Fritz!Box 7170 VPN Verbindung zu Lancom 1711 / Routing Problem

Pfeilschwanzkrebs

Neuer User
Mitglied seit
7 Jun 2004
Beiträge
40
Punkte für Reaktionen
0
Punkte
0
Moin,

ich habe gestern erfolgreich meine Fritz!Box 7170 mit einem Lancom 1711 per VPN koppeln können.

IP Netz der Fritz!Box: 192.168.100.0 / 255.255.255.0
IP Netz des Lancom: 192.168.1.0 /255.255.255.0

Der Zugriff von Fritz!Box auf das Netz 192.168.1.0 funktioniert problemlos in beide Richtungen.

Problem ist nun:
Der Lancom verfügt über ein 2. IP Netz, in welchem sich u.a. unser Asteriskserver befindet.

IP Netz des Asterisk (DMZ): 192.168.10.0 / 255.255.255.0

Ich habe vom Netz der Fritz!Box auf 192.168.10.1 kein Zugriff, obgleich das Routing entsprechend konfiguriert worden ist.

Die Fritz!Box verfügt über folgenden Eintrag unter System -> Netzwerk -> IP Einstellungen -> IP Routen:

Netzwerk: 192.168.10.1
Subnetzmaske: 255.255.255.0
Gateway: 192.168.1.254 (IP des Lancomrouter; ist von der Fritz!Box aus problemlos erreichbar)

Für die VPN Verbindung ist das Netz des Asterisk ebenfalls konfiguriert (zusätzlicher Eintrag unter "accesslist"). Meine VPN Configdatei ist wie folgt:

Code:
/*
 * C:\Users\User\AppData\Roaming\AVM\FRITZ!Fernzugang\xxx_dyndns_org\fritzbox_xxx-xx_dyndns_org.cfg
 * Mon Apr 19 18:26:41 2010
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "xxx";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "xxxx";
                localid {
                        fqdn = "FRITZBOX";
                }
                remoteid {
                        fqdn = "LANCOM1711";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xxxxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.1.0 255.255.255.0", "permit ip any 192.168.10.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Wenn ich einen tracert vom Netz der Fritz!Box zu der IP des Asterisk mache (192.168.10.1), erhalte ich als ersten Hop die Fritz!Box und danach nur noch Timeouts. D.h. die Fritz!Box routed nicht korrekt zum Lancom weiter.

Kann mir jemand sage, wo hier der Hase im Pfeffer liegt?

Besten Dank & Grüsse,
Pf.
 
moin,
nach etwas 'herumprobieren' habe ich jetzt die Fritz!Box direkt mit dem IP Netz des Asterisk gekoppelt:

Code:
phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;

jetzt ist der asterisk problemlos erreichbar - jedoch nicht das andere IP Netz 192.168.1.1

Am verblüffendsten ist jedoch, dass die Fritz!Box sich nicht auf dem Asterisk registrieren kann (timeout), andere IP telefone, welche an die Fritz!Box über deren LAN ports angeschlossen sind, jedoch schon.

Sprich, die Fritz!Box routed sich selber nicht über das VPN. Ihre LAN clients hingegen schon.

Hat hierfür jemand ggf. eine Erklärung?
 
Hallo,
habe ein ähnliches Problem und da es so exakt in diesen schon etwas älteren Thread passt, wollte ich nicht extra einen neuen aufmachen.

Auch ich habe eine VPN Verbindung von einer Fritzbox zu einem Lancom (1611+) und habe das Problem, dass ich nur in das Netz des Lancom komme, nicht aber in die weiteren Netze die mit dem Lnacom ebenfalls per VPN verbunden sind.

Als mein Netz ist 192.168.28.0, dass des Lancom 192.169.77.0.

Am Lancom sind weitere angeschlossen, z.B. 192.169.1.0. Kann ich das über die cfg Datei einstellen? Und wenn ja was ist dafür nötig?
 
Das FB-VPN ist ein reines IPSec-VPN und versucht wirklich, sich weitestgehend an diesen Standard zu halten...

Grundsätzlich gilt:
  • ein IPSec-VPN von Server zu Server (in deinem Fall sind beide beteiligten Router eben Server) nennt man ein Site-to-Site-VPN
  • die in diesem S2S-VPN zu routenden Netze bezeichnet man als SA (security-association) - also pro zu routendem Netz genau eine SA
  • bei Connections zwischen 2 FBs reicht die Angabe der zusätzlich zu routenden Netze im Bereich 'accesslist =' der FBs
  • bei S2S-VPNs mit Nicht-FBs kann(!) eine Lösung sein, für das zusätzliche Netzwerk in der FB eine separate Connection in der vpn.cfg anzulegen (und auch in der Gegenstelle)

Dein genanntes Netzwerk "192.169.1.0" ist hoffentlich ein Schreibfehler...

Also: beiden S2S-Gegenstellen muss beigebracht werden, wie sie die jeweilige Gegenstelle erreichen können.
 
Hallo,

ich hab gesehen das Ihr die Verbindung zwischen dem Lancom 1711 und der Fritzbox hinbekommen habt, ich versuche dies jetzt auch schon seit einigen Tagen jedoch habe ich immer den Fehler "Zeitüberschreitung während der IKE oder IPSec Verhandlung (Initator)"

Kann mir dazu jemand eine Info oder Problemlösung geben.

GRüße AlexST
 
Moin,

da sich mir das Problem Fritz! vs. LANCOM häufiger stellt, habe ich ein kleines Programm geschrieben, das nach Eingabe der erforderlichen Parameter die Konfigurationsdateien für Fritz!Box (.CFG) und Lancom (.LCS) erzeugt. Diese müssen dann nur noch in die Router hochgeladen werden. Bei Interesse stelle ich es gern zur Verfügung. Screenshot:
Scrennshot.png

Ansonsten ist vielleicht dieser Thread im Lancom-Forum hilfreich.

@Pfeilschwanzkrebs und @Maxi1984: ich vermute, ihr habt keine Route in der Routingtabelle des LANCOMs angelegt. Dann kommt zwar eine VPN-Verbinfung zustande, aber die Pakete finden nicht mehr nach Hause...




Markus
 
Hallo elpatron,

gerne würde ich auf dein Angebot zurück kommmen.

Grüße AlexST
 
Moin AlexST,

probier´s mal aus, meine Versuche Fritz! (6360) vs. Lancom 1721(+), 1611 und 8011 waren bisher spontan erfolgreich. Bitte vorher ins readme schauen... Für Kommentare bin ich immer dankbar...

Hier geht´s zum Download: https://sourceforge.net/projects/fritzvslancom/

Gruß,
Markus
 
Vielen Dank @ elpatron.

im Moment schaffe ich es nicht es zu testen, bin gerade in meiner anderen Tätigkeit in meiner 50 / 50 Stelle. Ich halte dich allerdings umgehend auf dem Laufenden.

Grüße AlexST
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.