[Problem] Kein Gastzugang mehr nach Import von VPN-Einstellungen

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
PsychoMantis

PsychoMantis

Aktives Mitglied
Mitglied seit
18 Dez 2005
Beiträge
2,539
Punkte für Reaktionen
10
Punkte
38
Hallo Forum.
Habe hier ein Problem. Firmware habe ich 06.30 probiert, und verwende jetzt die 06.83, wobei die Firmware für das Problem an sich keinerlei Rolle spielt.
Folgende Vorgehensweise: 7390er über avm-tool recovert. Internetanbieter über Kabelmodem ausgewählt. WLAN Gastzugang aktiviert und auch Gastzugang auf LAN4. Auf der Seite wo man die Fritzbox IP von 192.168.178.1 auf etwas anderes umstellen kann (hier habe ich 192.168.172.1 genommen) sieht man auch das Netz für den Gastzugang: 192.168.189.1 - und den Hinweis, dass man hier nichts ändern kann - so soll es ja auch sein.
Dann importiere ich folgende VPN-Einstellung:
Code: 
vpncfg { connections 
{ enabled = yes;
  editable = no;
  conn_type = conntype_lan;
  name = "V-Server";
  boxuser_id = 0;
  always_renew = yes;
  reject_not_encrypted = no;
  dont_filter_netbios = yes;
  localip = 0.0.0.0;
  local_virtualip = 0.0.0.0;
  remoteip = 84.200.xxx.xxx;
  remote_virtualip = 0.0.0.0;
  keepalive_ip = 0.0.0.0;
  localid    {    fqdn = "8l23456789123456.myfritz.net";    }
  remoteid {    ipaddr = 84.200.xxx.xxx;    }
  mode = phase1_mode_idp;
  phase1ss = "all/all/all";
  keytype = connkeytype_pre_shared;
  key = "geheim";
  cert_do_server_auth = no;
  use_nat_t = yes;
  use_xauth = no;
  use_cfgmode = no;
  phase2localid { ipnet { ipaddr = 192.168.172.0; mask = 255.255.255.0; } }
  phase2remoteid {    ipaddr = 192.168.170.1;    }
  phase2ss = "esp-all-all/ah-none/comp-all/pfs";
  accesslist = "permit ip any 192.168.170.1 255.255.255.255";            }
  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                      "udp 0.0.0.0:4500 0.0.0.0:4500"; }
Die VPN-Verbindung wird aufgebaut und der Gastzugang funktioniert nach wie vor.
Dann importiere ich das:
Code: 
vpncfg {
        connections 
             {    enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "ne andere fritte";
                boxuser_id = 0;
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "psyblablablablab.myfritz.net";
                keepalive_ip = 0.0.0.0;
                localid {    fqdn = "8l23456789123456.myfritz.net";    }
                remoteid {    fqdn = "psyblablablablab.myfritz.net";    }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "strenggeheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.172.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0",
                             "reject udp any any eq 53",
                             "reject udp any any eq 500",
                             "reject udp any any eq 4500",
                            "permit ip 192.168.172.240 255.255.255.255 any",
                            "permit ip 192.168.172.241 255.255.255.255 any",
                            "permit ip 192.168.172.242 255.255.255.255 any",
                            "permit ip 192.168.172.243 255.255.255.255 any",
                            "permit ip 192.168.172.244 255.255.255.255 any",
                            "permit ip 192.168.172.245 255.255.255.255 any",
                            "permit ip 192.168.172.246 255.255.255.255 any",
                            "permit ip 192.168.172.247 255.255.255.255 any",
                            "permit ip 192.168.172.248 255.255.255.255 any",
                            "permit ip 192.168.172.249 255.255.255.255 any",
                            "permit ip 192.168.172.250 255.255.255.255 any";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
Sobald diese zweite VPN-Einstellung importiert ist funktioniert der Gastzugang (weder auf LAN_4 noch WLAN) nicht mehr. Da wo vorher 192.168.189.1 stand, steht nun 0.0.0.0 und das ist natürlich nicht änderbar.
Der VPN-Tunnel funktioniert. Wenn man einem Gerät z.B. 192.168.172.244 als feste IP zuweist, befindet sich das Gerät wie gewünscht mit der IP der anderen Fritzbox im Internet.
Ich hätte jedoch gern, dass der Gastzugang wie gewohnt auch funktioniert.
Vor allem verstehe ich nicht warum der Gastzugang nach dem Import der ersten VPN-Einstellung funktioniert, nach dem Import der zweiten jedoch nicht mehr. So wie ich es sehe kann es eigentlich nur an der accesslist liegen. Leider werde ich daraus jedoch nicht schlau. Sieht evtl. einer der Fritzbox-Experten hier irgendwo ein Problem?

Nachtrag: Wenn ich die accesslist der zweiten VPN-Einstellung auf nur eine Zeile "accesslist = "permit ip any 192.168.178.0 255.255.255.0";" reduziere, dann funktioniert der Gastzugang immer noch.

Nachtrag2: Zu Testzwecken habe ich die accesslist der zweiten VPN-Einstellung auf das geändert:
Code: 
                accesslist = "permit ip any 192.168.178.0 255.255.255.0", 
                             "reject udp any any eq 53", 
                             "reject udp any any eq 500", 
                             "reject udp any any eq 4500";
Sobald ich das importiere, steht da wo vorher 192.168.189.1 stand nun 0.0.0.0 und der Gastzugang ist nicht mehr da.
 
Zuletzt bearbeitet:
PsychoMantis schrieb:
Code: 
accesslist = "permit ip any 192.168.178.0 255.255.255.0",
                            "reject udp any any eq 53",
                            "reject udp any any eq 500",
                            "reject udp any any eq 4500",
                           "permit ip 192.168.172.240 255.255.255.255 any",
                           "permit ip 192.168.172.241 255.255.255.255 any",
                           "permit ip 192.168.172.242 255.255.255.255 any",
                           "permit ip 192.168.172.243 255.255.255.255 any",
                           "permit ip 192.168.172.244 255.255.255.255 any",
                           "permit ip 192.168.172.245 255.255.255.255 any",
                           "permit ip 192.168.172.246 255.255.255.255 any",
                           "permit ip 192.168.172.247 255.255.255.255 any",
                           "permit ip 192.168.172.248 255.255.255.255 any",
                           "permit ip 192.168.172.249 255.255.255.255 any",
                           "permit ip 192.168.172.250 255.255.255.255 any";
Zum Vergrößern anklicken....
Unklar warum Du Pakete mit beliebigen Source-IPs ("permit ip any 192.168.178.0 255.255.255.0") in den VPN-Tunnel schicken willst;

Könntest Du in Worten mal beschreiben, welcher Traffic getunnelt werden soll!

wenn es nur um die Source-IPs von 192.168.172.240 bis 192.168.172.250 mit Destination ANY geht,
dann wäre die accesslist:
Code: 
                accesslist = "permit ip 192.168.172.240 255.255.255.255 any",
                           "permit ip 192.168.172.241 255.255.255.255 any",
                           "permit ip 192.168.172.242 255.255.255.255 any",
                           "permit ip 192.168.172.243 255.255.255.255 any",
                           "permit ip 192.168.172.244 255.255.255.255 any",
                           "permit ip 192.168.172.245 255.255.255.255 any",
                           "permit ip 192.168.172.246 255.255.255.255 any",
                           "permit ip 192.168.172.247 255.255.255.255 any",
                           "permit ip 192.168.172.248 255.255.255.255 any",
                           "permit ip 192.168.172.249 255.255.255.255 any",
                           "permit ip 192.168.172.250 255.255.255.255 any";

wenn hier alles aus dem LAN der FB7390 mit Ziel remote LAN (Destination-IP: 192.168.178.0/24) betrifft, dann ergibt sich folgende Accesslist:
Code: 
                accesslist = "permit ip 192.168.172.0 255.255.255.0 192.168.178.0 255.255.255.0";

@Micha0815: bei "localid" sehe ich kein Config-Problem, da es hier bei beiden Configs aus derselben FritzBox stammen, muß die "localid" identisch sein.
 
Zuletzt bearbeitet:
Sorry, das hatte ich wohl nicht profund genug durchgelesen. Wenn die config der FB7390 zu unterschiedlichen Zielen 192.168.178.x und 192.168.170.x hier dargestellt, frage ich mich naiv, woher Du @Shirocco88 die accesslist`s der unterschiedlichen Gegenstellen kennst? Wenn auf zwei Boxen ein identisches Gast-LAN/WLAN 192.168.189.x eingerichtet/aktiv ist, kann das imho nicht funktionieren.
LG und bin wahrlich kein Experte, deren Expertise hier nachgefragt war. ;)
 
aktuell sind Inputs (Beschreibung der VPN-Anforderungen zw. FB7390 und FBxxxx) des TE gefragt;
abhängig davon ergeben sinch u.a. auch die Accesslisten der vpn.cfg der beiden Boxen;

Micha0815 schrieb:
Wenn auf zwei Boxen ein identisches Gast-LAN/WLAN 192.168.189.x eingerichtet/aktiv ist, kann das imho nicht funktionieren.
Zum Vergrößern anklicken....
Seltsam, gibt es hierzu Belege ? wo kann ich das nachlesen ?
im Abschnitt "Voraussetzungen / Einschränkungen" ist hierzu nichts zu finden:
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fritzbox-netzwerken-einrichten/
 
Danke für die Antworten/Vorschläge.
Die 7490er mit dem Subnetz 192.168.178.0 steht hier in Bayern.
Die 7390er mit dem Subnetz 192.168.172.0 steht auf der Halbinsel Krym.
Ich werden die Accesslist daher erst ausprobieren, wenn ich wieder vor Ort bin.
Was getunnelt werden soll ist ganz einfach: Wenn ich einem Gerät, der an der 7390er hängt manuell eine IP zwischen 192.168.172.240 bis 192.168.172.250 vergebe, dann soll dieses Gerät mit der deutschen IP im Internet unterwegs sein. Das geht auch, aber dann geht kein Gastzugang. Der ist jedoch dort sehr wichtig und daher habe ich das erstmal gelassen.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 796 (Mitglieder: 23, Gäste: 773)

Neueste Beiträge

Statistik des Forums

Themen
246,149
Beiträge
2,246,961
Mitglieder
373,668
Neuestes Mitglied
Stripi
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück