Fritzbox Lan zu Lan Verbindung funktioniert nur in eine Richtung

[pommespizzadoener]

Moin Leute!
Ich habe inzwischen mit zwei versch. Fritzboxen bei mir zu Hause (7590AX und 7490 mit dem jeweils aktuellen OS, festen IPs und jeweils unterschiedliche Provider) und einer "mobilen" Fritzbox (hinter DS Lite und auch komplett ohne fqdn) erfolgreich Site to Site VPNs aufgebaut. Mit der 7590 per IPSec und Wireguard.

Box 1 - 7590AX (Home 1)
- fixe public IP
- LAN 10.100.50.0 / 24

Box 2 - 7490 (Home 2)
- fixe public IP
- LAN 10.20.50.0 / 24

Box 3 - 7530AX (remote/mobil)
- DS Lite
- LAN 192.168.178 / 24

Die Verbindung steht, ich kann in beide Richtungen die Boxen ansprechen. ABER. An die Geräte im anderen Netz komme ich nur aus einer Richtung ran und zwar nur von zu Hause in's Netz der mobilen Box.

Habe die IPSecs mit Wizard und manuell eingerichtet, macht keinen Unterschied. An den Geräten liegt es nicht, da sind keine extra Firewalls aktiv und aus dem LAN vor Ort komme ich ohne Probleme drauf.

Kann ja eigentlich nur an Einstellungen der Fritzboxen liegen - beide Home Fritzboxen wurden ursprünglich für Telekom DSL verwendet (die 7590 immer noch).

Habt Ihr noch eine Idee?
VIELEN DANK!

 

[chrsto]

Ich habe mir den Beitrag jetzt 3x durchgelesen, weiß aber immer noch nicht welches VPN funktioniert und welches nicht, bzw. welche Box mit IPSec und welche mit Wireguard konfiguriert wurde. Auch die Angabe "aktuellstes OS" ist nichtssagend. Was bedeutet das für die 7490? Das letzte Release 7.29 oder doch eine Labor? Welche?

Was bedeutet Home 1/2? Ist das immer die gleiche IP? Also 2x FritzBox an einem Anschluss, oder sind das zwei voneinander getrennte Anschlüsse/Standorte mit jeweils einer eigenen festen, öffentlichen IP?

Oben ist von WireGuard und IPSec die Rede, aber unten wurde nur IPSec neu eingerichtet, obwohl die mobile Box auch Wireguard könnte.

Vielleicht machst du mal eine einfache Übersicht welche Box wie mit wem UND stellst zusätzlich die Konfigurationen (sinnvoll anonymisierte Screenshots, Inhalte der *.cfg) hier rein.

 

[PeterPawn]

Dieses Phänomen tritt häufig dann auf, wenn man bei der Konfiguration der Verbindung falsche Angaben gemacht hat.

Besonders gerne wird dabei für die Angabe des entfernten Netzwerks die IP-Adresse des dortigen Gateways verwendet, was im Ergebnis dazu führt, daß in der access_list (und in den Angaben für P2 bei IPSec-Verbindungen) auch nur die passenden Einstellungen für die Kommunikation mit diesem Gateway als Host landen und nicht diejenigen, die für die Kommunikation mit dem gesamten entfernten Netz erforderlich wären.

 

[pommespizzadoener]

Moin!
Sorry, wenn das zu vage war. Ich dachte, es gäbe vielleicht etwas grundsätzliches, was ich noch checken könnte. Also von vorn.

Grundsätzlich geht es um Site to Site VPNs. Die Erreichbarkeit der Geräte im jew. anderen LAN checke ich per Ping an die IP oder Zugriff auf das Webinterface (vom NAS bspw.) per IP.
/****************************************************************/

VPN1 - IPSec mit Home Box1

- Home Box1: 7590AX
- public IP an Telekom DSL (85.x.x.x)
- Fritz OS 7.56
- LAN 10.100.50.0 / 24

- Remote Box: 7530AX
- an DS Lite DSL Anschluss
- Fritz OS 7.56
- LAN 192.168.178 / 24

VPN wurde sowohl mit Wizard als auch mit importierten Configs erstellt. Von der Home Box kann ich auf alle Geräte im LAN der Remote Box zugreifen (auch die Box selber natürlich). Umgekehrt kann ich nur die Home Box erreichen, nicht aber die Geräte in deren LAN. Hier sind keine weiteren Firewalls o.ä. im Spiel.

Hier die beiden Configs dafür. Verhalten beim Einrichten per Wizard ist identisch:

/*
 * Config für Home Box 1 - Telekom
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "remote Box";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "xyz.myfritz.net";
                localid {
                        ipaddr = 85.x.x.x;
                }
                remoteid {
                        fqdn = "xyz.myfritz.net";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xyz";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 10.100.50.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}





/*
 * Config für Remote Box
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Telekom Box Home";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 85.x.x.x;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "xyz.myfritz.net";
                }
                remoteid {
                        ipaddr = 85.x.x.x;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xyz";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.100.50.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 10.100.50.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

/****************************************************************/

VPN2 - IPSec mit Home Box2

- Home Box2: 7490
- public IP an Glasfaser Anschluss (233.x.x.x)
- Fritz OS 7.29
- LAN 10.20.50.0 / 24

- Remote Box: 7530AX
- an DS Lite DSL Anschluss
- Fritz OS 7.56
- LAN 192.168.178 / 24

Setup ist identisch wie oben mit angepassten (nur die IPs) Configs, nur dass eben die andere Home Box verwendet wird. Auch wieder per Wizard das selbe Verhalten.

/****************************************************************/

VPN3 - Wireguard mit Home Box1

- Home Box1: 7590AX
- public IP an Telekom DSL (85.x.x.x)
- Fritz OS 7.56
- LAN 10.100.50.0 / 24

- Remote Box: 7530AX
- an DS Lite DSL Anschluss
- Fritz OS 7.56
- LAN 192.168.178 / 24


Mit Wizard erstellt, siehe Screenshots. Hier muss ich mich allerdings korrigieren. Ich erreiche die Home Box1, aber nicht die Geräte in deren LAN. Umgekehrt ist gar keine Verbindung möglich also auch nicht auf die Remote Box.





/****************************************************************/

In den Logs der Fritzboxen finden sich keine Fehlermeldungen zu den VPNs, nur dass die Verbindung hergestellt wurde. Interessanterweise wird allerdings jedesmal beim Aktivieren der VPNs die Internetverbindung getrennt.

So- hab ich noch was vergessen? Freue mich auf Euer Feedback!

Bild(er) als Vorschaubild(er) (siehe https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ ) eingebunden by stoney

 

[chrsto]

Sowohl die IP Sec Verbindung, als auch die Bilder von Wireguard ist mit HomeBox 1 überschrieben und der IP Bereich der Remote Box ist jedes Mal 192.168.178.0/24. Ich deute das daher als parallele Nutzung von IPSec und WireGuard. Es geht aber nur eins von beiden je Strecke.

 

[pommespizzadoener]

Hallöchen ..
[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]
daran liegt es leider nicht. Habe immer nur eine Verbindung offen ..

und noch ein Update - die Wireguard Verbindung läuft wieder wie ursprünglich beschrieben, d.h. wie bei den IPSec ist die Verbindung von der Homebox in's entfernte möglich, umgekehrt nicht.

 

[chrsto]

was heißt offen? Beides (IPSec und WireGuard zwischen Homebox1 und Remote) eingerichtet, aber nur eine aktiv oder nur IPSec ODER WireGuard für Homebox <-> Remote ?

 

[pommespizzadoener]

Vollzitat gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ entfernt by stoney

beide sind eingerichtet, aber nur eine aktiv. Auf der 7490/Homebox 2 ist Wireguard eh nicht verfügbar, so dass dort nur die IPSec Verbindung eingerichtet ist.

 

[chrsto]

Das solltest du dann mal testweise abstellen. Also entweder IPSec oder WireGuard, nicht beides. Auch nicht beides eingerichtet.

 

[pommespizzadoener]

ich hab bei Homebox 1 und der Remotebox alle Verbindungen gelöscht, dann wieder eine IPSec, per Config wie oben eingerichtet und aktiviert.

Phänomen bleibt bestehen.

Ich denke, ich werde jetzt eine Fritzbox auf Werkseinstellungen zurücksetzen und es mit der von vorne versuchen.

Danke schonmal für die Antworten!

-- Zusammenführung Doppelpost gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ by stoney

so - bin ein Stückchen weiter. Es ist aber auch merkwürdig.

Remote - Homebox 1
- selbe Settings
- im Homebox LAN einige Geräte ansprechbar per ping/webinterface: z.B. Drucker, andere nicht (NAS)
- umgekehrt immer noch anscheinend alles erreichbar

Remote - Homebox 2
- selbe VPN Settings, Homebox wurde vorher auf Werkseinstellungen zurückgesetzt
- im Homebox LAN ist jetzt alles pingbar, bis auf das NAS
- umgekehrt ist nichts mehr möglich, nicht einmal die Remote Fritzbox ist ansprechbar

Langsam komm ich mir ein bisschen blöd vor. Welche Stellschrauben gibt es denn hier noch? In den Logs liest man nur "Verbindung hergestellt" Wäre echt froh über Tipps. Danke!

 

[chrsto]

Du hast dich dieses Mal aber für ein einzelnes Protokoll entschieden und nicht wieder WG und IPSec parallel für eine VPN Verbindung angelegt?

 

[pommespizzadoener]

genau .. nur IPSec

 

[chrsto]

Es liest sich so, als hättest du nur eine Box zurück gesetzt. Und ausgerechnet die, die Parallele VPN Verbindungen hatte nicht.

 

[pommespizzadoener]

OK, dann werde ich die remotebox auch nochmal zurücksetzen. Dauert ein Momentchen .. hoffentlich schaffe ich es heute abend

 

[pommespizzadoener]

Guten Abend!
Habe die Remotebox inzwischen auch mal zurück gesetzt. Es bleibt aber dabei:

Remote - Homebox 2
- selbe VPN Settings, Homebox wurde vorher auf Werkseinstellungen zurückgesetzt
- im Homebox LAN ist jetzt alles pingbar, bis auf das NAS
- umgekehrt ist nichts mehr möglich, nicht einmal die Remote Fritzbox ist ansprechbar

Wenn jemand noch Ideen hat, immer her damit. Mir gehen sie langsam aus

Werde morgen wahrscheinlich nochmal eine neue Verbindung zwischen Homebox 1 und Homebox 2 herstellen.

 

[pommespizzadoener]

Sooo .. jetzt hab ich mal eine fruchtbarere Rückmeldung zu dem Thema.

Die Verbindung zwischen Homebox 1 und Homebox 2 klappt einwandfrei. D.h. die Internetverbindung der Remote Location ist hier der Übeltäter! Habe dort inzwischen mit einer weiteren Fritzbox getestet, die im LAN (hinter) der Remotebox hängt und von dort ein IPSec VPN zu den Homeboxen aufbaut. Das Phänomen wie anfangs (Remote LAN von Home LAN aus erreichbar, umgekehrt nicht, außer der Fritzbox) ist wieder das gleiche.

Schon spannend, dass hier die Internetverbindung eine Rolle spielt, wenn der Tunnel erstmal hergestellt ist. Und vor allem, dass immerhin ein Gerät (die Fritzbox) trotzdem ansprechbar ist.

Habt Ihr eine Ahnung, was hier läuft?

 

[chrsto]

Habt Ihr eine Ahnung, was hier läuft?

Nein, ich habe im Prinzip das gleiche/ein ähnliches Setup.

Box1: 172.16.0.0/21, Internetanschluss über Telekom Glasfaser, Dualstack
Box2: 192.168.10.0/24, Internetanschluss über Telekom Glasfaser, Dualstack
Box3: 192.168.11.0/24, DSLite mit öffentlicher IPv6

VPN1: Box1 <-> Box2, WireGuard
VPN2: Box1 <-> Box3, WireGuard

Zwischen Box2 und Box3 existiert kein VPN.

Keine Probleme. Eingerichtet mit DynDNS (kein myfritz) und über den Assistenten von Box1. Auf den Boxen 2 und 3 wurde nur die jew. wg_config.conf importiert.

 

[pommespizzadoener]

ich versuch es jetzt mal mit ner OPNSense in der Remote Location. Mal sehen, ob mich das schlauer macht

 

[chrsto]

Auf ein Problem noch eine Schicht Komplexität drauflegen, ist nicht wirklich hilfreich. Wo kommt denn plötzlich die Opensense her bzw. auch dessen Gegenstück? Ich dachte es existieren nur die FritzBoxen keine weiteres "Routinggerät"?

 

[pommespizzadoener]

mir fällt einfach nix mehr ein, wie ich das troubleshooten könnte .. ursprünglich hatte ich sowieso überlegt, die Verbindung mit 2x OPNsense zu bauen und habe daher noch eine Installation auf einem Mini-PC hier rumzustehen.

Ich würde die Remotebox durch die OPNSense ersetzen und damit zur Homebox 1 (7590AX). Vielleicht habe ich in der OPNSense mehr Möglichkeiten zur Diagnose des issues!?