[Frage] VPN-Kommunikation und Internetzugang über entfernten Router

[manni22]

Hallo zusammen,

folgende Situation: Ich habe zwei Fritz!Box 7490 über die Funktion "Ihr Heimnetzwerk mit einem anderen FRITZ!Box-Netzwerk verbinden (LAN-LAN-Kopplung)" erfolgreich miteinander per VPN verbunden (Netz 1: 10.30.50.0, Netz 2: 10.20.30.0, Subnetzmasken jeweils 255.255.255.0). Über den Browser kann ich in beiden Netzen die Fritz!Box des jeweils anderen Netzes über den Webbrowser erreichen und auch anpingen (Fritz!Box im Netz 1: 10.30.50.1, Fritz!Box im Netz 2: 10.20.30.1). Nicht möglich ist es allerdings, andere Geräte des verbundenen Netzes zu erreichen (z. B. Aufbau einer SSH-Verbindung oder per Ping).

Daher zwei Fragen:
1. Was muss ich in welcher Fritz!Box einstellen, damit alle Geräte beider Netze frei miteinander kommunizieren können?
2. Wie kann ich es unter den gegebenen Bedingungen realisieren, dass ein Gerät des Netzes 1 über die Internetverbindung des Netzes 2 ins Internet geht, also beim Aufruf von z. B. myip.is die externe IP des Netzes 2 angezeigt wird, obwohl das Gerät sich im Netz 1 befindet?

Herzlichen Dank für eure Mühe,
Daniel

 

[grauGolz]

Zeig her deine "Route/n".

 

[manni22]

In keiner der beiden FBs sind IP-Routen eingetragen.

Allerdings bemerke ich gerade, dass ich nur Windows-Computer von Netz 2 aus Netz 1 nicht erreichen kann. Die anderen Geräte im Netz 2 schon. Also glaube ich, dass sich netzwerkseitig Frage 1 schon erledigt hat. Muss mich also noch mit der Windows-Firewall auseinandersetzen.

Habt ihr zu der zweiten Frage eine Idee? Wie kann ich es realisieren, dass ein Gerät aus Netz 1 den Internetzugang des Netzes 2 verwendet und nicht den aus Netz 1?

 

[Node-0x62]

Wie kann ich es realisieren, dass ein Gerät aus Netz 1 den Internetzugang des Netzes 2 verwendet und nicht den aus Netz 1?

Hallo manni22,
Bitte mal die vpn.cfg aus Fritzbox-Sicherungsdatei prüfen;
die accesslist-Einträge sollten wie folgt aussehen, ggf. anpassen und einspielen:


Beispiel: IP des gewünschten Gerätes aus Netz A ist 10.30.50.aa
Fritz!Box im Netz 1:
IP: 10.30.50.1/255.255.255.0


vpn.cfg:

SNIP
                phase2localid {
                        ipnet {
                                ipaddr = 10.30.50.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.20.30.0;
                                mask = 255.255.255.0;
                        }
                }
                accesslist = "permit ip [COLOR=#0000ff]10.30.50.aa[/COLOR] 255.255.255.255 any",
                                 "permit ip any 10.20.30.0 255.255.255.0";

Fritz!Box im Netz 2:
IP: 10.20.30.1/255.255.255.0

vpn.cfg:

SNIP
                phase2localid {
                        ipnet {
                                ipaddr = 10.20.30.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.30.50.0;
                                mask = 255.255.255.0;
                        }
                }
                accesslist = "permit ip any 10.30.50.0 255.255.255.0";

Gruß
Node-0x62

 

[manni22]

Wow! Das geht. Vielen Dank!

Was genau bedeutet denn der Eintrag "permit ip 10.30.50.aa 255.255.255.255 any"?

 

[Node-0x62]

Was genau bedeutet denn der Eintrag "permit ip 10.30.50.aa 255.255.255.255 any"?

Hallo manni,
die AVM-VPN-accesslist Syntax ist der CISCO IPsec ACL nahezu identisch;
das genannte Zeile bedeutet: alle IP-Pakete mit Source-IP 10.30.50.aa und Destination ANY werden selektiert und in den IPsec-Tunnel geschickt.

Gruß
Node-0x62

PS: entsprechend dieser CISCO Syntax wären auch andere Selectoren/Rejectoren denkbar: "reject udp any any eq 1234"
==> verwerfen aller udp-pakete mit Port 1234

 

[grauGolz]

IP ohne Routing. Man lernt nie aus.

 

[Node-0x62]

IP ohne Routing.

@GrauGolz,
was ist denn das für eine "trollige" Aussage ;-)
mit solchem Müll-Statements beraubst Du dich jeglicher Reputation;
bitte schaue Dir zuerst die Netzwerk-Layer und Protokolle an, z.B. https://de.wikipedia.org/wiki/OSI-Modell
oder um es mit Deinen eigenen Worten aus posting 2154358 auszudrücken: "Wer sich mit ... nicht auskennt sollte lieber schweigen."

an die FritzBox VPN Nutzer,
die FritzBoxen nutzen IPsec im Tunnelmodus, siehe auch https://de.wikipedia.org/wiki/IPsec

LG
Node-0x62

 

[grauGolz]

Zur Info:

https://www.fefe.de/routing/routing.pdf

 

[Node-0x62]

@GrauGolz:
Sorry, aber dieses Dokument ist für die aktuelle Thematik/Problemstellung in diesem Thread nicht hilfreich!!!

an die Fritzbox-VPN-Nutzer und andere interesssierte Leser,
habe noch folgendes Posting u.a. zur Beschreibung der AVM IPsec Accesslist-Syntax http://www.ip-phone-forum.de/showthread.php?t=279662&p=2099609&viewfull=1#post2099609 ermittelt.

Gruß
Node-0x62

 

[grauGolz]

Jeder blamiert sich auf seine Weise.

Ich nehme an, ein Nutzer aus der FB-Fraktion wird sich in den nächsten 10 Jahren nicht mehr zum Thema IP-Routing äußern.

 

[Nomax2000]

@Node-0x62, was müsste ich denn in deinem Beispiel eingeben, wenn nicht nur ein spezielles Gerät (im Beispiel 10.30.50.aa) sondern ALLE Geräte aus dem Netz 1 den Tunnel nutzen sollen und damit die IP aus Netz 2 bekommen?

 

[Node-0x62]

Hallo Nomax2000,
die Anforderung "Alle Daten aus Netz 1 ueber den VPN-Tunnel senden" kann durch Ändern der vpn.cfg der FB1 erreicht werden:

FB1:vpn.cfg

SNIP
accesslist = "permit ip any 10.20.30.0 255.255.255.0",
             "reject udp any any eq 53",
             "reject udp any any eq 500",
             "reject udp any any eq 4500",
             "permit ip any any";

Hinweis: ich habe mal den DNS-Traffic (UDP/53) sowie den nativen IPsec-Traffic (UDP/500, UDP/4500) excluded; ggf. weitere Services excluden.


Funktionstest: nach VPN-Verbindungsaufbau sollte der Aufruf von http://www.wieistmeineip.de im Browser die public IP der WAN-Schnittstelle von FB2 angezeigt werden.


Gruß
Node-0x62

 

[manni22]

IP ohne Routing. Man lernt nie aus.

Wie hättest du denn das Problem gelöst, grauGolz?

 

[grauGolz]

Ich habe pfSense und die nötigen Kenntnisse. Damit lebt es sich leichter.

 

[Theo Tintensich]

Damit der Verkehr aus dem Netz 2 immer über das Netz 1 ins Internet geht, muss der F!B des Netzes 2 gesagt werden, dass jeglicher verkehr, der von einem System aus dem Netz 2 kommt, durch den Tunnel geschickt werden muss.
(Natürlich mit Ausnahme des Verkehrs der F!B selber, denn die muss ja über das Internet die F!B des Netzes 1 erreichen können.)

Einfacher wäre ein zweites System, das den Tunnel aufbaut, denn dann müsste man einfach den Default-Gateway nicht auf die F!B, sondern auf die IP des Tunnelendpunkts lenken.
(Das ganze ist Split-Tunnel oder eben nicht)

 

[Shirocco88]

@GrauGolz:
das hat doch nicht mit einer Lösung für die in #1 genannte Problemstellung zu tun;
irgendwie sieht es für mich wie in vielen anderen Postings von Dir nach "unterschwelliger Produkt-Werbung" oder auf Neudeutsch "Internet Marketing" aus;
Da hast Dir direkt einen "Roten Herring" verdient ><((((°>

#14 Fritzbox und Routing:
@manni22 und andere interessierte Leser:
die Fritzbox verwendet im LAN2LAN-VPN-Betrieb kein static-Routing, d.h. es gibt kein Eintrag für Remote-Netzwerk in Routing-Table; ferner ist kein Transit-Netzwerk oder Proxy-ARP im Einsatz, dies ist auch nicht erforderlich, da hier die von LINUX-Installationen bekannten "ip xfrm" Transformationen eingesetzt werden, um die per accesslist selektierte Paket zu encapsulieren und in verschlüsselter Form an das remote VPN-Gateway zu senden.

LG Shirocco88

 

[grauGolz]

Simple VPN Szenarien werden vom Nutzer nicht beherrscht. Woran liegt das?

Ist die eierlegende Wollmilchsau daran beteiligt? Ist nur eine Vermutung.

Anmerkung:

für pfSense muß man nicht werben. Wer trägt schon noch Eulen nach Athen?

 

[PeterPawn]

Wer trägt schon noch Eulen nach Athen?

Das könnte auch - selbst wenn es innergemeinschaftlicher Transport ist - Probleme mit dem Bundesamt für Naturschutz geben.

Viele Eulenarten gelten zumindest als gefährdet und damit sind entsprechende Einschränkungen zu beachten. Das gilt allerdings nicht für die stilisierte Darstellung auf einer Euro-Münze, diese darf m.W. in beliebigen Mengen dorthin exportiert werden und die Griechen können jeden Touristen gebrauchen (solange der sich auch noch benehmen kann, man sollte die Leute eher nicht als "Rübennase" titulieren oder sich über ihre Sprachfehler lustig machen).