Fragen zu VPN mit 7170

[Markus_H]

Hi Leutz,

ich habe mir mal die PDFs aus dem Fernzugang Labor Image für eine 7170 angesehen. Dort ist ja beschrieben wie man eine LAN-LAN bzw. Client-LAN Kopplung konfiguriert.
Folgende offene Fragen hätte ich noch:

1.) Ist es möglich mehr als zwei FritzBoxen zu koppeln? Also ich hab drei Standorte und möchte die per VPN koppeln.
2.) Wird nach einer Zwangstrennung die VPN Verbindung wieder automatisch hergestellt?
3.) Besteht bei einer LAN-LAN Kopplung zusätzlich noch die Möglichkeit, dass sich ein Client per VPN mit dem LAN verbindet?
4.) Kann man dann eigentlich noch bei einer bestehenden VPN Verbindung zusätzlich das Internet vom Client aus nutzen?

Viele Fragen, ich weiss...

Markus

 

[frank_m24]

Hallo,

1.) Ist es möglich mehr als zwei FritzBoxen zu koppeln? Also ich hab drei Standorte und möchte die per VPN koppeln.

Ja, eine Box kann mehr als eine VPN Konfiguration aufnehmen. Du könntest folglich eine "Master Box" bestimmen, an die sich die beiden "Slave Boxen" verbinden können. Problematischer wird es schon, wenn die beiden Slave-Netze miteinander reden sollen, dafür musst du dann statische Routen in den Slave-Boxen einrichten, dass das jeweilige Ziel-Subnetz über das Gateway "Master-Box" erreicht werden kann. Deshalb sollte die Master Box diejenige mit der höchsten Upload-Geschwindigkeit sein, denn der ganze Traffic muss durch ihre DSL Anbindung durch.
Komme nicht mal im Traum auf die Idee, jede Box mit jeder zu verbinden! Du baust einen Kreis richtest eine Katastrophe an.

2.) Wird nach einer Zwangstrennung die VPN Verbindung wieder automatisch hergestellt?

Die VPN Verbindung wird immer dann hergestellt, wenn sie benötigt wird, also wenn Datenpakete fürs Zielsubnetz übertragen werden müssen.

3.) Besteht bei einer LAN-LAN Kopplung zusätzlich noch die Möglichkeit, dass sich ein Client per VPN mit dem LAN verbindet?

Ja.

4.) Kann man dann eigentlich noch bei einer bestehenden VPN Verbindung zusätzlich das Internet vom Client aus nutzen?

Ja. Über die VPN Verbindung wird grundsätzlich nur der Datenverkehr fürs VPN Zielsubnetz übertragen. Es gibt keine Möglichkeit, den Internetverkehr über die VPN Verbindung zu leiten.

Viele Grüße

Frank

 

[Markus_H]

Hallo Frank,

danke für deine Ausführungen. Mal generell: Ist das alles mit dem Labor-Image möglich, dass AVM zur Verfügung stellt? Bei dem Image ist ein Assistent zur Erstellung von konfigurationen dabei. Mit dem zumindest kann ich nur zwei FritzBoxen verbinden, oder alternativ einen User einrichten für die VPN Verbindung. Oder brauch ich da was anderes bzw. muss die Konfig-Dateien händisch erstellen? Vielleicht hast du das was für mich, Links, HowTos oder dergleichen.

Auf alle Fälle hab ich dieses Image ausprobiert und mit dem Assistenten zwei Konfigurationsdateien erstellt. Die eine Box hat Lokation1.dyndns.org und IP-Segment 192.168.25.0/24, die andere Box hat Lokation2.dyndns.org und IP-Segment 192.168.1.0/24.
Wenn ich jetzt von Lokation1 einen Ping auf 192.168.1.240 mache, dann geht der aber nicht. Laut Fritzbox wird die VPN-Verbindung hergestellt. Tracert zeigt mir an dass der Pingversuch über die Box rausgeht, nur kommt anscheinend nix zurück. Ich müsste mich doch eigentlich die Weboberfläche der anderen Fritzbox aufrufen können, oder? Oder muss ich dazu auf der Box den Port 80 zusätzlich freigeben?

Gruß - markus

 

[RalfFriedl]

Du könntest folglich eine "Master Box" bestimmen, an die sich die beiden "Slave Boxen" verbinden können. ....
Komme nicht mal im Traum auf die Idee, jede Box mit jeder zu verbinden! Du baust einen Kreis richtest eine Katastrophe an.

Kannst Du das mal näher erläutern? Ist das eine Einschränkung der VPN-Software von AVM?

Prinzipiell spricht nämlich aus meiner Sicht nichts dagegen.

 

[frank_m24]

Hallo,

Mal generell: Ist das alles mit dem Labor-Image möglich, dass AVM zur Verfügung stellt?

Ja.

Bei dem Image ist ein Assistent zur Erstellung von konfigurationen dabei. Mit dem zumindest kann ich nur zwei FritzBoxen verbinden, oder alternativ einen User einrichten für die VPN Verbindung.

Eine VPN Verbindung ist immer zuerst mal eine Punkt zu Punkt Verbindung zweier Gegenstellen. Das ist auch bei OpenVPN nicht anders.
Willst du drei Netze miteinander verbinden, musst du halt schon etwas mehr Aufwand betreiben.

Wenn ich jetzt von Lokation1 einen Ping auf 192.168.1.240 mache, dann geht der aber nicht.

Das kann eine Millionen Gründe außerhalb der VPN Verbindung haben. Antwortet der Rechner überhaupt auf Pings? Hast du seine Firewall-Einstellungen entsprechend angepasst? Stimmt die Routenkonfiguration in dem Rechner? Bedenke, das die Anfragen per VPN aus einem fremden Subnetz kommen.
Versuche zunächst mal, die Fritzbox der Gegenseite zu erreichen. Dann kümmere dich um die Netze der jeweiligen Gegenseite.

Ich müsste mich doch eigentlich die Weboberfläche der anderen Fritzbox aufrufen können, oder? Oder muss ich dazu auf der Box den Port 80 zusätzlich freigeben?

Nee, dafür musst du nix freigeben. Das muss direkt funktionieren.

Kannst Du das mal näher erläutern?

Ich hab einfach ne ziemliche Abneigung gegen solche Loops. Oft fängt man sich dabei irgendeinen Seiteneffekt ein, an den man vorher nicht denkt.

Prinzipiell spricht nämlich aus meiner Sicht nichts dagegen.

Prinzipiell gebe ich dir da recht. Nun hat die AVM Lösung ja den Vorteil, dass wirklich nur der reine Traffic fürs Zielsubnetz über die VPN Verbindung geroutet wird. Man kann schon theoretisch keine Schweinereien mit den Defaultgateways veranstalten. Wenn man sich jetzt nicht selbst durch irgendwelche Konstrukte aus statischen Routen das Leben schwer macht, dann sollte man einfach in jeder Fritzbox 2 VPN Verbindung zu den jeweils anderen Zielen einrichten können, ohne dass es zu besonderen Unfällen kommt - eigentlich.

Viele Grüße

Frank

 

[Markus_H]

Hi Frank,

ich hab jetzt mal versucht die Konfig-Datei zu editieren und eine zweiter Konfig einzufügen. Beim Laden der Datei sagt er aber immer, dass der Import fehlerhaft war. Kannst du mir vielleicht mal ein Beispiel zeigen wie sowas aussehen sollte?

Die "Master"-Box soll mit den beiden "Client"-Boxen kommunizieren können, die "Client"-Boxen selbst müssen nicht miteinander kommunizieren können.

Gruß und danke --- Markus

 

[frank_m24]

Hallo,

kannst du nicht einfach zwei separate Konfigs importieren?

Viele Grüße

Frank

 

[Markus_H]

Hallo,

kannst du nicht einfach zwei separate Konfigs importieren?

Viele Grüße

Frank

Nein, das geht nicht. Die zweite Konfig überschreibt die erste. Aber ich bin jetzt weitergekommen und konnte das von der AVM Software erzeugte Konfig File um eine zusätzliche Verbindung erweitern. Ich denke das sollte mein Problem lösen.

Danke allen für die Antworten.

Gruß - Markus

 

[egal-ip]

Hi,

Kannst du mir vielleicht mal ein Beispiel zeigen wie sowas aussehen sollte?

Ah, erst jetzt gelesen,
die Konfig für mehrere parallele Verbindungen in der Fritzbox hat dieses Format, hier 3 Verbindungen:

/*
 * 3 Verbindungen
*/

vpncfg {
        connections {
                ...
                ...
                ...
        }
        {
                ...
                ...
                ...
        }
        {
                ...
                ...
                ...
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

 

[Markus_H]

Hi,
Ah, erst jetzt gelesen,
die Konfig für mehrere parallele Verbindungen in der Fritzbox hat dieses Format, hier 3 Verbindungen:

/*
 * 3 Verbindungen
*/

vpncfg {
        connections {
                ...
                ...
                ...
        }
        {
                ...
                ...
                ...
        }
        {
                ...
                ...
                ...
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

Danke Uwe,

genauso funzt es auch. Bin nach einigem rumprobieren auch drauf gekommen.

Gruß - Markus

 

[Markus_H]

Hi Leutz,

das mit Konfigs haut soweit hin. Vielen Dank nochmal für alle Beiträge.
Nun beschäftigt mich eine eher theoretische Frage mit dem AVM VPN Fernzugang. Ich möchte vorausschicken dass ich es in der Praxis noch nicht getestet habe, dies geistert mir im Kopf rum. Zum Testen werd ich erst nächste Woche kommen. Der Fernzeugang richtet ja kein virtuelles Netzwerkdevice ein, ich frag mich grad wie das funzen kann??? :noidea:
Also, ich hab zuhause einen DSL Zugang über einen Router. Von meinem XP-Client aus starte ich den Fernzugang und verbinde mich über diesen Router mit der Fritzbox im Büro. Lokal hab ich den Adressbereich 10.10.1.0/24. Die Fritzbox im Büro hat den Adressbereich 192.168.1.0/24. Wenn ich zuhause nun z. B. einen Ping auf 192.168.1.1 absetze, fängt dann der AVM Fernzugang dass ab und leitet es durch den VPN Tunnel an die FritzBox weiter? Vielleicht kann mir das jemand mal vorab in der Theorie ein wenig erläutern.

Gruß - Markus

 

[frank_m24]

Hallo,

Der Fernzeugang richtet ja kein virtuelles Netzwerkdevice ein, ich frag mich grad wie das funzen kann??? :noidea:

AVM richtet einen Netzwerkdienst ein, der kein virtuelles Interface einrichtet. Wie das genau implementiert ist, weiß ich auch nicht, ein Interface oder Routen im klassichen Sinn sieht man jedenfalls nicht. Wahrscheinlich werden die Pakete irgendwie direkt auf Treiberebene abgefischt und verarbeitet.
Erinnert ein bisschen an die OpenSWAN/racoon Implementierung unter Linux: Die richten auch kein virtuelles Interface ein, sondern verarbeiten die Pakete direkt auf Kernelebene.

Wenn ich zuhause nun z. B. einen Ping auf 192.168.1.1 absetze, fängt dann der AVM Fernzugang dass ab und leitet es durch den VPN Tunnel an die FritzBox weiter? Vielleicht kann mir das jemand mal vorab in der Theorie ein wenig erläutern.

So in etwa wird es laufen.

Viele Grüße

Frank

 

[Markus_H]

Hi Leutz,

ich wollt mir nur nochmal bei allen für die Beiträge bedanken! Ich habe den Umbau diese Woche abgeschlossen und jetzt läuft alles bestens, die VPN Verbindungen sind sehr stabil, die Datenübertragung ist auch sehr schnell.

Gruß - markus

 

[tomster]

Kurze Frage:

Wird das Config-File bei mehreren Zugängen zur Master-Box nicht auch automatisch in der richtigen Form erstellt, wenn man das "FritzBox Fernzugang einrichten"-Tool benutzt? Da kann man doch die jeweilige Master-/Slave-Box angeben und dann erstellt das Tool gleiche eine Master-Config, in der beide (oder 3 oder 4..) Boxen-Zugänge eingetragen sind. Zumindest hat es bei mir so theoretisch hingehauen. Ich kann aber noch nicht sagen, ob es auch praktisch funzt, weil ich beide Slave-Boxen erst am Wochenende wiedersehen werde.