L2L Problem zwischen 2 7590

[dg2drf]

Ich hab da ein Problem mit dem neu eingerichteten VPN zwischen 2 7590..

172.26.x.x/16-------FB1(7590) --------DSL--------------FB2(7590)--------192.168.0.x/24
Der VPN Tunnel steht (ist grün in beiden 7590), Die Netzwerke sind auch auf beiden Seiten richtig eingetragen.

zum Problem: Wenn ich von meinen 172.26.x.x Client auf einen Rechner im 192.168.0.x zugreifen möchte, funktioniert das nicht. Bei einem Traceert auf die 192.168.0.x sehe ich nur die IP vom FB1 und den Client, allerdings mit der getracerten IP.
Ist die VPN Einrichtung bei der FB buggy oder hab ich da noch ein Gedankenfehler ?????

 

[eisbaerin]

Ist die VPN Einrichtung bei der FB buggy

Dazu solltest du uns mal die VPN Einstellungen von beiden Seiten zeigen.
Stehen in der Sicherungsdatei.

 

[Hoellri]

Handelt es sich auf beiden Seiten um Windows-Computer? Dann musst Du auf beiden Seiten die Firewalls entsprechend öffnen. Je nach Art des 'Zugriffs'.

 

[dg2drf]

@Hoellri : Tritt auch bei nicht Windows auf. (Switch, MFC-Gerät). Andere: Warum liefert dann ein Tracerte nur mein Router und PC und nicht den Remote Router ?

-- Aktualisiert --

@eisbaerin
Anbei schon mal meine VPN Datei. Die andere folgt

Zweite Datei (fb2) zugefügt

 

[dg2drf]

@eisbaerin : Schon was ungewöhnliches in den vpn Dateien entdeckt ?

 

[eisbaerin]

Nein, sollte IMO alles richtig sein.
Aber vielleicht findet ein anderer noch was.

Ungewöhnlich ist nur das 172er Netz und die /16.
Das wird sehr selten verwendet, von daher kann man nicht sagen ob das schon mal einer so laufen hat.

Auf die andere FB kommst du über diesen VPN?

 

[PeterPawn]

Ich hatte ja die Hoffnung, daß jemand bei sich einfach mal ebenfalls ein "traceroute" macht und dann feststellt, daß das in #1 beschriebene Verhalten vollkommen normal ist.

Die entfernte FRITZ!Box zählt (aufgrund der Arbeitsweise des AVM-VPN) nicht als "hop", damit wird der TTL-Counter (im verschlüsselt transportierten Paket) nicht dekrementiert und damit wird auch bei TTL=2 der Zustand "TTL abgelaufen" nicht in dem Moment erreicht, wo das Paket auf der entfernten FRITZ!Box entpackt wird - der nächste Hop ist schon der entfernte Client.

Ohne diesen Ablauf der "time to live" (ein einfacher Zähler, der von jedem Router auf dem Weg des Pakets um eins dekrementiert wird) erfolgt aber keine "Rückmeldung" mit dem passenden ICMP-Reply-Paket an den Absender.

So what ... where's the (real) problem?

Die FRITZ!Boxen arbeiten beim VPN nicht als Router - man sieht es (wenn man so will, obwohl das Bild etwas schief ist) schon daran, daß es keine Routen für die entfernten Netze gibt.

Ob das bei einer Verbindung vom Typ "conntype_user" ggf. sogar anders ist, müßte ich auch erst überprüfen - hier wird ja tatsächlich der Weg über die Routing-Table genommen und so gibt es auch einen entsprechenden Eintrag für den entfernten Client über "dev dsl" (LAN2LAN geht über die Default-Route). Allerdings bedeutet das auch noch nicht zwingend, daß der Counter dekrementiert wird - das KANN man machen, MUSS es aber nicht (ist reine Frage der Philosophie).

 

[dg2drf]

@PeterPawn : Normalerweise erwarte ich, das auf einem Ping bzw. Tracerte richtig geantwortet wird. (um zu testen, ob alles stimmt und ich die Gegenstelle erreiche. Aufgrund der falschen Antwort bin ich davon ausgegangen, das da irgendwas nicht stimmt bzw die Web-konfiguration mist gebaut hat. Aufgrund deiner Ausführung hab ich mal mit dem Webinterface von dem Switch des anderen Netzes probiert und bin da drauf gekommen. Ist nur ..... das AVM einen nicht darauf hinweist, das das mit ping/tracert nicht geht.
Bei Cisco VPN bekomme ich die richtige Antworten vom anderen Netz ......


@eisbaerin : Der 2. vpn ist nie gegangen, theoretisch kann man damit über myfritz! über das Handy die Fritzbox konfigurieren können. Innerhalb des WLAN geht es, sobald ich das über LTE machen möche geht das nicht, die VPN Verbindung schlägt fehl. (Myfritz! richtet die VPN Verbindung auf Fritzbox und Handy selbstständig ein).
Vielleicht hängt das damit zusammen, das ich im Handy-Netz noch als Home User bin und nicht als Geschäftskunde ??
Wieso ist das 172er Netz und die /16 ungewöhnlich ? Ist Standard Class B. ( ausser das es privat ein bischen überdimonisiert ist, ich das aber wegen anderen Tests das brauche.)

 

[Micha0815]

U.U. arbeitest Du bei zwei Fritz!Boxen am *DSL, wo eine z.T./zeitweise via LTE verbunden ist, besser nach dem Initiator/Responder-Prinzip.

Ändere dies mal testweise entsprechend ab bzgl. always_renew ... keepalive_IP und leerem remotehostname.

Falls Dein Handy eine VPN-Verbindung selbstständig aufbauen kann, nutze diese als VPN-Client nur in der Responder-FB und die AVM-APP nur fürs WLAN.
Im Normalfall reicht dann ein VPN-Account für beide Netze "von Aussen/Mobilfunk" wenn die accesslist(en) vollständig sind.
Btw. ike_forward_rules keine definiert?
LG

 

[dg2drf]

@Micha0815 : Die VPN Verbindung wird nicht aufgebaut. Ebenso habe ich keinen speziellen VPN User anlegen müssen.
Bei der Einrichtung von Myfritz! musst du nur im WLAN sein. Dann Startest Du Myfritz! und das Programm sucht eine Fritzbox im WLAN. Nach dem finden brauchst du dich nur mit Benutzer Namen und Passwort anmelden, der Rest von von myfritz! und der Fritzbox alleine gemacht ........
Myfritz! benutzt nur das WLAN innerhalb ; und bei LTE wird die Verbindung über das VPN hergestellt.

 

[Micha0815]

Die VPN Verbindung wird nicht aufgebaut

Es kommt keine LAN2LAN-Verbindungt zustande? Dieser Tage las ich etwas zu den Unterschieden bzgl. keepalive-IP und allways_renew hier im Forum bzw. dessen gleichzeitige Verwendung.
Grundsätzlich sollte man aber eine LAN2LAN-Verbindung mit der o.g. Rollenverteilung noch via Vorlagen-Import hinbekommen, auch wenn ich noch keine FB7590 mit aktueller FW7.10 dahingehend testen konnte.

Die Funktion+Einrichtung der MyFritz-APP (zumindest bei der Android-Version) ist mir bekannt. Ich nutze allerdings auf einem G900FD (Samsung S5DUO) die interne VPN-Funktion, sodass ich ohne Probleme auf 3 hintereinander geschaltete FBs komme und auch auf eine Initiator-FB, die via span. Mobilfunkprovider LAN2LAN mit der zentralen FB verbunden ist. (Das Netz der accesslist hinzugefügt).
Die Editierbarkeit würde ich besser ausschalten, da ich damit vor geraumer Zeit Probleme hatte. Diverse Vorlagen zu importieren ist oft schneller und einfacher ... ggfs. auch via Fernzugriff, falls eine öffentliche IP/DynDNS-Service eingerichtet.
Zweckmässiger Weise, falls man keine physichen Helferlein an beiden Anschlüssen hat, hält man sich an der Initiator-FB auf testet von dort aus. Die Sicherheits-Option mit dem 2FA-Knöppchen-Drücken-für-bestimmte-Aktionen sollte man vorab dazu abschalten.
LG

 

[dg2drf]

Diew LAN2LAN Verbindung funktioniert im Gegensatz zu der Myfritz! Verbindung. Die eine Verbindung hat bei mir nichts mit der anderen zu tun. Die LAN2LAN Verbindung ist zur Wartung eines entfernten Netzwerkes; die andere um auf meine FB von unterwegs aus per Handy verwalten zu können. Meine FB hat eine öffentliche,statische IPV4 Adresse.

 

[Micha0815]

Wenn ich von meinen 172.26.x.x Client auf einen Rechner im 192.168.0.x zugreifen möchte, funktioniert das nicht

...

Der 2. vpn ist nie gegangen

...

Diew LAN2LAN Verbindung funktioniert im Gegensatz zu der Myfritz! Verbindung. Die eine Verbindung hat bei mir nichts mit der anderen zu tun.

Sorry, aber das Ganze ist eher undurchsichtig, was nun geht, was nicht und von wo aus (fremdes WLAN, Mobilfunk, das WLAN/LAN der FB1 als Client) Du worauf Zugriff haben möchtest. Auch "My!Fritz" als Verbindung (meinst Du die APP auf einem Smartphone oder den DynDNS-Service von AVM) solltest Du besser erläutern, damit man Dir ggfs. einen Lösungsweg vorschlagen kann.

LG

 

[dg2drf]

"My!Fritz" als Verbindung (meinst Du die APP auf einem Smartphone"
Genau diese Verbindung funktioniert nicht.

Mit der LAN2LAN hatte sich geklärt und funktioniert.

 

[KunterBunter]

"My!Fritz" als Verbindung (die APP auf einem Smartphone" Genau diese Verbindung funktioniert nicht.)

Dann musst du die FRITZ!App2 erstmal einrichten. Siehe hier.

 

[dg2drf]

@KunterBunter :

Laut normaler Einrichtung soll das hiernach gemacht werden: https://avm.de/service/fritzapps/my...ow/3266_MyFRITZ-App-2-fur-Android-einrichten/

Also laut Aussage also die default Einrichtung "buggy" ; man muss also manuell die VPN Verbindung einrichten, damit das funktioniert. OK, ich richte dann den Zugang manuell ein.

 

[KunterBunter]

Also laut Aussage also die default Einrichtung "buggy"

Nein, nur der Satz ist "buggy".

 

[dg2drf]

Nein, nur der Satz ist "buggy".

Nach deiner Einrichtung (manuell) geht die Verbindung.

Laut Standard Einrichtung (wie es laut AVM gemacht werden soll) geht es nicht.

Frage mich dann, warum dann der Satz buggy sein soll, wenn die automatische, dokumentierte Einrichtung von Myfritz!APP nicht funktioniert ?

 

[KunterBunter]

Mit der von dir verlinkten Anleitung kann es nicht gehen, weil es in dieser gar nicht um VPN geht. Sie beschreibt den normalen Internetzugriff per HTTPS.

Frage mich dann, warum dann der Satz buggy sein soll

Dieser Satz kein Verb und zwei "also".

 

[dg2drf]

Mit der von dir verlinkten Anleitung kann es nicht gehen, weil es in dieser gar nicht um VPN geht. Sie beschreibt den normalen Internetzugriff per HTTPS.

Also nach meiner Anleitung hab ich unter VPN dann einen Eintrag "MyFRITZ!App 2" , welches das ICON von der "MyFRITZ!App" auf dem Smartphone (Eintrag ist nicht editierbar)

Wenn das ein normaler HTTPS zugang sein soll, warum wird dann dieser unter VPN angelegt ?