VPN Fritzbox *7170* <> Internet <> 7050 <> *7170*

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
F

FlashIT

Neuer User
Mitglied seit
12 Jul 2005
Beiträge
90
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich habe mich nun zwar soweit eingelesen, dass ich gedenke alles korrekt gemacht zu haben, allerdings gelang auch ich als Informatiker irgendwann mal an meine Grenzen und muss nun doch zur Frage greifen *aufgeb*

Mein Szenario ergibt sich schon in etwa aus dem Titel...


Netz1
------
Verwaltet durch eine 7170 direkt am Internet und per DynAdresse von außen erreichbar...
IPs: 192.168.1.0/24
Direkt auf dieser Box ist das VPN aktiviert - über die vom Fernzugang-Konfigurations-Tool bekommene Config-Datei...
In der Übersicht sieht man in dem Fall nehm ich an korrekterweise die DynAdresse der Gegenstelle. Allerdings steht in der Übersicht neben dem Namen nur noch bei "Adresse im Internet" dies "255.255.255.255" drin. "lokale Netz" und "entfernte Netz" sind jeweils leer.

Viel mehr sollte hier ja nicht zu tun sein.

Netz2
------
Als Router am Netz ists hier eine 7050 ebenfalls mit eigener DynAdresse eingerichtet und damit auch von außen erreichbar.
IPs: 192.168.0.0/24
Da diese 7050 ja von Haus aus kein VPN beherrscht (und mein Drucker eh woanders steht) hängt in diesem Netz eine 7170(192.168.0.101) dahinter.
Portforwarding von der 7050 an die 7170 sollte auch korrekt sein:
Code: 
VPN#ESP  	ESP  	 	192.168.0.101   	
VPN#IPSec 	UDP 	500 	192.168.0.101 	500

Auch hier zeigt die VPN-Übersicht wunderbar die DynAdresse der Gegenstelle nach dem Import. Allerdings steht hier nichtmal bei "Adresse im Internet" irgendwas drin. Nehm dennoch an dies ist ok so - da auch hier ja noch kein VPN aktiv ist.

-------------------

Alles in Allem ja garnicht so undurchsichtig, aber ich seh den Fehler einfach nicht.
Beide Boxen weigern sich dennoch.

Die Box im Netz2 sagt keinen Ton in den Ereignissen.
Die Box im Netz1(direkt am Netz) meint allerdings einen IKE-Error 0x2027 dauernd zu melden. Nach etwas Suchen las ich da ein "Dead Peer Detection" heraus. Aber das Portforwarding und die Erreichbarkeit dieser DynAdresse ist ja gegeben :-/

Was ich bisher erfolgreich hinbekommen habe ist ein Fernzugang als Client(mit MacOS) aus dem Internet zum Netz1. Klappt wunderbar.
Ins Netz2 müsst ich noch einrichten, konnte ich also noch nicht testen(auch wenn das sicher interessant wäre). Würde ich also nachholen, falls wirklich keiner nen Fehler sieht oder eine Idee hat...


(WIESO kann AVM bitte den VPN-Server nicht auch auf der 7050 anbieten. Ich hab die noch nichtmal 2 Jahre - erst November laufen die 2 Jahre 1&1-Bindung wieder aus - und schon wird da nixmehr für geschrieben, obwohl der Grundaufbau gleich wäre *grml*)
 
Zuletzt bearbeitet:
Hallo,

FlashIT schrieb:
Allerdings steht in der Übersicht neben dem Namen nur noch bei "Adresse im Internet" dies "255.255.255.255" drin.
Zum Vergrößern anklicken....
Das ist definitiv falsch. Da muss die Adresse des Gegenübers stehen.
255.255.255.255 ist eine Subnetzmaske, die noch dazu falsch ist. Die Maske muss 255.255.255.0 sein. Es sieht so aus, als ob du als entferntes Subnetz die IP der Box angegeben hast und nicht ihr internes Subnetz.

FlashIT schrieb:
"lokale Netz" und "entfernte Netz" sind jeweils leer.
Zum Vergrößern anklicken....
Da steht auch erst was, wenn die Verbindung aktiv ist.

FlashIT schrieb:
IPs: 192.168.0.0/24
Zum Vergrößern anklicken....
Das Netz der 7050 ist vollkommen irrelevant für den Aufbau. Das der 7170 ist interessant.

FlashIT schrieb:
... hängt in diesem Netz eine 7170(192.168.0.101) dahinter.
Zum Vergrößern anklicken....
Ihre IP ist allenfalls für die Portweiterleitungen in der 7050 interessant. Für die VPN Konfiguration spielt sie keine Rolle und darf auch nirgendwo auftauchen.

Wichtig ist, dass die 7170 als NAT-Router über IP eingerichtet ist und alle Clients, die du per VPN erreichen willst, hinter ihr angeschlossen sind. Des weiteren muss sich ihr internes Subnetz vom Subnetz der anderen VPN Seite und vom internen Subnetz der 7050 unterscheiden. Das interne Subnetz der 7170 ist dann auch dasjenige, dass für die VPN Konfiguration im Einrichtungstool benutzt werden muss.

Eine Beispielkonfiguration könnte so aussehen:
Code: 
192.168.1.0/24 - 7170 - Internet - 7050 - 192.168.0.0/24 - 7170 - 192.168.2.0/24
 
Verstehe. In dem Fall müsste ich auch sinnvollerweise das DHCP der 7050 entfernen und die 7170 als eigentlichen "Router" für die Clients im Netz nutzen (sprich den DHCP dort aktivieren, so dass die PCs im Netz über diese Box laufen, damit ich diese Clients auch von der anderen VPN-Seite aus erreichen kann)

Hmm, da wirds dann doch schon etwas wirr glaub ich. Denn eigentlich sind auch ein paar PCs direkt an der 7050, was sich nicht ändern ließe. Einrichtungstechnisch dennoch möglich, aber ein etwas sinnloses Traffic-Routing, da die Daten eines PCs an der 7050 dann über eben diese Box ersteinmal zu der 7170 gelangen und von dort aus wieder über die 7050 sowohl im VPN-Tunnel, als auch ins Internet gelangen... Uiuiui...


Ich dachte eigentlich es ginge einfacher, aber du hast schon recht mit der 7170 als NAT-Router hinter der 7050. Alles andere wäre sinnloses Routen-Basteln.
Übrigens... Nur zur Sicherheit. Das NAT erreiche ich durch das im Portforwarding der 7050 zu findende "Exposed Host", oder? Oder gibts noch eine andere Möglichkeit?

-------

Nichtsdestotrotz stimmt schon in der gegenwärtigen Einrichtung etwas nicht, wenn du bestätigst, dass diese Subnetzmaske an der falschen Stelle steht. Denn unabhängig von der Erreichbarkeit der PCs hinter der 7170 als VPN-Punkt müsste mit den 2 gegenwärtigen Portforwardings eben zumindest der Tunnel imho problemlos aufgebaut werden ...

Allerdings habe ich die Konfiguration mit diesem etwas zusammengeschustert wirkenden VPN-Tool von AVM selbst erstellt und da kann man bis auf die DynIP der Gegenstelle und die 2 Netzmasken nicht sooo viel falsch machen ;-)
Da scheint das Tool also eventuell die Configs etwas zu dumm zu erstellen...

Daher pack ich diese morgen mal hier ins Posting zum Vergleich. Komme derzeit nicht an die Dateien ran.

Danke ersteinmal. Jede weitere Idee und Hilfe ist mehr als willkommen!
 
Hallo,

FlashIT schrieb:
In dem Fall müsste ich auch sinnvollerweise das DHCP der 7050 entfernen und die 7170 als eigentlichen "Router" für die Clients im Netz nutzen (sprich den DHCP dort aktivieren, so dass die PCs im Netz über diese Box laufen, damit ich diese Clients auch von der anderen VPN-Seite aus erreichen kann)
Zum Vergrößern anklicken....
Ja, das geht auch. Damit degradierst du die 7050 praktisch zum Modem.

FlashIT schrieb:
Hmm, da wirds dann doch schon etwas wirr glaub ich. Denn eigentlich sind auch ein paar PCs direkt an der 7050, was sich nicht ändern ließe. Einrichtungstechnisch dennoch möglich, aber ein etwas sinnloses Traffic-Routing, da die Daten eines PCs an der 7050 dann über eben diese Box ersteinmal zu der 7170 gelangen und von dort aus wieder über die 7050 sowohl im VPN-Tunnel, als auch ins Internet gelangen... Uiuiui...
Zum Vergrößern anklicken....
Bedenke dabei, dass die 7170 bislang ja nur mit ihrem WAN Port im Netz der 7050 hängt. Für die Konstellation müsste sie zusätzlich ihren LAN Port da reinbringen, denn über ihren WAN Port nimmt sie keine Pakete ihrer Clients an. Dann wirds tatsächlich richtig wirr: Das LAN der 7050 und das WAN der 7170 nutzen ein anderes Subnetz, als die Clients im LAN der 7170, und das alles in einem physikalisch identischen Ethernet. Cool. :cool:

FlashIT schrieb:
Ich dachte eigentlich es ginge einfacher, aber du hast schon recht mit der 7170 als NAT-Router hinter der 7050. Alles andere wäre sinnloses Routen-Basteln.
Zum Vergrößern anklicken....
Alles andere geht nicht. Wenn die 7170 nicht als Router arbeitet, funktioniert ihr VPN nicht, dagegen kannst du keine Routen basteln.

FlashIT schrieb:
Das NAT erreiche ich durch das im Portforwarding der 7050 zu findende "Exposed Host", oder? Oder gibts noch eine andere Möglichkeit?
Zum Vergrößern anklicken....
Äh, die Frage verstehe ich nicht. "Exposed Host" leitet nur generisch alle Ports an einen bestimmten Host weiter.

FlashIT schrieb:
Nichtsdestotrotz stimmt schon in der gegenwärtigen Einrichtung etwas nicht, wenn du bestätigst, dass diese Subnetzmaske an der falschen Stelle steht.
Zum Vergrößern anklicken....
Ich vermute, du hast bei der VPN Einrichtung die 192.168.0.101 als IP der einen Seite des VPNs angegeben. Dadurch hast du dir die falsche Subnetzmaske von 255.255.255.255 eingefangen.

FlashIT schrieb:
Denn unabhängig von der Erreichbarkeit der PCs hinter der 7170 als VPN-Punkt müsste mit den 2 gegenwärtigen Portforwardings eben zumindest der Tunnel imho problemlos aufgebaut werden ...
Zum Vergrößern anklicken....
Nein, denn die 7170, die hinter der 7050 hängt, kann momentan nichts mit den IP-Settings aus der VPN Konfig anfangen: Du hast ihr hier ihre WAN IP mit auf den Weg gegeben, sie benötigt aber ihr LAN Subnetz (u.a. Authentifizierungsinformationen für Phase 2).

FlashIT schrieb:
Allerdings habe ich die Konfiguration mit diesem etwas zusammengeschustert wirkenden VPN-Tool von AVM selbst erstellt und da kann man bis auf die DynIP der Gegenstelle und die 2 Netzmasken nicht sooo viel falsch machen ;-)
Da scheint das Tool also eventuell die Configs etwas zu dumm zu erstellen...
Zum Vergrößern anklicken....
Man muss sehr genau aufpassen, wo man IP-Adressen und wo man Subnetze einträgt. Bei dir kommt erschwerend hinzu, dass du auf einer Seite des VPNs zwei Subnetze hast, von denen nur eines in der Konfiguration auftauchen darf, nämlich das Interne der 7170.
 
frank_m24 schrieb:
Ich vermute, du hast bei der VPN Einrichtung die 192.168.0.101 als IP der einen Seite des VPNs angegeben. Dadurch hast du dir die falsche Subnetzmaske von 255.255.255.255 eingefangen.
Zum Vergrößern anklicken....

Nope. Hab schon korrekterweise die 192.168.0.0 als internes Netz und die 255.255.255.0 bzw. /24 als Subnetzmaske angegeben.
(Das Tool geht zwar durch die .0.0 ersteinmal von einer Subnetzmaske 255.255.0.0 aus, was ich aber dann natürlich noch explizit zu /24 geändert hab.)

Und du bist ansonsten sicher, dass das mit den 2 Portforwardings nicht klappen sollte? Ich mein mich halt soweit eigentlich eingelesen zu haben, dass ich das "IP-Protokoll 50 (ESP)" und eben den UDP Port 500 für das hier genutzte IPSec-VPN an die 7170 einfach durchreichen kann/muss und somit die 7170 dahinter so wie jeder Draytek & co. korrekt funkionieren sollte.
(eben mal abgesehen davon, dass ich dann wie besprochen die Clients hinter die 7170 bringen muss)

LG
Björn
 
Hallo,

FlashIT schrieb:
Nope. Hab schon korrekterweise die 192.168.0.0 als internes Netz und die 255.255.255.0 bzw. /24 als Subnetzmaske angegeben.
Zum Vergrößern anklicken....
Das kann aber auch nicht funktionieren - der VPN Server ist ja gar nicht der Router für das Subnetz 192.168.0.0/24.

FlashIT schrieb:
Und du bist ansonsten sicher, dass das mit den 2 Portforwardings nicht klappen sollte?
Zum Vergrößern anklicken....
Doch, das wird gehen.

FlashIT schrieb:
Ich mein mich halt soweit eigentlich eingelesen zu haben, dass ich das "IP-Protokoll 50 (ESP)" und eben den UDP Port 500 für das hier genutzte IPSec-VPN an die 7170 einfach durchreichen kann/muss und somit die 7170 dahinter so wie jeder Draytek & co. korrekt funkionieren sollte.
(eben mal abgesehen davon, dass ich dann wie besprochen die Clients hinter die 7170 bringen muss)
Zum Vergrößern anklicken....
Ja, genau so sehe ich das auch.
 
Hmm.. dann bestätigst du mich nun also doch soweit in der Annahme, dass meine gegenwärtige Art das aufzubauen zumindest den Tunnel herstellen müsste durch die Weiterleitung der 7050. Oki...
(dass dabei die 7170 für die PCs dahinter nicht der Router ist, war beim Testen ja ersteinmal egal, da ich zumindest meinem Lappi hier einfach manuell vorgeschrieben hatte, diese 7170 als Router/Gateway anzusehen... zumindest hätte also der Tunnel ins andere Netz aufgebaut werden & funktionieren müssen)

Also schau ich (bevor ich hier anfange die 7170 als eigentlichen Router im Netz umzufunktionieren) nun mal, woran diese Verwirrung in der VPN-Tabelle der Fritzbox kam. Hole also morgen wie schon beschrieben mal die 2 Configs hier in den Thread... Schaun'wa mal...

Nun aber eine gute Nacht ;-)
 
Entschuldigt bitte das ich mich in Eure Unterhaltung drängle...

FlashIT schrieb:
..."Adresse im Internet" dies "255.255.255.255" drin. "lokale Netz" und "entfernte Netz" sind jeweils leer.
Zum Vergrößern anklicken....

Das tun beide Seiten nur nach dem ersten laden der Config-Dateien. Wenn der Tunnel erstmal bestanden hat wird die letzte bekannte IP der Gegenseite unter "Adresse im Internet" stehen.


Dies war bei mir auch so. Ich hab nur noch das Problem mit meinem Bitdefender. Ich bekomme das Netz der Gegenseite einfach nicht freigegeben.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 319 (Mitglieder: 20, Gäste: 299)

Neueste Beiträge

Statistik des Forums

Themen
244,961
Beiträge
2,221,656
Mitglieder
371,727
Neuestes Mitglied
Nobbibini
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück