2x 7270 und VPN klappt nicht

[vintagesound]

Hallo alle,

ich versuche vergeblich 2x 7270 an verschiedenen Standorten miteinander zu koppeln. Beide haben die originale Firmware.

Die Anleitungen für das Ändern der Adressen/IP-Adressbereiche [1] und für das Erstellen der .cfg-Dateien [2] habe ich befolgt. Simpel eigentlich.

Ich kann IP-Adressen und Netze auseinanderhalten und jeweils 192.168.177.0 bzw. 192.168.179.0 in die Maske eingetragen statt die konkrete Adresse der Fritzbox. Die Anleitung und diverse Hilferufe im Forum sind sind deutlich genug. Dennoch klappt nichts, nicht mal Pings.

Was ich erwarte was passiert:

Die Fritzbox stellt, wie beschrieben, bei Bedarf eine Verbindung zur anderen Firtzbox her (ohne dass ich noch etwas dazu tun müsste).

(Auf einem beliebigen Rechner im Netz 192.168.177.x): $ ping -c1 192.168.179.201 
PING 192.168.179.201 (192.168.179.201): 56 data bytes
64 bytes from 192.168.177.32: icmp_seq=0 ttl=64 time=10.250 ms

So oder ähnlich. Die Statuslampe im Fritzbox-Menü dürfte dann auf "grün" schalten. Das bleibt allerdings grau. Statt dessen erhalte ich das hier:

$ ping -c1 192.168.179.201
PING 192.168.179.201 (192.168.179.201): 56 data bytes
92 bytes from fritz.box (192.168.177.1): Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 96dd   0 0000  3f  01 fe9c 192.168.177.20  192.168.179.201 

--- 192.168.179.201 ping statistics ---
1 packets transmitted, 0 packets received, 100.0% packet loss

192.168.179.201 ist ein Rechner im entfernten Netz. DynDNS-funktioniert; ich kann mich über Portfreigaben auf Rechnern im jeweils anderen Netz einloggen. Diese Fritzbox in 192.168.179.x macht die Anmeldung an DynDNS selber, im anderen Netz macht die Anmeldung ein angeschlossenes Gerät.

Vielleicht stehe ich ja auf dem Schlauch? Oder sehe den sprichwörtlichen Wald vor lauter Bäumen nicht?

Config für das 192.168.177.x:

/*
 * C:\Dokumente und Einstellungen\vintagesound\Anwendungsdaten\AVM\FRITZ!Fernzugang\vintage-sound_dyndns_org\fritzbox_vintage-sound_dyndns_org.cfg
 * Fri Dec 17 12:39:12 2010
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "machine.homeserver-ip.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "machine.homeserver-ip.org";
                localid {
                        fqdn = "vintage-sound.dyndns.org";
                }
                remoteid {
                        fqdn = "machine.homeserver-ip.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "0ep}xcf8ej7e1115f4bff5Z9dg1d$b4{";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.177.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.179.0;
                                mask = 255.255.255.252;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.179.0 255.255.255.252";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Config für 192.168.179.x:

/*
 * C:\Dokumente und Einstellungen\vintagesound\Anwendungsdaten\AVM\FRITZ!Fernzugang\machine_homeserver-ip_org\fritzbox_machine_homeserver-ip_org.cfg
 * Tue Dec 21 17:16:25 2010
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "vintage-sound.dyndns.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "vintage-sound.dyndns.org";
                localid {
                        fqdn = "machine.homeserver-ip.org";
                }
                remoteid {
                        fqdn = "vintage-sound.dyndns.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "d1c0M93gdfa08113oI1c}f096c5";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.179.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.177.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.177.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

(Adressen sind leicht angepasst ;-) )

[1] http://www.avm.de/de/Service/Servic...nd_Tipps/grundlegende_schritte.php?portal=VPN
[2] http://www.avm.de/de/Service/Servic...und_Tipps/step_by_step_lan_lan.php?portal=VPN

 

[bholmer]

Die Boxen sind auf die jeweiligen internen IP-Adressen
192.168.177.1 und 192.168.179.1 konfiguriert?

Kannst du denn das Webinterface der fernen Box erreichen?

Was steht in den Boxen unter System Ereignisse Internetverbindung?
Da muss stehen "VPN-Verbindung zu XXX.dyndns.org wurde erfolgreich hergestellt."

Hast du die beiden unterschiedlichen CFG-Dateien, die die Fernzugangskonfiguration generiert und in dem entsprechenden Unterverzeichnis ablegt auf beiden Boxen jeweils installiert?
Es darf nicht die selbe Datei sein.
(Geht auch über Fernwartung).
Danach müsste unter VPN in beiden Boxen jeweils die VPN-Verbindung zu dem jeweils anderen Dyndns Domainnamen aufgelistet werden.

Ich habe die Subnetze bei mir allerdings unter 192.168.0.0 und 2.0 laufen.
Sobald die VPN-Verbindung aufgebaut wurde, sollten bei beiden Boxen die grünen Lampen an sein. Die Verbindung bleibt dann auch erst mal bestehen.

Habe das zwischen einer 7270, 7170 und 7390 laufen. Die 7270 hat auch noch zwei VPN-Konfigurationen für den Zugriff von 2 Laptops mit drin.

Bert

 

[KunterBunter]

(Adressen sind leicht angepasst ;-) )

Warum? Um uns zu verwirren? Es handelt sich doch durchweg um private IP-Adressen, die eh jeder benutzen muss
Hast du die Subnetzmaske 255.255.255.252 auch "leicht angepasst"? Denn so erlaubt sie nur noch 192.168.179.0 bis .3 im entfernten Netz, und nicht .201

 

[vintagesound]

@KunterBunter, danke für den Hinweis. Das ist tatsächlich in der .cfg auch so - und ein echter Denkfehler. Habs korrigiert und probiere nachher die 255.255.255.0 aus. (Eigentlich wollte ich 255.255.252.0 wählen...)

Angepasst habe ich lediglich die "Klartext"-DynDNS-Adressen.

@bholmer

> Die Boxen sind auf die jeweiligen internen IP-Adressen
> 192.168.177.1 und 192.168.179.1 konfiguriert?

Jein. Eine ist auf 192.168.177.1, die andere ist auf 192.168.179.128.

> Kannst du denn das Webinterface der fernen Box erreichen?
Nein, wieso müsste ich das? Braucht man für dieses VPN ein Webinterface?

> Was steht in den Boxen unter System Ereignisse Internetverbindung?
> Da muss stehen "VPN-Verbindung zu XXX.dyndns.org wurde erfolgreich
> hergestellt."
Da taucht nichts VPN-bezogenes auf (FB auf 192.168.177.1). Log der anderen Box gucke ich nachher an.

> Hast du die beiden unterschiedlichen CFG-Dateien, die die
> Fernzugangskonfiguration generiert und in dem entsprechenden
> Unterverzeichnis ablegt auf beiden Boxen jeweils installiert?
Ja.

> Es darf nicht die selbe Datei sein.
Ja doch. ;-)

> (Geht auch über Fernwartung).
Hm, dafür wäre das Webinterface in der Tat praktisch.

> Danach müsste unter VPN in beiden Boxen jeweils die VPN-Verbindung zu
> dem jeweils anderen Dyndns Domainnamen aufgelistet werden.
Der Eintrag steht da, auch mit Häkchen "aktiv". Aber eben einer grauen Statuslampe.

@all Danke fürs Lesen und helfen. Melde mich nachher zurück.

 

[sf3978]

...
, im anderen Netz macht die Anmeldung ein angeschlossenes Gerät.
...

Wie bekommt/holt das angeschlossene Gerät die öffentliche (externe) IP-Adresse von der Box, für die dyndns-Anmeldung?

 

[bholmer]

Das mit der Subnetzmaske ist in der Tat wichtig, damit der gesamte Bereich von 255 Adressen hinter der entfernten Box erreichbar ist.

Mit der Erreichbarkeit des Webinterface meinte ich eben, ob die entfernte Box direkt über die private IP erreichbar ist. Damit spare ich mir bei Konfigurationen oder Kontrolle die Eingabe der zusätzlichen Logindaten wie bei der Fernwartung und lande direkt in der Passwortmaske der Box.

> Es darf nicht die selbe Datei sein.
> Ja doch.

Für jede Box wird eine Konfigurationsdatei erstellt mit dem Programm Fernzugang einrichten.
Diese Datei muss in die jeweilige Box eingelesen werden.
Mit der Methode kann man z.B. auch 3 Boxen koppeln und die jeweilige Box muss die Wege zu den 2 andren dann kennen. Daher dann 3 Dateien.

Bert

 

[sf3978]

...
Mit der Erreichbarkeit des Webinterface meinte ich eben, ob die entfernte Box direkt über die private IP erreichbar ist.
...

Ja, die entfernte Box ist über die private IP-Adresse erreichbar.

 

[vintagesound]

Das Gerät ist ein NAS, das selber so eine Funktion mitbringt. Letztlich ist es auch nur ein einfaches Bash-Script von ez-ipupdate.com, das einen externen Dienst wie wieistmeineip.de etc. abfragt:

#!/bin/ash
#
# Script for getting an external WAN IP
# in my test, can't use below URL "http://www.whatismyipaddress.com" "http://ipid.shat.net" "http://www.showmyip.com"

#URLS="http://checkip.dyndns.org http://whatismyip.com http://www.edpsciences.com/htbin/ipaddress"
URLS="http://checkip.dyndns.org http://monip.net/ http://forum.qnap.com/mywanip.php http://www.whatismyip.org/"
WGET=/bin/wget-s
TMP_FILE=/var/get_external_ip

[ -f ${WGET} ] || /bin/cp /usr/bin/wget-s ${WGET} 1>/dev/null 2>/dev/null

#To prevent wget will not work
#${WGET} -T 1 -t 1 ftp://127.0.0.1 1>/dev/null 2>/dev/null

for URL in $URLS
do
        ${WGET} -O ${TMP_FILE} -o /dev/null -T 30 -t 1 "${URL}" 2>/dev/null 1>/dev/null
        RET1=$?
        IP=`/bin/cat ${TMP_FILE} | /bin/tr -cs '[0-9\.]' '\012' | /bin/awk -F'.' 'NF==4 && $1>0 && $1<256 && $2<256 && $3<256 && $4<256 && !/\.\./' | /bin/uniq`
        RET2=$?
        if [ "x${IP}" != "x" ]; then
                if [ ${RET1} = 0 ] && [ ${RET2} = 0 ]; then
                        echo $IP
                        rm ${TMP_FILE}
                        exit 0
                fi
        fi
done
exit 1

 

[vintagesound]

Ich verstehe schon wofür die Netzmaske da ist. Nur habe ich glatt übersehen, dass die Konfiguration mir das gewünschte nicht anbietet und einen spontan falschen, aber ähnlichen Eintrag gewählt. Dumm gelaufen, aber dank des Hinweises korrigiert.

In Internet > Freigaben > VPN steht nun der Eintrag für das entfernte Netz. Bei "Adresse im Internet" steht 255.255.255.255 - da sollte doch vermutlich die "reale IP" stehen? "Lokales Netz" und "Entferntes Netz" sind leer, da müssten doch 192.168.177.1 und 192.168.179.1 stehen? Noch habe ichs nicht zum laufen gekriegt.

 

[sf3978]

... Letztlich ist es auch nur ein einfaches Bash-Script von ez-ipupdate.com, das einen externen Dienst wie wieistmeineip.de etc. abfragt:
...

Zu welchem Zeitpunkt nach dem Start/reboot, macht das Bash-Script das Update der externen IP-Adresse? Bekommt die Box nach jedem reboot eine neue externe IP-Adresse? Wann braucht das AVM-VPN die externe IP-Adresse zum herstellen der Verbindung? Hat das dyndns-Update durch das Bash-Script, zu dem Zeitpunkt schon stattgefunden?

 

[vintagesound]

So viele Fragen..

Zu welchem Zeitpunkt nach dem Start/reboot, macht das Bash-Script das Update der externen IP-Adresse?

Per Cronjob: alle 10 Minuten gucken, ob der Wert noch stimmt, wenn nicht, dann die Adresse ändern und neu bei DynDNS.com anmelden.

Bekommt die Box nach jedem reboot eine neue externe IP-Adresse?

Nein, die neue externe Adresse hängt vom ISP ab... die wird um ca. 4:30 Uhr neu vergeben. Spätestens 10 Minuten danach ist das Netz über die externe IP erreichbar, siehe oben.

Wann braucht das AVM-VPN die externe IP-Adresse zum herstellen der Verbindung?

Hm? Ich würde meinen "immer, wenn die Verbindung hergestellt werden soll".

Hat das dyndns-Update durch das Bash-Script, zu dem Zeitpunkt schon stattgefunden?

Bei allen bisherigen Versuchen ja. Ich habs nicht um 4:31 o.ä. probiert und das Problem war nie, dass die andere Box über ihre DynDNS-Adresse nicht erreichbar gewesen wäre, sondern dass die Firtzbox kommentar- und logeintragslos keine Verbindung herstellt.

 

[sf3978]

OK, dann kann man ausschließen, dass die Box die nicht selber updatet, zum Zeitpunkt des Aufbaues der VPN-Verbindung, nicht per dyndns erreichbar ist.

 

[vintagesound]

Freut mich zu hören.

Was mir suspekt vorkommt: meine generierten Configdateien enthalten jeweils den Teil

                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;

Ich nehme an das sind Platzhalter, die im laufenden Betrieb durch die Fritzbox ergänzt/ersetzt werden?

Was mir noch helfen würde: was zeigt bei jemandem, wo VPN dieser Art (LAN-LAN) funktioniert, die Oberfläche der Fritzbox bei VPN-Verbindungen "Adresse im Internet" an? Bei mir steht immer nur 255.255.255.255, was nicht so sein sollte.

So oder so, ich erhalte nach wie vor keine Verbindung, weder per Ping auf IP noch Hostnamen, noch in der Oberfläche der Fritzbox "grün" angezeigt.

Was habe ich übersehen? Müssen Ports geöffnet werden? Oder muss ich eine statische Route eintragen? Bitte um Hinweise.

Immerhin kann ich jetzt dank aktiviertem Fernzugang die entfernte Fritzbox direkt konfigurieren und schneller auf Vorschläge reagieren. ;-)

 

[sf3978]

...
Müssen Ports geöffnet werden? Oder muss ich eine statische Route eintragen? Bitte um Hinweise.
...

Wenn Du keine Ports geschlossen hast, dann müssen auch keine geöffnet werden. Ein statische Route musst Du nicht eintragen.

 

[bholmer]

Unter Freigaben / VPN steht bei nicht aufgebauter Verbindung unter
Adresse im Internet 255.255.255.255.

Bei meinen Laptop zu Box Verbindungen steht 0.0.0.0, wenn diese inaktiv sind.

Wenn ich z.B. in meinem Browser in einem 2. Fenster eine private IP im entfernten Netz eingebe sieht die Anzeige wie folgt aus:

Name: Der ENTFERNTE Hostname
Adresse im Internet: Die öffentliche IP des entfernten Netzes
und dann
192.168.0.0 /24 192.168.2.0 /24

Wobei mein lokales Netz 192.168.0.0 ist und das entfernte 192.168.2.0.

Die VPN-Verbindung baut sich auf, sobald eine IP des entfernten Subnetzes angesprochen wird und bleibt bestehen (vermutlich bis zur Zwangstrennung).

Warum lässt du denn nicht einfach beide Boxen direkt sich bei DynDNS anmelden?
Dann kann man zumindest sicher sein, dass die Box den IP-Wechsel und den notwendigen Wiederaufbau der IP-Verbindung mitbekommt.

Wichtig: Es muss nach Fritz Fernzugang einrichten die Config-Datei in die entfernte Box eingelesen werden, die im Verzeichnis mit dem Namen der entfernten Box steht.
In die lokale Box die Datei, die im Verzeichnis für den lokalen Domainnamen steht.

Die Dateien stehen (wie du sicherlich weisst) unter
Dokumente und Einstellungen - User - Anwendungsdaten - AVM - Fritz Fernzugang in eigenen Unterverzeichnissen.

Wenn die erste Box testbox1.dyndns.org heisst (also z.B. deine lokale Box) steht die Datei im Verzeichnis testbox1_dyndns_org und heisst fritzbox_testbox1_dyndns_org.cfg
Diese also unter VPN in die lokale Box einlesen.
Danach sollte unter VPN "Name" die Domain der entfernten Box auftauchen.

Genauso wird die Datei im Verzeichnis testbox2_dyndns_org, also fritzbox_testbox2_dyndns_org.cfg in die entfernte Box eingelesen.

Dort steht dann unter VPN der Name deiner lokalen Box drin.

Noch wichtig:

Wenn man ZUSÄTZLICH zu einer der Boxen noch einen VPN-Zugang von einem Laptop zur Box aufbauen will um z.B. einen Dienst hinter dieser Box zu erreichen, müssen die jeweiligen cfg-Dateien alle auf ein und dem selben PC erzeugt werden, da dann in der cfg der Box alle konfigurierten Fernzugänge drinstehen.

Mehr muss man eigentlich nicht machen. Dann können beide Boxen jeweils völlig automatisch die Verbindung zur anderen Seite aufbauen.

Ist aber auch im Howto für VPN auf der AVM-Webseite genau beschrieben.

Geht natürlich nur, wenn beide Boxen eine öffentliche IP haben und keine Ports gesperrt sind, die benötigt werden.

Bert