VPN Fritzbox 7170 Zugriff Box und Netzwerk

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
C

christoph1981

Neuer User
Mitglied seit
3 Jul 2009
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo,
ich habe eine Fritzbox im Netzwerk 192.168.2.0 mit IP 192.168.2.1. Die Rechner bekommen IPs per DHCP im Bereich von 192.168.2.20 - 192.168.2.200.

Ich habe über die Anleitung von AVM VPN eingerichtet. Ich kann mich auch verbinden - nur leider habe ich weder auf die FritzBox noch auf die Rechner einen erfolgreichen Ping resp. Zugriff.

Könnt Ihr euch die beiden Files mal ansehen. M.E. ist die Konfiguration von Box und User in Ordnung.

fritzbox_XXX.cfg
Code: 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "XXX";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.2.220;
                remoteid {
                        user_fqdn = "XXX";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "XXX";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.2.220;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.2.0 255.255.255.0 192.168.2.220 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

vpnuser_XXX.cfg
Code: 
version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "XXX";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.2.220;
                remoteip = 0.0.0.0;
                remotehostname = "XXX";
                localid {
                        user_fqdn = "XXX";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "XXX";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.2.220;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";
                wakeupremote = no;
        }
}


policybindings {
}

Vielen Dank schon im Voraus!

Grüße

Christoph
 
Versuch mal in der vpnuser.cfg Folgendes:

accesslist = "permit ip any 192.168.2.0 255.255.255.0 192.168.2.220 255.255.255.255 192.168.2.1 255.255.255.255";
Zum Vergrößern anklicken....
 
[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
Werd ich gleich mal machen. Kann ich das direkt in der CFG Datei machen und die neu importieren oder muss ich das wieder über den Einrichtungsass. machen?

Was macht die Erweiterung genau?

[Beitrag 2:]
Hi.
hab es gerade mit den Einstellungen probiert.

Dann tritt folgender Fehler auf

--SNIP--
---------------------------
FRITZ!Fernzugang
---------------------------
Beim Import der Datei C:\Dokumente und Einstellungen\XXX\Desktop\XXX\testzugang_verschluesselt\vpnuserXXX.cfg trat ein Server-Fehler auf. Das Importieren der VPN-Verbindung schlug fehl.
---------------------------
OK
---------------------------

Wenn ich die Erweiterung wieder rausnehme klappt es wieder.

Hat jmd. eine Idee?

Grüße
Christoph
 
christoph1981 schrieb:
Kann ich das direkt in der CFG Datei machen und die neu importieren oder muss ich das wieder über den Einrichtungsass. machen?

Was macht die Erweiterung genau?
Zum Vergrößern anklicken....

Mit dem geeigneten Editor kann man das auch direkt machen.
Erlaubt Verbindungen zu den einzelnen IP-Adressen.

So sieht meine funktionierende cfg (für LAN-LAN- und Client-LAN-Verbindung) aus:
Code: 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "??????????????????";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "??????????????????";
                localid {
                        fqdn = "************************";
                }
                remoteid {
                        fqdn = "??????????????????????????";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "222222222222222222222222222222222222222222";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.###.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.+++.0 255.255.255.0";
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = "xxxxxxxxxxxxxxxxxxxxxxx";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.###.213;
                remoteid {
                        user_fqdn = "xxxxxxxxxxxxxxxxxxxxxxx";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "33333333333333333333333333333333333333";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.###.0 255.255.255.0 192.168.###.213 255.255.255.255 192.168.###.1 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
 
Das klappt leider auch nicht. Hat AVM für sowas nen Support?
 
Hallo christoph1981,

ich hätte folgenden Lösungsvorschlag (ohne Gewähr):

Ändere folgende Einträge in den beiden Dateien:

fritzbox.cfg:
Den Parameter use_nat_t auf yes stellen
use_nat_t = yes;

vpnuser.cfg
Den Parameter use_nat_t auf yes stellen
use_nat_t = yes;

Anschließend die Dateien sowohl im AVM VPN-Client als auch in die Fritz!Box neu hinterlegen und erneut verbinden.
 
i26021y schrieb:
Ändere folgende Einträge in den beiden Dateien:

fritzbox.cfg:
Den Parameter use_nat_t auf yes stellen
use_nat_t = yes;

vpnuser.cfg
Den Parameter use_nat_t auf yes stellen
use_nat_t = yes;
Zum Vergrößern anklicken....
Ich glaube nicht dass NAT-Traversal da weiterhilft, da der VPN-Tunnel ja an der FB terminiert wird.

@christoph1981:Wie siehts denn mit den IP-Bereichen auf den beiden VPN-Seiten aus? Die müssen auf jeden Fall unterschiedlich sein, also nicht beide 192.168.2.0 /24.

Gruß
Miguel
 
Miguel78 schrieb:
Wie siehts denn mit den IP-Bereichen auf den beiden VPN-Seiten aus? Die müssen auf jeden Fall unterschiedlich sein, also nicht beide 192.168.2.0 /24.
Zum Vergrößern anklicken....

Bei einer Client-Lan-Verbindung müssen (können) die IP-Bereiche nicht unterschiedlich sein. Bei einer LAN-LAN-Verbindung müssen die IP-Bereiche unterschiedlich sein.
 
sf3978 schrieb:
Bei einer Client-Lan-Verbindung müssen (können) die IP-Bereiche nicht unterschiedlich sein. Bei einer LAN-LAN-Verbindung müssen die IP-Bereiche unterschiedlich sein.
Zum Vergrößern anklicken....
Selbstverständlich bekommt der Tunnel-Adapter clientseitig eine 192.168.2.x IP. Befindet sich der Rechner, der sich einwählt, allerdings ebenfalls in einem 192.168.2.0 /24 Netz, hat man das geschilderte Problem.

Gruß
Miguel
 
Miguel78 schrieb:
Selbstverständlich bekommt der Tunnel-Adapter clientseitig eine 192.168.2.x IP.
Zum Vergrößern anklicken....
OK, in meinem Beitrag #8 meinte ich das, denn Du hast nach den "VPN-Seiten" gefragt.
Die AVM-Hilfe sagt dazu Folgendes:
Tragen Sie die IP-Adresse ein, die dem Computer beim VPN-Verbindungsaufbau zugewiesen werden soll. Die IP-Adresse kann im IP-Netzwerk der FRITZ!Box liegen. In diesem Fall ist darauf zu achten, dass die Adresse nicht schon an ein Gerät im Netz vergeben ist.
Zum Vergrößern anklicken....

Miguel78 schrieb:
Befindet sich der Rechner, der sich einwählt, allerdings ebenfalls in einem 192.168.2.0 /24 Netz, hat man das geschilderte Problem.
Zum Vergrößern anklicken....

Das ist auch klar und richtig. Dazu sagt die AVM-Hilfe Folgendes:
Einstellungen am Computer, der die VPN-Verbindung herstellen soll
................
Hinweis: Der Computer darf sich nicht in dem FRITZ!Box-Netzwerk befinden, zu dem die Verbindung aufgebaut werden soll.
Zum Vergrößern anklicken....
 
@sf3978: Genau das meinte ich, war wohl etwas mißverständlich ausgedrückt.

Das 192.168.2.0 /24 ist bei vielen FB das default LAN (genau wie 192.168.1.0 /24 oder 192.168.178.0 /24), daher empfiehlt es sich, den Adressbereich im eigenen LAN zu ändern, wenn man VPN nutzen will.

Gruß
Miguel
 
Miguel78 schrieb:
Ich glaube nicht dass NAT-Traversal da weiterhilft, da der VPN-Tunnel ja an der FB terminiert wird.
Zum Vergrößern anklicken....

Bei mir war durch die Änderung der beiden Einträge "use_nat_t" auf "yes" ein ähnliches Problem gelöst ( PC <--- VPN ---> AVM 7270).
 
Das wird bei dir wohl eher so ausgesehen haben. [PC] << VPN >> [NAT Device] << VPN >> [VPN Gateway 7270]
 
stinkstiefel schrieb:
Das wird bei dir wohl eher so ausgesehen haben. [PC] << VPN >> [NAT Device] << VPN >> [VPN Gateway 7270]
Zum Vergrößern anklicken....

Technisch gesehen gebe ich dir vollkommen recht. Natürlich ist zwischen dem PC und der AVM-Box noch ein Router [NAT Device]. Es ging mir mehr um den Sachverhalt "Zugriff von einem PC auf die Fritz!Box via VPN".
 
Vielen Dank für die zahlreichen Antworten.
Es lag letztendlich wirklich an der Sache mit den IP Adressen des Fritz LANs und des Client LANs.

Je nach Internet Verbindung und IP Netzwerk hat die Verbindung geklappt oder nicht. Je nachdem ob im Client Lan eine IP 192.168.2.x per DHCP vergeben wurde.

Ich habe jetzt die IPs im Fritz LAN auf 192.168.133.x gestellt. Somir kollidiere ich sehr unwahrscheinlich mit irgendwelchen Std. Konfigurationen (Speedport, Fritzbox,...)

Es läuft alles wunderbar! Danke für die zahlreichen Anworten und die Hilfe!

Grüße
Christoph
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 851 (Mitglieder: 49, Gäste: 802)

Neueste Beiträge

Statistik des Forums

Themen
246,283
Beiträge
2,249,413
Mitglieder
373,875
Neuestes Mitglied
Klaus V.
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück