FRITZ!Box 6820 LTE und VPN -> Fritzbox 6590 cable ...???

[rusei]

Hallo Leute,
habe eine FRITZ!Box 6820 LTE für unterwegs und zuhause eine Fritzbox 6590 cable.
Nun versuche ich laut Anleitung von AVM (https://avm.de/service/fritzbox/fri...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/) eine vpn Verbindung zustande zu bringen.
Klappt nur leider nicht.
Als Mobilfunkanbieter habe ich 1&1 E-Netz.

Any tipp??

 

[Shirocco88]

Hast Du bei FB6590 eine public-IPv4 ? d.h. nativ-IPv4 oder Dual-Stack-Full ?

Hinweis: bei DS-Lite wird es wohl nicht gehen,
da mindestens eine der beiden Boxen eine public-IPv4 benötigt; und die FB6820 im LTE-Modus dies wohl nicht kann.

 

[rusei]

die 6590 cable hat eine IPv4 Adresse, die auch erreichbar ist. Die LTE hat leider keine.

 

[Shirocco88]

Hast Du die FB6590 schon zum VPN-Responder gemacht ?

auch wären das avmike.log (erhält man aus Supportdaten Datei http://fritz.box/?lp=support) sowie Ereignislog http://fritz.box/?lp=log der beiden Fritzboxen für Diagnose/Fehlersuche hilfreich.

 

[rusei]

Super Tipp!!
habe IKE-Error 0x202C "dns: host/domain not found"
Verstehe ich aber nicht, da die 6590 cable über die MyFRITZ!-Adresse problemlos erreichbar ist ...

 

[Shirocco88]

da die 6590 cable über die MyFRITZ!-Adresse problemlos erreichbar ist

mit welcher Semantik hast Du den Hostname im VPN Configurationsmenü eingegeben ?
http://abcdef12345.myfritz.net
oder
abcdef12345.myfritz.net

Am Besten die Logfiles in Code-Tags beifügen, vorher noch anonymisieren (IP-Adressen, DynDNS-Namen).

 

[rusei]

abcdef12345.myfritz.net

 

[Shirocco88]

Again:

Hast Du die FB6590 schon zum VPN-Responder gemacht ?

sonst versucht die FB6590 eine Verbindung zur FB6820 aufzubauen, was wg. CGNAT (LTE) üblicherweise nicht funktioniert.

 

[rusei]

Unnötiges Vollzitat entfernt - HabNeFritzbox

Hmm, mache ich wie?

 

[Shirocco88]

Unnötiges Vollzitat entfernt - HabNeFritzbox

• vpn.cfg exportieren (z.B. per Web-IF im Menü Sicherung/Backup)
  
• mit UNIX-fähgigem Editor die Zeile mit remotehostname wie folgt ändern remotehostname = "";
  ferner Zeile remoteip anpassen remoteip = 0.0.0.0;
• VPN-Configuration für diese VPN-Verbindung in der FB6590 per Web-IF löschen
• vpn.cfg wieder per Web-IF importieren (Wichtig: die verschlüsselten Strings durch die Klartext-Strings ersetzen).

siehe auch: https://www.ip-phone-forum.de/threa...z-boxen-eine-mit-ds-lite.283359/#post-2138398

 

[rusei]

wo finde ich die vpn.cfg ?

 

[Shirocco88]

wo finde ich die vpn.cfg ?

z.B. in der Sicherungsdatei (auch Export-Datei genannt) http://fritz.box/?lp=mSave
alternativ in supportdaten Datei http://fritz.box/?lp=support

einfach mit UNIX-fähigem Editor (z.B. Notepad++) nach vpn.cfg suchen;

 

[rusei]

So, nun klappt die vpn Verbindung, vielen Dank für deine Hilfe!!
Nächste Frage/Problem:
im LAN der LTE Fritzbox läuft eine Kamera. Wie bekomme ich die in die NAS meines HomeLAN?

Per IP komme ich nicht vom LAN in Richtung LTE...

 

[Micha0815]

Das lässt sich über die accesslist steuern.
LG

 

[Shirocco88]

Nächste Frage/Problem:
im LAN der LTE Fritzbox läuft eine Kamera. Wie bekomme ich die in die NAS meines HomeLAN?
Per IP komme ich nicht vom LAN in Richtung LTE..

ich denke hier hilft folgender AVM KB Artikel:
https://avm.de/service/vpn/praxis-t...ip-netzwerke-hinter-einer-fritzbox-zugreifen/

Ohne konkrete Angaben über Netze, IP-Adressen, GWs ist keine weitere Hilfe möglich.

 

[rusei]

Also folgendes:

LTE Fritzbox hat intern die 192.168.178.1
Internet, IPv4 verbunden seit 21.01.2018, 11:12 Uhr, 1&1 E-Netz,
IP-Adresse: 10.57.52.242
----------
Cable Fritzbox hat intern die 192.168.0.1
Internet, IPv4 verbunden seit 20.01.2018, 18:38 Uhr,
IP-Adresse: 178.27.206.236
----------
Es wird eine vpn Verbindung von LTE aufgebaut, die laut Fritzbox aktiv ist.
Kann aber aus dem Netzt der LTE die Cable nicht pingen...

 

[Shirocco88]

Bitte mal die vpn.cfg der beiden Boxen posten (ohne DynDNS-Names, psk)

Wichtig sind die Abschnitte phase2localid, phase2remoteid, accesslist, z.B.

/*
* /var/flash/vpn.cfg
*/

vpncfg {
SNIP
    phase2localid {
        ipnet {
            ipaddr = 192.168.178.0;
            mask = 255.255.255.0;
        }
    }
    phase2remoteid {
        ipnet {
            ipaddr = 192.168.0.0;
            mask = 255.255.255.0;
        }
    }
SNIP
    accesslist = "permit ip any 192.168.0.0 255.255.255.0";

Kann aber aus dem Netzt der LTE die Cable nicht pingen...

funktioniert "ping" Befehl generell nicht, oder funktioniert nur ping zur LAN-IP der FB6590 nicht ?

Bitte mal "ping 192.168.0.1" sowie "ping 8.8.8.8" eingeben und Ergebnisse posten.

oder liegt ein Problem bei Namensauflösung vor ?
Bitte den Ping-Befehl, der Probleme macht (z.B. als Screenshot oder CMD-Copy&Paste) posten.

 

[rusei]

VPNConfig von Cable Box:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "FritzboxLTE";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "";
                localid {
                        fqdn = "Cable.myfritz.net";
                }
                remoteid {
                        fqdn = "LTE.myfritz.net";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.177.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

### Zusammenführung Doppelpost ###

VPNConfig von LTE Box:

**** CFGFILE:vpn.cfg
/*
 * /var/tmp.cfg
 * Sun Jan 21 14:58:42 2018
 */

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "Cable.myfritz.net";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "Cable.myfritz.net";
                keepalive_ip = 192.168.0.1;
                localid {
                        fqdn = "$$$$3ZW6G1RI5XH2MB1G3MMHPXMO3H6AVLG3ODR6OEKMNM1WJ5BPPY2JDKW5VMNX4KZTSRJU564IMGZBB63HB6QUAOYIEYZSOMYZAKCBPJYA";
                }
                remoteid {
                        fqdn = "$$$$JHVVEHTYYFVZPCSK4K4TZJODNSQRHQLVYW46MVE6UQGM2QD4XJTAU5AJSR2NIPX2YQYVGZ2IH2ZLSIOPFUAN3C52UWNH3HXW6MHJ2OAA";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$G115UZ5WIRDSCIHUB6UBIDZIZ6IWQEWL563OH4JTIQ5W2NUSV4X3Y5IPXLC4TGZJGBGSDN4FOOKH3AAA";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
                app_id = 0;
        } {
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "admin";
                boxuser_id = 10;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "$$$$XO2AYLVTLKLLKLNFAQCV5POWHTUGJ3WRS2DLEUWFCEEKQ5ZJYR1FIJ4CX3YMPU2MGYTRRBFXU1JQMKX3";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$1P15MQRPBPW5CR2LS22NFSAMTWFLUFLHBSIUTSR4QNNDRFHRKL6TVUADDSHVGG2V5E5K5P6MEDLJQAAA";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "$$$$NKI6LHVDA6YOYG5MWJ3GCYKKHCKJEUXGNBHA5SKVW65PBGKIZDJV5HON5UFFS55QQ5ID3RBW1KCLKKV3";
                        passwd = "$$$$EVE5RL6TQ3PQUA1M6ELXEN5M1XYZDPXQF5O5JJOYMQPYFYLK5B54FEMI5BHJAGK22N55W4ZS6EUQEKV3";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.178.201 255.255.255.255";
                app_id = 0;
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

**** END OF FILE ****

//edit by stoney: in [CODE] TAG [/CODE] gesetzt

 

[Shirocco88]

VPNConfig von Cable Box:
SNIP

accesslist = "permit ip any 192.168.177.0 255.255.255.0";}

die Accesslist sieht seltsam, bzw. "verbogen" aus.

Bitte mal folgende Anpassung testen:
accesslist = "permit ip any 192.168.178.0 255.255.255.0",
"permit ip any 192.168.177.0 255.255.255.0";

Interpunktion (Komma, Semicolon) beachten.

Woher kommt eigentlich das Netzwerk 192.168.177.0/24 ?

 

[PeterPawn]

ipaddr = 192.168.178.0;
[...]
accesslist = "permit ip any 192.168.177.0 255.255.255.0";

Witzbold.