Das leidige Thema: Fritzbox VPN Client, Lokale IPs nicht erreichbar

[Polychaeta]

Hallo Leute,
es tut mir ja leid euch mit dem Thema zu belästigen, es gibt hier ja unzählige VPN Fragen, allerdings komme ich mit meinen Suchbegriffen nicht auf den Thread der mich der Lösung näher bringt.
Mein Setup:
(NAS, PCs) -- 192.168.84.0/24 --> Fritzbox 7270 (192.168.84.1) --> [ipsec VPN via Internet] --> Cisco.

Die Fritzbox VPN Konfiguration betanke ich via cfg Dateimport:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "ipsec tst";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                remoteip = <ip der cisco gegenstelle>;
                localid {
                        user_fqdn = "<id>";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "<preshared key>";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = yes;
                xauth {
                      valid = yes;
                      username = "<xauth user>";
                      passwd = "<xauth passwd>";
                }
                use_cfgmode = yes;
                phase2ss = "esp-all-all/ah-all/comp-all/no-pfs";
                accesslist = "permit ip any any";
        }       
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                        "udp 0.0.0.0:4500 0.0.0.0:4500";}
// EOF

Die Symptome:
Die Fritzbox baut den Tunnel auf. Ich kann dann aber nicht viel machen.
1) Wenn ich im Internet surfen will, muss ich der Fritzbox noch nen DNS-Resolver mitgeben. Das geht im Webinterface, wenn ich z.B. als DNS-Server den von google hernehme (8.8.8.8). Aber kann ich das auch in der CFG irgendwie angeben?
2) Sobald die Fritzbox sich verbunden hat, erreiche ich die anderen Geräte aus dem lokalen 192.168.84.0/24-Netz nicht mehr (z.B. das NAS). Also ping 192.168.84.15 liefert nur Zeitüberschreitungen... Tunnelt die Box alles zum VPN Server, auch die Anfragen, die sich lokal richten?

Sollzustand:
Lokaler Verkehr soll lokal geroutet werden, aber allen anderen verkehr (ins Internet) via VPN-Tunnel.

Was mache ich falsch?

Vielen Dank,
Poly

 

[PeterPawn]

Was mache ich falsch?

"permit ip any any" ist sehr mutig - es verschlüsselt sämtlichen Verkehr auf dem "dev dsl" und schickt ihn in den Tunnel. Ob das tatsächlich funktioniert (die in ESP gekapselten Pakete müssen dann ja "hinter" dem Selektionspunkt wieder in die Queue), weiß ich gar nicht genau ... wenn Du schon eine feste IP-Adresse für die Gegenstelle hast, würde ich wenigstens eine "deny" (oder wie das Schlüsselwort auch heißen mag, hatten wir letztens irgendwo) für diese Zieladresse hinzufügen. Woran "siehst" Du eigentlich, daß der Tunnel tatsächlich funktioniert? Was sagt denn ein "ping" von der Cisco-Seite des Tunnels dazu?

Ansonsten ... von welchem Gerät versuchst Du da irgendein "ping" auf die .15? WLAN? LAN? Alles offene Fragen ...

Normalerweise wird so eine lokale Adresse über ARP aufgelöst und da sollte es absolut keine Rolle spielen, ob die FRITZ!Box einen VPN-Tunnel aufgebaut hat oder nicht ... ja, nicht einmal eine ausgeschaltete FRITZ!Box sollte da ein Problem darstellen. Selbst wenn das über das WLAN der FRITZ!Box laufen sollte (was bei ausgeschalteter FRITZ!Box zugegebenermaßen schwierig wäre), sollte da eine lokale Route vor der "default route" greifen und die Pakete zwischen LAN und WLAN befördern (eigentlich sind die sogar gebridged, damit braucht es gar keine Route), anstatt sie über "dev dsl" ins Internet zu jagen. Aber da fällt mir dann auch prompt noch auf, daß es drei verschiedene Editionen der 7270 (mit zwei verschiedenen Firmware-Ständen in drei verschiedenen Images) gibt und man auch nicht zwingend die jeweils neueste Version verwenden muß. Vielleicht errätst Du die daraus abzuleitende Frage meinerseits ja von alleine (und "spendierst" dann Deinerseits noch einige (IP-)Informationen zum IPSec-Tunnel zwischen der Box und dem Cisco-Gerät)? Auch ein Log-File (notfalls aus den Support-Daten extrahiert) soll bei der Fehlersuche schon in dem einen oder anderen Fall von Nutzen gewesen sein ...

 

[Polychaeta]

Aaaaaah, danke für die Infos! Deiner Antwort entnehme ich, dass du dich auskennst!

Inzwischen muss ich aber zugeben, dass das Verhalten meiner FritzBox nicht mehr vorhersehbar ist. Manchmal hatte sie einfach kein Bock pakete Normal ins Internet durchzureichen, hatte zwischen 25% und 100% Paketverlust. Auch nach Rücksetzen der Box in den Werkszustand ohne VPN. Die gibt wohl langsam den Geist auf!?
Auf so einer Basis kann ich jedenfalls nicht weiter am Tunnel experimentieren. Am Modem vor der FritzBox habe ich keine Probleme...

Grüße,
Poly

P.S.: Noch die Antworten zu deinen Fragen:
1) Ich sehe dass der Tunnel zeitweise funktioniert hatte (noch bevor die Box nicht mehr richtig weiterleitete) durch die Auflösung der IP bei Diensten wie wieistmeineip.de
2) Ein Ping von der Cisco Seite ging durch.
3) Ich habe versucht, von meinem Notebook (WLAN) mein NAS (LAN) anzupingen. Beide befanden sich im gleichen Netzwerk hinter der FritzBox.
4) Firmware: FRITZ.Box_Fon_WLAN_7270_v3.74.06.05
5) An ein LogFile von der Cisco komme ich leider nicht dran, das Teil untersteht leider nicht meiner Kontrolle.