[Gelöst] LAN-LAN-Kopplung mit ipsecbridge und 1x DS-Lie?

Helmi82

Neuer User
Mitglied seit
28 Dez 2006
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Hallo,

ich möchte eine LAN-LAN-Kopplung zwischen zwei Fritzboxen erstellen, wobei eine davon an einem DS-Lie-Anschluss hängt.

Bei der Box am DS-Lite soll das VPN über eine ipsecbridge nur am Anschluss LAN 2 laufen. Ich möchte nun jedoch wissen, wie ich die vpn.cfg der anderen Box anpassen muss, damit sie nicht ebenfalls versucht sich mit der Gegenstelle zu verbinden und durch das DS-Lite einen Timeout erhält. Direkt über das Webinterface der Fritzbox kann man die IP der Gegenstelle ja wohl nicht einfach leer lassen !?

Schon mal danke im Voraus.
 
Zuletzt bearbeitet:
Dazu gibt es hier jede Woche einen Thread
 
Die Einrichtung der LAN-LAN-Kopplung mit ipsecbridge ist mir schon klar und funktioniert ja auch über das Webinterface der Fritzbox.

Mir geht es ja nur um die Anpassungen in der vpn.cfg bzgl. der DS-Lie.
 
Danke für den Link. Aber in diesen Thread kam leider keine Info mehr vom Ersteller, ob das letztendlich auch so funktioniert hat.

Hat sonst vielleicht schon mal jemand diese Konstellation erfolgreich eingerichtet?
 
Danke für die schnelle Hilfe.

Ich werde mir das mal in Ruhe durchlesen und testen.
 
Ich habe mir die Links jetzt mal durchgelesen und möchte kurz zusammenfassen, ob ich es auch richtig verstanden habe:

- Bei der Box am DS-Lite, welche die Verbindung aufbaut, muss ich zwangsweise den Assistenten im Fritzbox-Webinterface verwenden, weil nur darüber der Eintrag in der ar7.cfg für die ipsecbridge erstellt werden kann. Der Eintrag für "keepalive_ip" wird automatisch eingefügt, wenn ich die Option "Verbindung dauerhaft halten" aktiviere.

- Bei der anderen "passiven" Box muss ich die vpn.cfg jedoch über das AVM-Tool "Fernzugang einrichten" erstellen, weil ich im Webinterface die remote_ip nicht leer lassen kann.

Ist das soweit korrekt oder habe ich etwas falsch verstanden und es würde doch einfacher funktionieren?
 
DS-Lite-Box: richtig.

Responder: Jein ... es geht einfacher als mit "FRITZ!Fernzugang einrichten" mit einer passenden Vorlage und einem Editor mit Linux-Kenntnissen (wg. der Zeilenenden). So ein Template ist im einfachsten Fall eine Export-Datei der DS-Lite-Box, in der dann nur die Daten jeweils "gespiegelt" werden müssen - wobei die verschlüsselten Daten in so einer Import-Konfiguration für eine VPN-Verbindung auch im Klartext sein dürfen. Ansonsten geht natürlich auch das AVM-Programm ... kommt auch die eigenen Kenntnisse und das vorhandene Programmarsenal an.
 
Im wie komme ich denn am einfachsten an diese Export-Datei ran?

Und als Editor könnte ich dann einfach Notepad++ oder PSPad benutzen mit UTF8-Encoding und LF-Zeilenende? Oder gibt es etwas besseres bzw. ein Tool extra für die Fritzbox?
 
Nochmals danke für Hilfe. Habe die VPN-Verbindung nun erfolgreich aufbauen können.

Allerdings muss in der DSLite-Box auch eine MyFritz- oder DynDNS-Adresse hinterlegt sein, damit der Assistent eine "localid" in der vpncfg einträgt. Auch wenn die Adresse in diesem Anschluss ja eigentlich gar keinen Sinn macht.

Außerdem hatte ich an dem Endgerät, welches an der IPSec-Bridge angeschlossen ist, per DHCP immer wieder Verbindungsabbrüche. Mit einer statischen IP außerhalb des DHCP-Adressraums scheint es aber nun zu laufen.
 
Könntest du denen Lösungsweg nochmals genauer darstellen. Ich probiere gerade eine 7390 (öffentliche IP4 Adresse) mit einer 6320 (DSLite) per LAN-LAN zu kopplen. Lieder funktioniert es nicht. Wenn ich use_nat_t = no; einstelle, dann wird zwar alles grün und ohne Fehlermeldungen im Log angezeigt, DAten gehen jedoch nicht über Verbindung.
Es wäre also hilfreich, wenn du deine Config files, bzw. dein generelles Vorgehen hier kurz skizzieren könntest. Danke!
 
@neo06:
Wieder sehr schmale Infos ... das geht dabei los, welche Firmware-Versionen jeweils zum Einsatz kommen, denn ab 06.20 gab es da einige weitreichende Änderungen.

Ich habe mich erst am vergangenen Samstag wieder mit dem Fehler 0x2026 (keine übereinstimmenden Proposals) bei einer Kopplung einer KDG-6360 mit 06.06 und einer 7490 (06.30) herumschlagen müssen. Mit dem eingebauten Editor kann man eben keine abweichenden Strategien (und andere Besonderheiten, die an einem DS-Lite-Anschluß benötigt werden) festlegen und out-of-the-box finden/fanden die beiden Versionen wohl keine passende Übereinstimmung.

Es bleibt also auch hier wieder dabei, daß die minimale Voraussetzung für eine Unterstützung bei einer Fehlersuche die Veröffentlichung der verwendeten VPN-Konfigurationsdateien ist ... wie man an diese herankommt, habe ich inzwischen in verschiedenen Threads oft genug geschrieben.
 
@neo06:
...denn ab 06.20 gab es da einige weitreichende Änderungen.

Ich habe mich erst am vergangenen Samstag wieder mit dem Fehler 0x2026 (keine übereinstimmenden Proposals) bei einer Kopplung einer KDG-6360 mit 06.06 und einer 7490 (06.30) herumschlagen müssen.


@PeterPawn
Frage: was hat sich da bei 06.20 geändert ? Sind hier Proposals mit höherem Securitylevel hinzugekommen, dann wäre es toll.
oder sind da welche weggenommen (evtl. welche, die von AVM als unsicher erachtet) worden ? dann wäre kompatibilitätsproblem mit Boxen mit 06.0x denkbar.

Frage: Wie kann ich mir die Liste der verfügbaren Proposals auf der Box anzeigen lassen ?
Oder kann ich mir die von AVM Knowledgebase pro Fritz!OS einsehen ?

schön wäre es auch wenn man dies im direkt im Web-IF VPN der Box oder Windows Programm Programm "FRITZ!Box-Fernzugang einrichten" direkt auswählen könnte.

Gibte hierzu weitere Informationen, welche Proposals ich am besten für eine LAN-LAN-Verbindung von Fritzbox mit 06.04 per Fritzbox 06.21 einstelle ?

Gruß
Splenditnet
 
@splenditnet:
Die "Übersetzung" von VPN-Einstellungen in eine Liste von Proposals erfolgt über die Datei /etc/default.$CONFIG_PRODUKT/$OEM/ipsec.cfg ... dort sind für Phase1 und Phase2 die jeweiligen Sets hinterlegt, die über die Einstellung "phasenss" in der VPN-Datei ausgewählt werden.

Die direkte Einstellung im WebUI wäre sicherlich wünschenswert, ist aber eher wieder ein "Profi-Feature", was beim normalen Anwender eher Fragezeichen in den Augen hervorruft. Ich glaube nicht wirklich, daß AVM das einbauen wird ... abgesehen davon ist eine echte dynamische Konfiguration durch den Benutzer ohnehin beim derzeitigen Vorgehen nicht möglich, da eben immer der Umweg über die ipsec.cfg im "read-only"-Teil des Dateisystems gegangen wird und somit nur die dort hinterlegten Proposals bzw. deren Zusammenstellungen (außer man verschiebt die Datei wieder über bind-Mounts ins tmpfs) verwendet werden können.

Ansonsten zur Interoperabilität der verschiedenen Versionen einfach die entsprechenden Sets in den Dateien ipsec.cfg der jeweiligen Boxen vergleichen ... erstens stellt man dann schnell fest, welche überhaupt verwendet werden und zweitens findet man so am ehesten ein Set, was eine passende (und sichere) Kombination umfaßt.

Welche Algorithmen als sicher anzusehen sind, hängt u.a. auch vom Einsatzzweck und der Power der verwendeten Box ab. Ein DES-MD5 ist praktisch unsicher, dafür aber eben relativ schnell und weniger belastend für den Prozessor der Box ... also genau das richtige für das Verschlüsseln eines Video-Streams vom heimischen Anschluß zum Handy, aber eben absolut ungeeignet für den Versand der Steuererklärung.

And last but not least ... die Eingangsfrage klärst Du am ehesten selbst durch den Vergleich der ipsec.cfg mit der Vorgängerversion.

EDIT: Fast noch vergessen: Es kamen auch neue DH-Groups dazu, die der avmike des FRITZ!OS jetzt versteht, insofern wurde die Sicherheit also tatsächlich verbessert.
 
Zuletzt bearbeitet:
@PeterPawn: Danke für schnelle, qualifizierte Antwort!
 
Wenn jemand eine funktionierende Konfig hat, könnte er die bitte mal Online stellen? Ich verzweifel aktuell daran, eine funktionierende Verbindung hin zu bekommen :-/
 
an etwaige nachfolgende Leser:

Bin gerade über den Thread gestolpert:
Ich verzweifel aktuell daran, eine funktionierende Verbindung hin zu bekommen :-/

auch meine Erfahrungen mit Cable-Boxen bei UM haben zu diesem Ergebnis geführt; Details können hier nachgelesen werden: hierzu gibt es von Andreas1969 eine gute Beschreibung zu MTU1460-Bug der Cable-Fritzboxen.

auch kann ich den FB6490 AVM-KB-Artikel (zumindestens bis einschließlich FW 06.85) nicht nachvollziehen
https://avm.de/service/fritzbox/fri...FRITZ-Box-am-DS-Lite-Internetzugang-moeglich/
Sind VPN-Verbindungen zu einer FRITZ!Box am DS-Lite-Internetzugang möglich?
Mit Hilfe des Verfahrens DS-Lite ("Dual Stack Lite") können IPv4-Anwendungen, wie die VPN-Lösung der FRITZ!Box, auch über einen neuen IPv6-Internetzugang weiter verwendet werden.

Wenn die Gegenstelle über eine öffentliche IPv4-Adresse verfügt, können Sie mit der FRITZ!Box auch an einem Internetzugang mit dem Verfahren DS-Lite eine VPN-Verbindung zwischen zwei FRITZ!Box-Netzwerken (LAN-LAN-Kopplung) oder eine Verbindung von der FRITZ!Box zu einem Firmen-VPN herstellen.
Hinweis: Bei DSL-Fritten funktioniert es mit DS-Lite oder CG-NAT im VPN-Initiator Mode.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: prodigy7
Direkt mal an AVM gemeldet. In der Vergangenheit hab ich schon öfter die Erfahrung gemacht, dass man an kompetente Stellen gerät.
Hinweis: Bei DSL-Fritten funktioniert es mit DS-Lite oder CG-NAT im VPN-Initiator Mode.
Was meinst du damit? D.h. damit bekommt man eine funktionierende Verbindung hin? Kannst du mir Details geben?
 
Direkt mal an AVM gemeldet. In der Vergangenheit hab ich schon öfter die Erfahrung gemacht, dass man an kompetente Stellen gerät.
könntest Du die AVM-Ticket Nummer hier posten, dann können andere Nutzer sich darauf beziehen und der Support kann einen mit dem Problem nicht an UnityMedia weiterschicken.
Was meinst du damit? D.h. damit bekommt man eine funktionierende Verbindung hin? Kannst du mir Details geben?
Das Problem tritt nur bei IPv4-Diensten innerhalb der Box auf (z.B. LAN-to-LAN-VPN), wenn diese die IPv6-MTU (1500) und nicht die IPv4-MTU (vom AFTR-Gateway) für IPv4-Traffic verwenden;
dieser Firmware-Bug in den Cable-Fritzbox macht den VPN-Teil für LAN-to-LAN-Verbindungen (conntype_lan) unbrauchbar!!!,
Client-VPN-Verbindungen (conntype_user) funktionieren bei DSL-Lite sowieso nicht;

Wenn Du eine FB7490 hinter eine Cable-Fritzbox mit DS-Lite hängst, und diese als VPN-Initiator konfigurierst, dann erkennt die FB7490 die richtige IPv4-MTU (1460) und LAN-to-LAN-VPN funktioniert!!!
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.