lateiner
Goto Top

Verbindung zwischen zwei Fritz!Boxen einrichten

Hallo!
Ich möchte zwei Fritz!Boxen des Typs 7390 via VPN miteinander verbinden (unterschiedliche Standorte, jeweils WAN-Anschluss)
Beide sind bis auf die DSL-Einstellungen und die DynDNS-Einstellungen "jungfräulich".

Wie richte ich das nun ein?
Ich habe mich ein wenig an der IP-Adresse der verschiedenen Netzwerke aufgehängt... standardmäßig ist ja 192.168.178.1 eingestellt. Anscheinend muss ich diese Adresse ändern, damit das funktioniert. Nur auf was? In den Einstellungen steht:

"Achtung!
Änderungen auf dieser Seite können dazu führen, dass die FRITZ!Box nicht mehr erreichbar ist. Beachten Sie unbedingt die Hilfe, bevor Sie Änderungen vornehmen."


Da möchte ich kein Risiko eingehen, da ich nicht die Zeit habe, mich stundenlang mit einem Internet-Ausfall zu beschäftigen.
Kann mir jemand sagen, ob und auf was ich die IP-Adressen ändern soll?

Content-Key: 182755

Url: https://administrator.de/contentid/182755

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: 2hard4you
2hard4you 28.03.2012 um 19:24:26 Uhr
Goto Top
Moin,

VPN funktioniert nur zwischen Netzen mit unterschiedlicher IP-Range, also ändere auf einer FB das meinetwegen auf 192.168.180.1

Danach mußt Du unter Windows ein ipconfig /release und ein ipconfig /renew machen und dann hast Du beide FB in unterschiedlichen Netzen...

Gruß

24
Mitglied: Lateiner
Lateiner 28.03.2012 um 20:28:59 Uhr
Goto Top
Okay, also muss ich erst ändern.
Was ist mit dem ipconfig gemeint? Wie führe ich das auf einem Mac und mehreren iPhones aus?

//Edit: Ich kann mich mit dem Router lediglich via WLAN verbinden. Erschwert das die Angelegenheit?
Mitglied: danielfr
danielfr 28.03.2012 um 21:10:36 Uhr
Goto Top
Warum kannst Du Dich nur per WLAN verbinden?
ipconfig /release und /renew erneuert lediglich die IP Adresse auf Windows Systemen, sofern Sie über DHCP vergeben ist. Das geht auch beim MAC, musst Du mal selbst recherchieren. Feste IP Adressen müssen natürlich auch angepasst werden. Nimm Dir die Zeit und beschäftige Dich etwas mit der Materie oder hole jemanden der Dir auf die Schnelle weiterhelfen kann. Vor allem wenn es schon an solchen Kleinigkeiten zu scheitern droht, wie die IP Adresse eines Routers zu ändern.
Mitglied: Lateiner
Lateiner 28.03.2012 um 21:55:15 Uhr
Goto Top
Naja, ich bin ja ein Lernender ;)
Nun sind die Konfigurationsdateien erstellt und auf die Fritzen geladen (das Ändern der IP war kein Problem).

Jedoch verbinden sich die beiden Geräte nicht.
Die eine zeigt an: nicht verbunden; die andere: wird verbunden.

Seit 20 Minuten. Idee? ;)
Mitglied: Lateiner
Lateiner 29.03.2012 um 08:31:20 Uhr
Goto Top
Auch nachdem ich die Nacht habe verstreichen lassen, ist es zu keiner Verbindung gekommen.
Der Versuch, Endgeräte am anderen Ende der Leitung anzupingen, schlug fehl - anscheinend keine Verbindung.
Mitglied: aqui
aqui 29.03.2012 um 08:51:34 Uhr
Goto Top
Hier kannst du alles nachlesen wie es geht:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
Damit sollte eigentlich auch jeder Dummie das auf Anhieb hinbekommen.
Ansonsten hat das AVM Portal:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Noch allerlei weitere Tips auf Lager !
Für Detailprobleme benötigt man so oder so deine VPN Konfig ohne die stochern wir hier nur im Trüben.
Du hast ja noch nicht einmal beschrieben wie deinen aktuelle IP Adressierung aussieht. Mit so wenig Informationen ist einen sinnvolle Hilfestellung unmöglich.
Nebenbei: ipconfig ist auf dem Mac ifconfig (macht man im Terminal !). Auf dem iPhone ist das Einstellungen --> WLAN und dann tippst du auf den blauben Pfeil beim aktivierten WLAN....und machst mit dem gleichzeitigen Druck auf den Home Knopf und Ausschalt Knopf einen Screenshot wenn du willst... Sollte man als Netzwerker eigentlich wissen face-sad
Mitglied: Lateiner
Lateiner 29.03.2012 um 09:19:49 Uhr
Goto Top
IP ist auch schon alles geändert, Internet funktioniert auf allen Geräten.

Das Problem, das ich aktuell habe, ist, dass sich die beiden Fritzen nicht verbinden wollen, obwohl ich nach der von dir geposteten AVM-Anleitung vorgegangen bin.
Die VPN-Konfigurationsdatei wurde übrigens mit dem AVM-Assistenten erstellt, in den ich meines Erachtens alles richtig eingetragen habe.
Muss ich der Fritz!Box erst einmal eine Initialzündung geben, damit sie sich mit der anderen Fritze verbindet?
Mitglied: 104286
104286 29.03.2012 um 10:20:26 Uhr
Goto Top
Hallo Lateiner,

nein, wenn du nach der Anleitung vorgegangen bist, dann muss ein Ping auf die Gegenstelle funktionieren. Mehr muss man da nicht machen.

Gruß
Leo
Mitglied: Lateiner
Lateiner 29.03.2012 um 17:40:06 Uhr
Goto Top
/*
 * C:\users\user\Application Data\AVM\FRITZ!Fernzugang\remotezugang1_no-ip_org\fritzbox_remotezugang1_no-ip_org.cfg
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "remotezugang2.no-ip.org";  
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "remotezugang2.no-ip.org";  
                localid {
                        fqdn = "remotezugang1.no-ip.org";  
                }
                remoteid {
                        fqdn = "remotezugang2.no-ip.org";  
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "*trollolololololloooool*";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.180.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.181.1;
                                mask = 255.255.255.255;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 192.168.181.1 255.255.255.255";  
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}


// EOF


Das ist die nach Anleitung erzeugte Datei für Fritze Standort 1.
Mitglied: Lateiner
Lateiner 29.03.2012 um 17:47:34 Uhr
Goto Top
Komischerweise, als ich eben noch einmal nachgelesen habe, war die Verbindung zwischen den Fritz-Boxen hergestellt.
Ich kann jedoch auf kein Gerät des entfernten Netzes zugreifen, d.h. Netzwerkdrucker und das Interface der Konsole sind nicht erreichbar.
Mitglied: 104286
104286 29.03.2012 um 17:51:14 Uhr
Goto Top
Die cfg ist ist falsch.

Mach es einfach nochmal. Du willst doch Netze miteinander koppeln.
Mitglied: Lateiner
Lateiner 29.03.2012 um 18:15:51 Uhr
Goto Top
Hm. Habs nochmal gemacht. Mit zigfach geprüften Angaben.

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "remote1.no-ip.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "remote1.no-ip.org";
localid {
fqdn = "remote2.no-ip.org";
}
remoteid {
fqdn = "remote1.no-ip.org";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "*düdeldüüüü";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.181.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.180.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.180.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


EOF


und hier von Standort 2:


vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "remote2.no-ip.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "remote2.no-ip.org";
localid {
fqdn = "remote1.no-ip.org";
}
remoteid {
fqdn = "remote2.no-ip.org";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "
***";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.180.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.181.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.181.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


EOF
Mitglied: Lateiner
Lateiner 29.03.2012 um 18:27:16 Uhr
Goto Top
Komisch finde ich, dass sich die beiden Netze laut Fritze verbinden, jedoch kein Zugriff auf das jeweils andere Netz möglich ist.

Dieser Herr hier scheint das gleiche Problem gehabt zu haben wie ich, jedoch hat es sich bei ihm in Wohlgefallen aufgelöst:
http://www.ip-phone-forum.de/showthread.php?t=236660


Das doofe ist: Den Ping habe ich schon durchgeführt, die Verbindung steht - jedoch erhalte ich keinen Zugriff auf angeschlossene Geräte der anderen Seite.
Mitglied: 104286
104286 29.03.2012 um 19:08:10 Uhr
Goto Top
Du kannst die Geräte nur unter deren IP-Adresse erreichen.
Mitglied: Lateiner
Lateiner 29.03.2012 um 19:16:05 Uhr
Goto Top
Ich habe die Geräte mit ihrer im Webinterface der FritzBox angezeigten IP-Adresse versucht anzusprechen. Keine Antwort.
Mitglied: aqui
aqui 29.03.2012 um 19:39:21 Uhr
Goto Top
Nur mal nebenbei: Wenn die Kopplung aktiv ist dann kannst du Windows PCs im jeweils remoten Netz nicht erreichen ! Das Verhalten bei Windows ist also mehr oder minder normal !
Grund ist deren lokale Firewall die keine anderen IP Netze außer dem lokalen erlaubt ! Verbindungsversuche die ja nun einen Ansender IP aus einem fremden netzwerk haben blockt diese also gnadenlos ! Das musst du also entsprechend anpassen.
Ausnahmen davon sind immer Drucker, NAS und Printserver usw. deshalb sollte man immer primär versuchen sowas zu erreichen um nicht in die Firewall Falle zu tappen.
Bei diesen lokalen Geräten wie Drucker, NAS und Printserver usw. wird aber oft gerne der default Gateway Eintrag vergessen, der natürlich auf die lokale FB zeigen muss.
Da du per VPN immer mit einer fremden IP an den remoten Geräten ankommst müssen die die Antwort erst zum Router/Gateway schicken. Fehlt der Gateway Eintrag ist Schicht im Schacht...logo ! Also auch das überprüfen.
Pingbar muss aber immer das lokale IP Interface der jeweils gegenüberliegenden Fritzbox sein !
Mitglied: Lateiner
Lateiner 29.03.2012 um 20:13:38 Uhr
Goto Top
Laut Fernkonfiguration ist die IP der gegenüberliegenden FritzBox 192.168.180.1.
Jedoch erhalte ich folgendes...

user$ ping 192.168.180.1
PING 192.168.180.1 (192.168.180.1): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5

Ich habe zum Test ein gejailbreaktes AppleTV verwendet, welches im Heimnetz immer schön brav antwortet.


Bei diesen lokalen Geräten wie Drucker, NAS und Printserver usw. wird aber oft gerne der default Gateway Eintrag vergessen, der natürlich auf die lokale FB zeigen muss.
Da du per VPN immer mit einer fremden IP an den remoten Geräten ankommst müssen die die Antwort erst zum Router/Gateway schicken. Fehlt der Gateway Eintrag ist Schicht im Schacht...logo ! Also auch das überprüfen.
Das verstehe ich nicht ganz. Ich arbeite auf einem OS-X der Version 10.7.3. Weiß nicht, wie ich da etwas mit Gateways einstellen kann. Entweder der Assistent findet den Router, oder er findet ihn nicht. Letzteres ist der Fall.

(Ich hatte das mit der Site2Site-Verbindung so verstanden, dass damit praktisch aus zwei getrennten Netzwerken eins wird, in dem die Geräte frei miteinander kommunizieren können...)
Mitglied: 104286
104286 29.03.2012 um 21:57:09 Uhr
Goto Top
Ich versuche mal, dir den Tipp von Aqui zu übersetzen.

Er ging davon aus, dass die Kopplung aktiv ist. Also davon, dass du die gegenüberliegende FB anpingen kannst.

Falls du als nächstes versuchst, Windows-Rechner in dem anderen Netz anzupingen, wird das nicht ohne weiteres funktionieren. Grund dafür ist die Windows-Firewall auf den PC´s. Die Firewall verhindert die Antworten, weil die Pakete aus deinem - einem für sie fremden - Netz kommen. Du sollst das dann anpassen, indem du mal ganz genau die AVM-Hilfeseiten studierst. 1

Dann meinte er, es sei besser, dann lieber erstmal Drucker oder ähnl. anzupingen. Diese haben keine Firewall.
Dann wies er dich darauf hin, dass Drucker oder ähnl. oftmals auch nicht antworten, da häufig kein Gateway-Eintrag in ihrer Konfiguration angegeben wird. Das bedeutet, bei dir kommt dann auch keine Antwort auf das Ping, weil der Drucker nicht weiß, dass er es zur Fritzbox schicken soll.

Als letztes wies er dich eindringlich darauf hin, dass dir die andere FB immer antworten kann und muss. Vorausgesetzt, die VPN-Verbindung ist richtig konfiguriert.
Mitglied: Lateiner
Lateiner 29.03.2012 um 22:32:06 Uhr
Goto Top
@104286: vielen Dank! Bin in Netzwerkdingen nicht sonderlich bewandert ;)

Ich habe mal einen Standortwechsel vorgenommen und bin in das WLAN des gegenüberliegenden Standortes gegangen. Dort kann ich ohne Probleme http://192.168.181.1/ erreichen (die Fritz!Box Konfigurationsseite)... warum das in gegenüberliegende nicht funktioniert... keine Ahnung.
Mitglied: aqui
aqui 30.03.2012 um 16:15:15 Uhr
Goto Top
(Ich hatte das mit der Site2Site-Verbindung so verstanden, dass damit praktisch aus zwei getrennten Netzwerken eins wird, in dem die Geräte frei miteinander kommunizieren können...)
Ja, das hast du auch absolut richtig verstanden ! Nur...
Die IP Adressen dieser Netze sind nicht gleich !! Die sind (und müssen) unterschiedlich sein !! Das Netz verhält sich aus Benutzer Sicht wie "ein Netz" technisch gesehen sind es aber 2 IP Netze die über das VPN geroutet werden. Deshalb auch die Firewall Problematik.
Muss auch so sein, denn wenn die IP Adressierung gleich wäre wäre einen eindeutige Wegefindung für die Pakete unmöglich.
Wenn es in einer Stadt 10 mal die Bahnhofstrasse gibt wie sollte der Briefträger die richtige finden ??? Gleiches Problem....
Das du das gegenüberliegende nicht erreichen kannst liegt de facto daran das die beiden FBs keinen aktiven VPN Tunnel aufgebaut haben, also gar nicht verbunden sind.
Warum...das gilt es rauszufinden !
Mitglied: Lateiner
Lateiner 07.04.2012 um 17:18:35 Uhr
Goto Top
Ich konnte das Problem der VPN-Verbindung lösen.
Es lag an einem Bug der 7390 im DynDNS-Modul, nun verbinden sich die beiden Boxen ganz normal.
Wie aqui bereits beschrieben hat, ist die RDP-Verbindung zu einem Windows-Rechner nicht möglich. Die AVM-Hilfe habe ich schon zum Thema Routing befragt, jedoch werde ich daraus nicht recht schlau.
Was genau muss ich eingeben, wenn der RDP-Zielrechner im entfernten Standort unter der IP 192.168.181.22 erreichbar ist, mein Client im heimischen Netzwerk unter der Adresse 192.168.180.20? Ich finde nur sehr vage Informationen.
Mitglied: danielfr
danielfr 07.04.2012 um 18:52:03 Uhr
Goto Top
Versuche mal die Firewall auf den Windows PCs abzuschalten. Wenn das funktionieren sollte musst Du die noch korrekt konfigurieren.
Gruß Daniel