[Frage] VPN zwischen zwei FB: kompletten Traffic über VPN routen

[mr_wepa]

Hallo zusammen,

ich habe zwei Fritzboxen an zwei Standorten per VPN verbunden wie hier beschrieben:

Box A: 7490 an VDSL, default Adressbereich 192.168.178.x als VPN Host
Box B: 7330 SL per LAN1 hinter ausländischem Zwangsrouter, VPN Client "zu Firmennetzwerk verbinden", Adressbereich 192.168.188.x

Zugriff von an Box B angeschlossenen Client auf das Netz von Box A klappt wie erwartet einwandfrei.

Leider habe ich nicht hinbekommen, den den kompletten Traffic von Box B über den Internetzugang von Box A routen
Die Suche hat einen sehr ausführlichen älteren Thread zutage gebracht, in dem das (mittlerweile obsolete? Letzte Version ist von 2011...) "Fritz Fernzugang einrichten" Tool zum Einsatz kommt - das kennt allerdings nur Box-Box und nicht VPN Client (und die Client Box ist ja nur geNatted, sprich nicht per dynamic DNS von außen erreichbar).

Kann man nicht einfach eine Route setzen, dass Box B alles über Box A routet? Falls ja: wie?

Wäre weiter der umgekehrte Fall auch möglich, Clients der [Server] Box A über die [vom ausländischen Zwangsrouter geNATtete] Box B zu routen? Diese sollten von der Regel oben dann natürlich ausgenommen werden.

Gruß, P.

 

[schwester]

Hast Du mal probiert den Clients an Box B als Gatewayadresse die IP der Box A zu geben?

Gruß S

 

[PeterPawn]

Hast Du mal probiert den Clients an Box B als Gatewayadresse die IP der Box A zu geben?

Wie soll das gehen? Ein reguläres (IP-)Gateway muß im eigenen Subnetz liegen ... das, was hier "beschrieben" wird, wäre vielleicht noch als Route zu realisieren, wobei dann die FRITZ!Box B das Gateway wäre und dann reicht es auch, wenn man so eine Route auf genau diesem Gateway hinterlegt (was aber in diesem Falle auch nicht funktioniert, liegt am FRITZ!OS).

Aber hier ist (für mich) ohnehin einiges durcheinander und ohne eine Idee, warum hier eine VPN-Verbindung vom Typ "conntype_user" verwendet wird (die eigentlich mehr für "Client-LAN"-Verbindungen taugt, wenn man auf dem "Client" nicht noch diverse Vorkehrungen trifft, damit der als Router dann selbst auf dieser VPN-Verbindung NAT verwendet), enthalte ich mich jedes weiteren Kommentars - ich würde mir nur anstelle des TO als erstes mal einen brauchbaren Plan machen (also einen, der zumindest in der Theorie auch funktioniert und wo man den Aufwand und die Arbeitsschritte abschätzen kann), bevor man jetzt hingeht und auch noch an den Clients im LAN herumschraubt.

Für die Umsetzung des geschilderten Vorhabens muß man jedenfalls die Clients nicht anfassen (und zwar auf keiner Seite der VPN-Verbindung), solange die FRITZ!Box bei denen tatsächlich das (lokale) Gateway ins Internet ist.

 

[mr_wepa]

Danke schonmal für Euer erstes Feedback!

Konkreter Anwendungsfall wäre einen FireTV Stick glauben zu machen er sei im Inland, damit die Kids "ihre" Serien weiterschauen können. Gateway eintragen ist also nicht möglich.
Sie könnten natürlich auch Tablet/Smartphone nutzen aber da ich die 7330 SL über hatte und nen FireTV Stick dachte ich es sei doch nett ein WLAN aufzuspannen in dem man virtuell daheim ist.

Da Box B nur eine interne IP bekommt hatte ich angenommen, dass die "mit Firmen VPN verbinden" Variante das Mittel zur Wahl sei.

 

[PeterPawn]

Auch hier ist ein LAN-LAN-VPN (mit dedizierter Zuweisung der Initiator- und Responder-Rolle) das Mittel der Wahl ... aber es gibt tatsächlich genug Threads hier im IPPF (auch wenn die Suchmaschinen vielleicht nicht so viele Treffer für diese Site ausspucken, sollte die Board-Suche weiterhelfen), in denen genau dieses Thema (entfernte FRITZ!Box ohne öffentliche IP-Adresse, die zu einer anderen eine VPN-Verbindung aufbauen soll und dann noch - ja nach Bedürfnis des Besitzers - allen Traffic über diese VPN-Verbindung abhandelt oder auch "mobil" erreichbar ist über den VPN-Peer als Router) sehr gründlich abgehandelt wurde.

Wie gesagt ... "ad nauseam" durchgekaut und es hat sich (zumindest bis zur 06.92) auch nichts geändert - wobei man so etwas ohnehin mit einer Release-Version und nicht mit irgendwelchen Betas installiert (wenn die Funktionen nicht nur in der Beta vorhanden sein sollten).

 

[mr_wepa]

Neben dem bereits verlinkten habe noch diesen hilfreichen Thread gefunden. Einen LAN Port weiterleiten ist schick, aber mir ging's ja vorrangig ums WiFi.
Laut Konfig Erstell Tool benötigt Box A zwingend ein anders Subnetz. Die dadurch erforderlichen Konfigurationsänderungen kann ich remote nicht durchführen, somit hat sich das Thema dann wohl leider erledigt für mich. Schade, ich bin nämlich treuer AVM Kunde und finde faszinierend was man alles rauskitzeln kann selbst aus den älteren Geräten.

 

[PeterPawn]

Das ist aber Unfug, was da das "Konfig Erstell Tool" behauptet (welches soll das überhaupt sein?), solange die Netze auf beiden Seiten disjunkt sind. Dann kann man auch 192.168.178.0/24 auf einer Seite benutzen.

Der gefundene Thread hilft vielleicht wirklich weiter (ich lese den jetzt nicht noch einmal selbst), aber es ist definitiv nicht der, den ich dabei "im Kopf" hatte ... der andere drehte sich irgendwie um ein Ferienhaus in Spanien und einen DSL-Anschluß in D, wo dann auch noch die Umwälzpumpe für den Pool von D aus überwacht werden sollte und diverses anderes. Es gibt - wie gesagt - zu dem Thema tatsächlich Threads wie Sand am Meer - da habe ich auch nur noch einige wenige "auf dem Schirm" und schon gar keine eigene Link-Sammlung dafür.

Wenn es Dir ernst mit dem Thema ist, findest Du diese Threads aber auch selbst ... wenn das mit dem Subnetz 192.168.178.0/24 tatsächlich ein K.O.-Kriterium gewesen wäre, hätte ich Dich bereits darauf hingewiesen (hoffe ich zumindest mal) und die Frage am Ende ist nur, wie schnell Du Dich entmutigen läßt.

Da die entfernte Box ja wohl auch noch keine 2FA verwendet (neueste Firmware für die 7330 SL ist 06.54, die man aber auch noch nehmen kann, solange die Box hinter einem anderen Router hängt und nicht direkt im Internet), läßt sich das auch alles aus der Ferne über das GUI konfigurieren (allerdings nicht die VPN-Verbindung, aber da kann man das cfg-File über's GUI importieren) ... allerdings muß das GUI natürlich irgendwie erreichbar sein, was vermutlich eine Portweiterleitung im Edge-Router braucht. Eine 06.54 würde ich jedenfalls auch nicht mehr als "exposed host" ins Netz hängen ...

 

[mr_wepa]

Moin Peter,

habe den besagten Pool Thread gefunden und daraufhin folgende Änderungen an den Configdateien vorgenommen:

DSL Box in DE (192.168.178.0/24) :

remotehostname = "";
phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;

7330 SL (192.168.188.0/24) die hinter den Zwangsrouter im Ausland soll:

keepalive_ip = 192.168.178.1;          
localid {
                        fqdn = "";
phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;

Korrekt? Fehlt nicht noch die entscheidende Stelle, dass der komplette Traffic aus dem 188er Netz über den VPN Tunnel geschickt werden soll... oder ist das bei conntype_lan automatisch so?

 

[Shirocco88]

Bei "conntype_out/conntype_user" sind eigentlich die Rollen "Initiator" und "Responder" klar, d.h. es ist bei Initiator-VPN-Box keine Änderung von "remotehostname=" erforderlich;
oder hast du den Netzdesign auf "conntype_lan" geändert ?
am Besten mal den Use-Case (mit oder ohne NAT) beschreiben.

auch verstehe ich eine Änderung von "phase2localid/phase2remoteid" nicht;

ich denke es sollte von "Split-VPN-Tunnel" auf "Catch-All-Tunnel" umgestellt (d.h. die Accesslist angepasst) werden;
die Einstellung der "accesslist" ist jedoch abhängig von Netzdesign "conntype_out" vs. "conntype_lan", weil sich die IP-Adressen u.a. hier ändern; hier sind Inputs seitens TE erforderlich.

 

[mr_wepa]

Ich hatte aufgrund von #5 conntype_lan verwendet
localid und remoteid wurden angepaßt da das Configtool ja das 178er Netz (welches ich gerne weiterverwenden würde bei der DSL Box) nicht zuließ.
Die Accesslist siehr defaultmäßig so aus:

accesslist = "permit ip any 192.168.178.0 255.255.255.0";

Sieht eher nach split-vpn als catch-all aus... wie müßte es denn lauten für letzteres? 0.0.0.0?

 

[Micha0815]

... Die dadurch erforderlichen Konfigurationsänderungen kann ich remote nicht durchführen, ...

Dies geht schon, sofern Du die credentials der FBs kennst. Zur Not lassen sich selbige durch Tools sichtbar machen (Github PeterPawn oder Fritz!Box Tools MEngelke).
Erstens den Fernzugriff auf FB-A einrichten und ggfs. die 2FA (Das ist die Bestätigungsprozedur über das Drücken einer der Tasten (DECT/WLAN) als Quittierung und benötigt einmalig einer physischen Person) abstellen (lassen).
Zweitens die VPN-Verbindung FB-A deaktivieren
Drittens per Fernzugriff die richtige VPN.cfg in die FB-A einspielen und nach Reboot aktivieren.
Als Client kommst Du ja, falls gerade vorort, auf die FB-B? und kannst die richtige VPN.cfg einspielen.
Ein oben erwähnter Thread dürfte dieser sein.
LG

 

[PeterPawn]

@mr_wepa:
Bitte immer die kompletten VPN-Konfigurationen zeigen ... max. einen DynDNS-Namen passend maskieren. Es spielt nicht einmal eine Rolle, wenn man dort die originalen, verschlüsselten Werte beim PSK stehen läßt (abgesehen davon, daß man das ja auch noch ändern könnte, wenn es erst einmal läuft), weil damit (ohne weitere Informationen zur Box) kein Fremder etwas anfangen kann.

Ich hoffe auch, daß Du nicht auf die Idee kommst, das irgendwie "live" auf einer entfernten Box zu testen ... bei einer Konfiguration mit der falschen "accesslist" und automatisch aktivierter VPN-Verbindung kannst Du die Box auch "verlieren", weil dann gar kein Internet-Verkehr mehr stattfindet.

Die Idee mit einem Selektor für 0.0.0.0 ist schon mal nicht schlecht ... aber der verschlüsselte Verkehr muß schon noch irgendwie durchs/ins Internet und daher braucht es noch passende Zusätze, mit denen dieser IPSec-Traffic eben nicht in den Tunnel geht, sondern davon ausgeschlossen wird.

Es gibt ja genug Vorlagen und man kann auch problemlos mit dem FRITZ!Box-GUI eine Verbindung erstellen, deren Eintrag in der "vpn.cfg" (über Export ausgelesen) man dann als Template für die eigene Datei nimmt - EDIT: will sagen: Es braucht das AVM-Tool für die Datei gar nicht und damit auch nicht dessen Beschränkungen. Wobei es zumindest für die Vorlage bei "accesslist" auch taugen kann, denn es gab da (rein aus der Erinnerung) irgendwo auch eine Checkbox für "alles über die VPN-Verbindung senden" - da kann man dann mal nach "accesslist" schauen.

 

[mr_wepa]

@Micha:

Danke! Ich meinte Änderungen an den verbundenen Geräten, wo irgendwelche IPs fest eingetragen sind (smart home Scripte, Drucker,...)

Use case ist (erstmal) im Ausland ein WLAN aufzuspannen dessen Clients virtuell in DE sind. Hatt gedacht, eine "Außenstelle" komplett per VPN in sein lokales Netz zu tunneln sein eine Standardanwendung.

Zuhause kam bereits der Wunsch auf, später mal den umgekehrten Weg zu haben (also z.B. einen Port der DSL Box über die geNATete FB 7330SL zu routen) so dass man spanischsprachiges Netflix nutzen kann.

@peter:

ich hatte - in der Annahme dass lediglich die accesslist auf der "Clientbox" angepaßt werden muß - tatsächlich vom Büro aus schonmal die Konfig auf die "Serverbox" (die am DSL hängt zuhause) überspielt.

Hier also die kompletten Konfigs:

DSL "Server" Box in DE (192.168.178.0/24) :

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "nodynip.net";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "";
                localid {
                        fqdn = "DNSNAME.DER.DSL.BOX.7490";
                }
                remoteid {
                        fqdn = "";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "13Qa3be0f8cc8Cp86913a27e&1bm|a1a2";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.188.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

7330 SL "Clientbox" (192.168.188.0/24) die hinter den Zwangsrouter im Ausland soll:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "DNSNAME.DER.DSL.BOX.7490";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "DNSNAME.DER.DSL.BOX.7490";
                keepalive_ip = 192.168.178.1;
                localid {
                        fqdn = "";
                }
                remoteid {
                        fqdn = "DNSNAME.DER.DSL.BOX.7490";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "13Qa3be0f8cc8Cp86913a27e&1bm|a1a2";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

 

[Shirocco88]

auf die schnelle fällt mir folgendes auf:

7330 SL "Clientbox" (192.168.188.0/24) die hinter den Zwangsrouter im Ausland soll:

accesslist = "permit ip any 192.168.178.0 255.255.255.0";

dies sollte IMHO wie folgt geändert werden:

accesslist = "reject udp any any eq 53",
             "reject udp any any eq 500",
             "reject udp any any eq 4500",
             "permit ip any any";

UPDATE 2:
bzgl. P1 localid/remoteid {fqdn = "";} würde ich nach einem anderen Attribute-Value-Pair suchen.

UPDATE 3:
mit einem UNIX-aware Editor, z.B. "Notepad++", sollte dies problemlos machbar sein, unklar wozu ein Zusatzprogramm benötigt werden soll.

 

[Micha0815]

Dem pflichte ich bei, wobei ich mir nicht ganz sicher bin, ob der IP-Range 192.168.188.0/24 nicht dem Gast-LAN/WLAN der FB7330 SL vorbehalten sein könnte? Ich persönlich "umschiffe" den Bereich gerne aus Vorsicht.
LG

 

[Shirocco88]

Hinweis: bei conntype_out/conntype_user Configuration wäre die accesslist der vpn.cfg.fb7330:

accesslist = "deny ip any 192.168.188.0 255.255.255.0",
             "reject udp any any eq 53",
             "reject udp any any eq 500",
             "reject udp any any eq 4500",
             "permit ip any any";

 

[PeterPawn]

Meines Erachtens ist die Angabe einer gültigen "remoteid" in der Box in D unumgänglich (die dann "localid" in der anderen ist) ... mir fehlt gerade die Phantasie, wie das FRITZ!OS ansonsten die korrekte Verbindung und damit den passenden PSK finden soll. Wenn es mehrere VPN-Verbindungen gäbe, hätten die in der D-Box ja alle dieselbe "localid". Damit braucht es also ein "Unterscheidungsmerkmal", anhand dessen die passende Verbindung identifiziert werden kann und auch wenn das unter dem Schlüsselwort "fqdn=" läuft, muß das zwar von der Syntax her hinhauen als "echter" FQDN (und darf - aus dem Gedächtnis - auch nicht die Domain "local" verwenden, da gab es mal Probleme), aber es muß sich keinesfalls um einen Namen handeln, der auch wirklich über das DNS ausgelöst werden kann (steht aber auch schon irgendwo, mindestens als Beispiel).

Anders als es das GUI konfiguriert, kann man auch für "remotehostname" (in der "Initiator-Box" mit der nicht-öffentlichen IP) und "remoteid/fqdn" durchaus unterschiedliche Werte nehmen, wobei "remotehostname" auflösbar sein muß, da über dessen regelmäßige Abfrage auch ermittelt wird, ob sich ggf. die Adresse geändert hat, wenn der DSL-Anschluß eine dynamische IP-Adresse verwendet und bei einem Wechsel in der Antwort wird sogar die bestehende VPN-Verbindung abgeräumt und zur neuen ein neue Verbindung initiiert.

 

[mr_wepa]

Ich hatte es erst mit leerer local & remote ID versucht, wie ihr vermutet hattet ging das nicht (IKE error 0x2005)
Kaum eingetragen funktionniert es wie gewünscht... danke für den schnellen kompetenten Support!!

Wo ich jetzt conntype_lan nutze... ließe sich die Konfig so erweitern dass ein Port der 7490 in DE die Internetanbindung der 7330 hinter dem ausländischen Zwangsrouter nutzt?

 

[Shirocco88]

ließe sich die Konfig so erweitern dass ein Port der 7490 in DE die Internetanbindung der 7330 hinter dem ausländischen Zwangsrouter nutzt?

eine Doppelnutzung:
Anforderung 1: den den kompletten Traffic von Box B über den Internetzugang von Box A routen (#1)
Anforderung 2: ein Port der Box A die Internetanbindung der Box B nutzt (#18)
wird nicht gehen,
da es nur eine aktive LAN-LAN-VPN-Verbindung zw. Box A und Box B geben kann und die zweite Anforderung die Betriebsart "ipsecbrX"-Bridge (LAN-Port X wird per "virtuelle Wire" ins LAN der Box B integriert) erfordert, dies stellt somit einen Zielkonflikt dar.

 

[mr_wepa]

Schade aber nicht wirklich tragisch, für den ursprünglichen Usecase ist mir ja prima geholfen: ich kann mein Heimnetz durch den Tunnel ins Ausland "verlängern" so dass die Kids unseren FireTV Stick dort nutzen können wie daheim.

Nun hat meine Frau Blut geleckt und unser künftiges Zusammenleben unter die Bedingung gestellt, dass sie künftig bei uns in DE spanisches Netflix schauen kann (just kidding!)
Die machen ja inzwischen Geoblocking auf Videoserverebene, so dass der alte Trick das Frontend über Proxies bzw. "smart DNS" zu laden nicht mehr hilft und sperren auch alle kommerziellen VPN Anbieter aus, gut wenn man da noch ne olle Fritzbox hat die man im Ausland bei den Schwiegereltern deponieren kann .

Nach unserem Weihnachtsbesuch würde ich die 7330 SL gerne dort lassen und einen Port unserer Box (7490 am VDSL) dorthin tunneln. Ist das prinzipiell möglich wenn die 7330SL hinter einem Zwangsrouter steht und nicht von außen erreichbar ist bzw. kann sie weiterhin (wie momentan auch) der Initiator sein?

Auf der 7330 SL wird vermutlich die accesslist wieder auf default "permit ip any 192.168.188.0 255.255.255.0" gesetzt werden, wie müßte dann meine inländische aussehen?