Hallo,
ich weiss, dass ein Thema "LAN-LAN-Koppelung mit nur 1 öffentlichen IP" gibt und dieses als Gelöst gekennzeichnet ist.
Habe gelesen, komme aber für mein Problem nicht weiter, daher ein neues Thema in der Hoffnung, dass dies nicht
die Forenregeln verletzt.
Ich versuche zwei FB zu koppeln, FB 1 (7270) ist hinter einem DSL-NAT-Router (ohne Zugriffsmöglichkeit), FB 2 (7490) hat funktionierenden DynDNS-Account.
Ich kriege es in meiner Testanordnung nicht zum Laufen (Will erst probieren, wenn alles klappt, dann erst FB 1 an Ort und Stelle bringen).
Testanordnung: Zum Probieren habe ich FB 1 (internes Netz 192.168.188.0/24) als NAT-Router mit fester IP 192.168.0.6 an LAN1 im Netz von FB 2 gehangen. FB 2 ist dann
aus dem "Internet" unter https://192.168.0.6 erreichbar
Mir ist klar, dass der Initiator die FB 1 sein muss.
Ich poste mal die beiden vpn.cfg's:
FB 1 (hinter NAT, 192.168.188.0/24):
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "adresse.dyndns.net";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
keepalive_ip = 192.168.0.2;
remotehostname = "adresse.dyndns.net";
localid {
fqdn = "irgendwas.myfritz.net";
}
remoteid {
fqdn = "adresse.dyndns.net";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "ef#)-422*-299fa01da4078fteaIb3";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.188.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
FB 2 (Öffentliche IP, 192.168.0.0/24):
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "irgendwas.myfritz.net";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "";
localid {
fqdn = "adresse.dyndns.net";
}
remoteid {
fqdn = "irgendwas.myfritz.net";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "ef#)-422*-299fa01da4078fteaIb3";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.188.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.188.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Dazu muss ich noch folgendes sagen:
Kann es u.U. daran liegen, dass ich zu Testzwecken die FB 2 als NAT-Router "mißbrauche", FB 1 aber im internen Netz von FB 2 liegt?
Welche Einstellungen müsste ich ggf. in den FBn checken?
Bin über jeden Tipp dankbar.
ich weiss, dass ein Thema "LAN-LAN-Koppelung mit nur 1 öffentlichen IP" gibt und dieses als Gelöst gekennzeichnet ist.
Habe gelesen, komme aber für mein Problem nicht weiter, daher ein neues Thema in der Hoffnung, dass dies nicht
die Forenregeln verletzt.
Ich versuche zwei FB zu koppeln, FB 1 (7270) ist hinter einem DSL-NAT-Router (ohne Zugriffsmöglichkeit), FB 2 (7490) hat funktionierenden DynDNS-Account.
Ich kriege es in meiner Testanordnung nicht zum Laufen (Will erst probieren, wenn alles klappt, dann erst FB 1 an Ort und Stelle bringen).
Testanordnung: Zum Probieren habe ich FB 1 (internes Netz 192.168.188.0/24) als NAT-Router mit fester IP 192.168.0.6 an LAN1 im Netz von FB 2 gehangen. FB 2 ist dann
aus dem "Internet" unter https://192.168.0.6 erreichbar
Mir ist klar, dass der Initiator die FB 1 sein muss.
Ich poste mal die beiden vpn.cfg's:
FB 1 (hinter NAT, 192.168.188.0/24):
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "adresse.dyndns.net";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
keepalive_ip = 192.168.0.2;
remotehostname = "adresse.dyndns.net";
localid {
fqdn = "irgendwas.myfritz.net";
}
remoteid {
fqdn = "adresse.dyndns.net";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "ef#)-422*-299fa01da4078fteaIb3";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.188.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
FB 2 (Öffentliche IP, 192.168.0.0/24):
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "irgendwas.myfritz.net";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "";
localid {
fqdn = "adresse.dyndns.net";
}
remoteid {
fqdn = "irgendwas.myfritz.net";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "ef#)-422*-299fa01da4078fteaIb3";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.188.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.188.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Dazu muss ich noch folgendes sagen:
- Der my!Fritz-name ist ein Dummy, wenn ich den Beitrag "Lan-Lan-Kopplung mit nur 1 IP" richtig verstanden habe. Zwar sind beide FB dort registiert (und der Name von FB 2 ist auch der, der im my!Fritz-Account steht), aber der entsprechende Eintrag in den FBn ist deaktiviert:
- FB 2 kann nicht über my!Fritz aufgerufen werden, dann ja die öffentliche IP der FB 1 (= NAT-Router) hinterlegt ist.
- FB 1 hat ja den adresse.dyndns.net-Account (braucht also kein my!Fritz)
- Wenn ich in FB 1 die VPN-Verbindung aktiv schalte, dann ist FB 1 unter https://192.168.0.6 nicht mehr erreichbar.
- Wenn ich in beiden Boxen die VPN-Verbindungen aktiv schalte, werden die Status-LEDs nicht grün. Fehlercode IKE-Error 0x202D "dns: timeout" (hatte auch einmal bei probieren IKE-Error 0x202E "dns: unspecified error")
Kann es u.U. daran liegen, dass ich zu Testzwecken die FB 2 als NAT-Router "mißbrauche", FB 1 aber im internen Netz von FB 2 liegt?
Welche Einstellungen müsste ich ggf. in den FBn checken?
Bin über jeden Tipp dankbar.
Zuletzt bearbeitet:
