LAN-TO-LAN Kopplung von 2 Fritzboxen über VPN

[Adsubia]

Ich möchte 2 Netzwerke, die jeweils über eine Fritzbox Internet-Zugriff haben, miteinander verbinden. Dafür möchte ich die VPN-Funktion beider Fritzboxen nutzen.

Netz 1 hat Internetzugang über DSL und Netz 2 über eine mobile Verbindung.

Da Netz 2 nicht über eine öffentliche IP erreichbar ist - kann ich über das VPN durch die LAN-TO-LAN Kopplung dann trotzdem auf die Box und die mit ihr verbundenen Geräte zugreifen?

 

[commander]

Ich gehe mal davon aus, das die beiden Netzwerke sich an unterschiedlichen Standorten befinden und diese über VPN gekoppelt werden sollen ? Dann kann man über das auf jeder Fritz!Box einzurichtende My!Fritz Konto und der Anleitung auf der AVM Seite (VPN-Verbindung zwischen zwei Fritz!Boxe-Netzwerken einrichten) diese Kopplung vornehmen.

 

[Adsubia]

Mir geht es darum, dass ich von Außerhalb auf die Box OHNE öffentliche IP zugreifen können muss, sonst kann ich mir das Ganze leider sparen [emoji21]...

 

[commander]

Wie will man auf ein System zugreifen, dessen Adresse man nicht kennt, bzw. die sich ständig ändert?
Das geht nur über eine feste IP-Adresse, oder DynDNS.

 

[PeterPawn]

Dazu gibt es praktisch komplette Bücher hier im IPPF ... das Thema variiert ja nun nicht so heftig und eine nicht-öffentliche IP-Adresse braucht halt die Trennung der Rollen beim AVM-VPN. Das ist aber sogar in der AVM-KB irgendwo beschrieben (iirc), wie/daß man auch dann zwischen zwei FRITZ!Boxen eine VPN-Verbindung einrichten kann, wenn nur eine der beiden eine öffentliche IP-Adresse hat und die Frage, wie man die Box mit der öffentlichen Adresse als Relay für den Zugriff auf die andere benutzt, ist hier auch bis zum Erbrechen durchgekaut.

Daher kann schon die Frage: "Geht das?" nicht ganz ernst gemeint gewesen sein (oder sie zeugt von erheblicher Bequemlichkeit) und die Frage: "Wie geht das?" ist auch (meines Erachtens auch erschöpfend) behandelt - man muß es halt nur suchen und lesen. Aber die zweite Tätigkeit (das Lesen) müßte man ja auch dann selbst ausführen, wenn sich wirklich noch ein weiteres Mal jemand findet, der das haarklein erläutern möchte, was da wie funktioniert und was nicht ... neue Erkenntnisse (für alle - von denen also nicht nur der Fragesteller profitiert) würde ich da im Moment jedenfalls nicht erwarten - außer das wurde mit 06.98 noch irgendwie geändert, was m.W. aber nicht der Fall ist (es gibt vermutlich genug andere offene Baustellen).

 

[Adsubia]

Meine Hoffnung ist, dass die Box ohne öffentliche IP sich mit der anderen Box (die sie ja leicht über deren öffentliche IP finden kann) eigenständig verbindet und dann über diese Box erreichbar ist.

So wie das eben auch bei OpenVPN funktioniert.

//Edit: Hallo??? Ich hatte doch nur gefragt, OB das auch über AVM IPSEC geht! Bei AVM selbst habe ich eben KEINE eindeutige Antwort gefunden. Sonst würde ich nicht fragen! WIE das geht, das steht dort in der Wissensdatenbank, aber darum geht es hier nicht! Es ist mir auch klar, dass eine VPN-Verbindung so möglich ist! Ich möchte bloß wissen, ob ein Zugriff in BEIDE RICHTUNGEN möglich ist und dazu müssen gewiss keine ganzen Bücher durchgekaut werden!

 

[ktw2003]

Wie von PeterPawn geschrieben funktioniert das alles problemlos und ist hier im Forum ausführlich Schritt für Schritt beschrieben. Einfach umsetzen.

