Ports auf freetz über vpn nicht erreichbar?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
S

shcshc

Neuer User
Mitglied seit
6 Feb 2006
Beiträge
30
Punkte für Reaktionen
0
Punkte
6
Habe da folgendes Problem:

Habe 2 Fritzboxen über vpn(avm) vernetzt.
Klappt auch kann aus beiden Netzen auf Drucker, Rechner... zugreifen.

Jetzt habe ich auf der Fritzbox eine Anwendung laufen mit einem bestimmten Port. Z.B. 4711.
Diesen Port habe ich über die ar7... Datei auf die Fritzbox weitergeleitet. Über meine Dyndns Adresse funktioniert auch die Kommunikation. Wenn ich jetzt aber nicht dyndns nehme sondern die IP-Adresse direkt über die vpn- Strecke, funktionierts nicht. Einer ne Idee was ich machen kann?
Wenn ich im eigenen Netz bin, klappt die Kommunikation auch. Nur leider über die VPN- Strecke von der anderen Box aus nicht!
 
shcshc schrieb:
[...]Wenn ich jetzt aber nicht dyndns nehme sondern die IP-Adresse direkt über die vpn- Strecke, funktionierts nicht. Einer ne Idee was ich machen kann?
Wenn ich im eigenen Netz bin, klappt die Kommunikation auch. Nur leider über die VPN- Strecke von der anderen Box aus nicht!
Zum Vergrößern anklicken....
Es liegt am nicht vorhandenen source-NAT. Kannst mit iptables lösen.
 
Ganz dumm gefragt: Was muß ich mit iptables machen?
 
Source-NAT (S-NAT) solltest Du mit iptables machen. Such mal hier im Forum.
Klick
 
Wenn ich die Portweiterleitung rausnehme, habe ich das Problem dann nicht?
 
Ob Du das Problem dann noch hast oder nicht kannst Du selbst am schnellsten feststellen.

Der Zugriff von Außen und der von Innen sind aber zwei verschiedene Dinge. Wenn Du hier nicht Rätselraten betreiben lassen willst, dann schreib mal genau auf, was Du vorhast, was nicht geht. Wie schon angedeutet, sollte ein Zugriff über VPN ohne irgendwelche Weiterleitungen funktionieren.
 
Auch ohne Portweiterleitung, kannst Du ohne S-NAT, im VPN nicht von einer Box auf die andere Box, Mach mal im VPN ein Ping von einer Box auf die andere Box, mal mit Angabe der Quelle und mal ohne Angabe der Quelle.
 
Ich verwende zwar kein VPN auf der Box, aber auf meinem Linux-VPN kann ich das andere Gateway anpingen, auch ohne Quell-Adresse. Wenn das nicht funktioniert, liegt das an unvollständigen Routen-Einträgen. S-NAT mag dafür auch eine Lösung sein.
 
Hab auch mal Ping versucht. Leider keine Antwort. Da liegt der Hase also begraben.
Mit Sourceangabe gehts tatsächlich. Aber leider nicht ohne.
 
Poste mal die Ausgabe von "route".
 
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.180.1 * 255.255.255.255 UH 2 0 0 dsl
192.168.2.201 * 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 * 255.255.255.255 UH 2 0 0 dsl
84.136.172.54 * 255.255.255.255 UH 2 0 0 dsl
192.168.2.0 * 255.255.255.0 U 0 0 0 lan
169.254.0.0 * 255.255.0.0 U 0 0 0 lan
default * 0.0.0.0 U 2 0 0 dsl

diese box hat 192.168.2.50
die andere 192.168.1.50
 
Das liegt wohl daran, dass du IPSec benutzt. Da werden nur "passende" Pakete eingepackt und getunnelt. Und "passend" sind bei dir nur die zwischen den beiden LANs. Wenn du vom Router direkt pingst, wird die "WAN-IP" als Absende-IP genutzt, und die ist im IPSec nicht vorhanden.
Workaround wäre die explizite Absende-Adresse oder ggf. die Erweiterung der IPSec Regeln um die WAN-IP aus Box-Sicht (169.254.2.1). Für noch mehr Input: Das gleiche Thema ist auch hier schon diskutiert worden.

Jörg
 
Versuch es mal mit dieser iptables-Regel:
Code: 
iptables -t nat -A POSTROUTING -s 169.254.0.0/12 -d 192.168.1.50 -o dsl -j SNAT --to-source 192.168.2.50

Evtl. musst Du -s und/oder -o ändern/anpassen in "-s 192.168.0.0/12" bzw. "-o lan".
 
Jetzt verstehe ich so langsam.
 
Schau mal, daß Du das "ip"-Applet in der Busybox konfigurierst und zeige mal die Ausgabe von "ip ro".
Außerdem beschwer Dich mal bei AVM, daß das VPN nicht richtig funktioniert.
 
Dafür muß ich mir erstmal freetz neu kompilieren mit iptables
 
Meinte ja auch User: sf3978 mit iptables
 
Könntest du mal versuchen, die cfg-Datei anzupassen? So dass da eine zweite "permit" Zeile drin ist, die von der "WAN-IP" in das LAN geht, so in etwa:

"permit ip 169.254.2.1 255.255.255.255 192.168.1.50 255.255.255.255"

Auf der Gegenseite müsste dann das umgekehrte rein.

Ist aber gut möglich, dass das nicht geht, weil diese IP ja nur virtuell ist und auf beiden Seiten von der Box genutzt wird.

Jörg
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 720 (Mitglieder: 30, Gäste: 690)

Neueste Beiträge

Statistik des Forums

Themen
246,202
Beiträge
2,247,990
Mitglieder
373,766
Neuestes Mitglied
sxaps
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück