[Problem] VPN-Zugang einrichten Fritz!Box zu Fritz!Box - wie geh ich vor?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
R

RollinCHK

Aktives Mitglied
Mitglied seit
16 Okt 2004
Beiträge
2,194
Punkte für Reaktionen
280
Punkte
83
Hallo,

Folgende Situation: Fritz!Box A - nur LAN Port 2 soll sich via VPN mit Fritz!Box B verbinden, um über die Fritz!Box B ins Internet zu gehen und um die IP-Adresse von Fritz!Box B nach außen hin zu verwenden.

Bei AVM habe ich diese Anleitung dazu gefunden:

http://avm.de/nc/service/fritzbox/f...xen-fuer-einzelne-LAN-Anschluesse-einrichten/

Ich verstehe sie aber nicht ganz. Mir ist klar, dass beide Fritz!Boxen nicht den selben IP-Bereich verwenden dürfen. Die Einrichtung von Fritz!Box A ist ja für mich noch logisch, aber die Einrichtung von Fritz!Box B ergibt für mich ab Punkt 8 irgendwie keinen Sinn mehr. Ich trage in beiden Boxen die IP des entfernten Netzwerks ein etc. aber welche Box läuft jetzt über welche? Sorry ich weiß nicht, wie ich das besser erklären soll.

Könnt Ihr mir das vielleicht schlüssig erklären?

Gruß und danke...
 
Beide FB sind Server und Client zu gleich und Routen über Kreuz gegenseitig das jeweilige Subnet der anderen FB durch den Tunnel.
 
Zuletzt bearbeitet von einem Moderator:
RollinCHK schrieb:
Die Einrichtung von Fritz!Box A ist ja für mich noch logisch, aber die Einrichtung von Fritz!Box B ergibt für mich ab Punkt 8 irgendwie keinen Sinn mehr.
Zum Vergrößern anklicken....
Dabei ist die Einrichtung von Fritz!Box A und Fritzbox B in den Punkten 1 bis 10 vollkommen identisch. Und bei den restlichen Punkten 11 bis 13 für Fritzbox B wird prinzipiell auch das gleiche wie in Fritzbox A gemacht, nur etwas anders umschrieben.
 
@RollinCHK:
Der entscheidende Punkt ist es eben, daß für die Beschränkung des VPN auf einzelne Anschlüsse auf beiden Seiten zusätzliche Subnetze verwendet werden. Wenn da bei AVM auf der einen Box von 192.168.10.0/24 und 192.168.11.0/24 die Rede ist, dann ist das kein Schreibfehler ... .10 (bzw. .20 in Box B) ist das LAN und .11 (.21 in B) ist dieses zusätzliche Netz.

Man könnte ja auch auf die Idee kommen, daß an den reservierten Ports von Box A auch das LAN von Box B zur Verfügung gestellt wird (also 192.168.20.0/24, wie man es von einer LAN2LAN-Verbindung kennt), das ist aber nicht der Fall - es ist das lokale konfigurierte Netz (also die .11) und es wird nur sichergestellt, daß die Pakete aus diesem Netz zur Gegenstelle getunnelt werden. Den Denkfehler (bzw. es ist ja eigentlich kein Fehler, es liegt ja nur daran, wie AVM es umgesetzt hat) habe ich auch einmal gemacht ... und aus der Diskussion mit dem Support resultierte dann (vermutlich) die etwas andere Beschreibung bei Beschränkung auf einzelne Ports.

Ansonsten bräuchte es mal eine Beschreibung/Auflistung, was Du da bisher konfiguriert hast (das ist einfacher zu lesen und zu suchen als ein Screenshot) und was das Ergebnis ist.
 
Ehmmm also eigentlich ist ja kein gegenseitiger Zugriff auf das lokale Netz der jeweils anderen Box gewünscht. Es geht tatsächlich nur darum, an einem bestimmten LAN-Anschluss von Fritz!Box A das Internet und die IP von Fritz!Box B zu nutzen. Ich meine ich könnte das Ganze von der AVM Anleitung her wohl einfach abschreiben und es würd ja dann auch irgendwie funktionieren, aber ich versteh das Ganze mit den Subnetzen noch nicht wirklich und darum gehts mir. Ich will ja verstehen, was ich da mache, damits am Ende dann auch wirklich richtig ist.

Kann man denn dieses "über kreuz" nicht auch anders einrichten, also praktisch Fritz!Box B als Server und Fritz!Box A LAN 2 als VPN-Client?
 
Wie wäre es denn, wenn Du dann einfach mal eine solche Verbindung einrichtest, Dir die erzeugten VPN-Konfigurationsdateien und - bei der Box mit den reservierten Anschlüssen - auch den Abschnitt "ipsecbridge" der ar7.cfg ansiehst und dann konkrete Fragen stellst, was Du daran nicht verstehst? Das dann noch mit den erzeugten Files "untermalt" und man muß keine Vorträge halten (Referat vs. Seminar) - ich sehe irgendwie keine andere Möglichkeit.
 
Na ja für mich bestand ein VPN bisher darin, dass sich ein externes Gerät, z. B. ein iPhone von außen mit dem Heimnetzwerk verbindet. Hätte man diese Verbindung in einem fremden WLAN Netz hergestellt, hätte man darauf achten müssen, dass sich beide Router nicht im selben IP-Bereich befinden. Das ist mir bis dahin alles bekannt gewesen und das hab ich auch in der Vergangenheit schon mal so gemacht. Mir ist halt die "Über Kreuz" Logik in diesem Fall einfach nicht klar. Ich hab ja ne ganz klare Idee, ein Gerät, eine VPN-Verbindung, ein bestimmter LAN-Port...

Ich versuchs noch mal anhand des AVM-Beispiels

Fritz!Box A hat die IP 192.168.10.0
Fritz!Box B hat die IP 192.168.20.0

Bis hier her ist mir das klar. LAN 2 von Fritz!Box A erhält bei der Konfiguration die IP 192.168.11.0. Damit kann über LAN 2 von Fritz!Box A nicht auf das lokale Netzwerk von Fritz!Box A zugegriffen werden, aber auf das Netzwerk und das Internet von Fritz!Box B. Als DNS-Server gibt man 192.168.20.0 ein.

Sooo, aber dann, Fritz!Box B soll ja ganz normal genutzt werden, braucht also eigentlich keine Verbindung zum lokalen Netzwerk von Fritz!Box A. Ab hier wird mir das halt nicht mehr klar, in wie weit die Netzwerkgeräte im Bereich von Fritz!Box B durch die VPN Verbindung mit Fritz!Box A betroffen bzw. eingeschränkt sind...
 
Ich kann der Beschreibung in Prosa schon an der Stelle nicht mehr folgen, wo es darum geht, welche denn nun die FRITZ!Box bei Dir ist, bei der eine VPN-Verbindung nur an einem einzelnen Port zur Verfügung stehen soll. Ist das bei Dir nun FRITZ!Box A oder FRITZ!Box B? Ich vermute zwar Box B, aber irgendwie verblüfft/verwirrt mich die Terminologie/Beschreibung mehr als daß es klarer wird.

Was willst Du denn am Ende konkret erreichen ... einfach mal mit passenden IP-Adressen konfigurieren, die Einstellungen aus den jeweiligen FRITZ!Boxen exportieren und in diesen exportierten Einstellungen die vpn.cfg (und bei der einen Box auch den bereits erwähnten ipsecbridge-Abschnitt) suchen. Niemand zwingt Dich, diese testweise konfigurierte Verbindung auch zu benutzen - einfach den "aktiviert"-Haken rausnehmen und alles ist Wölkchen. Mit diesen "Vorlagen", die Du hier einstellst, kann man dann konkrete Fragen diskutieren.

Was heißt denn "Fritz!Box B soll ja ganz normal genutzt werden"? Ich verstehe auch die anschließende Frage nicht ... habe aber auch keine wirklich Lust, das über den Versuch der Erklärung in #4 hinaus großartig weiter zu vertiefen; daher ein letzter Versuch (ich verstehe aber auch nicht, warum ich mir jetzt an Deiner Stelle die Arbeit hier mache und Du das nicht selbst erledigst :gruebel:):

FRITZ!Box A:
LAN - 192.168.32.0/24
Nur an LAN2 von Box A soll ein neues Subnetz 192.168.33.0/24 bereitgestellt werden, der gesamte Traffic in diesem Subnetz geht an Box B (was dort damit passiert, geht Box A weder etwas an noch interessiert sie sich dafür).

FRITZ!Box B:
LAN - 192.168.64.0/24

vpn.cfg Box A:
Code: 
vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "box_b.meinedomain.net";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "box_b.meinedomain.net";
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "box_a.meinedomain.net";
                }
                remoteid {
                        fqdn = "box_b.meinedomain.net";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "my_key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.33.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.64.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.64.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
Abschnitt ipsecbridge bei Box A:
Code: 
        ipsecbridge {
                enabled = yes;
                netinterface = "ipsecbr1";
                vpnconnectionname = "box_b.meinedomain.net";
                interfaces = "eth1";
                prefix = 192.168.33.0;
                netmask = 255.255.255.0;
                dns1 = 192.168.64.1;
                dns2 = 0.0.0.0;
        }

vpn.cfg bei Box B:
Code: 
vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "box_a.meinedomain.net";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "box_a.meinedomain.net";
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "box_b.meinedomain.net";
                }
                remoteid {
                        fqdn = "box_a.meinedomain.net";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "my_key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.64.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.33.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.33.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

RollinCHK schrieb:
Ab hier wird mir das halt nicht mehr klar, in wie weit die Netzwerkgeräte im Bereich von Fritz!Box B durch die VPN Verbindung mit Fritz!Box A betroffen bzw. eingeschränkt sind...
Zum Vergrößern anklicken....
Und was sollen wir jetzt dafür oder dagegen tun? Box B kennt ja das LAN auf der Seite von Box A überhaupt nicht ... warum sollte das also für irgendwelche Geräte hinter Box B anders sein?

Wie man in den Files unschwer sehen kann, gibt es bei Box B keine Information darüber, daß es das LAN der Box A überhaupt gibt ... wieso sollte also Box B irgendein Paket für 192.168.32.0/24 überhaupt zur Box A schicken? :confused:

Den Zugriff von Box A (auf Port LAN2) auf andere Geräte in 192.168.64.0/24 kannst Du nicht zuverlässig verhindern (da hat Box B einfach nicht das Sagen) - Du könntest nur durch weitere "accesslist"-Verfeinerung verhindern, daß Antwortpakete von 192.168.64.0/24 das Subnetz 192.168.33.0/24 erreichen. Das ist ein VPN (bzw. ein "Selector" für den - ausgehenden(!) - Traffic), keine Firewall (für eingehenden Traffic) ... ob am Ende auf Box A noch eine erweiterte "accesslist"-Regel benötigt wird, weiß ich nicht mehr so genau - hängt davon ab, ob ohnehin aller Traffic bei dem isolierten LAN-Port in den Tunnel gesteckt wird oder nicht. Das ist aber ein simpler Test ... und solange Du am Ende einen solchen Aufbau erreichen willst, solltest Du auch derjenige sein, der diesen Test ausführt. Nach der AVM-Beschreibung würde ich zwar auch auf "nein" tippen, aber das ist eben auch schon wieder 3 Monate her, daß ich das mal getestet habe und ich altere zusehends (vielleicht auch wg. einiger Fragen und fortwährender Wiederholungen :gruebel:). Wenn das alles in den Tunnel geht, wäre eigentlich auch die Zeile
Code: 
accesslist = "permit ip any 192.168.64.0 255.255.255.0";
in Box A ziemlich überflüssig nach meinem Verständnis - mir fehlt aber jeglicher Antrieb, das im Moment neu zu testen. Auch die Frage, ob Box A da jetzt einen DHCP-Server bereitstellt, der Clients am LAN2-Port konfigurieren kann oder ob man da statische Adressen verwenden muß, weiß ich beim besten Willen nicht mehr - das ist aber alles problemlos durch einfachen Test zu ermitteln. Wenn es einen DHCP-Service geben sollte, muß der auch schon ohne aufgebaute VPN-Verbindung antworten, sonst gibt es ein Henne-Ei-Problem, wenn die Verbindung "on demand" aufgebaut werden soll.

So, mehr fällt mir dazu nun wirklich nicht mehr ein ... entweder Du stellst konkrete Fragen (und "Wie funktioniert ein IPSec-LAN2LAN-VPN?" ist - für mich jedenfalls bzw. in dem Kontext, in dem ich zu einer Antwort bereit bin - keine konkrete Frage) oder es findet sich sicherlich jemand anderes, der Dir das haarklein auseinanderklamüsert.
 
Also erst einmal vielen Dank für die sehr ausführliche Aufschlüsselung. Ich bemühe mich gerade, alles zu verstehen. Das ist ja für mich total neu und eben nicht so klar und locker und logisch verständlich wie für dich, daher bitte um Geduld... Natürlich werd ich die VPN Verbindung testen und dann auch einrichten. Das ist ja das erklärte Ziel. Ich versuchs jetzt einfach noch mal klarer zu erklären, statt mit Box A und Box B zu arbeiten. Also, Box A ist die fremde Box. An dieser Box soll über LAN 2 ein Gerät angeschlossen wird, dass sich mit Box B verbindet. Box B ist meine Box, also mein eigenes Netzwerk. Das Gerät an Box A soll über meinen Internet-Anschluss Internet-Zugriff haben. Die Einrichtung von Box A, also der Fremdbox habe ich verstanden. Ich habe verstanden, dass die Fremdbox z. B. die IP 192.168.32.0 hat. Sprich, lokale Geräte hätten dann z. B. die IP 192.168.32.1, oder 2, 3 usw. LAN 2 bekommt aber n eigenes Subnetz. In diesem Fall 192.168.33.0. Ein Gerät an LAN 2 müsste also z. B. die IP 192.168.33.1 haben, wenn der DHCP Server hier nicht greift. Bis hier her ist alles klar.

Meine Box, also Box B hat den IP Bereich 192.168.64.0. Geräte in meinem lokalen Netzwerk würden also jeweils die IP 192.168.64.1, 2, 3 usw. erhalten. Auch bis hier her ist das noch klar. In beiden Boxen wird die VPN Verbindung (LAN/LAN) mit der jeweils anderen Domain der Box eingerichtet. In Box A trage ich also z. B. boxb.dyndns.org ein. In Box B trage ich boxa.dyndns.org ein. Der Preshared-Key kommt natürlich dazu usw. Was ich immer noch nicht verstanden habe, auch wenn die Frage jetzt dumm klingt:

- Haben Geräte an meiner Box, also Box B Zugriff auf Geräte von Box A. Beispiel: An Box A hängt z. B. ein Drucker mit Webinterface.
- Habe ich das richtig verstanden, dass Geräte an Box A keinen Zugriff auf Box B haben, außer natürlich das Gerät an LAN 2 von Box A?

Das verstehe ich halt nicht. Ich verstehe halt auch nicht, warum man auch bei Box B, also meiner Box den VPN Zugriff auf einen oder mehrere LAN-Anschlüsse begrenzen kann. Das ergibt in meinem Kopf gerade noch nicht so den Sinn? Das ist vermutlich das "über Kreuz" Ding, was mir noch nicht ganz klar ist... Ich hoffe ich hab zumidnest mein Anliegen klarer umschrieben... Auf jeden Fall noch mal vielen Dank. Ich weiß die Hilfe wirklich sehr zu schätzen.
 
RollinCHK schrieb:
- Haben Geräte an meiner Box, also Box B Zugriff auf Geräte von Box A. Beispiel: An Box A hängt z. B. ein Drucker mit Webinterface.
Zum Vergrößern anklicken....
Nein, wie sollten sie das auch realisieren? Deine Box B kennt das LAN an Box A (zumindest das (W)LAN und die Ports 1,3,4) überhaupt nicht - wie sollte da ein Zugriff (und sei es auch nur theoretisch) ablaufen, daß ein Gerät an Box B ein Gerät an Box A erreichen kann?

- Habe ich das richtig verstanden, dass Geräte an Box A keinen Zugriff auf Box B haben, außer natürlich das Gerät an LAN 2 von Box A?
Zum Vergrößern anklicken....
Ja.

Das verstehe ich halt nicht.
Zum Vergrößern anklicken....
Was denn? Zwischen der Frage (Habe ich das richtig verstanden?), die ich mit "ja" beantworte und der Feststellung "Das verstehe ich nicht." steht bei Dir praktisch nichts ... also meine Frage: Was verstehst Du denn nun nicht? Ich bin so hilflos wie selten ...

Ich verstehe halt auch nicht, warum man auch bei Box B, also meiner Box den VPN Zugriff auf einen oder mehrere LAN-Anschlüsse begrenzen kann.
Zum Vergrößern anklicken....
Mach aus "kann" einfach "könnte", das ist ja kein "muß". Was ist daran jetzt so überraschend? Solange die Ports bei Box B nicht alle in der gemeinsamen "lan"-Bridge versammelt sind, kriegt ein reservierter Port dann eben auch an Box B ein eigenes Interface spendiert ... das hat dann wieder eine eigene IP-Konfiguration (deshalb steht bei AVM ja auch ab Punkt 11:
Nur (!!!eins!!elf!!), wenn Sie den VPN-Tunnel auch auf bestimmte LAN-Anschlüsse der FRITZ!Box B begrenzen wollen:
Zum Vergrößern anklicken....

RollinCHK schrieb:
Das ergibt in meinem Kopf gerade noch nicht so den Sinn?
Zum Vergrößern anklicken....
Welchen Sinn denn? Wo man so etwas brauchen könnte? Simples Beispiel wäre z.B. ein "Kartenterminal", das zwar lokal aufgestellt ist, aber logisch mit einem Dienstleister per VPN verbunden wird (und das nicht selbst macht, wie es diese Geräte in der Regel aber schon können). Da will ja sicherlich auch niemand, daß die Kartenterminals mehrerer Kunden untereinander kommunizieren, also kriegt jedes seinen eigenen Port. Ist zwar ein blödes Beispiel, weil das niemand mit FRITZ!Boxen realisieren würde, aber dann denke Dir da einfach irgendwelche Home-Automatisierungen hin, wo der lokale Wasserstand im Pool an den Hersteller gemeldet werden soll (der dann eine Zwei-Wege-Verbindung zu diesem Controller aufbauen könnte) und man trotzdem nicht will, daß der Controller-Hersteller gleichzeitig noch auf den Windows-PC daneben zugreifen kann. Dann sperrt man den Controller eben in sein eigenes Subnetz und verbindet das direkt mit dem Hersteller.

Ich verstehe einfach nicht, was Du da eigentlich "hinterfragen" willst ... es gibt eben die Möglichkeit, für einzelne LAN-Anschlüsse ein getrenntes Interface in der FRITZ!Box zu konfigurieren (mit ein wenig "Handarbeit" geht das ja auch für lokale Konfigurationen, daß man da die Netze splittet) und die gesamten Daten auf diesem Interface durch einen IPSec-Tunnel zu schicken. Der Box auf der Gegenseite ist das vollkommen Bummi, ob da nun nur ein einzelner Port oder das gesamte LAN erreichbar ist - das interessiert doch schlicht nicht. Vielleicht solltest Du Dir dann doch erst einmal über die Theorie einer LAN-LAN-Verbindung klar werden, bevor Du mit mehreren oder mit VPN i.V.m. getrennten Interfaces hantierst. Das ist schon etwas anderes, als eine "Einwahl" für einen User-Account ... aber das ist eben L2L an sich und hat mit dem Beschränken auf einzelne Ports eigentlich nichts zu tun.

Die Daten werden anhand ihrer Zieladresse verpackt und durch den Tunnel gesendet und ankommende Pakete werden wieder ausgepackt ... welche Topologie und welche Ports auf der Gegenseite dabei verwendet werden, kann eine FRITZ!Box überhaupt nicht beeinflussen (auch kein anderer VPN-Client). Du würdest ja hoffentlich auch nicht auf die Idee kommen, daß Dein Smartphone-Client da irgendwelchen Einfluß auf die FRITZ!Box-Konfiguration ausüben könnte.
 
Ich bemüh mich ja gerade alles zu verstehen. Man merkt schon, dass Du alels klar vor Augen hast und das für dich banaler Kinderkram ist, aber ich muss mich da halt noch hin arbeiten. Ich meine ich bin im Grunde ja total froh, dass das Ganze überhaupt so einfach funktionieren wird. Ich muss zwar bei mir, also Box B den IP Bereich ändern, weil er identisch mit Box A ist, aber gut, das ist ja das geringste Übel. Ich versuch einfach mal nicht so viel zu denken und einfach mal zu machen, ist wohl das Beste. Ich hab halt schon gedacht, dass ich irgendwie n zusätzlichen Router dazwischen hängen muss etc. Von daher bin ich zunächst mal froh, dass das Ganze funktionieren wird. Ich kann mich erst mal nur noch mal herzlich für die ausführliche Hilfe bedanken.
 
Vielleicht noch mal ne Sicherheitsfrage:

Box A hat aktuell die IP 192.168.178.1. LAN 2 würde dann 192.168.179.0/24 kriegen, also das Gerät an LAN 2 dann wohl 192.168.179.1, das wäre so richtig? Box B würd ich dann umstellen auf 192.168.1.1... 192.168.1.1 würd ich auch als DNS-Server für die VPN Verbindung bei Box A eintragen... Dann hätte ich doch alles richtig verstanden, oder?

Vielleicht noch ne letzte Frage... Fällt bei Box B, also mir mal das Internet aus, oder aber der DynDNS Dienst funktioniert nicht korrekt, dann hat das Gerät an LAN 2 von Box A auch definitiv keinen Internet-Zugriff richtig?
 
RollinCHK schrieb:
Man merkt schon, dass Du alels klar vor Augen hast und das für dich banaler Kinderkram ist, aber ich muss mich da halt noch hin arbeiten.
Zum Vergrößern anklicken....
Das verstehe ich ja und ich halte das VPN auch nicht für Kinderkram (oben habe ich ja auch auf mein Mißverständnis verlinkt).

Aber wenn Du immer verzweifelter nur feststellst, daß Du irgendetwas nicht verstehst und das sich aber eher auf die allgemeine Funktion einer L2L-Kopplung per IPSec bezieht und immer klarer wird, daß Du keine konkrete Frage hast, sondern das Funktionsprinzip erst noch erkennen willst (oder meinetwegen mußt), dann kann man Dir eben auch nicht so einfach hier helfen. Die Theorie der Netzwerkkunde im Allgemeinen und der IPSec-Implementierung im Besonderen kann ein Buch füllen, daß kann Dir niemand mit 50.000 Zeichen mal eben so nebenbei erläutern.

Ich kann mich erst mal nur noch mal herzlich für die ausführliche Hilfe bedanken.
Zum Vergrößern anklicken....
Gern geschehen, auch weitere Fragen bemühe ich mich zu beantworten ... aber eben nicht die Theorie hier von Grund auf zu erläutern. Auch wenn AVM partiell auf eigene Software setzt, ist das Prinzip (Transformation für zu verschlüsselnden Verkehr und damit die "Verpackung" (in verschlüsselter Form) in andere Pakete, die dann auf dem Weg bis zum Ziel von niemandem entschlüsselt werden können) genau dasselbe, wie unter jeder Linux-Installation mit "ip xfrm". Dazu gibt es ausführliche Dokumentationen/Erklärungen/FAQs/Anleitungen im Netz ... das muß man einfach nicht erneut aufdröseln.

EDIT:
RollinCHK schrieb:
Dann hätte ich doch alles richtig verstanden, oder?
Zum Vergrößern anklicken....
Wie soll man das beurteilen? Es wäre vermutlich(!) richtig konfiguriert ... ob das eine mit dem anderen in Zusammenhang zu bringen ist, mußt Du selbst einschätzen.

RollinCHK schrieb:
Vielleicht noch ne letzte Frage...
Zum Vergrößern anklicken....
Das ist jetzt wieder der Punkt, wo ich die Haltung fast nicht mehr verstehe ... warum probierst Du das nicht einfach selbst aus?

Theoretisch ist das so, wenn AVM den Verkehr direkt in den (dann ja nicht aufgebauten) Tunnel schickt - das separate Interface für den Port ist ja nicht davon abhängig, ob da ein Tunnel aufgebaut ist oder nicht. Das ist u.a. auch der Grund, warum eine solche Verbindung (auf reservierte Ports beschränkt) einen Neustart der FRITZ!Box nach der Konfiguration benötigt (damit die Änderungen der ar7.cfg wirksam werden) ... das steht so auch im GUI, wenn man richtig liest.
 
Zuletzt bearbeitet:
Ehm beim letzten Abschnitt kann ich jetzt leider nicht folgen, aber danke noch mal...
 
Also ich hab richtig verstanden, dass es so sein sollte, dass wenn Fritz!Box B kein Internet hat, LAN 2 an Fritz!Box A dann auch nicht online ist; ich sag mal selbst wenn das Tage lang so wäre?
 
Sooo... ich meld mich noch mal weil ich nicht weiter komme. Ich hab jetzt versucht die VPN Verbindung einzurichten, so hab ichs gemacht:

Fritz!Box A:
IP Adresse: 192.168.178.1
Pre shared Key eingegeben
VPN Verbindung dauerhaft halten
Verbindung nur für LAN 2 ausgewählt
IP Bereich 192.168.179.0
DNS: 192.168.1.1

Fritz!Box B:
IP Adresse der Box: 192.168.1.1
wieder den Key
IP Bereich der Gegenstelle 192.168.179.0
Verbindung dauerhaft halten und übernommen.

Anschliessend hab ich beide Boxen neu gestartet. Als DynDNS Anbieter wird no-ip.org verwendet. Die IPs wurden auch korrekt übermittelt. Dennoch erhalte ich bei Fritz!Box B im Log nur den Hinweis, dass die VPN Verbindung nicht aufgebaut werden konnte, IKE-Fehler 0x1c. Ich komme jetzt einfach nicht mehr weiter... Ich hab die Verbindungen auch schon mehrfach neu eingerichtet, natürlich auch mal mehrfach neu gestartet, dennoch keine Verbindung...

Firmware Fritz!Box A (7490): 113.06.30
Firmware Fritz!Box B (7490): 113.06.35-31026
 
http://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/014/hilfe_syslog_122

0x1C -> invalid ID - im Allgemeinen ein Zeichen dafür, daß auf einer der beiden Seiten die Selektoren für P1 nicht richtig gesetzt wurden.

Die Aufforderung, die Konfiguration (inkl. des ipsecbridge-Abschnitts der ar7.cfg und natürlich ggf. Besonderheiten des jeweiligen Anschlusses wie DS-Lite oder IPv6-only) hier zu veröffentlichen anstelle der verbalen (und offenkundig unvollständigen bis falschen) Beschreibung, werde ich nicht wiederholen (wie das aussehen würde, habe ich in #8 gezeigt) ... offenbar willst Du das nicht und Du wirst Deine Gründe haben.

Dann kannst Du nur noch selbst in die Protokolldateien hineinsehen (/var/tmp/ike.log / ike.old), das geht per Telnet-Session oder über die Support-Daten.

Ich werde jedenfalls nicht spekulieren ... ohne Files keine weiteren Beiträge meinerseits, sorry.
 
Dann werd ich gucken, weil ich alles nach Anleitung durchgeführt hab und mir das nicht erklären kann. Besonderheiten an den Anschlüssen gibts nicht. Beide Anschlüsse haben eine IPv4 Anbindung. Der eine Anschluss ist n IP Anschluss der Telekom, mein Anschluss ist von 1&1... Kann das evtl. daran liegen, dass die Boxen NUR neu gestartet und nicht vom Strom getrennt wurden?
 
Zuletzt bearbeitet:
Nein, es kann evtl. daran nicht liegen.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 331 (Mitglieder: 43, Gäste: 288)

Neueste Beiträge

Statistik des Forums

Themen
245,090
Beiträge
2,224,214
Mitglieder
371,937
Neuestes Mitglied
colbas100
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück