[Gelöst] freakige Konstellation: (mobiles) Homeoffice mit FBF VPN als WLAN-Client * IKE-Error aber nur für neues VPN

[risaer]

Ich hatte einmal die Idee, einen Heimarbeitsplatz für ein Notebook inkl. Telefon an der Firmentelefonanlage zu testen und habe dies umgesetzt. ERFOLGREICH.

Ich habe 3 Boxen. An Box (W) wird als WLAN-Client an die Box (Z) gekoppelt und stellt für einen Heimarbeitsplatz sowohl den PC-Zugang als auch die Telefonie über SIP zur Telefonanlage in der Firma her.

(F)irma ~~~~~(Internet)~~~~~~~(Z)uhause.....(W)lan-Client mit VPN <-- SIP-Phone & Arbeitsplatz

(F) FBF 7590, feste ext. IPv4, int: 192.168.1.x
(Z) FBF 7490 u.a. x.x.x.x 192.168.8.8 ( oder anders, je nach Hotspot)
(W) FBF 7390, 192.168.188.x, VPN-Client (nicht LAN-LAN)

Der Hammer: egal, ob (W) zuhause, bei Bekannten im Gastnetz oder über den Handy-Hotspot im Bulli auf dem Feld. Da wird Homeoffice zum Bullioffice.

Diese Box setzen wir seit einem Jahr erfolgreich ein. Zwei weitere (Z)-Boxen habe ich durch Import so getestet und es funktioniert auch. Natürlich nicht, wenn mehr als eine Box online ist.

Das Problem:
Also kurz drangesetzt, auf (F) einen neuen Benutzer über das Webinterface erstellt, den neuen Nutzer in (W2) eingetragen, und ......
NIX....
geht nicht.... IKE-Fehler 0x2027

Dieser IKE-Fehler taucht ja bei vielen Leute auf. Da auf (Z) auch weitere VPNs eingerichtet sind (Server und Client) wäre ich zwar auch traurig aber nicht so verwirrt, wenn VPN überhaupt nicht funktionieren würde. Aber der erste User funktioniert ja.

Auch bei einer anderen Firma, ebenfalls mit fester IP habe ich dies getestet. Klappt auch nicht. Direkt (neu) eingerichte VPNs auf dem Notebook funktionieren. Egal ob dieses über einen Handy-Hotspot, über ein beliebigen LAN/WLAN AP oder sogar direkt über (W). Nur die Fritzbox (W) selbst bekommt es einfach nicht hin. WIESOOO?? ;-(

Hat hier jemand eine Idee, wo ich ansetzen kann?
Oder was ich bei der Ersteinrichtung vielleicht anderes gemacht haben könnte?
Die Ersteinrichtung ist schon recht lang her? Hat vielleicht ein FritzOS-Update was am Assistenten geändert? Gaanz vielleicht habe ich auch den VPN-Server auf einer gefreetzen (?) FBF7490 eingerichtet und dann die Einstellungen in die 7590 importiert (ist aber recht unwahrscheinlich)

 

[chilango79]

Erster Tipp. VPN-Server der Firma überlastet?

 

[Charlies Tante]

Zweiter Tipp:

Gerade nach Lancom und IKE error gegoogelt, u.a.:

License exceeded - no more VPN tunnels available (Responder, IKE)

Oft reicht es bei Lancom aus, weitere Lizenzen zu erstehen. Wenn in der Firma ein Lancom-Router werkelt natürlich.
Die "einfachen" Modelle haben in der Regel 5 IPSec VPN - Verbindungen frei, welche optional gegen Gebühr auf 25 erhöht werden können.

UPS, gerade erst gesehen: In der Firma arbeitet ja eine Fritte. Ich denke, da kommt man schnell an die Grenzen bei mehr als einem Client zeitgleich an der 7590.
Bleibt m.E. nur, die 7590 neu aufzusetzen, wenn man sich nicht sicher hinsichtlich der Historie ist. Nur hat man dann die Gefahr, dass die bisher funktionierenden
Verbindungen auch nicht mehr funktionieren (never touch a running system).

Ich habe jetzt auch kein Datenblatt zur Hand für die 7390, ob da etwa nicht alle Verschlüsselungsverfahren unterstützt werden und daher der Verbindungsaufbau scheitert.
Habe aber jetzt keine Zeit, meine alte 7390 auszugraben und anzuwerfen um dort nach zu schauen.

Bezugnehmend auf meinen Vorschreiber:
Wieviele Clients hängen denn an der 7590 im VPN?

Die Wissendatenbank auf der AVM-Homepage schon befragt und die Punkte unter:

"VPN-Verbindung zwischen zwei FRITZ!Box-Netzwerken kann nicht hergestellt werden"

abgearbeitet?

Nachtrag: IKE-Fehler 0x2027 wird in der Hilfe der 7490 mit "timeout" erklärt.

 

[risaer]

Dieses 8-Punkteprogramm habe ich durchprobiert. Aber das gibt ja keine wirklich großartigen Hinweise. Und die 7590 kann ich nicht neu aufsetzen. Die funktionierenden VPNs kann ich ja nicht mit den gleichen Werten (Shared Keys) neu einrichten, da dann die externe Box nicht mehr erreichbar ist, um die Werte anzupassen. Es ist ja auch keine LAN-LAN sondern nur eine USER-LAN Kopplung.

Eingerichtet auf (F) sind etwa 5-20VPNs (ich teste das bei beiden Firmen), davon sind aber meist nur max 5 aktiv. An der Auslastung kann es nicht liegen. Ich kann ja über nen PC auch weitere einrichten und habe dies auch gerade getan. Das läuft sowohl über DSL als auch über Glasfaser top. Auch, wenn 10 Personen damit arbeiten (hier ist es sogar nur eine 7490 hinter einem Glasfasermodem).

Ich denke, das muss irgendwas mit der Erstellung(F) und Einrichtung (W) zu tun haben, dem Fakt, dass (W) als Wlan-Client eingerichtet ist oder irgendwie dem Transport von (W) -> Routing/NAT? Wobei ein PC hinter (W) auch problemlos zum VPN verbinden kann. Einige andere Router haben ja eine IPSecThrough-Einstellungen. Mit dem eigentlichen Protokoll und Schlüsselaustausch kenne ich mich jedoch nicht so wirklich aus.

Ich habe schon einmal die Supportdatei etwas durchgeblättert, komme aber nicht so richtig weiter.

Unser Telefonanlagenanbieter meint, die Boxen würden beim erstmaligen Verbinden noch irgendwelche Daten austauschen, damit es funktioniert und er wundert sich auch, dass es überhaupt funktioniert.Er ist nicht sonderlich begeistert von dem Web-GUI und erstellt VPNs über das AVM-Windowsprogramm. Das soll wohl zuverlässiger sein. Das Programm mag ich nicht sonderlich, würde es aber mal testen, jedoch sind läuft auf den Boxen nur das Original OS, somit bin unschlüssig, wie und ob ich die cfg ex- und wieder importieren kann. Die bestehenden VPNs dürfen ja nicht verloren gehen.

-- Zusammenführung Doppelpost by stoney

Teile der Support-Datei:

VPN avmike
-------
ls: /var/tmp/ike.old: No such file or directory
-rw-r--r-- 1 root root 7783 Mar 18 23:42 /var/tmp/ike.log
1970-01-01 01:08:19 avmike:< add(appl=dsld,cname=[PUBLIC-IP],localip=192.168.43.250, remoteip=[PUBLIC-IP], p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=192.168.100.1 flags=0x9019 tunnel xauth cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:08:19 avmike:new neighbour [PUBLIC-IP]: localvirtualip-needed nat_t
1970-01-01 01:08:19 avmike:[PUBLIC-IP] start_vpn_keepalive 192.168.100.1
2020-03-18 23:18:16 avmike:[PUBLIC-IP]: Phase 1 failed (initiator): IKE-Error 0x2027
2020-03-18 23:18:16 avmike:< cb_sa_create_failed(name=[PUBLIC-IP],reason=IKE-Error 0x2027)
2020-03-18 23:18:47 avmike:[PUBLIC-IP]: Phase 1 failed (initiator): IKE-Error 0x2027
2020-03-18 23:18:47 avmike:< cb_sa_create_failed(name=[PUBLIC-IP],reason=IKE-Error 0x2027)
2020-03-18 23:22:15 avmike:< add(appl=dsld,cname=[PUBLIC-IP],localip=192.168.8.143, remoteip=[PUBLIC-IP], p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=192.168.100.1 flags=0x9019 tunnel xauth cfgmode nat_t no_certsrv_server_auth)
2020-03-18 23:22:15 avmike:new neighbour [PUBLIC-IP]: localvirtualip-needed nat_t
2020-03-18 23:22:15 avmike:[PUBLIC-IP] start_vpn_keepalive 192.168.100.1
2020-03-18 23:22:45 avmike:[PUBLIC-IP]: Phase 1 failed (initiator): IKE-Error 0x2027
2020-03-18 23:22:45 avmike:< cb_sa_create_failed(name=[PUBLIC-IP],reason=IKE-Error 0x2027)
2020-03-18 23:23:18 avmike:[PUBLIC-IP]: Phase 1 failed (initiator): IKE-Error 0x2027
2020-03-18 23:23:18 avmike:< cb_sa_create_failed(name=[PUBLIC-IP],reason=IKE-Error 0x2027)
2020-03-18 23:23:49 avmike:[PUBLIC-IP]: Phase 1 failed (initiator): IKE-Error 0x2027
2020-03-18 23:23:49 avmike:< cb_sa_create_failed(name=[PUBLIC-IP],reason=IKE-Error 0x2027)
2020-03-18 23:24:24 avmike:[PUBLIC-IP]: Phase 1 failed (initiator): IKE-Error 0x2027
2020-03-18 23:24:24 avmike:< cb_sa_create_failed(name=[PUBLIC-IP],reason=IKE-Error 0x2027)
2020-03-18 23:24:59 avmike:[PUBLIC-IP]: Phase 1 failed (initiator): IKE-Error 0x2027
[..und noch weitere Wiederholungen....]

-------- pcp peer counter -----------------------------

-------------------------------------------------------
1970-01-01 01:00:30.566 - MAP complete IGDPROBE TCP [192.168.188.1]:9 "IGDPROBE4" - error (network failure)
1970-01-01 01:00:38.476 - MAP complete VPN UDP [192.168.188.1]:500 "VPN" - error (network failure)
1970-01-01 01:00:38.478 - MAP complete VPN UDP [192.168.188.1]:4500 "VPN" - error (network failure)
1970-01-01 01:08:19.975 - MAP complete IGDPROBE TCP [192.168.188.1]:9 "IGDPROBE4": external [192.168.43.250]:9
1970-01-01 01:08:19.986 - MAP complete VPN UDP [192.168.188.1]:500 "VPN": external [192.168.43.250]:500
1970-01-01 01:08:19.994 - MAP complete VPN UDP [192.168.188.1]:4500 "VPN": external [192.168.43.250]:4500
2020-03-18 23:19:10.954 - MAP deleted VPN UDP [192.168.188.1]:500 "VPN": external [192.168.43.250]:500
2020-03-18 23:19:10.957 - MAP deleted VPN UDP [192.168.188.1]:4500 "VPN": external [192.168.43.250]:4500
2020-03-18 23:19:10.976 - MAP complete VPN UDP [192.168.188.1]:500 "VPN" - error (network failure)
2020-03-18 23:19:10.978 - MAP complete VPN UDP [192.168.188.1]:4500 "VPN" - error (network failure)
2020-03-18 23:19:23.614 - MAP deleted IGDPROBE TCP [192.168.188.1]:9 "IGDPROBE4" - error (network failure)
2020-03-18 23:19:23.615 - MAP deleted VPN UDP [192.168.188.1]:500 "VPN": external [0.0.0.0]:500
2020-03-18 23:19:23.615 - MAP deleted VPN UDP [192.168.188.1]:4500 "VPN": external [0.0.0.0]:4500
2020-03-18 23:19:28.923 - MAP complete IGDPROBE TCP [192.168.188.1]:9 "IGDPROBE4" - error (network failure)
2020-03-18 23:21:32.314 - MAP complete VPN UDP [192.168.188.1]:500 "VPN" - error (network failure)
2020-03-18 23:21:32.315 - MAP complete VPN UDP [192.168.188.1]:4500 "VPN" - error (network failure)
2020-03-18 23:21:40.728 - MAP deleted IGDPROBE TCP [192.168.188.1]:9 "IGDPROBE4": external [0.0.0.0]:0
2020-03-18 23:21:40.729 - MAP deleted VPN UDP [192.168.188.1]:500 "VPN": external [0.0.0.0]:500
2020-03-18 23:21:40.729 - MAP deleted VPN UDP [192.168.188.1]:4500 "VPN": external [0.0.0.0]:4500
2020-03-18 23:21:45.710 - MAP complete IGDPROBE TCP [192.168.188.1]:9 "IGDPROBE4" - error (network failure)
2020-03-18 23:22:12.368 - MAP complete VPN UDP [192.168.188.1]:500 "VPN" - error (network failure)
2020-03-18 23:22:12.372 - MAP complete VPN UDP [192.168.188.1]:4500 "VPN" - error (network failure)
2020-03-18 23:22:15.184 - MAP complete IGDPROBE TCP [192.168.188.1]:9 "IGDPROBE4": external [192.168.8.143]:9
2020-03-18 23:22:15.196 - MAP complete VPN UDP [192.168.188.1]:500 "VPN": external [192.168.8.143]:500
2020-03-18 23:22:15.224 - MAP complete VPN UDP [192.168.188.1]:4500 "VPN": external [192.168.8.143]:4500
2020-03-18 23:43:12.325 - MAP deleted VPN UDP [192.168.188.1]:500 "VPN": external [192.168.8.143]:500
2020-03-18 23:43:12.326 - MAP deleted VPN UDP [192.168.188.1]:4500 "VPN": external [192.168.8.143]:4500
##### END SECTION PCP
##### END SECTION Networking





Events
------
19.03.20 01:40:59 Die FRITZ!Box-Einstellungen wurden über die Benutzeroberfläche geändert.
19.03.20 01:40:45 Anmeldung an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 192.168.188.21.
18.03.20 23:43:12 Die FRITZ!Box-Einstellungen wurden über die Benutzeroberfläche geändert.
18.03.20 23:43:02 Anmeldung an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 192.168.188.21.
18.03.20 23:43:00 VPN-Fehler: [PUBLIC-IP], IKE-Error 0x2027 [36 Meldungen seit 18.03.20 23:22:45]
18.03.20 23:22:15 Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 192.168.8.143, DNS-Server: 192.168.8.1[[Bemerkung:externer DNS]] und 192.168.8.8, Gateway: 192.168.8.8
18.03.20 23:22:09 Radarerkennung (DFS-Wartezeit) durch Kanalbelegung ausgelöst, 5 GHz Band temporär nicht nutzbar. [2 Meldungen seit 18.03.20 23:20:11]
18.03.20 23:20:06 Die FRITZ!Box-Einstellungen wurden über die Benutzeroberfläche geändert.
18.03.20 23:19:27 Radarerkennung (DFS-Wartezeit) durch Kanalbelegung ausgelöst, 5 GHz Band temporär nicht nutzbar.
18.03.20 23:19:00 Internetverbindung wurde getrennt.
18.03.20 23:18:48 VPN-Fehler: xx, IKE-Error 0x2027 [2 Meldungen seit 18.03.20 23:18:16]
18.03.20 23:17:46 Die Systemzeit wurde erfolgreich aktualisiert von Zeitserver 178.62.250.107.
18.03.20 23:17:45 Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 192.168.43.250, DNS-Server: 192.168.43.1 und 192.168.43.1, Gateway: 192.168.43.1
18.03.20 23:16:19 Anmeldung an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 192.168.188.21.
18.03.20 23:14:29 Die FRITZ!Box-Einstellungen wurden über die Benutzeroberfläche geändert.
18.03.20 23:12:56 Anmeldung an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 192.168.188.20.
##### END SECTION Events

Log-Datei bei Verbindung mit (Z), FREETZ. Hier ist noch ein extra Intranet-DNS-Server eingetragen (.8.1), allerdings glaube ich nicht, dass das mit reinspielt, da ich den ganzen Aufbau ja auch in anderen Netzen getestet habe, wo kein extra DNS-Server läuft. Hier habe ich allerdings (noch) keine Logs.
Was mich wundert, ist die 192.168.43.?. Was ist das denn?

 

[schnurgly]

Vielleicht hilft das ein wenig weiter:

RFC 3947: Negotiation of NAT-Traversal in the IKE

This document describes how to detect one or more network address translation devices (NATs) between IPsec hosts, and how to negotiate the use of UDP encapsulation of IPsec packets through NAT boxes in Internet Key Exchange (IKE). [STANDARDS-TRACK]

tools.ietf.org

weiter unter ab 3.

 

[PeterPawn]

Was mich wundert, ist die 192.168.43.?. Was ist das denn?

Jetzt würde man - als Leser - als erstes darauf tippen, daß da ein Fehler beim "Maskieren" der tatsächlichen IP-Adressen gemacht wurde. Ich empfehle Dir, einfach mal selbst die solchermaßen unkenntlich gemachten Protokolle anzusehen und zu überlegen, ob Du damit noch irgendetwas anfangen könntest, wenn Dich jemand um eine Meinung dazu bittet. Besonders die Angabe:

(Z) FBF 7490 u.a. x.x.x.x

ist ziemlich "putzig" ... da darf man sich jetzt aussuchen, ob das "u.a." sich auf die 7490 bezieht und als "und andere" gelesen werden sollte oder ob es zum "x.x.x.x" gehört und als "unter anderem" wenigstens noch "erklärbar" wäre - mal abgesehen von der Frage, was "x.x.x.x" nun wohl sein soll.

Bei allem Verständnis für das Bedürfnis nach "Privatsphäre" ... dann macht man das eben auf dem "wissenschaftlichen Weg" und erstellt sich zuerst eine Übersicht der tatsächlich zu maskierenden Werte, überdenkt das dann noch einmal für jeden dieser Kandidaten (das (möglicherweise auch noch falsche) Maskieren von lokalen IP-Adressen auf beiden Seiten einer solchen Verbindung ist das pure Gift für das "Verständnis" von anderen Lesern) und legt sich eine "Legende" an, in der man erstens die "schutzbedürftigen" Informationen gegen passende Ersetzungen austauscht und zweitens gleich noch dazuschreibt (und zwar so, daß andere es auch verstehen können), wo diese Adresse auftaucht und zu welchem Teil der Topologie sie gehört.

Mittels dieser Legende kann man dann auch - problemlos - mit einem passenden Editor/Programm die Ersetzungen in der Protokoll-Datei vornehmen ... man spart also bei diesem Vorgehen sogar noch (etwas) Arbeit und geht gleichzeitig dahingehend auf Nummer Sicher, daß man kein Vorkommen übersieht oder - von Hand - eine falsche Ersetzung vornimmt, die das Ganze dann komplett entwertet.

Also ja, diese Adresse sieht tatsächlich "komisch" aus oder auch wieder nicht ... nur bist Du auch gleichzeitig der Einzige, der sich das in den verwendeten Einträgen in der "vpn.cfg" ansehen kann, solange Du sie hier nicht (verfremdet oder nicht) veröffentlichst. Auch eine Erklärung, was man eigentlich gemacht hat, gehört zu so einem Protokoll ... hier kann man nur raten, was da um 23:22 Uhr passiert ist. Offenbar wurde eine neue VPN-Verbindung hinzugefügt oder auch eine bestehende bearbeitet.

Wie und womit genau, wäre die sich direkt anschließende Frage - wenn dann "neu" oder "bearbeitet" geklärt ist. Ich kann jedenfalls (mit Ausnahme der "localip"-Angabe) im o.a. Protokoll keinen Unterschied zwischen den beiden protokollierten VPN-Verbindungen erkennen (die heißen ja offenbar auch beide "PUBLIC-IP") und da bleibt einem gar nichts anderes als zu raten, ob die Änderung von "localip" nun durch eine Bearbeitung der vorhandenen Verbindung zustande kam (dann wäre "PUBLIC-IP" tatsächlich immer derselbe Wert - andererseits solltest Du ja dann wissen, wie die Änderung der "localip" erfolgen konnte) oder ob es sich um eine zweite, neue Verbindung handelt und Du mehr als eine IP-Adresse als "PUBLIC-IP" "verschlüsselt" hast.

Üblicherweise sollte die FRITZ!Box als "Benutzer", bei einer VPN-Verbindung für einen solchen, auch ihre (WAN-)IP-Adresse für dieses Interface über die Cisco-Extension für IKEv1 (https://tools.ietf.org/html/draft-ietf-ipsec-isakmp-mode-cfg-05.txt) zur IP-Konfiguration beziehen ... schon damit VPN-Access-Server, die keine festen IP-Zuordnungen für die "road warriors" verwenden, auch benutzt werden können. Andererseits weist das FRITZ!OS jedem verwendeten Benutzer mit VPN-Rechten eine feste IP-Adresse zu und hier ist ja wohl eine FB7590 der "Access-Server".

Auf der anderen Seite sieht das (für mich zumindest) fast so aus, als wären die erwähnten "localip"-Werte tatsächlich in den jeweiligen Konfigurationen definiert, denn damit ein FRITZ!OS (auf der 7590) ohne Änderungen an den dortigen DHCP-Einstellungen zu Adressen für VPN-Clients gelangt, die auf ".143" oder gar ".250" enden, müßte schon einiges passiert sein. Wenn hier also an der 7590 herumgefummelt wurde, gehört das genauso zur Beschreibung, daß man auch die vorgenommenen Änderungen an deren Konfiguration aufzählt ... die Konfiguration und die Protokoll-Datei des VPN-Peers gehört ja eigentlich auch schon per se zu den "basics" für eine (sinnvolle) Fehlersuche. Da könnte man z.B. sehen, ob ein Verbindungsversuch von dem Peer, der hier als "User" spielt, auch tatsächlich auf dem anderen Peer (also dem Access-Server) ankommt oder nicht.

Außerdem verstehe ich - anhand der Beschreibung in #1, die ziemlich "schwer zu durchschauen" ist und ich hoffe mal, ich habe das richtig interpretiert - gar nicht, warum Du hier irgendein Protokoll von "W2" für eine Verbindung mit "Z" zeigst (so verstehe ich den letzten Absatz in #5:

Log-Datei bei Verbindung mit (Z), FREETZ.

), wenn Du doch den neuen Benutzer in "F" (also der 7590) angelegt haben willst:

Also kurz drangesetzt, auf (F) einen neuen Benutzer über das Webinterface erstellt, den neuen Nutzer in (W2) eingetragen,

und dann sollte sich "W2" natürlich auch mit dieser FRITZ!Box verbinden und die 7490 (u.a. x.x.x.x) ist hier lediglich die "Transport-Schicht", was den Wert eines Protokolls der Verbindung von "W2" mit "Z" irgendwie nicht einleuchtend erscheinen läßt.

Vielleicht sortierst Du das ja noch einmal richtig und beschreibst es so, daß man es auch versteht ... ich kann mich bei den anderen, bisher an Dich geschriebenen Antworten des Eindrucks nicht erwehren, daß man auch dort Deine "Topologie" nicht wirklich verstanden hat ... so ausschließlich auf der Basis Deiner Beschreibung in Prosa.

Und da die auch tatsächlich "Mehrdeutigkeiten" enthält, die auch dem eher lässigen Umgang mit der deutschen Sprache geschuldet sind:

An Box (W) wird als WLAN-Client an die Box (Z) gekoppelt [...]

, wäre ein "Innehalten" und eine Überarbeitung (bitte nicht durch nachträgliches Bearbeiten von #1, das kriegt niemand mehr mit, wenn es so spät erfolgt, weil das von der Board-Software nicht als "neu" eingestuft wird) wohl produktiver.

Denn auch ich kann mich natürlich bei der "Interpretation" Deiner Beschreibung irren, wobei ich das eben so verstanden habe, daß Du "W" als mobilen Arbeitsplatz nutzen willst, der hinter einem beliebigen Internet-Anschluß (u.a. auch hinter "Z") betrieben werden kann:

Der Hammer: egal, ob (W) zuhause, bei Bekannten im Gastnetz oder über den Handy-Hotspot im Bulli auf dem Feld.

und die Verbindung nach "F" herstellt und nicht nach "Z" - nur so ist es zu erklären, warum Du in "F" einen weiteren Benutzer einrichtest, den Du in "W2" (was ja wohl ein zweiter solcher Arbeitsplatz sein soll) verwenden willst. Ansonsten müßte man den ja in "Z" einrichten, wenn die mobilen Arbeitsplätze "W" und "W2" ihrerseits "Z" und dessen/deren VPN-Verbindung nach "F" benutzen sollen.

 

[risaer]

Wow. langer Text. Vielen Dank schon mal. Das lese ich mir morgen in Ruhe durch. Die PUBLIC-IP ist fix, daher anonymisiert. das putzige x.x.x.x sollte keine Anonymisierung sein. Ist halt bei allen anderen getesteten Varianten unterschiedlich, aber in der Angabe war das natürlich nicht so optimal, hab ich mal angepasst. ;-)

 

[risaer]

Sorry, viel los... So, ich habe nun so viele Kombinationen getestet, u.a. hat es mich auch zwei Tage gekostet, festzustellen, dass eine von den externen Boxen, die ich einrichten wollte, einen echten Defekt hat, der irgendwie das WLAN betrifft, oder nur eine Antennen/Funkmodul, somit klappt dann WLAN-Client nicht mehr.

Der andere Punkt war vermutlich, dass ich die Boxen vermutlich jeweils im Gastnetz angemeldet hatte. Dieser erste Schlüsselaustausch klappt so wohl nicht. So ganz konnte ich den Punkt noch nicht klären, zumal ich auch die Einrichtung als LAN-Client getestet habe.

Also, was es auch immer war. Ich konnte nun plötzlich zwei externe Boxen problemlos einrichten. Eine weitere Box werde ich bei Zeiten noch einmal einrichten und mal schauen, ob ich herausfinden kann, was denn das Problem war.

Vielen Dank auf jeden Fall