[Problem] Fritzbox 7390 VPN IPsec Lan>Lan Ping nur in eine Richtung möglich

encounter22

Neuer User
Mitglied seit
6 Aug 2009
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hallo Community,

ich bin nun Besitzer einer Fritze mit der 21er Firmware vom 23.04.2012, die leider automatisch installiert wurde, da der Haken gesetzt war. Sonst hätte ich die 05er gelassen, die Fritz als DSL Modem eingesetzt und meine Draytek Vigor dahinter und mein VPN würde lange laufen.
Leider ist der Weg den AVM für den downgrade beschreibt nicht machbar, die 05 vom FTP AVM bricht jedes Mal ab mit Firmware wäre nicht für dieses Gerät, Download 100% OK. Hatte dann entnervt aufgegeben und die Idee mit Fritz nur als VDSL Modem aufgegeben.

Wie auch immer, ich habe mich nun ein wenig mit dem Teil auseinander gesetzt, vor allem mit dem VPN, weil ohne das ist die Box für mich wertlos.

Das VPN soll zu einem Draytek Vigor 2910 aufgebaut werden mit Firm 3.2.52
Klappt soweit auch, die Verbindung steht, aber irgendwas stimmt nicht wirklich.
Ich kann vom Standort der Fritze alle Gerät im Remotnet anpingen, so solls sein.
Leider geht es aus Richtung Draytek>fritze nicht, nur die Fritze selbst ist mit der privaten IP anpingbar.

So bringt mir das alles gar nichts, da ich weder auf die Telefonanlage komme noch auf nötige Freigaben anderer PCs

Hier mal die cfg (alle privaten Daten entfernt), mit der ich die Verbindung aufbaue:
Code:
/*
 * C:\Dokumente und Einstellungen\home\Anwendungsdaten\AVM\FRITZ!Fernzugang\fritzdyn\fritzbox_fritzdyn.cfg
 * Wed Apr 25 20:35:42 2012
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "dyndray.com";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "dyndray.com";
                localid {
                        fqdn = "dynfritz.com";
                }
                remoteid {
                        fqdn = "dyndray.com";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "keyXXXblablabla";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.11.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                accesslist = "permit ip any 192.168.1.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Hat vielleicht von euch jemand eine Idee, wo ich ansetzen könnte?
Ich vermute halt einen Fehler in meiner cfg, aber was? ein xx.xx.xx/24er Netz mit Draytek>Draytek läuft daneben im gleichen Router perfekt

Die TCP/Networksettings im Draytek sind:
My WAN IP 0.0.0.0.0
Remote Gateway IP 0.0.0.0
Remote Network IP 192.168.11.0
Remote Network Mask 255.255.255.0
Local Network IP 192.168.1.22
Local Network Mask 255.255.255.0

Unter RIP Direction habe TX/RX both und bei
From first subnet to remote network, you have to do Auswahl ist Route und Nat, steht auf Route. Habe aber auch dort schon NAT und RIP off probiert ohne Erfolg
 
Zuletzt bearbeitet:
Eventuell könnte schon ein "use_nat_t = yes;" helfen.
Und für den Fall, dass der Draytek Phase2 anders gesichert haben will: phase2ss = "esp-all-all/ah-all/comp-all/pfs"
So bekomme ich schon mal einen Tunnel vom Vigor zur FB aufgebaut. Leider aber nicht andersrum. Das ist aber eine andere Geschichte... :-(
(Hier nachzulesen)
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.