[Gelöst] VPN zw. DSL-Box in D und UMTS-Box in ES - ES-Verbindung hat 2 IPs (1 priv 1 öffentl)?

Vielen Dank. Bitte macht mal keine Pläne für's Wochenende - da werde ich den Hirten an die Box schicken ;)
 
...
Das müsste doch über einen stehenden VPN-Tunnel und z.B. die FritzApp auch von Deutschland aus möglich sein - mir ist nur nicht ganz klar, ob bzw. wie ich sicherstellen kann, dass zum Rauswählen die Festnetznummer (und nicht Yoigo via GSM) genutzt wird. Oder funktionieren die Tastaturcodes zur Wahl der Leitung auch über App/VPN?

Hast Du einen "Microfiltro" per Y-Kabel an der FB7490 hängen? Imho arbeitet Movistar mit Analog-Nummern im ADSL-Bereich (Annex A). Die Registrierung einer Movistar-Festnetznummer als VOIP könnte sonst fehlschlagen ;)

Wenn das "Bäuerchen" schon vorort ist ;)

Btw. Hoffentlich nicht mit einem W10-Net-/Notebook.

http://www.com-magazin.de/news/windows-10/windows-10-klaut-heimlich-bandbreite-997552.html

Wie ein W10-Client die WLAN-/LAN-Verbindung zu einer FB wertet, die wiederum an einem UMTS-Volumentarif hängt?

Den Umstand wollte ich schonmal im Forum als Thema einstellen ... Nur wo?

LG
 
Es hat geklappt, die VPN-Verbindung steht wieder. Derzeit noch DSL-basiert - habe noch nicht auf Mobilfunk geswitched.
Zitat von Docmarten
VPN-Verbindung zur deutschen DSL Box?

Genauso kann man das realisieren ...
Was (noch?) nicht funktioniert ist:
Mit iPad/-Phone per VPN via deutsche DSL-Box auf die spanischen IPs - muss man dazu noch etwas Spezielles in der iOS <> FB-VPN-Konfiguration berücksichtigen?

@Micha0815: Ich habe eine Telefonica-Box mit zwei RJ-Buchsen. In einer steckt DSL vom FB-Y-Kabel, in der anderen Tel vom FB-Y-Kabel über einen Movistar-"Noise"-Filter. Aber mit dem Minimalvertrag werde ich ja weiterhin meine Festenetzleitung haben (von der aus ich einmal im Quartal anrufen muss), d.h. ich muss diese Nummer doch nicht als VOIP-Nummer registrieren?
 
Mit iPad/-Phone per VPN via deutsche DSL-Box auf die spanischen IPs - muss man dazu noch etwas Spezielles in der iOS <> FB-VPN-Konfiguration berücksichtigen?
docmarten schrieb:
Ich komme mit dem iPad, das per VPN mit der 7490 verbunden ist, über die IPs aus dem 7270-Netz auf die Seiten hier im Büro.
Wo habe ich jetzt das Verständnisproblem?

Hattest Du denn bei der Verbindung 7270<->7490 "etwas Spezielles" berücksichtigt?

Ansonsten braucht es die VPN-Konfigurationsdateien der FRITZ!Box ... und zwar alle drei. Auch die "üblichen Netzwerktests" (ping, traceroute) sind natürlich auf dem gesamten Weg (von ES aus rückwärts) zu absolvieren, damit man dann herausfindet, ab wo es nicht mehr funktioniert.
 
Zitat von docmarten
Ich komme mit dem iPad, das per VPN mit der 7490 verbunden ist, über die IPs aus dem 7270-Netz auf die Seiten hier im Büro.

Wo habe ich jetzt das Verständnisproblem?
Ich glaube, ich habe seinerzeit fehlinterpretiert bzw. falsch gedacht: Die Boxen waren verbunden, und ich war zwar mit der ES-Box per VPN verbunden. Gleichzeitig war ich aber mit dem iPad auch per WLAN direkt mit dem hiesigen Netzwerk (dem der DE-Box) verbunden. So ist es vermutlich kein Erfolgsbeweis gewesen, dass ich auf die Seiten hier im Netzwerk kam :/
Werde mal weitertesten.
 
Ansonsten braucht es die VPN-Konfigurationsdateien der FRITZ!Box ... und zwar alle drei.
Hier die beiden der DE und ES Box (der 7270-Test seinerzeit war wie oben beschrieben wahrscheinlich nicht aussagekräftig):

ES-UMTS:
Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "DE_DYNDNS";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "DE_DYNDNS";
                keepalive_ip = 192.168.50.237;
				localid {
                        fqdn = "ES_DYNDNS";
                }
                remoteid {
                        fqdn = "DE_DYNDNS";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "#####";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.50.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.50.0 255.255.255.0";
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = "#####";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.0.202;
                remoteid {
                        user_fqdn = "#####";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "#####";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.0.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.0.0 255.255.255.0 192.168.0.202 255.255.255.255";
        } 
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

DE_DSL:
Code:
vpncfg {
        connections 
		{
                enabled = yes;
                conn_type = conntype_lan;
                name = "ES_DYNDNS";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
 				localid {
                        fqdn = "DE_DYNDNS";
                }
                remoteid {
                        fqdn = "ES_DYNDNS";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "######";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.50.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
		{
                enabled = yes;
                conn_type = conntype_user;
                name = "MK_IOS";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.50.202;
                remoteid {
                        key_id = "#######";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "##############";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "######";
                        passwd = "######";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.50.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.50.0 255.255.255.0 192.168.50.202 255.255.255.255";
        } 
		}
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
iOS-Devices sind "normal" konfiguriert: IPSec, Server = DYNDNS-Adresse der DE-Box; Account & Gruppenname wie in FB-Config, Kein Zertifikat und Shared Secret. Funktioniert seit Langem stabil.

Auch die "üblichen Netzwerktests" (ping, traceroute) sind natürlich auf dem gesamten Weg (von ES aus rückwärts) zu absolvieren, damit man dann herausfindet, ab wo es nicht mehr funktioniert.
D.h. per telnet auf die spanische Box - muss ich heute Abend machen, wenn ich wieder im WLAN der 7490 bin.
 
@docmarten:
DE-DSL
Code:
                accesslist = 
                             "permit ip 192.168.50.0 255.255.255.0 192.168.50.202 255.255.255.255",
                             "permit ip 192.168.0.0 255.255.255.0 192.168.50.202 255.255.255.255";
könnte schon helfen, wenn ich die Adressen richtig verstehe. Im Moment erreichen die Daten aus ES (Absender 192.168.0.0/24) Dein iOS-Gerät (192.168.50.202/32) vermutlich einfach nicht, weil sie im LAN versanden bzw. per Route auf "dev dsl" geleitet, dort aber nicht in IPSec verpackt werden.
 
im Lan-Lan-Abscnitt, oder?
 
Ne, da wo die erste Zeile bereits existiert, also in der User-Connection - der LAN-LAN-Zugriff sollte ja schon laufen. Da das iOS-Gerät dann die lokale 192.168.50.202 erhält, fällt es aus Sicht der LAN-LAN-Kopplung in den Bereich "192.168.50.0/24" und sollte dort mit "abgefrühstückt" werden (bzw. da steht bei Dir sogar "any" als Absender in der "accesslist"). Die Daten aus ES (wie bereits geschrieben) landen vermutlich nicht bei der 192.168.50.202, also braucht es da noch den passenden "Selektor".
 
Das klappt! Vielen Dank!
Mit dem gerade Gelernten wollte ich nun auch noch den Eintrag für VPN Büro (7270) zur DE-7490 ergänzen:
Code:
{
                enabled = yes;
                conn_type = conntype_user;
                name = "MK_Vaio";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.50.201;
                remoteid {
                        user_fqdn = "MK_Vaio";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "#####";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.50.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.50.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.50.0 255.255.255.0 192.168.50.201 255.255.255.255",
			     "permit ip 192.168.0.0 255.255.255.0 192.168.50.201 255.255.255.255";
        }
Klappt so nicht - muss ich das evtl. bei phase2localid auch alles auf 0.0.0.0 stellen? Oder bei der LAN-LAN die accesslist explizit um 192.168.100.0 ergänzen?
 
Pardon, es muss die Hitze sein. Hier die fehlende Config der Notebook-Gegenstelle, mit dem ich per VPN (Fritz Fernzugang) zur DE-DSL-Box verbinde:
Code:
version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "DE-DYNDNS";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.50.201;
                remoteip = 0.0.0.0;
                remotehostname = "DE-DYNDNS";
                localid {
                        user_fqdn = "MK_Vaio";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "#####";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.50.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.50.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.50.0 255.255.255.0";
                wakeupremote = no;
        }
}


policybindings {
}
Ich habe auch hier mal versuchsweise die accesslist ergänzt um " "permit ip 192.168.0.0 255.255.255.0 192.168.50.201 255.255.255.255";", aber tut auch nicht (nicht dass ich wirklich genau wüsste, was ich da tue).
 
Pardon, es muss die Hitze sein.
Ich habe extra nichts geschrieben ... war halt ein Test. ;)

Ich habe auch hier mal versuchsweise die accesslist ergänzt um " "permit ip 192.168.0.0 255.255.255.0 192.168.50.201 255.255.255.255";", aber tut auch nicht (nicht dass ich wirklich genau wüsste, was ich da tue).
Warum dokterst Du auch daran herum? Mußtest Du die Einstellungen des iPhones/iPads anpassen, damit Du nach ES kommst? Eher nicht ... also auch hier den Eintrag für dieses Notebook in der 7490 ergänzen, damit auch die Daten dieses Clients die Box in ES erreichen können.
 
also auch hier den Eintrag für dieses Notebook in der 7490 ergänzen, damit auch die Daten dieses Clients die Box in ES erreichen können.

Das war ja das, was ich zuerst probiert hatte, in der Config der DE-7490, wie in Post #30 beschrieben. Aber da ist wahrscheinlich der Fehler drin.
 
@docmarten:
OK, in die FRITZ!Fernzugang-Konfiguration hatte ich gar nicht hineingesehen (warum nimmst Du nicht den Shrewsoft-Client, dann hast Du auch noch nach dem W10-Update was davon).

Dort muß natürlich auch noch der Traffic zur Box in ES in den Tunnel geschickt werden, das wäre dann die resultierende "accesslist":
Code:
                accesslist = "permit ip any 192.168.50.0 255.255.255.0",
                                 "permit ip any 192.168.0.0 255.255.255.0";

EDIT: Falls das mit FRITZ!Fernzugang so machbar ist ... das benutzt eigentlich niemand, der sich damit auszukennen glaubt.
 
accesslist in der LAN-LAN-Sektion? Wenn ja: brachte nicht den gewünschten Effekt.
Ich editiere die ursprünglichen Fritz!Fernzugangsdateien manuell, werde mir aber jetzt, wo ich ganz schwach anfange, mich auszukennen glaube, natürlich mal die Alternativen anschauen.
 
Vielleicht kannst Du das ja noch einmal "ordentlich" zusammenfassen, was Du da eigentlich erreichen willst? Irgendwie geht das bunt durcheinander ... einmal ist von einer "7270 zu 7490"-Verbindung die Rede (#30), darunter steht dann aber eine Verbindung mit "conntype_user" ... das ist kein Box2Box-VPN.

Auch wenn es für Dich ja vollkommen logisch und klar sein mag, was die 7270 damit zu tun hat (und welche LAN-IPs die 7270 überhaupt verwendet, davon hängt ja dann die "accesslist" ab) - für einen Unbeteiligten ist der Zusammenhang zwischen "MK-Vaio" (was offenbar ein User-Account an der 7490 sein sollte - mit IP 192.168.50.201, ansonsten ist da praktisch alles durcheinander) und der Box in ES bzw. der 7270 nur noch vollkommen undurchsichtig.
 
Sorry, wenn das verwirrend war.
Was klappt, ist
1. die LAN-LAN-Verbindung DE-DSL-7490 (192.168.50.###) <> ES-UMTS-7490 (192.168.0.###),
2. die Verbindung per PC und iOS darüber, wenn ich mit den Geräten im WLAN der DE-DSL-7490 bin,
3. die Verbindung per iOS, wenn ich dieses (z.B. über Mobilfunk) per VPN mit der DE-DSL-7490 verbinde, nach ES-UMTS-7490.

Was ich nun abschließend noch erreichen wollte, ist der Zugriff vom Notebook (MK_VAIO) auf ES-UMTS-7490, wenn ich im WLAN-Büronetz der 7270 (192.168.100.###) bin, und zwar möglichst ohne LAN-LAN-Verbindung zwsichen der 7270 und der DE-DLS-7490, sondern mit der normalen Benutzerverbindung (also wie beim iOS).
 
Dann braucht die User-Verbindung für das Notebook in der 7490 dieselben Ergänzungen wie der Eintrag für das iOS-Gerät bei der "accesslist" (also das Senden von Paketen von 192.168.0.0/24 an die 192.168.50.201/32) und parallel dazu (wenn das mit FRITZ!Fernzugang funktioniert, was ich eben nicht sicher weiß, aber einen Versuch ist es wert) noch den zusätzlichen Eintrag mit "permit ip any 192.168.0.0 255.255.255.0" in der VPN-Konfiguration auf dem Notebook.
 
Danke PeterPawn - damit geht es, auch mit Fritz!Fernzugang. Da war ich ja noch nicht einmal soooo weit weg von der richtigen Lösung. Einmal mehr: Vielen herzlichen Dank für Geduld und Unterstützung!
 
Gern geschehen ... wenn das Thema dann durch ist, setze bitte in #1 einen anderen Präfix. Danke.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.