Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

[Telefonmännchen]

Das ist kein VPN-Problem,...

Prinzipiell schon, denn das Netz zwischen Firewall und FritzBox ist im Zugriff genau wie das Netz vor der FritzBox (Internet) in der Lösung, in der es in diesem Thread geht. Die eigentliche Aufgabenstellung ist identisch und die Lösung seines Problems könnte sich durchaus hier finden, denn er baut das VPN mit der FritzBox und nicht mit der Firewall auf.

Gruß Telefonmännchen

 

[doc456]

Die eigentliche Aufgabenstellung ist identisch und die Lösung seines Problems könnte sich durchaus hier finden,...

Da muß ich dir leider widersprechen, er kommt ja für eine gewisse Zeit ins Internet, doch dann macht die Zywall mit dem Attack zu und daher hat andilao Recht, es liegt an der Firewall, denn wenn er eine statische Route setzt, dann geht es ohne Sperrung...

 

[Telefonmännchen]

... es liegt an der Firewall, denn wenn er eine statische Route setzt, dann geht es ohne Sperrung...

OK, ich hatte das anders verstanden. Danke für die Aufklärung. Dann sollte es reichen, der Firewall das VPN-Netz als vertrauenswert einzustufen. Aber das ist tatsächlich kein FritzBox-Problem mehr. Wobei ich das Problem aus Sicht der FritzBox nicht ganz nachvollziehen kann.

Gruß Telefonmännchen

 

[doc456]

Wobei ich das Problem aus Sicht der FritzBox nicht ganz nachvollziehen kann.

Es hat auch nichts mit der Box zu tun, denn die ist mittlerweile i.O., sondern nur noch mit der Zywall und da kann und will ich nicht mehr Helfen. Versuch macht Kluch, gell?

 

[F!rsT S0uL]

Das alles funktioniert schon mal im groben und ganzen. Vielen Dank.

Ich habe das ganze nun bei meiner Freundin im Netz getestet.

Es wird alles geroutet, komme auch auf die FB, aber ich kommen nicht auf meinem NAS Server. Unter Mac funktioniert alles.

Netz meiner Freundin:

Client: 192.168.2.X
Router: 192.168.2.1
VPN-IP: 192.168.2.202

Mein Netz:
Client: 192.168.2.X
FB: 192.168.2.1
NAS: 192.168.2.30

Ideen?

Config ist genso wie im ersten Post.

 

[Telefonmännchen]

Ideen?

Ja klar, die Netze...

Netz meiner Freundin:
...
Router: 192.168.2.1
...

Mein Netz:
Client: 192.168.2.X
FB: 192.168.2.1
NAS: 192.168.2.30

Das kann nicht funktionieren. Warum steht auch in der Anleitung unter "VPN und IP - Die Randbedingungen ".

Gruß Telefonmännchen

 

[KunterBunter]

Ihr habt also beide das gleiche Netz? Und wie soll das dann gehen, dass von einem ins andere Netz geroutet wird?
Verbindung zwischen zwei Netzwerken einrichten siehe Voraussetzungen

@Telefonmännchen: Doppelt hält besser

 

[F!rsT S0uL]

Verdammt! Voll Peinlich.
Hätte ich mir auch denken können.
Danke Jungs

 

[Freedom15]

"Anmeldung beim Internetanbieter ist fehlgeschlagen. duplicate address detected"

Hallo,

ich habe versucht der Anleitung zu folgen, komme aber leider nicht weiter.

Schritt 1 klappt wunderbar - die CFG-Dateien ohne Änderungen ermöglichen eine VPN Verbindung.

Wenn ich allerdings wie in Schritt 2 beschrieben die Zeile
accesslist = "permit ip any 192.168.178.201 255.255.255.255";
einfüge, habe ich an dem an der Fritz!Box hängenden Rechner kein Internet mehr.
War sehr überrascht, doch wenn ich die VPN Einstellungen wieder lösche, dann geht es wieder.
Ansonsten gibt es die Fehlermeldung: "Anmeldung beim Internetanbieter ist fehlgeschlagen. duplicate address detected"

Meine Fritz!Box hat eine feste IP nach Außen und ich möchte von einem Arbeitsrechner aus mit dieser festen Außen-IP ins Internet.

Könnt ihr mir da weiter helfen?

 

[aquarium]

Du müsstest etwas mehr Infos liefern:
Du hast eine statische IP beim Provider? Wie ist der Internetzugang auf der FB eingerichtet?

 

[Freedom15]

Du müsstest etwas mehr Infos liefern:
Du hast eine statische IP beim Provider? Wie ist der Internetzugang auf der FB eingerichtet?

Ja, meine statische IP ist vom Provider vergeben.
Die FB ist ständig mit dem Internet verbunden. Der Provider ist Alice.

Ziel ist es eine Verbindung von einem entfernen Rechner (im LAN und mit D-LINK Router) herzustellen (ausgehend von dem entfernten Rechner), sodass ich mit der statischen IP der FB hier bei mir zu Hause surfen kann.

Problem war, dass beim 2. Schritt die Verbindung hier zu Hause nicht mehr ging.

 

[KunterBunter]

Im 2. Schritt steht nicht Zeile einfügen, sondern Zeile austauschen. Kann es daran schon liegen?
Hast du einen ganz normalen DSL-Anschluss? Bei welchem ALice-Tarif erhält man eine statische IP-Adresse?

Bitte keine Vollzitate!

 

[Freedom15]

Im 2. Schritt steht nicht Zeile einfügen, sondern Zeile austauschen. Kann es daran schon liegen?

Ich habe die Zeile natürlich ausgetauscht.

Hast du einen ganz normalen DSL-Anschluss? Bei welchem ALice-Tarif erhält man eine statische IP-Adresse?

Alice Comfort bietet eine statische IP.

Muss ich an "192.168.178.201" in der Zeile vielleicht etwas anpassen? // würde mich wundern, da das Problem ja schon ohne eine VPN Verbindung, sondern nur beim "reinladen" der CFG auftritt...

Ich versuche das besser zu erklären:

Ich habe hier bei mir zu Hause einen Alice DSL Anschluss (Comfort Tarif) mit einer statischen IP.
Meine FB ist also ständig mit der gleichen IP mit dem Internet verbunden.

Ich habe an einem anderen Ort einen zweiten Rechner (in einem LAN und an einem D-Link Router), dieser soll durch die VPN Verbindung zur FB mit ihrer statischen IP ins Internet.
Die ganz normale VPN Verbindung ohne Modifikationen hat geklappt.
Sobald ich aber den Schritt 2. ausgeführt habe und die CFG-Datei in die FB geladen habe, hatte ich auf einmal keine Internetverbindung mehr. Der Fehler ist oben aufgeführt bzw.
"Anmeldung beim Internetanbieter ist fehlgeschlagen. duplicate address detected"

Ich wäre auch für Alternativen dankbar, wie ich ans Ziel kommen kann.

 

[Freedom15]

Habe in einem anderen Forum folgende Konfiguration der FB CFG gefunden aber noch nicht ausprobiert.
Ich mache das noch heute, wenn aber jemand weiß, was ich da genau ändere - wäre super das auch zu wissen.
Nicht, dass ich meine FB nun für alles mögliche von Außen her öffne...

}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 0.0.0.0 0.0.0.0 192.168.1.220 255.255.255.255";
} ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

 

[KunterBunter]

Nein, du öffnest sie nur für einen Rechner, den mit der VPN-IP-Adresse 192.168.1.220.
Welche VPN-IP-Adresse hat dein Fritz-Fernzugangs-PC? Was steht überhaupt in deiner accesslist bisher drin?

