[Gelöst] VPN zwischen zwei Fritz!Boxen - eine mit DS-Lite

nicke

Neuer User
Mitglied seit
30 Dez 2015
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen

Ich habe zwei Fritz!Boxen über VPN verbunden (IPSec-Verbindung mittels Fritz!Fernzugang eingerichtet). Soweit geht das auch tadellos, allerdings wird durch die Zwangstrennung der Tunnel immer wieder unterbrochen. Kann mir jemand helfen? Aber zuerst zu meinen Voraussetzungen.

Ich habe zwei Fritz!Boxen:

Box A ist eine 7490 mit OS 06.30 mit Öffentlicher IP und über ADSL am Internet
und
Box B ist eine 7390 ebenfalls mit OS 06.30 aber über einen LTE-Stick am Internet und daher mit Privater IP (DS-Lite)

Logisch ist, dass ich das VPN nur von Box B aus starten kann (da ich die Box B von Box A aus nicht sehen kann (Private IP in DS-Lite)), das ist klar und funktioniert so auch tadellos.
Wenn allerdings wegen einer Zwangstrennung der Box B die VPN-Verbindung abbricht, muss ich zwingend wieder vor der Box B sitzen und das VPN starten - was ich nicht immer kann.

Deshalb hab ich mir gedacht, man sollte wohl auf der Box B ein Skript (ich weiss nicht welches) so anpassen, dass der Status des VPN regelmässig getestet wird, und falls die VPN-Verbindung unterbrochen ist mit einem ping an eine Adresse im Privaten Netwerk der Box A das VPN wieder neu gestartet wird. (Das mit dem ping habe ich in einem Thread hier im Forum gefunden).

Kann mir jemand helfen, das richtige Skript so anzupassen?
Vielen Dank schon mal
Nick
 
Zuletzt bearbeitet:
Antwort: VPN zwischen zwei Fritz!Boxen - eine mit DS-Lite

Hallo nicke,
anbei Lösungsvorschlag:
Die FB_ADSL mit Public-IPv4 muss zum Responder gemacht werden,
d.h. remoteip bzw. remotehostname sind unwirksam zu machen;
Bitte nachfolgende Zeilen in vpn.cfg kontrollieren, ggf. anpassen
Code:
SNIP
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = 0.0.0.0;
    remote_virtualip = 0.0.0.0;
    remotehostname = "";
    keepalive_ip = 0.0.0.0;
SNIP


Die FB_LTE mit DS-Lite muss zum Initiator gemacht werden,
d.h. nachfolgende Zeilen in vpn.cfg kontrollieren, ggf. anpassen
Code:
SNIP
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = 0.0.0.0;
    remote_virtualip = 0.0.0.0;
    remotehostname = "[COLOR=#0000ff]dyndns_name_von_FritzBox_ADSL[/COLOR]";
    keepalive_ip = 192.168.[COLOR=#0000ff]mmm.nnn[/COLOR];
SNIP
als Keepalive-IP kann man die lan-seitige IP-Adresse der FB_ADSL nehmen, Zeile remotehostname sollte eigentlich schon passen.

LG Riverhopper
 
Hallo Riverhopper

Vielen Dank für deine schnelle Antwort.

Ich hab mal die beiden vpn-cfg nach deinen Angaben abgeändert.
Die VPN-Verbindung wurde sofort selbständig initiiert - das ging schon mal gut.

Ich melde mich morgen nochmals, wenn die ersten paar Zwangstrennungen überstanden sind...

Schönen Abend noch
Nick
 
Hallo Riverhopper

Das ganze läuft super stabil - nach jeder Zwangstrennungen wurde das VPN sofort wieder neu initiiert.

Nochmals vielen herzlichen Dank und einen guten Rutsch ins neue Jahr
Nick

PS: Ich habe die manpage für ipsec gesucht, aber nichts genaues zum Parameter "keepalive_ip" gefunden. Wo findet man die gewünschten Infos (für mögliche Einstellungen beschrieben)?
 
Ich habe die manpage für ipsec gesucht, aber nichts genaues zum Parameter "keepalive_ip" gefunden. Wo findet man die gewünschten Infos (für mögliche Einstellungen beschrieben)?

Hallo Nicke,
ich verwende immer folgendes "How-To" http://www.ip-phone-forum.de/showthread.php?t=189391&p=2010024&viewfull=1#post2010024
eine weitere Erklärung zu keepalive_ip und DS-Lite ist u.a. Thread 280377 nachzulesen.

ebenfalls Beste Wünsche für 2016.

LG Riverhopper

PS: Bitte den Thread noch auf [Gelöst] setzen
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Statistik des Forums

Themen
245,856
Beiträge
2,241,270
Mitglieder
373,142
Neuestes Mitglied
FEY CARLOS
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.