mikahaapamaeki
Jan 08, 2013
view2680
view11
0
Goto Top

VPN Keine Verbindung

GermanQuestionNetwork ManagementNetworks
Hallo Leute!

vor einiger Zeit hatte ich bereits hier eine Frage gestellt welche mir sehr professionell beantwortet wurde.
Nun habe ich aber genau mit diesem Thema ein riesen Problem!!!

Daher hoffe ich sehr auf eure Hilfe.

Ich kann einfach keine VPN Verbindung hinbekommen...

Site to Site VPN über Fritzbox 7390

Standort1

2 Leitungen

10.42.110.220 DHCP ein
Leitung 1 - Geschäft - Router - Switch - 2 PC's+Server


VPN ip10.42.111.230 / 255.255.255.0 Switch/Telefon - IP Telefone
Leitung 2 - Privat/Geschäft - Router - DHCP aus Switch/PC's - 2 PC's+Server
Switch von Leitung 1 ...

Leitung 2 muss DHCP aus sein weil sonst ziehen sich die pc's von Leitung1 die ip von Leitung 2...

Standort2

1 Leitung

10.42.111.230
Leitung 1 - Privat/Geschäft - Router - DHCP ein 2 PC's

Es muss folgendes funktionieren: ein Pc aus Standort 2 muss auf den Server von Standort1 Leitung 1 zugreifen, deshalb ist die fritzbox auch an den Switch von Leitung 1 angeschlossen...

Die Konfiguration habe ich mit dem Fernwartungsassi von avm gemacht, bei der Konfi. will der mir nur als Subnetzmaske immer 255.255.255.255 vorgeben, habe dies mal so übernommen, die Fritzboxen connecten auch miteinander weil ich auto renew yes reingeschrieben habe... aber weder ein Ping noch der direkte Zugriff auf den Server von Leitung 1 gehen...

Ich hoffe so, dass ihr mir weiterhelfen könnt...

Vielen Dank!

Gruß,
Mika
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 196610

Url: https://administrator.de/contentid/196610

Printed on: April 25, 2024 at 15:04 o'clock

11 Comments
Latest comment
Goto Top
Member: goscho
goscho Jan 08, 2013 at 13:11:24 (UTC)
Goto Top
Mahlzeit Mika,

zwischen den beiden Standorten ist aber das Internet und du hast 3 verschiedene Internetzugänge, ja?

Du möchtest jetzt den WAN-Anschluss der FB 1 mit dem WAN des zweiten Standortes mittels VPN verbinden.

Dafür solltest du zuerst mal einen anderen Subnetzbereich auswählen, als er in Standort 1 vorhanden ist.

Kopiere doch mal die Konfig des Fernwartungsassis und stelle sie hier ein (bitte anonymisiert und mit Code-Tags).
Dann ist das Analysieren des Problems einfacher.
Mitglied: 108012
108012 Jan 08, 2013 at 13:50:26 (UTC)
Goto Top
Hallo Mika,

in der Regel sind bei den Firtz!Boxen die IP Adressen und/oder deren IP Range schon vorgegeben.
Um nun aber eine Site-to-Site VPN Verbindung aufzubauen, muss auf jeder Seite ein anderes Subnetz
vorhanden sein, sonst funktioniert es nicht.

Leitung 2 muss DHCP aus sein weil sonst ziehen sich die pc's von Leitung1 die ip von Leitung 2...
Versuche einmal lieber;

Standort A:
LAN 192.168.178.0/24 (255.255.255.0)

Standort B:
LAN 192.168.0.0/24 (255.255.255.0)

Stück für Stück Anleitung auf deutsch von AVM Fritz!Box to Fritz!Box VPN


Gruß
Dobby
Member: mikahaapamaeki
mikahaapamaeki Jan 08, 2013 at 16:21:17 (UTC)
Goto Top
Servus Goscho,

ich habe an einem Standort auch nur einen Internetanschluss und an dem Anderen 2 Internetanschlüsse.

Es geht halt darum, wir vertreiben Produkte einer Firma, diese stellt it etc zur Verfügung. Diese ist jedoch nur für einen Standort ausgelegt da die Datenbanken (access, jaaa ich weiß) auf einem lokalten Server liegen. Da der eine Standort nun auf die Access Datenbanken zugreifen soll gibt es die Lösung mit VPN...

/*
 * 
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "vhaus-musberg.no-ip.org";  
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "####";  
                localid {
                        fqdn = "####";  
                }
                remoteid {
                        fqdn = "####";  
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "####";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 10.42.111.230;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.42.110.230;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 10.42.110.230 255.255.255.0";  
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}


// EOF
und
/*
 * 
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "####";  
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "####";  
                localid {
                        fqdn = "####";  
                }
                remoteid {
                        fqdn = "####";  
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "####";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 10.42.110.230;
                                mask = 255.255.255.255;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.42.111.230;
                                mask = 255.255.255.255;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 10.42.111.230 255.255.255.255";  
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}


// EOF
Member: aqui
aqui Jan 08, 2013 updated at 18:09:46 (UTC)
Goto Top
Warum hälst du dich nicht strikt an die Vorgaben von AVM ?! Damit kommt es sofort zum Fliegen:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
und auch:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
mit dem Beispiel einer gut kommentierten cfg Datei:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/images/Reda ...
Wenn man diese Schritte richtig und sauber umsetzt funktioniert es auf Anhieb !
Wichtig ist natürlich das du das Routing entsprechend anpasst auf der Seite wo 2 Internetzugänge sind, klar !
Das hat aber erstmal rein gar nichts mit der VPN Tunnelverbindung zu tun die, wenn man es richtig macht, immer sauber zustande kommt.
Member: mikahaapamaeki
mikahaapamaeki Jan 08, 2013 at 19:23:22 (UTC)
Goto Top
Danke für deine Anleitungen, welche ich genauestens befolgt habe s. unten. Es geht aber immer noch nicht...

/*
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "vhaus-musberg.no-ip.org";  
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "####";  
                localid {
                        fqdn = "####";  
                }
                remoteid {
                        fqdn = "####";  
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "####";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 10.42.111.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.42.110.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 10.42.110.0 255.255.255.0";  
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}


// EOF
IP der Router 10.41.110.1 und 10.21.111.1
/*
 * C:\Users\mika\AppData\Roaming\AVM\FRITZ!Fernzugang\vhaus-musberg_no-ip_org\fritzbox_vhaus-musberg_no-ip_org.cfg
 * Tue Jan 08 19:21:23 2013
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "vhaus.no-ip.org";  
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "####";  
                localid {
                        fqdn = "####";  
                }
                remoteid {
                        fqdn = "####";  
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "####";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 10.42.110.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.42.111.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 10.42.111.0 255.255.255.0";  
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}


// EOF
Member: mikahaapamaeki
mikahaapamaeki Jan 08, 2013 at 21:48:06 (UTC)
Goto Top
so! Verbindung steht! Aber!!! ich kann nur die Fritzbox selbst anpingen, die PC's aber nicht.
Morgen werde ich mal probieren ob der Laptop von Standort 2 auf den Server an Standort 1 Leitung 1 zugreifen kann.

Was meint ihr??? Muss ich da noch was machen? außer lmhosts.sam bearbeiten sodass der Server auch über den Servernamen erreichbar ist...
Member: mikahaapamaeki
mikahaapamaeki Jan 09, 2013 at 13:19:40 (UTC)
Goto Top
es wäre doch zu schön gewesen...
Bekomme mit dem Geschäftsnotebook keine Verbindung hin. Liegt es evtl an den IP-Adressen?
Geschäftsleitung/Server 10.42.108.225
VPN Router 1 10.42.110.2
VPN Router 2 10.42.111.3

ich kann von 10.42.111.3 auf 10.42.110.2 zugreifen, aber dann geht davon ja ein Switch zur Geschäftsleitung und von da aus in den Geschäftsserver, dieser bekommt per DHCP eine IP vom Geschäftsrouter zugewiesen 10.42.108.225

Also alle Geräte an der Geschäftsleitung erhalten per DHCP eine IP 10.42.108.xxx und an der Privatleitung wo auch der VPN Tunnel liegt 10.42.110.xxx aber statisch...
Member: aqui
aqui Jan 09, 2013 updated at 16:56:20 (UTC)
Goto Top
Wenn du noch die Güte hättest und uns auch die Subnetzmaske zu den IP Adressen mitteilen könntest, dann könnten wir auch sagen ob es an den IPs liegt face-sad
Da die IP Adressen nicht stimmen hast du vermutlich auch noch ein Routing Problem und genau das ist (geraten) wohl das Kernproblem. Wie gesagt, das kann man aber nur sagen wenn du uns mal die Subnetzmasken zu den 10er Netzen mitteilst.
Sinvoll wäre mal eine Zeichnung WIE die Netze verteilt sind und WO sie geroutet werden. Fakt ist das das einfach mit den FB zu lösen ist....wenn man weis was man tut !
Member: mikahaapamaeki
mikahaapamaeki Jan 09, 2013 updated at 22:24:18 (UTC)
Goto Top
also 10.42.108.220 / 255.255.255.224 , 10.42.110.1 / 255.255.254.0 , 10.42.111.1 255.255.255.0

Standort 1
10.42.111.1 / 255.255.255.0

Stellt eine Verbindung zu

Standort 2
10.42.110.1 / 255.255.254.0

her

soweit sogut

ein PC muss aber weiter, und zwar

bis zum

10.42.108.220 / 255.255.255.224

da steht der benötigte Server

10.42.108.226 / 255.255.255.224

An Standort 2 sieht es folgendermaßen aus:

Internetleitung 1
Router / 10.42.108.220 - 255.255.255.224 -> Switch -> Server 10.42.108.226 - 255.255.255.224

Internetleitung 2
Router / 10.42.110.1 - 255.255.254.0 und von hier aus muss ein PC aus Standort 1 auf den Server von Internetleitung 1 zugreifen...

http://s14.directupload.net/images/130109/4emjx4o7.jpg

Die rotschwarze linie ist die wichtigste Verbindung
Member: mikahaapamaeki
mikahaapamaeki Jan 11, 2013 at 16:07:43 (UTC)
Goto Top
Keiner eine Idee???
Mitglied: 108012
108012 Jan 12, 2013 at 02:51:20 (UTC)
Goto Top
Hallo mikahaapamaeki,

vorab ich bin kein Netzwerkprofi und schon gar nicht auf @aqui seinem Niveau.
Ich habe Dir mal eine Zeichnung angefertigt und so sollte Dein Problem zu lösen sein.

Sicherlich hängt das auch davon ab;
- Das ich mich jetzt nicht gehörig verhauen habe
- Das Du gewillt bist etwas um zu stellen
- Eventuell neue Hardware ran muss! Denn einfach nur "Router" in das Bild schreiben ist nicht toll.
Was sind das denn für Router?
Hersteller / Modellname (Serie) / Modellnummer
Was sind das für Internetprovider und/oder Verbindungen?
Warum sind nicht an jedem Standort nur ein Netzwerk?
Wenn Geld nicht da ist, sollte man aber zumindest pro Standort nur ein Netzwerk haben!

Als Beispiel:
Standort 1 = Public IP > 192.168.0.0 / 255.255.255.0
Standort 2 = Public IP > 192.178.0.0 / 255.255.255.0

Extern was sie wollen, ist ja nicht Dein Kram!

Damit sollte Dein Vorhaben dann auch gleich funktionieren!
Innerhalb von Standort 2 kann man dann einfach die Switche uplinken oder per Geo Stack
miteinander verbinden, fertig.
Wenn nicht sollte zwischen dem Router von Standort 1 und den beiden Routern von Standort 2 jeweils
ein VPN Tunnel laufen, ich glaube das die Fritz!Boxen bis zu drei IPSec Verbindungen unterstützen.

Aber das hängt von Dir ab was und wie Du das erledigen willst (Zeit), kannst (Geld)
oder darfst (Chef und Firmen Vorgaben)!

Gruß
Dobby

P.S.
Beispiele: Zeichnung
Kannst ja drüber gucken und sagen ob da was für Dich dabei ist.
GermanQuestionNetwork ManagementNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments