.titleBar { margin-bottom: 5px!important; }

[Frage] Auf VPN-Verbindungen hinter einer entfernten Fritzbox zugreifen

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von LarsIP, 26 Juli 2012.

  1. LarsIP

    LarsIP Neuer User

    Registriert seit:
    15 Juni 2005
    Beiträge:
    166
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Frankfurt a.M.
    #1 LarsIP, 26 Juli 2012
    Zuletzt bearbeitet: 26 Juli 2012
    Hallo,

    die Fritzbox X (im Netz 192.168.0.0/24) ist per AVM VPN-Verbindung (zwischen zwei Fritzbox-Netzwerken) mit folgenden 8 Fritzbox-Netzwerken verbunden, sternförmig wenn ihr so wollt:

    • Fritzbox 1 (im Netz 192.168.1.0/24)
    • Fritzbox 2 (im Netz 192.168.2.0/24)
    • Fritzbox 3 (im Netz 192.168.3.0/24)
    • Fritzbox 4 (im Netz 192.168.4.0/24)
    • Fritzbox 5 (im Netz 192.168.5.0/24)
    • Fritzbox 6 (im Netz 192.168.6.0/24)
    • Fritzbox 7 (im Netz 192.168.7.0/24)
    • Fritzbox 8 (im Netz 192.168.8.0/24)

    Fritzbox X kann also auf die Fritzbox-Netze 1 bis 8 zugreifen, Fritzbox 2 aber bspw. nur auf Fritzbox X (nicht z.B. auf das Netz 192.168.1.0/24), soweit klar.

    Natürlich hätte man das schon vorher berücksichtigen können... Wenn man nun nachträglich bei einer Box einen Bedarf feststellt, allerdings nicht in alle Boxen ein neues Config-File einspielen will: Gibt eine Möglichkeit der Fritzbox 2 irgendwie beizubringen, dass die anderen Netze alle über 192.168.0.0/24 erreichbar sind? Die Bandbreite ist überhaupt kein Problem (VDSL50 mit 50/10 Mbit/s).

    Das Config-File von Fritzbox 2 sieht so aus:

    Code:
    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_lan;
                    name = "fritzbox-x.dyndns.org";
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 0.0.0.0;
                    remote_virtualip = 0.0.0.0;
                    remotehostname = "fritzbox-x.dyndns.org";
                    localid {
                            fqdn = "fritzbox-2.dyndns.org";
                    }
                    remoteid {
                            fqdn = "fritzbox-x.dyndns.org";
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "hierstehtderkey";
                    cert_do_server_auth = no;
                    use_nat_t = yes;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2localid {
                            ipnet {
                                    ipaddr = 192.168.2.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2remoteid {
                            ipnet {
                                    ipaddr = 192.168.0.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                    accesslist = "permit ip any 192.168.0.0 255.255.255.0";
            }
    }
    Was muss man, evtl. unter accesslist, in der Fritzbox 2 eintragen, damit man die anderen Netze (über den Umweg Netz 192.168.0.0/24) erreicht? Es soll aber nicht der gesamte Traffic darüber laufen - dafür sind 10 Mbit/s Upstream dort doch ein bisschen wenig.
     
  2. LarsIP

    LarsIP Neuer User

    Registriert seit:
    15 Juni 2005
    Beiträge:
    166
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Frankfurt a.M.
    #2 LarsIP, 26 Juli 2012
    Zuletzt bearbeitet: 26 Juli 2012
    Ich habe eine Idee - evtl. könnte man es auf der Fritzbox 2 so eintragen, mit Kommas getrennt?

    Code:
    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_lan;
                    name = "fritzbox-x.dyndns.org";
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 0.0.0.0;
                    remote_virtualip = 0.0.0.0;
                    remotehostname = "fritzbox-x.dyndns.org";
                    localid {
                            fqdn = "fritzbox-2.dyndns.org";
                    }
                    remoteid {
                            fqdn = "fritzbox-x.dyndns.org";
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "hierstehtderkey";
                    cert_do_server_auth = no;
                    use_nat_t = yes;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2localid {
                            ipnet {
                                    ipaddr = 192.168.2.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2remoteid {
                            ipnet {
                                    ipaddr = 192.168.0.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
    [COLOR="#FF0000"][B]                accesslist = "permit ip any 192.168.0.0 255.255.255.0",
                    accesslist = "permit ip any 192.168.1.0 255.255.255.0",
                    accesslist = "permit ip any 192.168.3.0 255.255.255.0",
                    accesslist = "permit ip any 192.168.4.0 255.255.255.0",
                    accesslist = "permit ip any 192.168.5.0 255.255.255.0",
                    accesslist = "permit ip any 192.168.6.0 255.255.255.0",
                    accesslist = "permit ip any 192.168.7.0 255.255.255.0",
                    accesslist = "permit ip any 192.168.8.0 255.255.255.0";[/B][/COLOR]
            }
    }
    Und vermutlich muss ich auf den Fritzboxen 1 bis 8 dann aber zusätzlich eine Rückroute eintragen, da ansonsten z.B. 192.168.5.0 nicht weißt, dass 192.168.2.0 über 192.168.0.0 erreichbar ist.
     
  3. KunterBunter

    KunterBunter IPPF-Urgestein

    Registriert seit:
    12 Okt. 2005
    Beiträge:
    22,000
    Zustimmungen:
    32
    Punkte für Erfolge:
    48
    Nein, das wäre ein Syntaxfehler. Mit Semikola.
     
  4. LarsIP

    LarsIP Neuer User

    Registriert seit:
    15 Juni 2005
    Beiträge:
    166
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Frankfurt a.M.
    Okay danke, ich werde es ausprobieren!

    Ich hatte Google bemüht und der erste Treffer war das AVM Wiki (WeHaveMoreFun) und die haben es dort mit Komma (letzter Code-Abschnitt, ganz unten).
     
  5. KunterBunter

    KunterBunter IPPF-Urgestein

    Registriert seit:
    12 Okt. 2005
    Beiträge:
    22,000
    Zustimmungen:
    32
    Punkte für Erfolge:
    48
    Bei wehavemorefun ist die Syntax mit Komma korrekt. Bei dir ist sie falsch.
     
  6. LarsIP

    LarsIP Neuer User

    Registriert seit:
    15 Juni 2005
    Beiträge:
    166
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Frankfurt a.M.
    #6 LarsIP, 19 Aug. 2012
    Zuletzt bearbeitet: 19 Aug. 2012
    Nach wochenlanger Suche nach dem Fehler warum eine FB 7170 überhaupt keine Anstalten macht den Tunnel zu einer FB 7390 aufzubauen bin ich endlich darauf gekommen alle Einträge bis auf eine Accesslist wieder zu löschen:

    accesslist = "permit ip any 192.168.0.0 255.255.255.0";
    accesslist = "permit ip any 192.168.1.0 255.255.255.0";
    accesslist = "permit ip any 192.168.2.0 255.255.255.0";
    accesslist = "permit ip any 192.168.3.0 255.255.255.0";


    Die 7170 (neueste .87 Software) verträgt an dieser Stelle reproduzierbar definitiv nur einen Eintrag - weiß jemand wieso?

    Andere Boxen, z.B. 3370 oder 7390, haben mit mehreren Accesslist-Einträgen überhaupt keine Probleme - dort funktioniert das tadellos.
     
  7. KunterBunter

    KunterBunter IPPF-Urgestein

    Registriert seit:
    12 Okt. 2005
    Beiträge:
    22,000
    Zustimmungen:
    32
    Punkte für Erfolge:
    48
    Was ist, wenn du nur ein accesslist Kommando mit mehreren Einträgen verwendest, so wie in dem von dir verlinkten Beispiel in wehavemorefun?
     
  8. LarsIP

    LarsIP Neuer User

    Registriert seit:
    15 Juni 2005
    Beiträge:
    166
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Frankfurt a.M.
    Dann weigert sich die 7170 das VPN-Config-File zu importieren:

    "Der Import der VPN-Einstellungen ist fehlgeschlagen."
     
  9. KunterBunter

    KunterBunter IPPF-Urgestein

    Registriert seit:
    12 Okt. 2005
    Beiträge:
    22,000
    Zustimmungen:
    32
    Punkte für Erfolge:
    48
    Dann ist womöglich die Syntax falsch. Poste mal deine accesslist hier.
     
  10. LarsIP

    LarsIP Neuer User

    Registriert seit:
    15 Juni 2005
    Beiträge:
    166
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Frankfurt a.M.
    Lässt sich zwar in die 7170 laden, funktioniert dort aber nicht (in der 3370 bzw. 7390 funktioniert es):

    accesslist = "permit ip any 192.168.0.0 255.255.255.0";
    accesslist = "permit ip any 192.168.1.0 255.255.255.0";


    Lässt sich nicht in die 7170 laden ("Der Import der VPN-Einstellungen ist fehlgeschlagen"):

    accesslist = "permit ip any 192.168.0.0 255.255.255.0",
    accesslist = "permit ip any 192.168.1.0 255.255.255.0";


    Ebenso lässt sich das hier nicht laden (im Prinzip das Gleiche):

    accesslist = "permit ip any 192.168.0.0 255.255.255.0", accesslist = "permit ip any 192.168.1.0 255.255.255.0";


    Evtl. sollte ich mal das Folgende probieren?

    accesslist = "permit ip any 192.168.0.0 255.255.255.0", "permit ip any 192.168.1.0 255.255.255.0";
     
  11. KunterBunter

    KunterBunter IPPF-Urgestein

    Registriert seit:
    12 Okt. 2005
    Beiträge:
    22,000
    Zustimmungen:
    32
    Punkte für Erfolge:
    48
    Genau, nur die letzte Zeile enthält die korrekte Syntax so wie in dem Beispiel in wehavemorefun.