fritzbox vpn mit 2xumts

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
E

elektrixxer

Neuer User
Mitglied seit
16 Jun 2013
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
hallo, ich lese hier schon eine ganze weile mit. jetzt ist es auch für mich an der zeit mal hallo zu sagen.

ich habe sozusagen einen "spezialgelagerten sonderfall". meine konfiguration sieht folgendermaßen aus:

standort1
fritz box 7320
internetzugang über umts (eplus)

standort2
fritz box 7170
internetzugang über dsl

standort3
fritzbox 7330
internetzugang über umts (eplus)

nun zu meinem problem:
derzeit habe ich 2 getrennte vpn netze am laufen (standort 1-2 und 2-3) nun würde ich zusätzlich gerne
vom standort 1 auf den standort 3 zugreifen. laut avm homepage müsste ich dafür ein drittes netz einrichten (1-3) leider geht das nicht weil eplus keine öffentlichen ips rausrückt und somit keine direkte verbindung zwischen 1 und 3 herstellbar ist. leider funktioniert die verbindung von 1 über 2 zu 3 auch nicht. gibt es irgendeinen mehr oder weniger schmutzigen trick um das problem zu lösen?

vielen dank schon mal im voraus
euer elektrixxer


############ LÖSUNG ###################
der ansatz von wusel-09 war im grunde schon richtig nur die einstellung der mittleren box (dsl anschluss) darf nicht bearbeitet werden. einfach bei den beiden umts stellen in der accesslist das jeweils gegenüberliegende netzwerk hinzufügen (aufpassen auf das komma und das semikolon am ende der zeile) und schon funktioniert der ganze krempel hervorragend.

Standort 1 (umts):


accesslist = "permit ip any 192.168.2.0 255.255.255.0", #netzwerk standort 2 dsl
"permit ip any 192.168.3.0 255.255.255.0"; #netzwerk standort 3 umts

Standort 2 (dsl):

hier nichts verändern

Standort 3:


accesslist = "permit ip any 192.168.1.0 255.255.255.0", # netzwerk standort 1 (umts) "permit ip any 192.168.2.0 255.255.255.0"; # netzwerk standort 2 (dsl)



ich hoffe ich kann damit dem einen oder anderen helfen. selbst der avm support konnte mir nicht weiterhelfen und hat bestritten das es überhaupt möglich ist in dieser konfiguration zu arbeiten. naja sind halt auch nur menschen.

viel glück beim ausprobieren und nochmals ganz herzlichen dank an alle die mir bei der lösungsfindung geholfen haben.
 
Zuletzt bearbeitet:
Bei AVM gibt es Anleitungen für den Zugriff auf weitere Netzwerke hinter den VPNs. Diese kannst Du vielleicht auf Deine Problemstellung anwenden. Sämtlicher VPN-Trafic müsste dann über die gemeinsame DSL-Box laufen. Dazu musst Du dann aber die Konfigurationen aller drei Boxen anfassen.

Gruß Telefonmännchen
 
da hab ich wohl den wald vor lauter bäumen nicht gesehen. jetzt wo ich ein stichwort habe finde ich den beitrag von avm an mehreren stellen. leider ist der artikel entweder gelöscht oder verschoben worden. ich finde überall nur tote links. augenscheinlich scheint das genau die lösung für mein problem zu sein. hast du zufällig ne kopie davon oder kannst mir grob nen tip geben wie ich das anstellen muss? die konfiguration der boxen kann problemlos geändert werden. da die momentan noch alle 3 nebeneinanderstehen.
 
Meine Recherchemöglichkeiten sind derzeit begrenzt (bin nur mit einem Tablet im Urlaub). Anscheinend hat AVM bei ihrer Umgestaltung ihres Webauftrittes ganze Arbeit geleistet und die Querverlinkung in ihren Supportseiten gekillt. Keine Ahnung ob ich das zu Hause auf dem Rechner als PDF oder als Link habe (der wäre dann auch kaputt).

Gruß Telefonmännchen
 
elektrixxer schrieb:
ich habe sozusagen einen "spezialgelagerten sonderfall". meine konfiguration sieht folgendermaßen aus:

standort1 (UMTS)

standort2 (DSL)

standort3 (UMTS)

nun zu meinem problem:
derzeit habe ich 2 getrennte vpn netze am laufen (standort 1-2 und 2-3) nun würde ich zusätzlich gerne vom standort 1 auf den standort 3 zugreifen. [...]
Zum Vergrößern anklicken....
Das habe ich bislang nicht angegangen, da meine Versuche (bei 3x DSL) ins Leere liefen; das könnte aber auch daran liegen, daß ich voll vermascht arbeite, also je ein VPN 1-2, 1-3, 2-3 laufen habe. (Hintergrund: es sieht für mich so aut, als ob die »Firewall«-Freischaltungen auch Routing-Entscheidungen beeinflußten — und mit dem Netz von 3 einmal über 1-3 und einmal über 2-3 wird's dann uneindeutig?).

Anyway, in Deinem Setup sollt es reichen, die »accesslist« in den VPN-Dateien konsequent anzupassen. Ich nehme mal 192.168.1.0/24 für Standort 1, 192.168.2.0/24 für Standort 2, 192.168.3.0/24 für Standort 3. (Und ja, nur VPN UMTS->DSL funktioniert, UMTS->UMTS klappt eher nie, Kabelnutzer sind hier teils leider technisch eher »UMTS-Nutzer«.)

Standort 1:
Code: 
                accesslist = "permit ip any 192.168.2.0 255.255.255.0",
                             "permit ip any 192.168.3.0 255.255.255.0";
Standort 2:
Code: 
                accesslist = "permit ip any 192.168.1.0 255.255.255.0",
                             "permit ip any 192.168.3.0 255.255.255.0";
Standort 3:
Code: 
                accesslist = "permit ip any 192.168.1.0 255.255.255.0",
                             "permit ip any 192.168.2.0 255.255.255.0";

Logik dahinter: in der »accesslist« wird ›freigeschaltet‹, welche Adressen über das VPN reinkommen dürfen. Latent sollte »192.168.0.0/16« tun, aber, wie gesagt, mir scheint es auch für das Routing relevant (es gibt auch keine andere Möglichkeit, ein Routing über VPN-Schnittstellen zu konfigurieren).

Obiges klappt bei mir prinzipiell mit RFC1918- und weiteren Adressen (ich habe i. d. R. »echte« /27-Blöcke pro Site (via OpenVPN)); es klappt bei mir aber nicht beim Routing von 3 über 2 zu 1, vermutlich, weil 3 Routen zu 1 via 2 und 1 hat .... Bei Dir liefe 1-3/3-1 über 2, das müßte klappen (wobei der Uplink von 2 die Gesamtperformance bestimmt).
 
Zuletzt bearbeitet:
guten morgen allerseits,

nachdem ich gestern noch die halbe nacht damit zugebracht habe aus irgendwelchen webarchiven den besagten avm artikel ("Über eine VPN-Verbindung auf mehrere IP-Netzwerke hinter einer FRITZ!Box zugreifen") herauszukitzeln bin ich zu der gleichen idee gekommen. ich hatte nur keine muße mehr das ganze dann auch noch auszuprobieren.

für interessierte hier die links:
Wie kann ich über eine VPN-Verbindung zwischen zwei FRITZ!Box-Geräten (LAN-LAN) auf mehrere IP-Netzwerke hinter einer FRITZ!Box zugreifen?
http://web.archive.org/web/20120418025949/http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/15144.php3

Wie kann ich über eine VPN-Verbindung (Client-LAN) auf mehrere IP-Netzwerke hinter der FRITZ!Box zugreifen?
http://web.archive.org/web/20121006100338/http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/15136.php3

die performance der ganzen geschichte ist eher nebensächlich.
es soll hauptsächlich eine heizungssteuerung am standort 3 (ferienwohnung ohne festnetz) abgefragt bzw manipuliert werden. als zusätzlicher nebeneffekt wird eine festnetznummer dorthin per sip geroutet. das klappt auch hervorragend (solange vatti nicht das ganze volumen weggesurft hat) und als krönung sozusagen kann ich dann von meinem zuhause (standort 3 leider auch nur umts möglich) die ganze geschichte administrieren. es werden also keine wahnsins datenmengen umhergeschaufelt. das anspruchsvollste ist die telefonie aber das klappt erstaunlich gut. ab und zu ist es wie eine schlechte handyverbindung aber sehr selten und nicht nachvollziehbar warum.

so, jetzt gibts erstmal frühstück und dann gehts frisch ans werk. ich werde berichten ob es klappt
 
so, hat ein wenig länger gedauert.
ich habe als erstes folgendes probiert

standort 1 (umts 192.168.1.0/24)

accesslist = "permit ip any 192.168.2.0 255.255.255.0",
"permit ip any 192.168.3.0 255.255.255.0";



standort 2 (dsl 192.168.2.0/24)

vpn 1-2
accesslist = "permit ip any 192.168.1.0 255.255.255.0";

vpn 3-2
accesslist = "permit ip any 192.168.3.0 255.255.255.0";



standort 3 (umts 192.168.3.0/24)

accesslist = "permit ip any 192.168.1.0 255.255.255.0",
"permit ip any 192.168.2.0 255.255.255.0";


das war leider nicht wirklich erfolgreich. danach habe ich die konfiguration von 2 nochmal geändert

standort 2 (dsl 192.168.2.0/24)

vpn 1-2
accesslist = "permit ip any 192.168.1.0 255.255.255.0",
"permit ip any 192.168.3.0 255.255.255.0";

vpn 3-2
accesslist = "permit ip any 192.168.3.0 255.255.255.0",
"permit ip any 192.168.2.0 255.255.255.0";

das hatte dann zur folge das das ganze vpn überhaupt nicht
mehr lief (klingt auch logisch, der wusste dann ja gar nicht mehr wohin er routen soll)

also so richtig weitergekommen bin ich nicht :-(
 
Zuletzt bearbeitet:
Du hast drei Netze, und du möchtest von jedem der drei Netze auf eines der anderen beiden zugreifen.

Du musst auf jedem der drei Netze eine Route eintragen, die die anderen beiden Netze über den Tunnel findet:
Am Standort 1 gibt es eine Route zum Standort 2 und eine Route zum Standort 3, der über den Standort 2 geht.
Am Standort 2 gibt es eine Route zum Standort 1 und eine zweite, davon unabhängige von der ersten, die zum Standort 3 geht.
Am Standort 3 gibt es eine Route zum Standort 2 und eine Route zum Standort 1, die über den Standort 2 geht.

Nehmen wir mal die folgenden Daten an:
Standort 1: 192.178.1.0/24 - Gateway UMTS: 192.178.1.1, Tunnel: 192.173.1.2
Standort 2: 192.178.2.0/24 - Gateway: 192.178.2.1, Tunnel zu Standort 1: 192.173.2.2, Tunnel zu Standort 3: 192.173.2.3
Standort 3: 192.178.3.0/24 - Gateway UMTS: 192.178.3.1, Tunnel: 192.173.3.2


Die einfachste Möglichkeit wäre wohl, in den jeweiligen FritzBoxen feste Routen einzutragen.
und zwar im
Standort 1 die beiden Routen:
Zielnetz: 192.178.2.0/24 Gateway: 192.178.1.2
Zielnetz: 192.178.3.0/24 Gateway: 192.178.1.2

Standort 2 die beiden Routen:
Zielnetz: 192.178.1.0/24 Gateway: 192.178.2.2
Zielnetz: 192.178.3.0/24 Gateway: 192.178.2.3

Standort 1 die beiden Routen:
Zielnetz: 192.178.1.0/24 Gateway: 192.178.3.2
Zielnetz: 192.178.2.0/24 Gateway: 192.178.3.2

Die FritzBoxen der Standorte 1 und 3 müssen den Tunnel zum Standort 2 aufbauen, da sonst kein Verkehr möglich ist.

Durch die Definition der Routen in der Oberfläche der Netzwerkeinstellung der Boxen, und nicht im Tunnel, können Systeme aus jedem der drei Netze die in einem der anderen beiden Netze erreichen. Auch muss bei den Systemen in den jeweiligen Netzen keine Routen eingetragen werden, da die FritzBox den Datenverkehr, der bei ihr als Default-Gateway ankommt automatisch an die passende Ziel-IP (also dem Gateway zudem passenden Netz) weiterleitet.
 
elektrixxer schrieb:
also so richtig weitergekommen bin ich nicht :-(
Zum Vergrößern anklicken....
Ich kann's nur anhand der vpn.cfg-Files beschreiben:
Code: 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "fb-gt.foo.bar";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "fb-gt.foo.bar";
                localid {
                        fqdn = "fb-bln-vdsl.foo.bar";
                }
                remoteid {
                        fqdn = "fb-gt.foo.bar";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "secrect_key_here";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 1.2.6.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 1.2.7.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 1.2.7.0 255.255.255.0",
                             "permit ip any 10.11.5.0 255.255.255.0",
                             "permit ip any 198.18.226.32 255.255.255.224",
                             "permit ip any 198.18.120.32 255.255.255.224";
        } {
                enabled = yes;
                conn_type = conntype_lan;
                name = "fb-praxis.foo.bar";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "fb-praxis.foo.bar";
                localid {
                        fqdn = "fb-bln-vdsl.foo.bar";
                }
                remoteid {
                        fqdn = "fb-praxis.foo.bar";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "secrect_key_here";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 1.2.6.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.11.45.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 10.11.45.0 255.255.255.0";
        } {
                enabled = yes;
                conn_type = conntype_lan;
                name = "fb-day1.foo.bar";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "fb-day1.foo.bar";
                localid {
                        fqdn = "bf-bln-vdsl.foo.bar";
                }
                remoteid {
                        fqdn = "fb-day1.foo.bar";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "secrect_key_here";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 1.2.6.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 203.0.113.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 203.0.113.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

HTH ...
 
erstmal super vielen dank für eure vielen ratschläge. ich war leider die letzte zeit gesundheitlich nicht auf der höhe. daher habe ich mich hier etwas rar gemacht. ich werde mich auf jedenfall jetzt nochmal mit dem thema auseinandersetzen. es währe ja gelacht wenn das nicht laufen wird.
 
Also so wie du es in #7 oberer Teil beschrieben hast ist es richtig und sollte gehen.

Ich hatte das schon mal vor einiger Zeit mit einem User hier durchgespielt,
der das nur zum Test mal so versuchen wollte, zwar ohne UMTS, aber das ist ja für das Prinzip egal.

Du mußt natürlich sicherstellen, daß beide VPN's von der UMTS-Seite aufgebaut sind,
bevor du von 1 nach 3 durch kannst.
 
männers ich komm nicht weiter :-(

ich habe es jetzt probiert wie in nr8 beschrieben. der effekt ist das das vpn zwar aufgebaut wird aber keine daten übertragen werden weder von 1-2 noch von 1-3 genauso wie umgekehrt. entweder mein kopf ist zu klein um das zu verstehen oder es geht wirklich nicht.

die stelle wo meine augen immer wieder hängenbleiben ist das gateway aus nr8 . wo kommen die .2 bzw .3 adressen her?
sind das die virtuellen tunnel?
 
Da jetzt eine Lösung im ersten Beitrag hineineditiert wurde mal eine Zusatzfrage:
Kennt jemand die genaue Syntax dieser "accesslist" Option in der vpn.cfg?
Es wäre nämlich echt traumhaft, wenn man die routen (die zu den verschiedenen Subnetzen führen) vom VPN-Server (Standort 2) auf die Klienten "pushen" könnte.
Bei openvpn gibt es ja dafür die 'push "route 192.168.4.0 255.255.255.0"' Syntax...
In der aktuellen Lösung muss man es jedem Klientnetz einzeln eintrichtern. Es wäre eleganter, wenn man es nur am zentralen Knoten eintragen müsste.
 
Geht nicht.
1. sind es accesslisten und keine routen
2. ist openvpn wesentlich umfangreicher
 
Nach einiger Recherche:
Ist eine Accesslist ein Satz von Paketfilterregeln?
Also quasi die Realisierung einer Firewall?
Ich habe Syntax dazu in einem Blogpost von 2007 gefunden:
http://blog.schmidt.ps/2007/05/30/die-interne-fritzbox-stateful-firewall/
Ist das noch aktuell?
Im Allgemeinen scheint insbesondere Cisco diese Begriffsdefinition zu verwenden. Nur scheinen die eine leicht andere Syntax (u.a. Wildcard Mask anstatt normaler Netzmaske) bzw. mächtigere Syntax zu verwenden.
Wie nennt man diesen Vorgang dann, wenn es kein Routing ist? Paketweiterleitung (per Firewall)?
Stimmt es, dass die Accesslist Einträge abgearbeitet werden bevor die Pakete geroutet werden? (Ansonsten könnte man ja gerouteten Traffic nicht filtern/ablehnen/ignorieren/reject/deny....?)

genbian
 
*kopfkratz* schwierig dir zu antworten, kommt darauf an wie genau du es nimmst und ob du es nur auf VPN beziehst.

Aber im groben zu allem JA.
Nur bei "Firewall" sage ich nein, Filter trifft es besser:
Paketweiterleitung (per Filter)

Firewall ist bei mir 'ne PIX.

Man kann auch gerouteten Traffic filtern, macht z.B. jede FB am Eingang, nachdem die Packete 'zig mal im Internet geroutet wurden.
Aber natürlich macht es Sinn ihn vorher zu filtern, so entlastet man die Router.

Sehr wichtig ist noch die Reihenfolge in der accesslist!
(das fehlt in deinem Link)
1. wegen der Logik, da der 1. match greift
2. wegen der CPU-Auslastung, es sollten möglichst 90% des Traffics über den 1. Eintrag abgewickelt werden
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 831 (Mitglieder: 38, Gäste: 793)

Neueste Beiträge

Statistik des Forums

Themen
246,494
Beiträge
2,253,028
Mitglieder
374,283
Neuestes Mitglied
todatec
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück