[Gelöst] 2x Fritzbox 7390 - LanLan VPN - statische Route auf entferntes Netz

Silentsea

Neuer User
Mitglied seit
13 Mai 2015
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich habe schon einiges recherchiert, bin dabei aber noch auf keine Lösung getroffen. Ich hoffe mir kann jemand einen Tipp geben.

Folgendes Szenario: Ich habe zwei Standorte mit je einer Fritzbox 7390, welche via LanLan verbunden sind (über Konfigurationstool eingerichtet). An Standort A befindet sich hinter der Fritzbox ein Server (Win 2012 R2 mit Telefonanlagensoftware) auf welchem wiederum ein Open Vpn Server eingerichtet wurde. Dieser stellt eine Verbindung zu unserem Terminal Server im Rechenzentrum her C, auf welchem Kollegen via RDP (von Standort A und B) zugreifen. Mein aktuelles Problem ist, das ich gern am entfernten Standort B eine statische Route in die Fritzbox eintragen würde welche auf den Server an Standort A verweist, da dieser die Route zum Netzwerk C kennt, nur leider lässt die Fritzbox das in der GUI nicht zu?

Übersicht:
Standort A (feste IP)
172.17.17.1 (Fritzbox 7390)
172.17.17.10 (Server mit Open VPN Server / TK Software)
statische Route für Netzwerk 10.9.0.0 bei Subnet 255.255.255.0 via Gateway 172.17.17.10
Open VPN Server (10.9.0.1) enthält:
push route "172.17.17.0 255.255.255.0"
push route "172.16.16.0 255.255.255.0"

Standort B (feste IP)
172.16.16.1 (Fritzbox 7390)
statische Route auf entferntes Netzwerk 172.17.17.10 nicht möglich in Fritzbox GUI

Standort C
10.9.0.4 Open VPN Client

Damit meine im Netz von Standort B angeschlossenen Telefone im CTI Modus via RDP korrekt funktionieren muss das Netz von Standort B via Standort C erreichbar sein. Die Telefone an Standort A funktionieren und sind via C erreichbar! Soweit ich es verstehe fehlt lediglich das Routing der Clients in Netzwerk B zurück zu C, doch wie realisiere ich das? Kann ich die VPN.cfg ggfs. anpassen?

Bin für jede Hilfe dankbar.

Viele Grüße

Anbei Auszug aus der cfg:

Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "89.aa.aaa.a";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 89.aa.aaa.a;
                remote_virtualip = 0.0.0.0;
                localid {
                        ipaddr = 217.yy.yyy.yy;
                }
                remoteid {
                        ipaddr = 89.aa.aaa.a;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "abcdefg";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 172.16.16.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 172.17.17.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 172.17.17.0 255.255.255.0";
        } {
 
Zuletzt bearbeitet:
Damit meine im Netz von Standort B angeschlossenen Telefone im CTI Modus via RDP korrekt funktionieren muss das Netz von Standort B via Standort C erreichbar sein. Die Telefone an Standort A funktionieren und sind via C erreichbar! Soweit ich es verstehe fehlt lediglich das Routing der Clients in Netzwerk B zurück zu C, doch wie realisiere ich das? Kann ich die VPN.cfg ggfs. anpassen?
Bis hier konnte ich (hoffentlich) noch folgen.

Wieso aber "das Netz von Standort B via (im Sinne von "über" oder "durch") Standort C erreichbar" sein soll, wenn doch die FRITZ!Boxen die Standorte A und B verbinden, verstehe ich nicht mehr. Da stimmen nach meinen Begriffen die Buchstaben irgendwie nicht.

Wenn es tatsächlich nur an der "Route" für den Rückweg von Netzwerk B via Netzwerk A zum Netzwerk C scheitern sollte, müßte es schon reichen, wenn Du an Standort B dafür sorgst, daß die Daten für Standort C in den Tunnel zum Standort A "gesteckt" werden. Dafür ist die "accesslist" in der VPN-Konfiguration an Standort B zuständig, das Format ist hier mehrfach beschrieben, ebenso in anderen Quellen im Internet. Eine "klassische" Route ist dann gar nicht erforderlich, moderne FRITZ!OS-Versionen lassen auch nur Routen über das GUI anlegen, deren Ziel hinter "dev lan" liegt.
 
Hallo, genau das war auch mein Ansatz, dass dies eigentlich reichen würde wenn die Fritzboxen miteinander im LAN LAN sind. Leider kann ich dann aber z.B. keine Clients in Netz B von C aus erreichen. Vielleicht mache ich aber auch einen anderen Denkfehler :/? Bzgl der Acesslisthabe ich auch schon probiert: "permit ip 10.9.0.0 255.255.255.0 172.17.17.0 255.255.255.0" bzw "permit ip 10.9.0.0 255.255.255.0 172.17.17.10 255.255.255.0" oder "permit ip 10.9.0.0 255.255.255.0 172.17.17.1 255.255.255.0", dies brachte auch kein Erfolg aus sicht von Netz C. Was übersehe ich nur?

Viele Grüße
 
Links = Absender, rechts = Ziel

accesslist ist eigentlich nur ein "Selektor" (dieser Tage ein häufig verwendeter Begriff) für den zu verschlüsselnden Traffic.
 
Zuletzt bearbeitet:
So, mit etwas mehr Zeit und Ruhe für die Antwort auf die eigentliche Frage ... die Änderung in der vpn.cfg muß etwa so aussehen (die genauen Adressen findest Du selbst):

Code:
accesslist = "permit ip any 172.17.17.0 255.255.255.0",
   "permit ip any 10.9.0.0 255.255.255.0";

Mehrere String-Werte eben so angeben, wie es gleich darunter auch für die Forward-Rules erfolgt.

Damit wird der gesamte Verkehr für die Zielnetze 172.17.17.0/24 und 10.9.0.0/24 über die VPN-Verbindung geschickt. Die Box am anderen Ende dekodiert das dann wieder und gibt es ihrerseits ins Routing ... die Netze B und C haben ja keine direkte Verbindung, oder?

Auf meine Frage, ob Du da event. etwas doch falsch beschrieben hast, bist Du ja gar nicht erst eingegangen. Hatte das einen speziellen Grund?

Eine von "any" abweichende Angabe auf der "linken Seite" einer solchen Regel macht nur dann Sinn, wenn man die Benutzung der VPN-Verbindung auf bestimmte lokale Adressen beschränken will.
 
Hi. Die Acesslist entsprechend zu erweitert hat geholfen.
Eventuell habe ich mich etwas unglücklich ausgedrückt, es war wohl etwas spät^^. B und C sind nicht direkt miteinander verbunden, lediglich die Clients in C können via RDP auf das einen Terminal Server zugreifen der dann in C liegt. In diesem Netzwerk C (also in der RDP Umgebung) müssen dann auch die Telefone aus B und A erreichbar sein. Damit sie als "lokale Geräte" gelten.

Vielen Dank für die Unterstützung.

Silentsea
 
Bitte den Thread auf "gelöst" oder "erledigt" setzen, danke.
 
Eine solche Option habe ich bereits gesucht, aber nicht gefunden?
 
1. Beitrag -> Bearbeiten -> Erweitert
 
Danke, hatte nicht gesehen, dass ich im Startbeitrag editieren musste.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.