Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Fritzbox 7270 und Netgear FVS 318v3 Routing

Frage Netzwerke Router & Routing

Mitglied: Waldi76

Waldi76 (Level 1) - Jetzt verbinden

29.07.2011, aktualisiert 18.10.2012, 7192 Aufrufe, 17 Kommentare

Hallo an Alle,

ich habe nach ewigen Zeiten und einer super Anleitung von hier meine FritzBox 7270 (192.168.177.1) mit einem Netgear Router FVS318v3 (192.168.99.4) per VPN verbunden. Die Verbindung steht und klappt auch super.

Auf der Netgear Seite kann ich unter Static Routes eine Weiterleitung anlegen und somit von dem 99er IP-Breich auf den 177er zugreifen.

In diese Richtung ist dies aber nicht gewollt.

Wie kann ich meine Firtzbox konfigurieren damit dies funktioniert? Ich habe es bei IP-Routing probiert, aber alle möglichen Einstellungen klappen nicht.

Auf der Netgear Seite befindet sich eine Domäne mit SBS 2008, kann ich den Server dazu bringen dem fremden IP-Bereich 19.168.177. ... zu "vertrauen"? Also das ich ohne der Domäne beizutreten zum Beispiel eine Remotedesktopverbindung starten kann (Ports sind auch für fremden IP-Bereich freigegeben-klappt aber nicht)?

Danke für Eure Hilfe

Waldi76
Mitglied: goscho
29.07.2011, aktualisiert 18.10.2012
Tach auch,
Zitat von Waldi76:
ich habe nach ewigen Zeiten und einer super Anleitung von hier meine
FritzBox 7270 (192.168.177.1) mit einem Netgear Router FVS318v3 (192.168.99.4) per VPN verbunden. Die Verbindung steht und klappt
auch super.
Das ist schön.
Kannst du PCs auf der jeweils anderen Seite anpingen und bekommst eine Antwort?
Auf der Netgear Seite kann ich unter Static Routes eine Weiterleitung anlegen und somit von dem 99er IP-Breich auf den 177er
zugreifen.
Wieso willst du hier ein Routing einrichten?
Wenn du ein VPN zwischen diesen beiden Netzwerken eingerichtet hast, musst du nichts von LAN A (.177) in LAN B (.99) routen.
In diese Richtung ist dies aber nicht gewollt.
Du musst in den VPN-Konfigurationen festlegen, auf welche IP-Adressen/-Subnetze/-Bereiche du Zugriffe aus dem anderen LAN ermöglichen willst.

Im Netgear wird das unter 'Traffic Selector' eingetragen, bei der FB in die cfg unter 'accesslist'.
Bitte warten ..
Mitglied: Waldi76
29.07.2011 um 10:20 Uhr
Danke fpür deine Hilfe!


Kannst du PCs auf der jeweils anderen Seite anpingen und bekommst eine Antwort?
Nein
Wieso willst du hier ein Routing einrichten?
Damit ich zum Beispiel auf Remotedesktop über die VPN Verbindung starten kann ohne Ports nach außerhalb zu öffnen


Du musst in den VPN-Konfigurationen festlegen, auf welche IP-Adressen/-Subnetze/-Bereiche du Zugriffe aus dem anderen LAN
ermöglichen willst.

Im Netgear wird das unter 'Traffic Selector' eingetragen, bei der FB in die cfg unter 'accesslist'.

In der FB cfg steht:

01.
  
02.
 
03.
accesslist = "permit ip any 192.168.99.0 255.255.255.0"; 
04.
 
Wenn ich beim eNetgear Router Static Route den anderen Router eintrage, kann ich zum Beispiel einen privaten Webserver aufrufen.


Waldi76
Bitte warten ..
Mitglied: aqui
29.07.2011 um 10:53 Uhr
Routen zu konfigurieren ist Blödsinn, da die beiden Netze ja über den VPN Tunnel direkt verbunden sind und so "direkt" am Router dran sind. Alle Geräte in den lokalen Netzten "sehen" also auch alle Geräte auf der anderen Seite, da die beiden VPN Router ja alle ihre lokalen Netze kennen. Routen dafür einzutragen ist also sinnlos und kontraproduktiv.
Vermutlich hast du wie immer in diesem Falle vergessen die lokalen Firewalls anzupassen das die Zugriffe aus den remoten IP Bereichen zulassen !! Normalerweise werde die ja wie allgemein bekannt blockiert !
Hier kannst du sehen wie man es richtig einstellt:
http://www.google.de/url?sa=t&source=web&cd=1&ved=0CBgQFjAA ...
und
http://www.senki.de/index.php?option=com_content&view=article&i ...
die AVM Seite hat selber auch ein paar Beispiele für andere NetGear Gurken parat. Die IPsec Konfig ist aber immer wieder die selbe !
Bitte warten ..
Mitglied: Waldi76
29.07.2011 um 11:11 Uhr
Ich werde heute zum testen die Firewalls deaktivieren und nochmals probieren.

Was ich aber nicht verstehe: Wenn ich beim Netgear die statische Route eintrage, dann kann ich sofort auf die Weboberfläche meine fritzbox vom fremden Netz mit der lokalen IP 192.168.177.1 zugreifen.

Entferne ich die Route klappt dies nicht mehr.

Vista Firewall sollte doch in beiden Fällen aktiv werden oder?
Bitte warten ..
Mitglied: aqui
29.07.2011 um 11:23 Uhr
Es müsste dir doch selber einleuchten das statische Routen sinnlos sind. Alle deine IP Netze inkl. der VPN Netze sind doch direkt am Router auf der jeweiligen Seite dran. Damit ist doch die IP Wegefindung auch ohne statische Routen absolut eindeutig !
Wenn die Rechner in den Netzen alle diese Router als Default Gateways eingetragen haben sind statische Routen logischerweise obsolet.
Meist zeigt das einen Konfigurationsfehler an oder einen Bug in der VPN Software.
Bei netGear kein Wunder, denn was das Thema VPN anbetrifft sind die ja nun nicht gerade erste Wahl wenn man die zahllosen Leidensthreads hier im Forum liest...
Bitte warten ..
Mitglied: Waldi76
29.07.2011 um 11:43 Uhr
Soweit denke ich habe ich das auch fast verstanden. Eine Frage habe ich noch.

Alle Rechner haben einen Gateway (die interne Router-IP). Dieser Router soll dann den richtigen Weg zum entfernten Gateway wissen oder soll ich als zusätzlichen Gateway die Adresse des fremden Routers eintragen?
Bitte warten ..
Mitglied: goscho
29.07.2011 um 12:48 Uhr
Zitat von Waldi76:
Soweit denke ich habe ich das auch fast verstanden. Eine Frage habe ich noch.

Alle Rechner haben einen Gateway (die interne Router-IP). Dieser Router soll dann den richtigen Weg zum entfernten Gateway wissen
oder soll ich als zusätzlichen Gateway die Adresse des fremden Routers eintragen?
Nein, du musst kein zusätzliches Gateway eintragen.
Warum sollte das auch etwas bringen? Windows-PCs nutzen sowieso nur das Standardgateway.

Ich denke nicht, dass du die Funktionalität eines VPN verstanden hast.

@aqui,
ja, viele dieser Netgear-Geräte sind ziemlich billig und außerdem können die billigen nur IPSec-VPN.
Trotzdem ist in den allermeisten Fällen nicht das Gerät das Problem, sondern zumeist der Admin, ob der fehlenden Grundkenntnisse.
Bitte warten ..
Mitglied: Waldi76
29.07.2011 um 20:41 Uhr
Verstanden oder nicht?

Zwei Netze mit verschiedenen Adressbereichen, Firewalls deaktiviert, Ping auf den Router geht im eigenen Netz, Ping ins fremde Netz = Zielhost nicht erreichbar.

Er erkennt die Zieladresse nicht, weiß nicht wo er das andere Subnetz suchen soll.
Bitte warten ..
Mitglied: goscho
29.07.2011 um 21:49 Uhr
Zitat von Waldi76:
Verstanden oder nicht?

Zwei Netze mit verschiedenen Adressbereichen, Firewalls deaktiviert, Ping auf den Router geht im eigenen Netz, Ping ins fremde
Netz = Zielhost nicht erreichbar.

Er erkennt die Zieladresse nicht, weiß nicht wo er das andere Subnetz suchen soll.
Das liegt aber nicht an fehlenden Routingeinstellungen, sondern an Fehlern in deiner VPN-Konfiguration.
Bitte warten ..
Mitglied: Waldi76
30.07.2011, aktualisiert 18.10.2012
Hier sind die Einstellungen aus meiner Fritzbox. Ich habe mich genau an die Anleitung von Erasor gehalten.

01.
 
02.
vpncfg { 
03.
        connections { 
04.
                enabled = yes; 
05.
                conn_type = conntype_lan; 
06.
                name = "fremde IP"; 
07.
                always_renew = no; 
08.
                reject_not_encrypted = no; 
09.
                dont_filter_netbios = yes; 
10.
                localip = 0.0.0.0; 
11.
                local_virtualip = 0.0.0.0; 
12.
                remoteip = fremde IP; 
13.
                remote_virtualip = 0.0.0.0; 
14.
                localid { 
15.
                        fqdn = "Home DDNS"; 
16.
17.
                remoteid { 
18.
                        ipaddr = fremdeIP; 
19.
20.
                mode = phase1_mode_aggressive; 
21.
                phase1ss = "all/all/all"; 
22.
                keytype = connkeytype_pre_shared; 
23.
                key = "geheim"; 
24.
                cert_do_server_auth = no; 
25.
                use_nat_t = yes; 
26.
                use_xauth = no; 
27.
                use_cfgmode = no; 
28.
                phase2localid { 
29.
                        ipnet { 
30.
                                ipaddr = eigene interne IP; 
31.
                                mask = 255.255.255.0; 
32.
33.
34.
                phase2remoteid { 
35.
                        ipnet { 
36.
                                ipaddr = fremde interne IP; 
37.
                                mask = 255.255.255.0; 
38.
39.
40.
                phase2ss = "esp-all-all/ah-none/comp-all/pfs"; 
41.
                accesslist = "permit ip any fremde interne IP 255.255.255.0"; 
42.
43.
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",  
44.
                            "udp 0.0.0.0:4500 0.0.0.0:4500"; 
45.
46.
 
47.
 
48.
// EOF
Kann jemand enen Fehler finden?
Bitte warten ..
Mitglied: aqui
31.07.2011 um 12:16 Uhr
Ja,...auf den ersten Blick:
phase2remoteid {
ipnet {
ipaddr = fremde interne IP;
-->> Das versteht kein Router ! Dort muss eine "wirkliche" Netzwerk IP Adresse (Host Bits auf 0) hin !
mask = 255.255.255.0;

Desgleichen:
accesslist = "permit ip any fremde interne IP 255.255.255.0";
und
fqdn = "Home DDNS"; --> Da muss der DynDNS Domain Name hin !
name = "fremde IP";
remoteip = fremde IP;
remoteid ipaddr = fremdeIP;


Die Konfig ist voll dieser Fehler. Sieh dir doch bitte Hier:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/images/Reda ...
einmal an wie das korrekt auszusehen hat zu einem FVS318 und halte dich daran !! AVM direkt wird es ja wohl nicht falsch machen, oder ?!

Für die Text Platzhalterr musst du doch logischerweise richtige IP Netze ala 172.16.1.0 oder 10.1.1.0 usw. eintragen genau wie DU sie in deinem Netzwerk auf beiden Seiten verwendest. Folglich also die 192.168.177.0 und die 192.168.99.0 !! Der Text ist doch nur Platzhalter !! Dzzzz....
Steht auch so in der AVM Anleitung....natürlich nur wenn man sie denn mal durchliest !
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
So schwer kann es doch nicht sein das einfach mal abzutippen....
Bitte warten ..
Mitglied: Waldi76
01.08.2011 um 08:18 Uhr
So schwer kann es doch nicht sein das einfach mal abzutippen....



Ist es auch nicht , aber ich werde doch nicht meine interne Netzwerkeinstellungen mit fester IP, DDNS Name und vielleicht noch mit PSK ins Internet stellen. Die internen hätte ich eventuell lassen können, aber da kommt bei mir die "übertriebene Vorsicht" durch.

Also:
Fremde IP = Fremde Feste IP Adresse
HOME DDNS = home DynDNS Adresse
Fremde interne IP und eigen interne IP = ist eine beliebige Adresse nach den Regeln der RFC 1918 natürlich mit 0 am Ende zB. 192.168.15.0

Und nochmals die Verbindung wird korrekt aufgebaut, ich sehe bei der Fritzbox einen grünen Punkt und beim Netgear FVS318v3 steht auch die Verbindung steht.

Der Fehler liegt bei der Fritzbox. Wenn ich mit tracert auf einem an der FritzBox angeschlossenen Rechner eine fremde interne IP Adresse eingebe (auch die Netgear IP), kann er diese Adresse nicht auflösen.

Damit wir uns nicht falsch verstehen, ich habe den höchsten Respekt vor Usern, die sich in Ihrer Freizeit hinsetzen und mit Ihrem Fachwissen andern helfen und danke für die Hilfe.

Waldi76
Bitte warten ..
Mitglied: goscho
01.08.2011 um 10:06 Uhr
Zitat von Waldi76:
Und nochmals die Verbindung wird korrekt aufgebaut, ich sehe bei der Fritzbox einen grünen Punkt und beim Netgear FVS318v3
steht auch die Verbindung steht.
Das klingt doch schon mal gut, aber wenn ich dann das hier lese:
Der Fehler liegt bei der Fritzbox. Wenn ich mit tracert auf einem an der FritzBox angeschlossenen Rechner eine fremde interne IP
Adresse eingebe (auch die Netgear IP), kann er diese Adresse nicht auflösen.
So glaube ich, dass es trotzdem noch einen Konfigurationsfehler gibt.
Ich habe mehrere VPNs zwischen FBs und Netgear-Routern (zwar kein FVS318, aber egal) am Laufen und denke daher nicht, dass es ein generelles Problem ist.

Teste mal folgende Änderungen an deiner Konfiguration:
25. use_nat_t = yes;
Wenn dein Netgear nicht hinter einem Router hängt, dann kannst du NAT-T ausschalten.

40. phase2ss = "esp-all-all/ah-none/comp-all/pfs";

Stell dies bitte mal folgendermaßen ein:

  • phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs";

Natürlich musst du auch die korrekten Einstellungen am Netgear Router vornehmen.
Bitte warten ..
Mitglied: Waldi76
01.08.2011 um 23:04 Uhr
Mit den anderen Einstellungen bekomme ich leider keine Verbindung. Bekomme es an der Netgear Box nicht hin.

Ich habe beim FVS318 von Netgear den PING erlaubt. Über die externe Adresse kommt er an. Intern über die 192.168.xxx.x kommt er nicht an. Fehlermeldung Zielhost nicht erreichbar. Vom Netzwerk hinter dem Netgear auf das Netzwerk mit der Fritzbox kommt alles an (auch wenn das nicht gewollt ist ). Das ist aber nicht das Problem.

Ich möchte von dem Rechner hinter der Fritzbox auf das Netgear Netzwerk zugreifen.

Hat noch jemand eine Idee, wie ich die Fritzbox "überreden" kann, die entsprechenden Anfragen an das andere Netzwerk über VPN weiterzuleiten?
Bitte warten ..
Mitglied: goscho
02.08.2011 um 08:59 Uhr
Zitat von Waldi76:
Mit den anderen Einstellungen bekomme ich leider keine Verbindung. Bekomme es an der Netgear Box nicht hin.
Das kann ich nicht nachvollziehen.
Ich habe mehrere VPNs zwischen FB und Netgear Routern stehen, immer habe ich die Verschlüsselung auf 3DES gestellt.
Ich habe selbst die Erfahrung gemacht, dass diese die bessere Variante gegenüber AES bei dieser Kombination von Routern ist.
Die Einstellung no-pfs bedeutet, dass du im Netgear-Router in der VPN-Policy den Haken bei PFS rausnimmst.
Ich habe beim FVS318 von Netgear den PING erlaubt. Über die externe Adresse kommt er an.
Das ist unabhängig vom funktionierenden VPN.
Intern über die 192.168.xxx.x kommt er nicht an. Fehlermeldung Zielhost nicht erreichbar. Vom Netzwerk hinter dem Netgear auf das Netzwerk mit der Fritzbox
kommt alles an (auch wenn das nicht gewollt ist ). Das ist aber nicht das Problem.
Vermutlich hast du in der Netgear-VPN-Konfiguration einen Fehler.
Ich möchte von dem Rechner hinter der Fritzbox auf das Netgear Netzwerk zugreifen.

Hat noch jemand eine Idee, wie ich die Fritzbox "überreden" kann, die entsprechenden Anfragen an das andere
Netzwerk über VPN weiterzuleiten?
Das sollte nicht an der Fritzbox liegen, denn nach deinen Aussagen steht das VPN ja (Fritzbox hat grünen Punkt bei VPN, Netgear VPN-Log sagt alles o.k.).

Gehe bitte deine Einstellungen nochmal genau durch. Bestimmt ist dort nur ein kleiner Fehler enthalten.
Bitte warten ..
Mitglied: Waldi76
06.08.2011 um 16:54 Uhr
Danke für Eure Hilfe!

Ich habe herausbekommen, daß der Netgear Pakete "verschluckt" und Probleme macht.

Habe Ihn gegen einen Lancom 1721+ getauscht und nun klappt alles, auch das VPN zur FritzBox klappt perfekt.

Danke!
Bitte warten ..
Mitglied: aqui
07.08.2011 um 11:15 Uhr
Das mal wieder zum Thema "NetGear + VPN" !!!
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
VPN Fritzbox mit Draytek LAN-to-LAN (1)

Frage von macjolo zum Thema Router & Routing ...

Router & Routing
gelöst VLAN Routing mit Netgear GS724Tv4 (7)

Frage von stpb10 zum Thema Router & Routing ...

Windows Server
gelöst Windows Server 2012 mit Fritzbox per VPN verbinden (13)

Frage von StefanT81 zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (19)

Frage von patz223 zum Thema Windows Userverwaltung ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (15)

Link von Penny.Cilin zum Thema Viren und Trojaner ...