 

[commander]

Also wenn die Verbindung immer von der Fritz!Box ohne öffentliche IP-Adresse aufgebaut werden soll, bzw. der VPN dauerhaft eingerichtet wird, sollte des nach der Anleitung von AVM funktionieren. Dort steht ja auch "Es muss mindestens eine der Boxen eine öffentliche IP V4 Adresse haben". Sollte also gehen.

 

[Adsubia]

Vollzitat entfernt by stoney

Dankeschön - das nenne ich mal eine klare und aussagekräftige Antwort [emoji4][emoji106][emoji4]! Dann steht einer Umsetzung nichts mehr im Wege!

@commander
Ich habe irgendwo in der AVM Hilfe noch so eine Aussage gefunden, dass der Zugriff so nur von Netz 2 nach Netz 1 möglich ist, in die andere Richtung aber nicht. Woanders stand das dann wieder anders. Das hat mich dann doch etwas verunsichert.

 

[commander]

Ich hatte mal mein Büro mit dem dem Büro von meinem Vater mit 2 Fritz!Boxen 7490 gekoppelt und konnte auf alle PC's und Netzwerk-Geräte an beiden Standorten zugreifen.

 

[PeterPawn]

Ich hatte doch nur gefragt

Ja, das streite ich ja auch gar nicht ab ... Du hast offensichtlich nur gefragt und nicht selbst gesucht - zumindest nehme ich das einfach einmal an, denn egal welchen Weg ich nehme (über die Xenforo-Suche oder über Google mit Beschränkung auf diese Site), ich kriege mehrere tausend Ergebnisse und schon beim Blick in die ersten Treffer (notfalls begrenzt man die Ergebnismenge auch noch zeitlich, damit man nicht nur alte und inzwischen nicht mehr zutreffende Informationen findet) finde ich die gesuchten Antworten praktisch zwangsläufig.

Schon die Titel der gefundenen Threads oder die ersten paar Zeilen in den Ergebnislisten von Google geben genug Hinweise und wir hatten hier wirklich schon alles - von der Anbindung des Ferienhauses auf irgendwelchen spanischen Inseln oder in Tschechien über einen Mobilfunk-Anschluß oder mit einem Kabelanschluß mit DS-Lite bis hin zur Überwachung des Pools vom deutschen DSL-Anschluß aus (also nachgelagerter Geräte im LAN der entfernten Box) und unter Zuhilfenahme von an diesem angemeldeten VPN-Clients auf irgendwelchen mobilen Geräten.

Da darf (und werde) ich schon davon ausgehen, daß dieses Thema wirklich "durch" ist und man davon tatsächlich keine neuen Erkenntnisse für die Allgemeinheit erwarten kann. Also bleibt als Motiv/Begründung für diesen (erneuten) Thread ja nur noch der Gewinn an Bequemlichkeit für den aktuellen Fragesteller, denn für spätere Interessenten, die eben nicht auf der Suche nach der Lösung für dieses 08/15-Szenario sind, verschlechtert sich mit einer weiteren Beschreibung der Lösung für dieses Problem (nennen wir es mal "gewöhnlich", weil es nun wirklich keinerlei Besonderheiten aufweist bzw. - sollte es tatsächlich welche geben - bisher auf jeden Hinweis in dieser Richtung verzichtet wurde bei seiner Beschreibung) die Chance weiter, für sein spezielleres Problem eine passende Lösung finden zu können, weil das alles mit diesem "Einheitsbrei" immer weiter zugekleistert wird.

Warum Du Deinerseits dafür erst noch die Auskunft brauchst, daß das alles schon einmal hier beschrieben wurde (und einmal ist deutlich untertrieben), damit dann einer Umsetzung nichts mehr im Wege steht (s. #9), verstehe ich halt nicht ... Du hast ja jetzt die Gelegenheit, mich "schlau zu machen". Die AVM-Hilfe als "Begründung" fände ich (bei jemandem, der das IPPF offensichtlich nicht erst seit heute kennt), dann doch etwas dünn ... mal ganz abgesehen davon, daß dann ein paar mehr Worte der Erklärung in #1, was Du alles schon kennst und schon gelesen hast, auch viele Antworten von Beginn an überflüssig machen könnten und damit anderen entsprechende Arbeit ersparen würden.

 

[Shirocco88]

Xenforo-Suche oder über Google

also die Suche lieferte bei mir u.a. folgender Thread mit Lösung:
https://www.ip-phone-forum.de/threads/vpn-zwischen-zwei-fritz-boxen-eine-mit-ds-lite.283359/
das Lesen kann ich jedoch nicht abnehmen.

 

[thorsten-ac]

Hallo Liebe Gemeinde,

ich konnte schon fiele Probleme mit lesen hier im Forum klären, doch nun Brauche ich eure hilfe

Fritzbox A
Öffentliche ip
internes ip netz 192.168.20.0

soll Lan To Lan kopplung zu

Fritzbox B
Keine öffentlich ip da hinter Fremder fritzbox verbunden über lan (extendet Host 192.168.178.90 ) im Kaskaden Modus
internes ip netz 192.168.100.0

Lan to Lan Kopplung wurde erfolgreich Hergestellt jedoch komme ich nicht auf das jeweils andere netz (kein Ping)

Was mache ich falsch ?

 

[PeterPawn]

Was mache ich falsch ?

Du unterstellt den Lesern bzw. den Antwortenden in diesem Forum hellseherische Kräfte.

Du schreibst doch auch nicht dem Arzt, bei welcher Krankenkasse Du versichert bist und wieviel Du monatlich dort zahlst, während Du ihn parallel um die Ferndiagnose bittest, ob das Schorfige zwischen Deinen Zehen jetzt Fußpilz ist oder nicht.

Wenn das nicht auf reines Raten hinauslaufen soll, mußt Du schon die verwendeten Konfigurationsdateien von beiden Seiten der VPN-Verbindung "aufdecken" und selbst das VPN-Protokoll aus den Support-Daten wäre nicht vollkommen sinnlos, denn auch da steht schon mal die eine oder andere Information zum Zustand der VPN-Verbindung drin ... ebenso im Ereignisprotokoll der FRITZ!Box.

Es hat vermutlich seinen Grund, warum das alles irgendwie zueinandergehört ... nähere Informationen, wie und wo man die notwendigen Angaben finden kann und was man da wie maskieren sollte, damit die Zusammenhänge nicht vollkommen unklar werden oder bleiben, stehen in anderen Threads hier im IPPF.

 

[thorsten-ac]

es geht sich grade auch eher um das Prinzip!
im Ereignisprotokoll steht nur drin erfolgreich hergestellt... dann gehe ich auch davon aus das dem so ist.....
Da ich alles über die web Oberfläche eingerichtet habe habe ich keine konfigdatei erstellt... sorry

Kann es sein das ich ein routing einrichten muss ? da ich die fritzbox B im kaskadenmodus betreibe mit eigenem "sub" netz ?

vg

 

[stoney]

http://fritz.box/support.lua < dort nach vpn.cfg suchen und nur die letzten Zahlen unkenntlich machen, sonst kannst Du Dir das herraussuchen sparen

##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
/*
 * /var/flash/vpn.cfg
 * Thu Jan  1 01:02:37 1970
 */

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 1;
.........
.....
// EOF
##### END SECTION vpn_cfg

 

[PeterPawn]

@thorsten-ac:
Die Einrichtung über die FRITZ!OS-Oberfläche funktioniert bei einem derartigen Szenario aber gar nicht zuverlässig, zumindest nicht nach dem, was bisher hier als "gefestigtes Wissen" galt.

Welche FRITZ!OS-Version ermöglicht denn die Einrichtung einer funktionierenden(!) VPN-Verbindung zwischen zwei FRITZ!Boxen, bei denen eine der beiden Seiten eben keine öffentliche IPv4-Adresse hat? AVM empfiehlt zwar in der eigenen KB, auf das "VPN-Verbindung dauerhaft halten" zu verzichten und alles wäre schön, das funktioniert aber nur bei passendem Timing und geht z.B. dann schief, wenn die Box mit der nicht-öffentlichen Adresse neu gestartet wird, während von der anderen Seite ein Verbindungsaufbau in Folge eines Zugriffs auf eine IP-Adresse im entfernten Netz im Gange ist. Dem trägt AVM dadurch Rechnung, daß man "Probieren Sie es später noch einmal." für eine probate Strategie der Fehlerbehebung hält.

Für die wirklich wirksame Einstellung, bei der Box mit der "responder"-Rolle keine Angaben zur Erreichbarkeit des Peers zu hinterlegen (weder "remote_ip" noch "remotehostname"), gibt es im AVM-GUI gar keine Einstellung (zumindest nicht bis zu derzeit aktuellen Release-Versionen) und offenbar hat AVM auch bisher nicht die Absicht, das in FRITZ!OS 7 tatsächlich zu ändern ... dabei wäre es tatsächlich nur eine Kleinigkeit und angesichts der hier in anderen Threads damit schon erzielten Erfolge, kann man wohl auch von einer "erprobten Lösung" sprechen. Dafür müßte man den eigentlichen IKE-Daemon gar nicht anfassen und auch die anderen Reste der VPN-Implementierung nicht (z.B. die Transformationen) - es würde vollkommen reichen, wenn man das GUI und den "ctlmgr" als Verantwortlichen für das Speichern der VPN-Einstellungen entsprechend anpaßt, daß mit einem weiteren Parameter die erwähnten Angaben einfach ausgelassen werden können bzw. daß es eine Trennung zwischen der "remote_id" (für P1) und der "remote_ip" (bzw. dem "remotehostname") geben kann.

Mit dem Einrichten spezieller Routen hat das (bei FRITZ!Boxen zumindest) auch nichts zu tun, weil man dort gar keine Routen definieren kann, die nicht in Richtung LAN weisen und genau da befindet sich der "VPN-Peer" eben nicht.

Um eine Konfigurationsdatei hier zeigen zu können, muß man die auch nicht unbedingt von Hand erstellt haben (zumindest nicht bei einem Szenario, wo die automatisch generierten auch tatsächlich funktionieren) ... aber auch das steht in anderen Threads sehr ausführlich, wo man diese Daten ansonsten noch "abgreifen" kann und dafür braucht man nur etwas Zeit, die Lesebrille und eine originale AVM-Firmware - es hat also auch nichts mit irgendwelchen Modifikationen am FRITZ!OS als Voraussetzung für irgendetwas anderes zu tun.

Und die prinzipielle Antwort lautet: "Ja." (es lebt oder auch "es ist machbar") bzw. "42", wenn die Frage eine andere ist.

 

[Shirocco88]

@thorsten-ac:
Hast Du die Lösungsvorschläge aus #12 schon umgesetzt ?

 

[thorsten-ac]

nein noch nicht werde es aber auf diesem weg auch versuchen .....

zur zeit habe ich die box als Client an der anderen box über VPN angemeldet bekomme aber immer noch keinen ping durch ....

bei mir festigt sich so langsam ein Routing Problem da die box hinter dem NAT im kaskadierten Modus arbeitet.

im Klartext zwischen NAT und fritzbox ist die IP 192.168.178.90 zwischen fritzbox und PC´s stellt die box ein sub netz zur Verfügung 192.168.100.x

was meint ihr ?

 

[Adsubia]

Hi, ich bin gerade dabei die hier genannten Tipps umzusetzen. Das Erstellen und Anpassen der Konfigurationen für den Fall "DSL-Lite" ist klar. Wenn ich jedoch 2 DSL-Lite-Clients einbinden möchte, d. h. wenn ich für den Responder 2 Initiator-Clients in der einzuspielenden Konfiguration habe, nimmt er diese nicht an. Ich habe dann für den Responder eine Datei im folgenden Format:

vpncfg {
        connections {
                enabled = yes;
                ...
        } {
                enabled = yes;
                ...
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Die Besonderheit ist, dass der connections-Block 2 Einträge hat. Selbst wenn ich diese Datei in 2 Einzeldateien mit den Konfigurationen für jeweils einen der beiden Clients aufsplitte (also mit nur jeweils 1 Eintrag im connections-Block), kann ich nur eine Konfiguration davon in die Responder-Box am VDSL-Anschluss einspielen. Ist das so normal - kann man nur 1 weiteres Netz an den Responder anbinden und danach ist Schluss?

Für einen einzigen DSL-Lite-Client funzt das so auf jeden Fall super - beide Konfigurationen eingespielt und sofort hatte ich auf beide Boxen einen erfolgreichen Ping und kann auch auf alle Geräte hinter den beiden Boxen problemlos zugreifen, nachdem ich mich mit meinem Endgerät in das VPN der Responder-Box eingewählt habe!