal ansiehst. Die GUIs sind optisch gewiss etwas anders aber die Schlüsselwörter sind immer gleich. Kein Wunder, denn IPsec ist ein normierter Protokollstandard.
Aggressve Mode ist schon richtig wenn du unterschiedliche Hersteller hast. Wichtig auch das die Crypto Credentials auf beiden Seiten identisch sind. Mit AES 128 oder 256 und SHA1 machst du nichts falsch das ist üblicher Standard.

Beide Router loggen die Verbindungen bzw. Systemmeldungen. Die FB kann das ganz sicher. Jeder Baumarkt Router kann das, die FB sowieso.
Ggf. musst du bei deiner Teltonika Gurke einen Syslog Server einrichten um die Messages zu sehen. Das Handbuch hilft da weiter.
Fürs Troubleshooting, sofern nötig, ist ein Logging logischerweise unabdingbar. Andernfalls müsstest du alles im Blindflug machen was nicht wirklich Spaß macht. Leuchtet dir sicher auch ein ?!
Kostenlose Syslog Software für Winblows gibt es zuhauf:
http://www.kiwisyslog.com/free-edition.aspx
http://www.mikrotik.com/archive.php --> Syslog Daemon
http://www.draytek.co.uk/support/downloads --> Unten unter "Router Tools"
Mitglied: keine-ahnung
keine-ahnung 28.09.2016 um 17:09:25 Uhr
Goto Top
Moin nochmal,
Mit dieser Konfiguration habe ich soeben die IP-Adresse 37.81.198.XX bekommen
der APN ist dafür bekannt, öffentliche und private-NAT-Adressen im Blaulichtmodus zu vergeben.

LG, Thomas
Mitglied: flavourflo
flavourflo 29.09.2016 um 14:30:20 Uhr
Goto Top
Also nachdem ich mich etwas intensiver mit dem Router beschäftigt habe konnte ich endlich den Systemlog finden.
Beim Teltonika RTU950 ist dieser unter System->Administration->Troubleshoot->System log (Show Button anklicken).

Im Systemlog konnte ich feststellen das ein NO_PROPOSAL_CHOSEN-Error beim Verbindungsaufbau ausgelöst wird.

Dies lag an den falschen Einstellungen von Phase 1 und Phase 2 im Teltonika Router.
Folgende Einstellungen funktionieren bei mir:

Phase 1:

Encryption algorithm: AES 256
Authentifizierung: SHA1
DH group MODP1024
Lifetime (h) 8 Hours

Phase 2:

Encryption algorithm: AES 256
Hash algorithm: SHA1
PFS group MODP1024
Lifetime (h) 8 Hours

Nach Anpassung der Phase 1 und Phase 2 Parameter im Teltonika funktioniert das Site2Site-VPN nun fast wie gewünscht.

Eine Verbindung ins Heimnetzt klappt jetzt auch super. nur vom Heimnetz aus komme ich auf keine Gerät am Teltonika Router.
Fehlt mir hier eine Firewall Regel oder eine Route?
Mitglied: aqui
aqui 29.09.2016 um 15:54:34 Uhr
Goto Top
NO_PROPOSAL_CHOSEN-Error beim Verbindungsaufbau ausgelöst wird.
Die können sich nicht auf eine Phase 2 Verschlüsselung einigen.
Guckst du dazu auch hier:
ZyWALL USG 20 mit FritzBOX WLAN 7360 via IPSecVPN verbinden
nur vom Heimnetz aus komme ich auf keine Gerät am Teltonika
Das liegt dann zu 98% an den lokalen Firewalls der Endgeräte dort im Netz. Wenn du die nicht anpasst, da du ja mit einer anderen Absender IP als das lokale Netz kommst blocken die das.
Ebenso vermutlich ICMP (Ping):
Das ist jetzt nur noch ein kleiner Schritt face-wink
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Mitglied: flavourflo
flavourflo 29.09.2016 um 16:21:42 Uhr
Goto Top
Ah gut zu wissen face-smile danke für die Erklärung!

Gut bis jetzt konnte ich nur über eine VPN-Verbindung testen (noch nicht zuhause).
Habe einfach mit meinem Laptop an einem seperaten DSL-Anschluss ne Client-To-Site VPN Verbindung zur Fritzbox aufgebaut (seperater VPN-User) und dann versucht Geräte am Telkonika-Router zu erreichen. Ging allerdings nicht.
Mitglied: aqui
aqui 30.09.2016 um 09:35:31 Uhr
Goto Top
Den Teltionka Router selber (LAN Port) solltest du aber in jedem Falle erreichen !
Wenn nicht stimmt was mit deinem VPN Tunnel nicht.
Mitglied: starfish
starfish 04.04.2021 um 16:01:01 Uhr
Goto Top
Zitat von @aqui:

Das IPsec Praxis Tutorial dazu hast du gelesen ? Das beantwortet alle deine Fragen zu Konfig und VPN Status etc.
Es beschreibt auch die Vorgehensweise für FB Router:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Site to Site sollte in jedem Falle möglich sein. Wenn es mit den im Tutorial geschilderten VPN Systemen fehlerfrei funktioniert, dann auch mit deinem.
Das AVM VPN Portal hat auch Infos zu VPNs auf andere Hersteller: https://avm.de/service/vpn/uebersicht/

Entscheidend für dich ist bei einem Mobilfunk Zugang die Frage ob du im LTE Netz vom Provider eine öffentliche IP Adresse bekommst ?? Wenn dein Mobilfunk Provider dort private RFC 1918 IP Adressen verwendet mit einem zentralisierten NAT hast du keine Chance ein VPN zu etablieren, da du die zentrale NAT Firewall dann nicht mit IPsec überwinden kannst. Hier hilft dann nur ein SSL basiertes VPN.
Dieser Thread beschreibt das Thema:
VPN über webn walk Stick IV nicht mehr möglich

Trotzdem mit 2 Fritzboxen läuft es, wenn nur eine der beiden eine öffentliche IP hat und diejenige auf der RFC1918 Seite keep-alive macht. Die ganzen Links helfen da nicht viel. Wie kann man das auch mit Teltonika-Routern bewerkstelligen. Das ist hier die Frage.
Mitglied: aqui
aqui 04.04.2021 um 16:17:37 Uhr
Goto Top
Die Funktion "Dead Peer Detection" im Teltonika aktivieren ! face-wink
Mitglied: starfish
starfish 05.04.2021 um 07:10:40 Uhr
Goto Top
das allein reicht leider noch nicht. Ich hatte vor Monaten schon aufgegeben. Vielleicht mach ich noch einen Anlauf. Das Problem (nicht nur hier) sind GUI´s, die Fehleingaben abfangen. Da bleibt meist nur noch händisches Anpassen der config-files.