Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

[kriser]

Cool,
habe ich gefunden.
Wie und wo trage ich die jetzt in die Config ein ?
Sorry, bin kein Netzwerkfreak.

 

[KunterBunter]

Bei remoteip = a.b.c.d; statt remotehostname = "dein.dyndns.org".

 

[kriser]

Ist ja die Zeile darüber.
Was mach ich denn mit der "remotehostname = "-Zeile ?

 

[kriser]

Sorry für die verzögerten Antworten, aber ich komme nur nach oder vor der Arbeit, im Hotel ins Netz.
So hab alles ausprobiert aber es funktioniert nicht.
Meine config sieht jetzt so aus:

name = "xxx.dyndns-free.com";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.178.xxx;
                remoteip = 1xx.xx.x.xxx;
                .
                .
                accesslist = "deny ip any 202.106.0.20 8.8.8.8","deny ip any 172.16.0.0 255.255.252.0",
			"permit ip any 192.168.178.0 255.255.255.0",
                             "permit ip any any";

Die remotehostname-zeile habe ich gelöscht.
Diese Variante führt wieder zu einer Zeitüberschreitung.
Vielleicht liegt das Problem aber auch bei dyndns und der GCF oder dem Hotelnetz ?
Vielen Dank schonmal für alle bisher erhaltene Hilfe.
kriser

 

[KunterBunter]

Was sollte das Global Certification Forum damit zu tun haben?
In der accesslist fehlen auf einmal die Zeilen, um IPSec nicht zu tunneln:
"reject udp any any eq 500",
"reject udp any any eq 4500",

Am Anfang waren sie doch da.

 

[kriser]

GCF = Große Chinesische Firewall, eigentlich Great Firewall of China also eher GFC
aber davon abgesehen funktioniert es auch mit den Zeilen nicht.

 accesslist = "deny ip any 202.106.0.20 8.8.8.8","deny ip any 172.16.0.0 255.255.252.0","permit ip any 192.168.178.0 255.255.255.0","reject udp any any eq 53", "reject udp any any eq 500","reject udp any any eq 4500","permit ip any any";

Ergebnis ist ein Timeout.
Ich glaube ich muß mich damit abfinden noch die nächsten 5 Tage ohne VPN zu leben und dann bin ich gottseidank wieder zu Hause.

grüße kriser

 

[imagomundi]

Ich lese hier schon seit Bestehen dieses Threads mit und habe mich ab und zu auch mit Konfigs versucht - nie mit richtig überzeugendem Erfolg - Thema war mir bisher aber auch nie besonders wichtig.

Dieser Tage habe ich mich aber ernsthaft damit beschäftigt, und zwar einmal mit einem Netbook als fernangebundenen PC und eine 7270 v2 bei mir zu Hause. Meine Versuche berühren auch ein wenig den Thread [thread=169207]"nokia vpn"[/thread], weil ich als ferne Geräte auch ein NOKIA N8 und ein NOKIA 701 mit der selben 7270 zu verbinden versuche (wegen VoIP).

Dabei sehe ich ein gemeinsames Problem und ebenso eine gemeinsame Lösung der NOKIAs und des Netbooks:

Die Netbook-Verbindung versuche ich mit FRITZFernzugang und mit SHREW, die Verbindung der NOKIAS mit den IPSec Clienten der NOKIAs.

Meine Fernanbindungsmöglichkeiten sind:

1. eine FB 7170 in meinem Büro, die als Client in einem LAN hängt, das von einer 7240 zentral gemanagt (Modem + Router) wird. Die 7240 administriere ich ebenfalls.

2. Ein UMTS-Modem/Router (HUAWEI C5).

Folgende Konfigurationen funktionieren (leider) nicht bzw. funktionieren:

1. Über das LAN-Netz wird weder über Shrew noch über FRITZFernzugang ein VPN mit dem Netbook hergestellt - auf der 7270 zu Hause wird allerdings immer angezeigt "wird aufgebaut" bzw. im (entfernten) Shrew-Client wird der Tunnel als aufgebaut angezeigt - zum Datenaustausch kommt es aber nicht, der Tunnel wird nach einiger Zeit wieder abgebaut und "meine IP" zeigt auch nie die IP der 7270 an.

Gleiches gilt auch für die Herstellung einer VPN-Verbindung mit den NOKIAs.

Das gilt auch, wenn ich das Netbook bzw. die NOKIAs unter Umgehung der 7170 direkt an das LAN (Netbook) bzw. WLan (Netbook und NOKIAs) der zentralen 7240 anbinde.

2. Shrew über den UMTS-Router funktioniert nicht.

3. Ordentlich hergestellt werden die Verbindungen allerdings über den UMTS-Router - und zwar sowohl für das Netbook mit FRITZ-Fernzugang als auch mit den beiden NOKIAs über die geräteeigenen IPSEc Clients.


Die wichtigen internen IPs lauten:

- 7240 (Modem-Router im Büro): 192.168.178.1
- 7170 (Client der 7240): 192.168.178.11 (feste Client-IP)

- 7270 v2 zu Hause: 192.168.173.1


DNS-Server-IP des Büro-Netzes sind: 216.146.35.35 und 216.146.36.36
Die WAN-IP des Büronetzes beginnt üblicherweise mit 201.210.xxx.xxx

Die abgeänderten Access-Listen sind entsprechend umfangreich. Ich stelle sie hier zunächst deshalb nicht dar. Sie schliessen allerdings "deny" ein für die beiden DNS-Server und das Netz 192.168.178.0 - das zusätzlich zu den in # 1 und von AVM auch automatisch erzeugten "deny" IPs bzw. "reject any" zu den udp Ports 53, 500 und 4500.

Idealerweise sollen natürlich sämtliche VPN-Verbindungen über die FRITZBoxen hergestellt werden, weil kostenlos. Der UMTS-Router hat (zumindest derzeit noch) keinen Flat-Tarif.

Bevor die Frage nach einem Provider gestellt wird: Ich bin nicht in Deutschland, sondern im nördlichen Südamerika. Internet-Provider ist CANTV, UMTS-Provider ist "Digitel".

 

[annexa]

Nicht sicher ob ich deinen Beitrag richtig verstanden habe, aber die ip's der Boxen müssen verschieden sein. Z.b.
192.168.178.0
192.168.10.0
192.168.20.0

Schon lange nicht mehr gemacht, kann man direkt auf der fb Oberfläche machen, glaube unter system.

* nur die ip's der Boxen die du mit VPN verbindest müssen verschieden sein (eine deiner Boxen scheint ja nur hinter ner andern als Client zu hängen

 

[imagomundi]

* nur die ip's der Boxen die du mit VPN verbindest müssen verschieden sein (eine deiner Boxen scheint ja nur hinter ner andern als Client zu hängen

Es sind insgesamt 3 Boxen im Spiel: im Büro eine 7240 und als Client dahinter eine 7170 - zu Hause eine 7270. Die "Firma" hat einen gemeinsamen DSL-Anschluß, der über die von mir "zentrale" genannte 7240 hergestellt wird. Diese Box hat nach innen die Standard-IP 192.168.178.1. Davon geht mit Hilfe eines Switch in jedes Büro per Kabel ein Lan-Anschluß. Wenn an einen solchen Lan-Anschluß ein Client gehängt wird, gibt ihm die 7240 routinemässig eine IP aus ihrem flexiblen Bereich ab 192.168.178.20.
Damit ich den Anschluß in meinem Büro auch mit WLan (Handy) nutzen kann, habe ich in meinem Büro eine 7170 als Client (Signal-Eingang über Lan1 im IP-Client-Modus = vorhandene Internetverbindung mitbenutzen) hängen, die an der 7240 mit einer festen IP eingerichtet ist (192.168.178.11).

Zu Hause steht als Gegenstelle, zu der die VPN-Verbindung aufgebaut werden soll, eine 7270 v2 mit der IP 192.168.173.1 - also unterschiedlich zum internen Büronetz. Über den UMTS Router funktioniert das ja auch - es soll aber aus Kostengründen über die Internetanbindung laufen, was aber leider nicht funktioniert.

 

[annexa]

Sorry, das hatte ich überlesen, zu früh und und zu klein (ich lese auf smartphone). Muss ich mir noch mal in Ruhe angucken.

Wenn ich dich richtig verstehe und mal alles ausklammere was hinter den Boxen 7240 und 7270 hängt, beschreibst du das Standard Szenario (Beitrag 1) und das klappt nicht. Ich hatte das eine ganze Weile ohne Probleme laufen bin dann aber zu Openvpn übergegangen.

Kann ja eigentlich nur ein Fehler in deiner config sein oder ne neue Firmware (dann müssten sich aber noch andere hier melden) - oder aber ich verstehe es nich und Schlaf besser noch eine Runde

 

[andilao]

Wenn der Shrew-Soft-Client bei Dir generell nicht geht, deutet das eher auf einen Konfigurationsfehler hin.
Das 7240-7170-Doppel-NAT dürfte evtl. funktionieren, wenn die 7170 das VPN initiiert. >> http://www.ip-phone-forum.de/showthread.php?t=237914&p=1738757&viewfull=1#post1738757

 

[imagomundi]

Danke für die Hinweise. Werde jetzt am Montag erst einmal die 7170 als NAT-Router mit eigenem IP-Netz einrichten. Hatte ich schon mal -aus anderem Anlaß- meine aber, mich zu erinnern, daß dabei irgendwie das ganze Sub-Subnetz nicht funktionierte.

 

[imagomundi]

Der Einfachheit halber habe ich jetzt erst einmal die hinter der 7240 im Büro hängende 7170 rausgenommen und das Netbook direkt ans LAN der 7240 gehängt. Test mit Internetanbindung sowohl über das WLan als auch über das Lan der 7240 bringen keine Änderung - sowohl bei FritzFernzugang als auch bei Shrew jeweils in der zu Hause stehenden FB VPN "wird aufgebaut" - bei Shrew über beide AP jeweils "TimeOut" - bei Fernzugang über Lan ebenfalls TimeOut und bei WLan bleibt es auch im Client im "Aufbauen", allerdings OHNE Ende.

Über UMTS und SHREW: "network device configured" und "tunnel enabled" - in der FB zu Hause wird weiterhin "wird aufgebaut" angezeigt. "Wieistmeineip" wirft eine IP (190.121.238.184 - ein anderes Mal 190.121.239.142) aus, die weder der WAN-IP der FB zu Hause (190.205.133.136) entspricht noch der WAN-IP der 7240 im Büro (201.210.252.219).
Fernzugang über UMTS meldet als einziger "Verbindung hergestellt" - allerdings auch hier das selbe Phänomen wie bei SHREW: die angezeigte WAN-IP ist weder die der 7270 zu Hause noch die der 7240 im Büro!

EDIT: Mit den beiden NOKIAS und dem geräteeigenen VPN -(IPSec)Client klappt die Verbindung über den UMTS-Router fehlerlos - es wird auch jeweils die IP der FB zu Hause angezeigt.

 

[rennstrecke]

Servus zusammen,

eines vorweg: Ich gebe zu ich habe nun nicht alle 18 Seiten hier durchgelesen.
Habe ein bestehendes VPN zwischen zwei FritzBoxen. Würde nun aber gerne den gesammten Traffic Aus Netz A über Netz B laufen lassen. Die Anpassung der Config auf der ersten Seite bezieht sich ja auf eine Client VPN Einwahl.

Welche Änderungen muss ich durchführen um den gesammten Internetverkehr von Box A an Box B zu leiten?

 

[Telefonmännchen]

Wenn Du die neuste Version der AVM-Software nutzt, dann kannst Du das bei der Erstellung der VPN-Verbindung angeben und ersparst Dir die manuelle Anpassung der Konfigurationsdateien. Siehe auch den dementsprechenden nachträglich eingefügten Hinweis im ersten Posting. Außerdem, warum sollen andere Dir den Inhalt der vorherigen Seiten nochmals vorkauen? Noch dazu, wo Du mehr als sparsam mit Daten zur eigenen vorhandenen Konfiguration bist. Darum kann die Antwort auf Deine Frage:

Welche Änderungen muss ich durchführen um den gesammten Internetverkehr von Box A an Box B zu leiten?

nur lauten. Du musst die Konfigurationsdateien beider Boxen an Deine Gegebenheiten anpassen. Beide Dateien sind ja ähnlich aufgebaut und es sind ja auch nur wenige Parameter anzupassen. Welche das sind, steht im ersten Post.

Gruß Telefonmännchen

 

[Tolar]

Hallo,

Ich bin neu hier und nutze -dank Anleitung in Post 1 -Internet via VPN über mein iPad & iPhone. Es klappt alles, auch VoIP, wenn ich mit den iOS Geräten über die SIM direkt uns Netz gehe. Nun mein Problemm und Bitte um Hilfe. Stehe in Ungarn auf dem Camping und gehe ùber einen Huawei e5 mit einer SIM von Vodafone Ubgarn ins Netz. An diesem Router hängen Phone und Pad per WLAN.

VPN zur Fritz 7390 daheim geht, aber nur aufs interne Netz. Damit fällt u.a. Sipgate flach, was ich aber dringend brauche.

Habe im Huawei Router die 192.168.1.1 mit Subnetz 255.255.255.0. Fritz zu Hause hat 192.168.178.1 und gleiches Subnet. Das dürfte - wenn ich hier alles richtig verstanden habe - das Problem sein.

Ich kann von hier aus die Config der Fritz ja nicht ändern ( bzw. traue mich nicht) - Subnatz im Huawei kann ich nicht anpassen, ginge das bei der Fritz von hier aus und würde das helfen??

Sorry für die blöde Frage, will aber nichts final verdaddeln .... Helft Ihr mir?

VG Peter

 

[buecke]

Sorry für die blöde Frage, will aber nichts final verdaddeln .... Helft Ihr mir?

Hej!

Da es über 3G normalerweise funktioniert und du immerhin auf das FRITZ!Box zugreifen kannst, liegt der Fehler vermutlich bei den Einstellungen im iPhone. Ich kann mir vorstellen, dass die Namensauflösung nicht mehr funktioniert, da die Konfiguration des iPhones nicht an Router-Betrieb angepasst wurde.

Ich kenne mich mit iPhones nicht aus, kann mir aber generell zwei Lösungen vorstellen:

1. Änderung der accesslist im iPhone gemäß Punkt 3 PC im LAN mit 192.168.1.0 255.255.255.0
2. Einstellung eines anderen DNS-Servers, z.B. Googles 8.8.8.8

Viel Glück!

Viele Grüße
buecke

 

[Tolar]

Guten Morgen & Danke,

DNS habe ich geändert. Klappt leider nicht. Damit verbleibt eigentlich nur, dass ich hinter meinem Router sitze.
Hier meine Wege ins Netz

Ohne VPN: iPad - WLAN Huawei E5 - Vodafone 3G - Internet = alles ok
Mit VPN: iPad - WLAN Huawei E5 - Vodafone 3 G - VPN zu Fritz 7390 (Subnetz erreichbar, NAS, Cam usw.) - Internet = geht nicht, " Seiten können nicht geöffnet werden, da keine Verbindung zum Internet besteht"

Konfiguration VPN in Fritz wie in Post 1, DNS iPad wie im Vorposten 8.8.8.8

Doch das Problem mit den gleichEn Subnetzen? Wie kann man das ändern?

Wenn man im Hotel sitzt, ist es doch auch nichts anderes, oder?

Vielleicht fällt noch jemandem etwas ein?

Viele Grüße
Peter

 

[HabNeFritzbox]

VPN Verbindungen in der FB einmal ausmachen und wieder anmachen. Danach sollte die FB auch über VPN wieder DNS auflösen. Der DNS Bug ist hier doch bekannt seid mehren Firmware Versionen.
Anderer DNS kann auch in der FB für alle Geräte eingetragen werden, und braucht nicht extra in die Konfig.

Aktiviere dir die Fernwartung, damit du VPN wieder aktivieren kannst von unterwegs

 

[KunterBunter]

Doch das Problem mit den gleichen Subnetzen?

192.168.1.1 und 192.168.178.1 sind unterschiedliche Subnetze. Du verwechselst Subnetz und Subnetzmaske.