Vielen Dank. Bitte macht mal keine Pläne für's Wochenende - da werde ich den Hirten an die Box schicken 
[Gelöst] VPN zw. DSL-Box in D und UMTS-Box in ES - ES-Verbindung hat 2 IPs (1 priv 1 öffentl)?
- Ersteller Docmarten
- Erstellt am
Micha0815
IPPF-Promi
- Mitglied seit
- 25 Feb 2008
- Beiträge
- 5,344
- Punkte für Reaktionen
- 467
- Punkte
- 83
Hast Du einen "Microfiltro" per Y-Kabel an der FB7490 hängen? Imho arbeitet Movistar mit Analog-Nummern im ADSL-Bereich (Annex A). Die Registrierung einer Movistar-Festnetznummer als VOIP könnte sonst fehlschlagen
Wenn das "Bäuerchen" schon vorort ist
Btw. Hoffentlich nicht mit einem W10-Net-/Notebook.
http://www.com-magazin.de/news/windows-10/windows-10-klaut-heimlich-bandbreite-997552.html
Wie ein W10-Client die WLAN-/LAN-Verbindung zu einer FB wertet, die wiederum an einem UMTS-Volumentarif hängt?
Den Umstand wollte ich schonmal im Forum als Thema einstellen ... Nur wo?
LG
Es hat geklappt, die VPN-Verbindung steht wieder. Derzeit noch DSL-basiert - habe noch nicht auf Mobilfunk geswitched.
Mit iPad/-Phone per VPN via deutsche DSL-Box auf die spanischen IPs - muss man dazu noch etwas Spezielles in der iOS <> FB-VPN-Konfiguration berücksichtigen?
@Micha0815: Ich habe eine Telefonica-Box mit zwei RJ-Buchsen. In einer steckt DSL vom FB-Y-Kabel, in der anderen Tel vom FB-Y-Kabel über einen Movistar-"Noise"-Filter. Aber mit dem Minimalvertrag werde ich ja weiterhin meine Festenetzleitung haben (von der aus ich einmal im Quartal anrufen muss), d.h. ich muss diese Nummer doch nicht als VOIP-Nummer registrieren?
Was (noch?) nicht funktioniert ist:
Mit iPad/-Phone per VPN via deutsche DSL-Box auf die spanischen IPs - muss man dazu noch etwas Spezielles in der iOS <> FB-VPN-Konfiguration berücksichtigen?
@Micha0815: Ich habe eine Telefonica-Box mit zwei RJ-Buchsen. In einer steckt DSL vom FB-Y-Kabel, in der anderen Tel vom FB-Y-Kabel über einen Movistar-"Noise"-Filter. Aber mit dem Minimalvertrag werde ich ja weiterhin meine Festenetzleitung haben (von der aus ich einmal im Quartal anrufen muss), d.h. ich muss diese Nummer doch nicht als VOIP-Nummer registrieren?
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,754
- Punkte
- 113
Wo habe ich jetzt das Verständnisproblem?docmarten schrieb:
Hattest Du denn bei der Verbindung 7270<->7490 "etwas Spezielles" berücksichtigt?
Ansonsten braucht es die VPN-Konfigurationsdateien der FRITZ!Box ... und zwar alle drei. Auch die "üblichen Netzwerktests" (ping, traceroute) sind natürlich auf dem gesamten Weg (von ES aus rückwärts) zu absolvieren, damit man dann herausfindet, ab wo es nicht mehr funktioniert.
Ich glaube, ich habe seinerzeit fehlinterpretiert bzw. falsch gedacht: Die Boxen waren verbunden, und ich war zwar mit der ES-Box per VPN verbunden. Gleichzeitig war ich aber mit dem iPad auch per WLAN direkt mit dem hiesigen Netzwerk (dem der DE-Box) verbunden. So ist es vermutlich kein Erfolgsbeweis gewesen, dass ich auf die Seiten hier im Netzwerk kam :/
Werde mal weitertesten.
Hier die beiden der DE und ES Box (der 7270-Test seinerzeit war wie oben beschrieben wahrscheinlich nicht aussagekräftig):
ES-UMTS:
Code:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "DE_DYNDNS";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "DE_DYNDNS";
keepalive_ip = 192.168.50.237;
localid {
fqdn = "ES_DYNDNS";
}
remoteid {
fqdn = "DE_DYNDNS";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "#####";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.50.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.50.0 255.255.255.0";
} {
enabled = yes;
conn_type = conntype_user;
name = "#####";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.0.202;
remoteid {
user_fqdn = "#####";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "#####";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.0.202;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.0.0 255.255.255.0 192.168.0.202 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}DE_DSL:
Code:
vpncfg {
connections
{
enabled = yes;
conn_type = conntype_lan;
name = "ES_DYNDNS";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "DE_DYNDNS";
}
remoteid {
fqdn = "ES_DYNDNS";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "######";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.50.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0";
}
{
enabled = yes;
conn_type = conntype_user;
name = "MK_IOS";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.50.202;
remoteid {
key_id = "#######";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "##############";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
xauth {
valid = yes;
username = "######";
passwd = "######";
}
use_cfgmode = yes;
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.50.202;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 192.168.50.0 255.255.255.0 192.168.50.202 255.255.255.255";
}
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}D.h. per telnet auf die spanische Box - muss ich heute Abend machen, wenn ich wieder im WLAN der 7490 bin.
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,754
- Punkte
- 113
@docmarten:
DE-DSL
könnte schon helfen, wenn ich die Adressen richtig verstehe. Im Moment erreichen die Daten aus ES (Absender 192.168.0.0/24) Dein iOS-Gerät (192.168.50.202/32) vermutlich einfach nicht, weil sie im LAN versanden bzw. per Route auf "dev dsl" geleitet, dort aber nicht in IPSec verpackt werden.
DE-DSL
Code:
accesslist =
"permit ip 192.168.50.0 255.255.255.0 192.168.50.202 255.255.255.255",
"permit ip 192.168.0.0 255.255.255.0 192.168.50.202 255.255.255.255";PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,754
- Punkte
- 113
Ne, da wo die erste Zeile bereits existiert, also in der User-Connection - der LAN-LAN-Zugriff sollte ja schon laufen. Da das iOS-Gerät dann die lokale 192.168.50.202 erhält, fällt es aus Sicht der LAN-LAN-Kopplung in den Bereich "192.168.50.0/24" und sollte dort mit "abgefrühstückt" werden (bzw. da steht bei Dir sogar "any" als Absender in der "accesslist"). Die Daten aus ES (wie bereits geschrieben) landen vermutlich nicht bei der 192.168.50.202, also braucht es da noch den passenden "Selektor".
Das klappt! Vielen Dank!
Mit dem gerade Gelernten wollte ich nun auch noch den Eintrag für VPN Büro (7270) zur DE-7490 ergänzen:
Klappt so nicht - muss ich das evtl. bei phase2localid auch alles auf 0.0.0.0 stellen? Oder bei der LAN-LAN die accesslist explizit um 192.168.100.0 ergänzen?
Mit dem gerade Gelernten wollte ich nun auch noch den Eintrag für VPN Büro (7270) zur DE-7490 ergänzen:
Code:
{
enabled = yes;
conn_type = conntype_user;
name = "MK_Vaio";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.50.201;
remoteid {
user_fqdn = "MK_Vaio";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "#####";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.50.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.50.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.50.0 255.255.255.0 192.168.50.201 255.255.255.255",
"permit ip 192.168.0.0 255.255.255.0 192.168.50.201 255.255.255.255";
}Pardon, es muss die Hitze sein. Hier die fehlende Config der Notebook-Gegenstelle, mit dem ich per VPN (Fritz Fernzugang) zur DE-DSL-Box verbinde:
Ich habe auch hier mal versuchsweise die accesslist ergänzt um " "permit ip 192.168.0.0 255.255.255.0 192.168.50.201 255.255.255.255";", aber tut auch nicht (nicht dass ich wirklich genau wüsste, was ich da tue).
Code:
version {
revision = "$Revision: 1.30 $";
creatversion = "1.1";
}
pwcheck {
}
datapipecfg {
security = dpsec_quiet;
icmp {
ignore_echo_requests = no;
destunreach_rate {
burstfactor = 6;
timeout = 1;
}
timeexceeded_rate {
burstfactor = 6;
timeout = 1;
}
echoreply_rate {
burstfactor = 6;
timeout = 1;
}
}
masqtimeouts {
tcp = 15m;
tcp_fin = 2m;
tcp_rst = 3s;
udp = 5m;
icmp = 30s;
got_icmp_error = 15s;
any = 5m;
tcp_connect = 6m;
tcp_listen = 2m;
}
ipfwlow {
input {
}
output {
}
}
ipfwhigh {
input {
}
output {
}
}
NAT_T_keepalive_interval = 20;
}
targets {
policies {
name = "DE-DYNDNS";
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = 192.168.50.201;
remoteip = 0.0.0.0;
remotehostname = "DE-DYNDNS";
localid {
user_fqdn = "MK_Vaio";
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "#####";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipaddr = 192.168.50.201;
}
phase2remoteid {
ipnet {
ipaddr = 192.168.50.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.50.0 255.255.255.0";
wakeupremote = no;
}
}
policybindings {
}PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,754
- Punkte
- 113
Ich habe extra nichts geschrieben ... war halt ein Test.
Warum dokterst Du auch daran herum? Mußtest Du die Einstellungen des iPhones/iPads anpassen, damit Du nach ES kommst? Eher nicht ... also auch hier den Eintrag für dieses Notebook in der 7490 ergänzen, damit auch die Daten dieses Clients die Box in ES erreichen können.
Das war ja das, was ich zuerst probiert hatte, in der Config der DE-7490, wie in Post #30 beschrieben. Aber da ist wahrscheinlich der Fehler drin.
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,754
- Punkte
- 113
@docmarten:
OK, in die FRITZ!Fernzugang-Konfiguration hatte ich gar nicht hineingesehen (warum nimmst Du nicht den Shrewsoft-Client, dann hast Du auch noch nach dem W10-Update was davon).
Dort muß natürlich auch noch der Traffic zur Box in ES in den Tunnel geschickt werden, das wäre dann die resultierende "accesslist":
EDIT: Falls das mit FRITZ!Fernzugang so machbar ist ... das benutzt eigentlich niemand, der sich damit auszukennen glaubt.
OK, in die FRITZ!Fernzugang-Konfiguration hatte ich gar nicht hineingesehen (warum nimmst Du nicht den Shrewsoft-Client, dann hast Du auch noch nach dem W10-Update was davon).
Dort muß natürlich auch noch der Traffic zur Box in ES in den Tunnel geschickt werden, das wäre dann die resultierende "accesslist":
Code:
accesslist = "permit ip any 192.168.50.0 255.255.255.0",
"permit ip any 192.168.0.0 255.255.255.0";EDIT: Falls das mit FRITZ!Fernzugang so machbar ist ... das benutzt eigentlich niemand, der sich damit auszukennen glaubt.
accesslist in der LAN-LAN-Sektion? Wenn ja: brachte nicht den gewünschten Effekt.
Ich editiere die ursprünglichen Fritz!Fernzugangsdateien manuell, werde mir aber jetzt, wo ich ganz schwach anfange, mich auszukennen glaube, natürlich mal die Alternativen anschauen.
Ich editiere die ursprünglichen Fritz!Fernzugangsdateien manuell, werde mir aber jetzt, wo ich ganz schwach anfange, mich auszukennen glaube, natürlich mal die Alternativen anschauen.
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,754
- Punkte
- 113
Vielleicht kannst Du das ja noch einmal "ordentlich" zusammenfassen, was Du da eigentlich erreichen willst? Irgendwie geht das bunt durcheinander ... einmal ist von einer "7270 zu 7490"-Verbindung die Rede (#30), darunter steht dann aber eine Verbindung mit "conntype_user" ... das ist kein Box2Box-VPN.
Auch wenn es für Dich ja vollkommen logisch und klar sein mag, was die 7270 damit zu tun hat (und welche LAN-IPs die 7270 überhaupt verwendet, davon hängt ja dann die "accesslist" ab) - für einen Unbeteiligten ist der Zusammenhang zwischen "MK-Vaio" (was offenbar ein User-Account an der 7490 sein sollte - mit IP 192.168.50.201, ansonsten ist da praktisch alles durcheinander) und der Box in ES bzw. der 7270 nur noch vollkommen undurchsichtig.
Auch wenn es für Dich ja vollkommen logisch und klar sein mag, was die 7270 damit zu tun hat (und welche LAN-IPs die 7270 überhaupt verwendet, davon hängt ja dann die "accesslist" ab) - für einen Unbeteiligten ist der Zusammenhang zwischen "MK-Vaio" (was offenbar ein User-Account an der 7490 sein sollte - mit IP 192.168.50.201, ansonsten ist da praktisch alles durcheinander) und der Box in ES bzw. der 7270 nur noch vollkommen undurchsichtig.
Sorry, wenn das verwirrend war.
Was klappt, ist
1. die LAN-LAN-Verbindung DE-DSL-7490 (192.168.50.###) <> ES-UMTS-7490 (192.168.0.###),
2. die Verbindung per PC und iOS darüber, wenn ich mit den Geräten im WLAN der DE-DSL-7490 bin,
3. die Verbindung per iOS, wenn ich dieses (z.B. über Mobilfunk) per VPN mit der DE-DSL-7490 verbinde, nach ES-UMTS-7490.
Was ich nun abschließend noch erreichen wollte, ist der Zugriff vom Notebook (MK_VAIO) auf ES-UMTS-7490, wenn ich im WLAN-Büronetz der 7270 (192.168.100.###) bin, und zwar möglichst ohne LAN-LAN-Verbindung zwsichen der 7270 und der DE-DLS-7490, sondern mit der normalen Benutzerverbindung (also wie beim iOS).
Was klappt, ist
1. die LAN-LAN-Verbindung DE-DSL-7490 (192.168.50.###) <> ES-UMTS-7490 (192.168.0.###),
2. die Verbindung per PC und iOS darüber, wenn ich mit den Geräten im WLAN der DE-DSL-7490 bin,
3. die Verbindung per iOS, wenn ich dieses (z.B. über Mobilfunk) per VPN mit der DE-DSL-7490 verbinde, nach ES-UMTS-7490.
Was ich nun abschließend noch erreichen wollte, ist der Zugriff vom Notebook (MK_VAIO) auf ES-UMTS-7490, wenn ich im WLAN-Büronetz der 7270 (192.168.100.###) bin, und zwar möglichst ohne LAN-LAN-Verbindung zwsichen der 7270 und der DE-DLS-7490, sondern mit der normalen Benutzerverbindung (also wie beim iOS).
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,754
- Punkte
- 113
Dann braucht die User-Verbindung für das Notebook in der 7490 dieselben Ergänzungen wie der Eintrag für das iOS-Gerät bei der "accesslist" (also das Senden von Paketen von 192.168.0.0/24 an die 192.168.50.201/32) und parallel dazu (wenn das mit FRITZ!Fernzugang funktioniert, was ich eben nicht sicher weiß, aber einen Versuch ist es wert) noch den zusätzlichen Eintrag mit "permit ip any 192.168.0.0 255.255.255.0" in der VPN-Konfiguration auf dem Notebook.
Danke PeterPawn - damit geht es, auch mit Fritz!Fernzugang. Da war ich ja noch nicht einmal soooo weit weg von der richtigen Lösung. Einmal mehr: Vielen herzlichen Dank für Geduld und Unterstützung!
Neueste Beiträge
-
Routing über zwei Fritzboxen und nachgeschalteten TP-Link Router zu PABX- Letzte: PeterPawn
-
Firmware-Releases Fritz!FON 4.xx ab Fritz!OS 7 (Labor/Beta/Inhaus)
- Letzte: Feuerwehr2
-
[Sammlung] Fritz!Box 5690Pro, Inhaus/Labor 7.90, Pfad 'Smart24P1FCS'
- Letzte: Scary674
-
[Sammlung] FRITZ!Smart Control 350 - Firmware 3.53 - 5.xx- Letzte: Jstessi
-
FRITZ!Box 7590 / FRITZ!OS 8.00 vom 31.10.2024
- Letzte: wmf79
-
Wie verbinde ich ein Cisco 8851 mit Placetel?- Letzte: stoney