2 FritzBoxen VPN Problem

matze1255

Neuer User
Mitglied seit
1 Jun 2012
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Hallo, folgendes Problem:
Ich habe 2 Fritzboxen. Die eine ist direkt mit dem Internet verbunden und ist über eine myfritz adresse erreichbar. Die andere hängt hinter einem anderen Router und ist deshalb nicht direkt über eine myfritz adresse erreichbar.

Ist es möglich diese beiden Fritzboxen über ein VPN zu verbinden?

Vielen Dank schonmal im vorraus :)
 
Ja. Wenn der Verbindungsaufbau auch von nur einer Seite aus erfolgen kann (also das "ausreicht"), geht das sogar ohne Portforwarding an dem "fremden" Router.
 
Danke für die schnelle Antwort. Die Verbindung sollte dauerhaft bestehen. Deshalb ist es eigentlich egal von welcher Seite aus die Verbindung aufgebaut wird. Kann ich die Verbindung ganz normal über den Assisstenten in der Fritzbox "LAN-LAN-Kopplung" einrichten?
 
Kann ich die Verbindung ganz normal über den Assisstenten in der Fritzbox "LAN-LAN-Kopplung" einrichten?
Besser nicht (meine Meinung) ... bei einer einseitig initiierten VPN-Verbindung wird nur auf einer Seite (dem Initiator) ein bestimmter Parameter (remotehostname) gesetzt und das beherrscht der AVM-Assistent in der Firmware nicht (bzw. der setzt meines Wissens immer den remotehostname-Parameter). Aber ich kenne die Fähigkeiten des Assistenten in der aktuellen Ausprägung nicht 100%ig ... kann mir das aber nicht als "Standard-Szenario" bei AVM vorstellen. Eine Konfiguration ohne remotehostname zu erstellen, indem man das Feld "Internetadresse" einfach leer läßt, funktioniert sicherlich auch nicht (wenn es überhaupt geht), da der Inhalt dort auch als fqdn für Phase1 verwendet wird und nicht nur als remotehostname.

Nimm "Fernzugang einrichten", lass' Dir die zwei Konfigurationsfiles erstellen und editiere die Datei für die Box ohne zusätzlichen Router (das ist der Responder) entsprechend (remotehostname = "";). Anschließend in beide Boxen die jeweils richtige Datei importieren ...

Wenn man mit einem Text-Editor umgehen kann und sich die Änderungen an einem Template-File von Hand zutraut, kann man sich auch das Installieren von "Fernzugang einrichten" klemmen.
 
Danke! Werde ich heute Abend mal testen.
 
Was wird denn bei fqdn eingetragen? Hier mal die 2 config files:

Fritzbox 1 hat den direkten Internetzugang und Fritzbox 2 sitzt hinter einem anderen Router.

Was wird anstelle von "blabla.bla.bla" eingetragen?

Fritzbox 1:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Fritzbox1";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "";
localid {
fqdn = "xxx.myfritz.net";
}
remoteid {
fqdn = "blabla.bla.bla";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "cbccI8e8*e101cexUd7b8cfadC2g%ed";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.10.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.11.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.11.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Fritzbox 2:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Fritzbox2";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "xxx.myfritz.net";
localid {
fqdn = "blabla.bla.bla";
}
remoteid {
fqdn = "xxx.myfritz.net";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "cbccI8e8*e101cexUd7b8cfadC2g%ed";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.11.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.10.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.10.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
 
Die ID für Phase1 (fqdn) bleibt bei beiden Konfigurationen so wie sie war, nur den remotehostname bei der "myfritz.net"-Box (so wie Du es offenbar schon gemacht hast) rausnehmen. Dann event. noch in die Initiator-Konfiguration ein "keepalive_ip = 192.168.10.1;" einfügen und die Box hinter dem fremden Router sollte die VPN-Verbindung umgehend starten (sonst wartet sie, bis ein Paket an die 192.168.10.0/24 ansteht und baut dann erst auf).
 
"blabla.bla.bla" ist ja aber nur ein erfunderner Wert. (Unter der adresse ist nichts erreichbar, Fritzbox2 hat keine adresse). Funktioniert das dann trotzdem?
 
"blabla.bla.bla" ist ja aber nur ein erfunderner Wert. (Unter der adresse ist nichts erreichbar, Fritzbox2 hat keine adresse). Funktioniert das dann trotzdem?
Die Namen innerhalb von "localid"/"remoteid" sehen aus wie FQDN und sind eigentlich auch welche, werden aber nicht über DNS aufgelöst ... also: Egal was da steht (jedenfalls bei Dir), muß nur gespiegelt auf der Gegenseite genauso stehen.
 
OK Danke für die Hilfe! Habe es gerade mal ausprobiert. Funktioniert wunderbar :)
 
==> 1. Beitrag editieren, "Erweitert", Präfix setzen

Danke
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.