Fritz Box Site-to-Site VPN - Probleme mit dem Routing

Mr.Beeper

Neuer User
Mitglied seit
29 Sep 2011
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

vorab wünsche ich erstmal ein frohes neues Jahr 2017!

Ich hoffe, dass ich mit meinem Problem hier im richtigen Unterforum poste und das der Titel überhaupt richtig ist.

...und nun zu meiner Thematik:

Ich habe eine Site-to-Site VPN Verbindung zwischen zwei Fritz Boxen erstellt, die soweit auch funktioniert.
Die Verbindung habe ich jeweils über das FB Interface erstellt (Ihr Heimnetzwerk mit einem anderen FRITZ!Box-Netzwerk verbinden (LAN-LAN-Kopplung)).

Fritz Box A - 7490:

öffentliche IP: feste IP
interne IP: 192.168.0.1
Subnet: 255.255.255.0
Gateway: 192.168.0.1

Fritz Box B - 7390:

öffentliche IP: feste IP
interne IP: 192.168.2.1
Subnet: 255.255.255.0
Gateway: 192.168.2.1

Nun ist hinter Fritz Box A eine Telefonanlage (Elmeg Hybird 600) installiert, mit einem DECT Manager.
Eine der dazugehörigen DECT Basen möchte ich nun hinter der Fritz Box B anschließen.
Allerdings kann ich der DECT Basis nur eine IP über den DECT Manager zuteilen und dieser ist ja im Netzwerk von Fritz Box A.
Ist es möglich, die Boxen so zu konfigurieren, dass ich in Netzwerk B eine IP benutzen kann, die eigentlich im Adresskreis von Netzwerk A liegt?
Oder das ich in Netzwerk B eine DHCP Adresse aus Netzwerk A bekommen kann?

Hoffentlich klingt das ganze jetzt nicht zu kompliziert?!
Ich sitze jetzt schon ein paar Tage vor diesem Problem und verliere langsam den Durchblick.

Jedenfalls schon mal vielen Dank für Eure Mühen!!
 
Ich vermute der Elmeg DECT Manager arbeitet bei der Zuweisung der IPs auf L2? Dann wirds schwierig, bzw. mit FBen sogar eher unmöglich!?

Evt. könnte man es aber wie folgt o.ä. hinbiegen?!:

Die DECT-Basis kommt an den Gast-Zugang der FBB und Du weist dem Gast-Zugang ein Sub-Netz (z.B. /30) des A-Netzes zu.
Die IPsec-Konfig wird um dieses Sub-Netz erweitert. Aber keine Ahnung wie FBA auf ARP-Requests für IPs aus dem 'entfernten' SUB-Netz reagiert.
 
da gibt es doch schon einen Thread, der sich um dieses Thema "Zwei per Vpn gekoppelte Fritzboxen - kann ich einen Rechner in das ferne Netz hängen" kümmert; http://www.ip-phone-forum.de/showthread.php?t=283490

@odoll: warum soll das mit Fritzboxen nicht gehen ?
 
Erst mal vielen Dank für Eure Antworten und Ideen!

Ich habe zwischenzeitlich mal probiert, in Netzwerk B einen Elmeg be.ip Plus Router zu installieren, allerdings habe ich es nicht geschafft, die VPN Verbindung zum Laufen zu bringen.
Nun sind wieder beide Fritz Boxen angeschlossen, die VPN Verbindung steht und ich habe mal den Vorschlag von Shirocco aufgegriffen.
Das hat soweit auch geklappt, an den Anschlüssen 2-4 der Fritz Box läuft jetzt das Netzwerk 192.168.3.0.
Allerdings bringt mich das ja jetzt auch nicht weiter, wenn ich das richtig verstehe. Ich bekomme ja immer noch keine IP-Adressen aus dem Netzwerk A (192.168.0.0.).

@Pokemon: Ich habe mir den Thread durchgelesen, werde aber nicht ganz schlau draus. Werde ich gleich aber noch mal durcharbeiten, vielleicht fällt dann der Groschen ;-)

@Odoll: Trennt die Fritz Box das Gastnetz nicht automatisch von dem Hauptnetzwerk?
 
Zuletzt bearbeitet:
@odoll: warum soll das mit Fritzboxen nicht gehen ?

Ah, ich werde zu alt - das Feature kannte ich noch gar nicht. Nur wenn ich Mr.Beepers Problem richtig verstanden habe, nützt ihm das nichts, denn für den Mgr in 192.168.0/24 ist es irrelevant, ob die entfernte Basis nun in 192.168.2(/24) oder z.B. in 192.168.3(/24) ist. Da muss immer noch auf L3 geforwardet werden, da es unterschiedliche Subnetze sind.

Wenn die FBen das mit dedizierten Ports auch im IPsec Bridge Mode könnten, könnte es klappen, aber ich denke Bridge Mode können die nicht, oder bin ich wieder zu alt? ;-)

Ich denke, wenn der Konfigurations-Modus der Basis durch den Mgr nur im gleichen (Sub)Netz auf L2 abläuft, dann wird mein dirty Classless-Ansatz auch nicht funktionieren.

PS: wenn ich mir allerdings den "Hobel" Elmeg Hybird so anschaue, kommen mir Zweifel, dass für so ein Ding alle Basen im selben IP-Netz sein müssen. Da scheint mir doch was anderes faul zu sein.
 
Zuletzt bearbeitet:
@Pokemon: Ich habe mir den Thread durchgelesen, werde aber nicht ganz schlau draus. Werde ich gleich aber noch mal durcharbeiten, vielleicht fällt dann der Groschen ;-)

Vorschlag von Shirocco aufgegriffen.
Das hat soweit auch geklappt, an den Anschlüssen 2-4 der Fritz Box läuft jetzt das Netzwerk 192.168.3.0.

so wie ich das Posting von PeterPawn im "Parallelthread":
AVM-Anleitung beachten, das ist ein weiteres Subnetz, das weder mit dem LAN bei Alice noch mit dem bei Bob etwas zu tun hat.
verstanden habe, wird hier hier ein standortübergreifendes Subnetz zwischen Standort A (FB_A, Alice) und Standort B (FB_B, Bob) aufgespannt;
technisch könnte dies z.B. durch ein Bridging-Interface ipsecbr pro Box in Verbindung mit l2tpv3 mit VPN-Tunnel als Transit-Netzwerk realisiert werden.

Frage: Hast Du die Ports der Telefonanlage bei FB_A auch schon in das standortübergreifende Subnetz 192.168.3.0/24 definiert und zugeordnet ?
 
Zuletzt bearbeitet:
Könnte man nicht im LAN B einen separaten DECT-Manager betreiben, der DHCP und die Provisionierung der Telefon übernimmt?
 
@ RonbinsonR: Die Idee hatte ich auch schon. Wenn ich die Beschreibung aber richtig verstehe, dann lässt sich pro Installation nur ein DECT Manager einsetzen.

@Pokemon: Ports habe ich keine zugeordnet. Das kann ich aber noch mal probieren, wenn ich herausfinde,welche Ports benötigt werden. Dann müsste es doch reichen, wenn ich nur die Ports des DECT-Managers zuordne, oder?

Zur allgemeinen Information: ich hatte auch schon mehrfach Kontakt mit dem AVM-Suppport, dort konnte mir aber keine Lösung präsentiert werden.
Des Weiteren habe ich jetzt noch ein Support-Ticket bei Bintec geordert und dort den Fall geschildert. Hier warte ich aktuell noch auf eine Rückmeldung.
 
Ports habe ich keine zugeordnet. Das kann ich aber noch mal probieren, wenn ich herausfinde,welche Ports benötigt werden. Dann müsste es doch reichen, wenn ich nur die Ports des DECT-Managers zuordne, oder?

nur die wirklich benötigten Ports zuordenen, d.h. jeweils einen Port von FB_A und FB_B;
ich sehe keinen Grund, warum eine L2TP-Verbindung nicht funktionieren sollte;

siehe auch weiteren Thread mit ipsecbridge-Config http://www.ip-phone-forum.de/showthread.php?t=280437&p=2109486&viewfull=1#post2109486

bei Problemen einfach vpn.cfg (remote hostname, key anonymisieren) sowie Abschnitt ipsecbridge der ar7.cfg von FB_A und FB_B posten.
 
@ Pokemon: Ok, danke für deinen Vorschlag. Ich habe momentan keinen Zugriff auf die Systeme. Ich werde mich am Montag daran probieren und dann berichten.
Noch eine Frage zur Verständnis: Ich bringe in Erfahrung, welche Ports der DECT Manager benötigt, ordne diese in der FB A dem DECT Manager zu und und in der FB B der DECT-Basis?
 
Noch eine Frage zur Verständnis: Ich bringe in Erfahrung, welche Ports der DECT Manager benötigt, ordne diese in der FB A dem DECT Manager zu und und in der FB B der DECT-Basis?

EDIT:
es hängt vom VPN-Design ab:
1.) Design mit brinterface und L2TPv3-Tunnel
Code:
(PC_A1) LAN_A --- FB7490_A --------- Internet ----------- FB7390_B ----- LAN_B (PC_B1)
(PC_A1) LAN_A ------| |                                     | |--------- LAN_B (PC_B2)
                      |eth2                             eth2| 
DECT Manager (A) -----|------------ L2TP Tunnel ------------|----------- DECT Manager (B)
                                       LAN_C

es wird für DECT-Manager ein dediziertes Netzwerk 192.168.3.x verrwendet, das vereinfacht auch das Troubleshooting bei Problemen.

UPDATE: leider unterstützt die VPN-Technik von AVM Out-of-Box kein L2TP, dies geht nur mit Modding per Freetz oder modfs.
Ablauf wäre: eth2 von Bridge "lan" abspalten und der Bridge brinterface zuordnen, anschließend diese per Ethernet-VPN (L2TPv3) verbinden.


2.) VPN-Design mit ipsecbridge-Technik, d.h. neues Subnet LAN_C am Standort B aufklappen
https://avm.de/service/vpn/praxis-t...xen-fuer-einzelne-lan-anschluesse-einrichten/
Code:
(PC_A1) LAN_A --- FB7490_A ---------- Internet ---------- FB7390_B ------ LAN_B (PC_B1)
(PC_A1) LAN_A -----| | |                                    | | |-------- LAN_B (PC_B2)
DECT Manager (LAN_A) + |                                    | |      
                       |-- IPsec Lan2LAN Tunnel (ipsecbr)---| |---eth2--- LAN_C (DECT Basis)

der DECT-Manager am Standort B wird an eth2-Port eingesteckt und per ipsecbridge-Technik dem Netzwerk-Segment LAN_C (192.168.3.x) zugeordnet;
wie odoll in #6 geschrieben hat, erfüllt dieser Design nicht die Anforderungen aus #1 "die Boxen so zu konfigurieren, dass bei FB_B eine IP benutzen kann, die eigentlich im Adresskreis von LAN_A liegt".


3.) FRITZ!Box als VPN-Client mit anderer FRITZ!Box verbinden
Design basierend auf NAT und Proxy-ARP (vpn.cfg: conntype_out/conntype_user)
https://avm.de/service/vpn/praxis-tipps/fritzbox-als-vpn-client-mit-anderer-fritzbox-verbinden/
Code:
(PC_A1) LAN_A --- FB7490_A ---------- Internet --------- FB7390_B ------ LAN_B (PC_B1)
(PC_A1) LAN_A -----| | |                                   | | |-------- LAN_B (PC_B2)
DECT Manager (LAN_A) + |                                   | |---------- LAN_B (DECT Basis)      
                       |-- IPsec Tunnel mit conntype_out --|
am Standort A wird eine VPN-Config mit "vpn.cfg: conntype_user" erstellt,
die Fritzbox am Standort B wird gemäß AVM-Anleitung als VPN-Client configuriert "vpn.cfg: conntype_out",
dadurch kann der DECT-Manager per NAT (IP-Masquerading) und proxy-arp Technik ins Netwerk A eingebunden werden;
dieser Design erfüllt die Anforderungen aus #1 "die Boxen so zu konfigurieren, dass bei FB_B eine IP benutzen kann, die eigentlich im Adresskreis von LAN_A liegt"

EDIT:
Update zu Netzdesign 1.) mit L2TPv3 Tunneltechnik hinzugefügt.
Netzdesign 2.) und 3.) ergänzt.
 
Zuletzt bearbeitet:
Wenn die FBen das mit dedizierten Ports auch im IPsec Bridge Mode könnten, könnte es klappen, aber ich denke Bridge Mode können die nicht, oder bin ich wieder zu alt? ;-)

UPDATE:
@odoll: Du hast Recht bzgl. BridgeMode/L2TP/Ethernet-VPN, das kann die FritzBox (Out-of-Box) nicht!

Mr.Beeper: ich habe mir die AVM Doku zu VPN inzwischen genau angesehen:
https://avm.de/service/vpn/praxis-t...xen-fuer-einzelne-lan-anschluesse-einrichten/
==> Design siehe Posting #12 2.)
==> Anforderung aus #1 "zwei Geräte sollen über VPN-Verbindung hinweg im gleichen Netzsegment befinden" wird NICHT erfüllt;

https://avm.de/service/vpn/praxis-tipps/fritzbox-als-vpn-client-mit-anderer-fritzbox-verbinden/
==> Design siehe Posting #12 3.)
==> Anforderung aus #1 "zwei Geräte sollen über VPN-Verbindung hinweg im gleichen Netzsegment befinden" wird erfüllt;

ich stimme den anderen Diskussions-Teilnehmer zu, dass der DECT-Manager vorab untersucht werden sollte, dass er mit der Basis-LAN2LAN VPN Configuration von AVM https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fritzbox-netzwerken-einrichten/ zurecht kommt.
 
Zuletzt bearbeitet:
@ RonbinsonR: Die Idee hatte ich auch schon. Wenn ich die Beschreibung aber richtig verstehe, dann lässt sich pro Installation nur ein DECT Manager einsetzen.

Bin mir da nicht so sicher.
Die andere Lösung wäre ein DHCP-Server im LAN B, der DHCP-Optionen bearbeiten kann und der DECT-Basis über Option 114 die IP der Hybrid 600 mitteilen kann. Kann man dies nicht manuell konfigurieren? muss das über DHCP-Option 114 passieren?
 
So, nach langer Pause melde ich mich zurück. Entschuldigt, dass ich nicht eher was hören lassen habe, aber ich habe bis heute auf Rückmeldung gewartet, vom Bintec Support. Die offizielle Aussage lautet, dass die DECT-Basis einen Broadcast auf Layer-2 Ebene benötigt, um mit dem DECT-Manager kommunizieren zu können. Ich werde jetzt mal schauen, was ich dazu finde und euch auf dem Laufendem halten
 
Bintec Support. Die offizielle Aussage lautet, dass die DECT-Basis einen Broadcast auf Layer-2 Ebene benötigt, um mit dem DECT-Manager kommunizieren zu können.
Broadcast auf Layer2 wird mit IPsec (AVM-VPN) nicht gehen; Hier wäre OpenVPN im Bridging-Mode als VPN-Software ideal; zur Realisierung reichen zwei Raspberry-PIs.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
244,696
Beiträge
2,216,700
Mitglieder
371,316
Neuestes Mitglied
realbluethunder
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.