 

[Freedom15]

Ich habe nun eine neue CFG erstellt und diese entsprechend der Anleitung wieder modifiziert.
Die modifizierte CFG lässt sich nun ohne Probleme UND MIT vorhandener Internetverbindung in die FB laden.
Der Fehler tritt nicht mehr auf.

Ich werde die anderen Schritte morgen ausprobieren.
Muss sich um einen Tippfehler gehandelt haben. Kann mir das anders nicht erklären. Die CFG Files sind aber identisch...

Hauptsache es funktioniert nun.

 

[caesar68]

Nachdem ich jetzt monatelang dank Anleitung mit verschiedenen Android Geräten (z. B. mittels VPNC-Widget) meinen gesamten Internetverkehr über die 7270 und später 7390 erfolgreich umgeleitet habe - komme ich seit gestern nur noch ins lokale Netz: also nichts mehr mit Umleitung des Rest-Internets.
Auf Android-Seite habe ich nichts geändert. Auf der 7390 habe ich allerdings die aktuelle Labor 21785 aufgespielt (vorher war die reguläre Firmware im Einsatz). Änderungen an der Konfiguration habe ich nicht vorgenommen. Und der VPN Zugang selbst funktioniert ja auch noch, nur die Weiterleitung des kompletten Verkehrs nicht mehr.
Ich habe jetzt im Internet gesucht, ob es irgendwo noch eine neue versteckte Einstellung in der Box gibt (neues Flag etc.) aber nichts auf Anhieb passendes gefunden. Die Datei /var/flash/vpn.cfg ist auf der Box auch noch unverändert. Insbesondere was permit ip und ike_forward_rules angeht.
Hat jemand eine Idee? Fehler in der Firmware - oder Absicht - oder muss ich was an der Konfiguration drehen?

 

[caesar68]

Ich habe die Lösung jetzt selbst gefunden: Es gibt tatsächlich ein neues Flag unter Internet -> Filter -> Listen: NetBIOS Filder aktiv. Das Flag ist standartmäßig gesetzt und heißt "Dieser Filter sperrt NetBIOS-Pakete, die normalerweise für die Kommunikation im Internet nicht benötigt werden. Deaktivieren Sie diesen Filter nur dann, wenn Sie Anwendungen einsetzen, die NetBIOS-Pakete mit dem Internet austauschen müssen."
Wenn ich das Flag entferne gehen jetzt wieder alle Pakete über den Tunnel.

Soweit bin ich zufrieden. Frage an die Profis:Irgendwie habe ich NetBIOS immer mit Namensauflösung in Windowsnetzwerken in Verbindung gebracht und daher das Flag nicht ernst genommen. In meinem ganzen Netzwerk befinden sich aber nur Rechner mit Ubuntu oder anderen Linux-basierten Netzwerkgeräten: daher eher aus Neugierde: was passiert hier bei Deaktivierung des Filters?

 

[Panther999]

Hallo Leute,
ich brauche mal eure Hilfe.

Bin genau wie im ersten Post vorgegangen.
Meine Konfig:
Mein Netz: 192.168.178.x
dyndns über selfhost

Client: 192.168.1.x
vpn-ip: 192.168.178.201

Kommt immer, Die Gegenstelle kann nicht aufgelöst werden. Was mache ich falsch?

Hier noch ein Screenshot der ip Konfiguration des Client PC's:


Hier noch meine Konfig von zuhause:


Was kommt jetzt genau in die cfg's? Hab schon verschiedene ausprobiert, aber kommt immer obengenannte Fehlermeldung.

Gruß Mike

 

[drischnie]

Habe es auch eingerichtet und es funktioniert wunderbar. Alles perfekt.

Jetzt meine Frage:

Ist es möglich den Client so zu "verbiegen", das er Anfragen ins Internet wirklich nur anfragt, wenn die Fritz-VPN-Verbindung besteht?
Sollte sie nicht bestehen, darf er auch keine Anfragen raus schicken. Warum usw. kann man sich sicher denken.

OS ist Windows 7