[Frage] Auf VPN-Verbindungen hinter einer entfernten Fritzbox zugreifen

LarsIP

Neuer User
Mitglied seit
15 Jun 2005
Beiträge
174
Punkte für Reaktionen
0
Punkte
16
Hallo,

die Fritzbox X (im Netz 192.168.0.0/24) ist per AVM VPN-Verbindung (zwischen zwei Fritzbox-Netzwerken) mit folgenden 8 Fritzbox-Netzwerken verbunden, sternförmig wenn ihr so wollt:

  • Fritzbox 1 (im Netz 192.168.1.0/24)
  • Fritzbox 2 (im Netz 192.168.2.0/24)
  • Fritzbox 3 (im Netz 192.168.3.0/24)
  • Fritzbox 4 (im Netz 192.168.4.0/24)
  • Fritzbox 5 (im Netz 192.168.5.0/24)
  • Fritzbox 6 (im Netz 192.168.6.0/24)
  • Fritzbox 7 (im Netz 192.168.7.0/24)
  • Fritzbox 8 (im Netz 192.168.8.0/24)

Fritzbox X kann also auf die Fritzbox-Netze 1 bis 8 zugreifen, Fritzbox 2 aber bspw. nur auf Fritzbox X (nicht z.B. auf das Netz 192.168.1.0/24), soweit klar.

Natürlich hätte man das schon vorher berücksichtigen können... Wenn man nun nachträglich bei einer Box einen Bedarf feststellt, allerdings nicht in alle Boxen ein neues Config-File einspielen will: Gibt eine Möglichkeit der Fritzbox 2 irgendwie beizubringen, dass die anderen Netze alle über 192.168.0.0/24 erreichbar sind? Die Bandbreite ist überhaupt kein Problem (VDSL50 mit 50/10 Mbit/s).

Das Config-File von Fritzbox 2 sieht so aus:

Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "fritzbox-x.dyndns.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "fritzbox-x.dyndns.org";
                localid {
                        fqdn = "fritzbox-2.dyndns.org";
                }
                remoteid {
                        fqdn = "fritzbox-x.dyndns.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "hierstehtderkey";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
}

Was muss man, evtl. unter accesslist, in der Fritzbox 2 eintragen, damit man die anderen Netze (über den Umweg Netz 192.168.0.0/24) erreicht? Es soll aber nicht der gesamte Traffic darüber laufen - dafür sind 10 Mbit/s Upstream dort doch ein bisschen wenig.
 
Zuletzt bearbeitet:
Ich habe eine Idee - evtl. könnte man es auf der Fritzbox 2 so eintragen, mit Kommas getrennt?

Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "fritzbox-x.dyndns.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "fritzbox-x.dyndns.org";
                localid {
                        fqdn = "fritzbox-2.dyndns.org";
                }
                remoteid {
                        fqdn = "fritzbox-x.dyndns.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "hierstehtderkey";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
[COLOR="#FF0000"][B]                accesslist = "permit ip any 192.168.0.0 255.255.255.0",
                accesslist = "permit ip any 192.168.1.0 255.255.255.0",
                accesslist = "permit ip any 192.168.3.0 255.255.255.0",
                accesslist = "permit ip any 192.168.4.0 255.255.255.0",
                accesslist = "permit ip any 192.168.5.0 255.255.255.0",
                accesslist = "permit ip any 192.168.6.0 255.255.255.0",
                accesslist = "permit ip any 192.168.7.0 255.255.255.0",
                accesslist = "permit ip any 192.168.8.0 255.255.255.0";[/B][/COLOR]
        }
}

Und vermutlich muss ich auf den Fritzboxen 1 bis 8 dann aber zusätzlich eine Rückroute eintragen, da ansonsten z.B. 192.168.5.0 nicht weißt, dass 192.168.2.0 über 192.168.0.0 erreichbar ist.
 
Zuletzt bearbeitet:
Okay danke, ich werde es ausprobieren!

Ich hatte Google bemüht und der erste Treffer war das AVM Wiki (WeHaveMoreFun) und die haben es dort mit Komma (letzter Code-Abschnitt, ganz unten).
 
Bei wehavemorefun ist die Syntax mit Komma korrekt. Bei dir ist sie falsch.
 
Nach wochenlanger Suche nach dem Fehler warum eine FB 7170 überhaupt keine Anstalten macht den Tunnel zu einer FB 7390 aufzubauen bin ich endlich darauf gekommen alle Einträge bis auf eine Accesslist wieder zu löschen:

accesslist = "permit ip any 192.168.0.0 255.255.255.0";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";
accesslist = "permit ip any 192.168.2.0 255.255.255.0";
accesslist = "permit ip any 192.168.3.0 255.255.255.0";


Die 7170 (neueste .87 Software) verträgt an dieser Stelle reproduzierbar definitiv nur einen Eintrag - weiß jemand wieso?

Andere Boxen, z.B. 3370 oder 7390, haben mit mehreren Accesslist-Einträgen überhaupt keine Probleme - dort funktioniert das tadellos.
 
Zuletzt bearbeitet:
Was ist, wenn du nur ein accesslist Kommando mit mehreren Einträgen verwendest, so wie in dem von dir verlinkten Beispiel in wehavemorefun?
 
Dann weigert sich die 7170 das VPN-Config-File zu importieren:

"Der Import der VPN-Einstellungen ist fehlgeschlagen."
 
Dann ist womöglich die Syntax falsch. Poste mal deine accesslist hier.
 
Lässt sich zwar in die 7170 laden, funktioniert dort aber nicht (in der 3370 bzw. 7390 funktioniert es):

accesslist = "permit ip any 192.168.0.0 255.255.255.0";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";


Lässt sich nicht in die 7170 laden ("Der Import der VPN-Einstellungen ist fehlgeschlagen"):

accesslist = "permit ip any 192.168.0.0 255.255.255.0",
accesslist = "permit ip any 192.168.1.0 255.255.255.0";


Ebenso lässt sich das hier nicht laden (im Prinzip das Gleiche):

accesslist = "permit ip any 192.168.0.0 255.255.255.0", accesslist = "permit ip any 192.168.1.0 255.255.255.0";


Evtl. sollte ich mal das Folgende probieren?

accesslist = "permit ip any 192.168.0.0 255.255.255.0", "permit ip any 192.168.1.0 255.255.255.0";
 
Genau, nur die letzte Zeile enthält die korrekte Syntax so wie in dem Beispiel in wehavemorefun.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.