Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

[thund3rbird]

Hallo,
ich sitze jetzt shcon seit 3 stunden an der konfigration des VPN Zugang.
Im standard funktioniert alles wunderbar.
Mit der modifizierten fritzBox file klappt auch alles wunderbar!

Nur wenn ich die Fritz!Fernzugang datei bearbeite, dann klappt nix mehr.

Mein Netzwerk sieht wie folgt aus an dem der PC hängt der eine VPN nach Hause auf die Fritz!Box aufbauen soll!

IP-Adresse. . . . . . . . . . . . : 10.0.1.4
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 10.0.1.1
DHCP-Server . . . . . . . . . . . : 10.0.1.1
DNS-Server. . . . . . . . . . . . : 10.0.1.1

Da ich bei der Telekom bin habe ich meistens, 84.173... adresse von der fritz!box WAN!

meine Fritz!Fernzugang Zeile sieht so aus!

accesslist = "deny ip any 10.0.0.0 255.255.255.0", "deny ip any 84.173.0.0 255.255.0.0", "permit ip any any";

Was ist hier der Fehler, ich komme einfach nicht mehr weiter!
Er sagt als den Fehler das die Gegenstelle den Namen nicht auflösen kann.
Ich benutze dynDNS aber mit der nicht-modifizierten Fernzugangs datei geht ja alles ohne Probleme!!

Danke für eure Bemühungen!!

Vg
Thund3r

 

[buecke]

Hej thund3rbird,

Mein Netzwerk sieht wie folgt aus an dem der PC hängt der eine VPN nach Hause auf die Fritz!Box aufbauen soll!

IP-Adresse. . . . . . . . . . . . : 10.0.1.4
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 10.0.1.1
DHCP-Server . . . . . . . . . . . : 10.0.1.1
DNS-Server. . . . . . . . . . . . : 10.0.1.1

meine Fritz!Fernzugang Zeile sieht so aus!

accesslist = "deny ip any 10.0.0.0 255.255.255.0", "deny ip any 84.173.0.0 255.255.0.0", "permit ip any any";

die Zeile müsste gemäß deiner ipconfig wie folgt lauten:

accesslist = "deny ip any 10.0.[B]1[/B].0 255.255.255.0", "deny ip any 84.173.0.0 255.255.0.0", "permit ip any any";

Viele Grüße
buecke

 

[thund3rbird]

hallo buecke,

vielen dank fuer deine hilfe ...
heute morgen bin ich jetzt im office und hier haben wir ganz andere einstellungen.

IP-Adresse. . . . . . . . . . . . : 172.16.51.212
Subnetzmaske. . . . . . . . . . . : 255.255.248.0
Standardgateway . . . . . . . . . : 172.16.48.1
DHCP-Server . . . . . . . . . . . : 172.16.8.5
DNS-Server. . . . . . . . . . . . : 172.16.8.5
172.16.8.6

wie muss das denn hier aussehen?? Hier gibts wohl mehrere subnetse oder wie?

habe es wie folgt gemacht!

accesslist = "deny ip any 172.16.8.0 255.255.248.0", "deny ip any 172.16.48.0 255.255.248.0", "deny ip any 172.16.51.0 255.255.248.0", "deny ip any 84.173.0.0 255.255.0.0", "permit ip any any";

Geht aber irgendwie nicht .... also er baut die VPN Verbindung zwar erfolgreich aber ich kann keine internetseiten öffnen und auch meine ips daheim 192.168.10.1 nicht anüingen!!
Danke!

Vg
Thund3r

 

[buecke]

Hej thund3rbird,

IP-Adresse. . . . . . . . . . . . : 172.16.51.212
Subnetzmaske. . . . . . . . . . . : 255.255.248.0
Standardgateway . . . . . . . . . : 172.16.48.1
DHCP-Server . . . . . . . . . . . : 172.16.8.5
DNS-Server. . . . . . . . . . . . : 172.16.8.5
172.16.8.6

probier mal:

accesslist = "deny ip any 172.16.48.0 255.255.248.0", "deny ip any 172.16.8.5 255.255.255.255", "deny ip any 172.16.8.6 255.255.255.255", "deny ip any 84.173.0.0 255.255.0.0", "permit ip any any";

Viele Grüße
buecke

 

[thund3rbird]

Heeey ...

vielen Dank! Es funktioniert! Schreibe dir erfolgreich über meine VPN Verbindung!!!
Lag das jetzt wirklich nur an der reihenfolge??

Vg
Thund3r

 

[Sachsen Paule]

Also ich habe viel rumprobiert, VPN läuft ansich, aber das Internet geht nicht über die Verbindung. Die Einstellungen an der Fritzbox wurden eingespielt.


Das Netzwerk hier.

IP: 10.12.4.108
SUB: 255.255.255.0
Standartgatway: 10.12.4.1
DHCP,DNS,WINS: 10.12.11.20

ICh habe Versucht es anhand des letzen Tipps umzuschreiben, aber es geht nicht.

Die Zeile so abgeändert,

accesslist = "deny ip any 10.12.4.0 255.255.255.0", "deny ip any 10.12.11.20 255.255.255.255", "deny ip any 91.42.0.0 255.255.0.0", "permit ip any any"

VPN baut auf aber kein Zugriff zum I-Net.

Wäre nett wenn mir jemmand helfen könnte.

 

[cmmehl]

Hallo,

koennte es sein, dass dies eine UMTS-verbindung ist? Da muss man noch ein bisschen mehr aendern, steht beschrieben in post 34, bzw die details in diesem post.

Damit hat es fuer mich mit UMTS geklappt.

Gruss
Chris

 

[Sachsen Paule]

Nein ist Standartzugang im Firmennetzwerk mit den oben angeben Netzwerk, ich weiss nur das normal unser Internet IP nach draussen hier ne Feste ist. Da hängen bestimmt auch paar Firewalls dazwischen, ich hoffe es liegt nicht an denen.

 

[cmmehl]

Fuerchte schon, dass das firmenproxies sind - die von dir gennanten IPs sind private IPs. die lassen sich nicht routen, und deshalb, imho, geht das auch mit dem VPN nicht. Bei UMTS kriegt man auch solche IPs - daher hatte ich diese vermutung.

Fuer private IP ranges schau mal bei wikipedia.

Schoen' ahmt!
Chris

 

[isvo]

Wie genau kann ich bei www.nwtools.com mein öffentliches Subnet rauskriegen?

 

[annexa]

Hallo,

ich habe eine Frage: Funktioniert Deine Loesung auch mit 2 Fritzboxen, daher ohne das Program "FRITZ!Fernzugang" ?

Situation:
1 Fritzbox in DE
1 Fritzbox in Ausland

Idealerweise koennte ich die Box im Ausland so einrichten, dass der ganze Inet verkehr ueber die Box in DE ablaeuft.

Noch besser waere es, wenn ich in der Box im Ausland bestimmte IP Addressen einrichten kann, die ueber Box in DE gehen (da langsamer) und der restliche Verkehr weiterhin direkt ueber den ISP im Ausland geht.

Waere Dir sehr dankbar fuer einen Hinweis.

Gruss

 

[buecke]

Hej annexa,

ich habe eine Frage: Funktioniert Deine Loesung auch mit 2 Fritzboxen, daher ohne das Program "FRITZ!Fernzugang" ?

Ob das mit zwei FRITZ!Boxen ebenfalls funktioniert, weiß ich nicht; das musst du selbst ausprobieren. Folge der Anleitung von AVM unter http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_und_Tipps/step_by_step_lan_lan.php?portal=VPN und passe anschließend die beiden Konfigurationsdateien für die FRITZ!Boxen gemäß der Anleitung (die Auslands-Box gemäß "PC hängt über Modem etc. direkt am Internet") an. Wichtig ist, dass du lokalen Zugriff speziell auf die Auslands-FRITZ!Box hast! Falls irgendetwas nicht funktionieren sollte, kann es sonst leicht passieren, dass du über das Internet überhaupt keinen Zugriff mehr auf deine Box(en) bekommst.
Die einfachere und sichere Methode wäre ansonsten, auf jedem PC, der hinter der Auslands-Box hängt, die FRITZ!Fernzugang-Software zu verwenden.

Noch besser waere es, wenn ich in der Box im Ausland bestimmte IP Addressen einrichten kann, die ueber Box in DE gehen (da langsamer) und der restliche Verkehr weiterhin direkt ueber den ISP im Ausland geht.

Diese Variante ist sehr einfach zu realisieren und es kann auch nicht so viel schief gehen:

1. Ändere die "accesslist" für den Server (FRITZ!Box in D) gemäß Anleitung:

   accesslist = "permit ip any 192.168.178.201 255.255.255.255";

2. Ergänze die originale "accesslist"-Zeile für den Client (FRITZ!Fernzugang oder Auslands-FRITZ!Box) durch die gewünschten, weiteren IP-Adressen/-Bereiche. Beispiel für den Zugang zu http://www.ip-phone-forum.de:

   accesslist = "permit ip any 192.168.178.0 255.255.255.0", "permit ip any 85.214.115.219 255.255.255.255";

Viel Erfolg
buecke

 

[annexa]

Hi Buecke,

erst mal vielen Dank fuer Deine Antwort. Bevor ich das "live schalte" waere ich Dir sehr dankbar, wenn Du noch einmal drueber gucken koennstest, ob das so Sinn macht.

Schritte:
1. CFG Dateien mit AVM Tool erstellen
2. Tool verlangt fuer Client / Server IPs die nicht 192.168.178.0 sind daher Server (Box in DE) 192.168.10.0 und Client (Box in Ausland) 192.168.20.0 gewaehlt
3. Server CFG Datei - nix angepasst, da es schon so aussieht wie Du beschrieben hast
4. Client CFG Datei - Anpassungen gemaess Anleitung
4.a. DNS server ueber Ereignisse auf FB Interface ermittelt (daher die DNS server, die die FB vom ISP zugewiesen bekommt
4.b. IP der FB in network-tools.com eingegeben und Adressbereich des Providers ermittelt
4.c. die Ergaenzungen gemacht, die Du angegeben hattest um aus dem Ausland auf http://www.ip-phone-forum.de ueber die FB in DE zuzugreifen

So sehen dann die CFGs aus:

SERVER - FB IN DE

/* fritzbox_FRITZ_BOX_DE.cfg */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "FRITZ.BOX.AUSLAND";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "FRITZ.BOX.AUSLAND";
                localid {
                        fqdn = "FRITZ.BOX.DE";
                }
                remoteid {
                        fqdn = "FRITZ.BOX.AUSLAND";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "KEY";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.20.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.20.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

CLIENT - FB IN AUSLAND

/* fritzbox_FRITZ_BOX_AUSLAND.cfg */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "FRITZ.BOX.DE";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "FRITZ.BOX.DE";
                localid {
                        fqdn = "FRITZ.BOX.AUSLAND";
                }
                remoteid {
                        fqdn = "FRITZ.BOX.DE";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "KEY";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.20.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
               
[COLOR="Red"]/*[/COLOR] accesslist = "permit ip any 192.168.10.0 255.255.255.0"; [COLOR="Red"]*/[/COLOR]
[COLOR="Red"]accesslist = "deny ip any DNS1 255.255.255.255", "deny ip any DNS2 255.255.255.255", "deny ip any XX.XX.0.0 255.255.0.0", "permit ip any any", "permit ip any 192.168.10.0 255.255.255.0", "permit ip any 85.214.115.219 255.255.255.255";
[/COLOR]
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

 

[buecke]

Hej annexa,

CLIENT - FB IN AUSLAND

[COLOR="Red"]/*[/COLOR] accesslist = "permit ip any 192.168.10.0 255.255.255.0"; [COLOR="Red"]*/[/COLOR]
[COLOR="Red"]accesslist = "deny ip any DNS1 255.255.255.255", "deny ip any DNS2 255.255.255.255", "deny ip any XX.XX.0.0 255.255.0.0", "permit ip any any", "permit ip any 192.168.10.0 255.255.255.0", "permit ip any 85.214.115.219 255.255.255.255";
[/COLOR]

Wenn du nur auf http://www.ip-phone-forum.de via deutsche FRITZ!Box zugreifen möchtest, ist der Eintrag viel einfacher (Zugang zur deutschen FRITZ!Box über deren lokale IP inkl.):

accesslist = "permit ip any 192.168.10.0 255.255.255.0", "permit ip any 85.214.115.219 255.255.255.255";

Wenn du das gesamte Internet über die deutsche FRITZ!Box erreichen möchtest, müsste die Zeile so aussehen:

accesslist = "deny ip any DNS1 255.255.255.255", "deny ip any DNS2 255.255.255.255", "deny ip any XX.XX.0.0 255.255.0.0", "permit ip any any";

Aber wie schon gesagt, ich habe selber keine Erfahrung mit der Kopplung von zwei FRITZ!Boxen: daher auf eigene Gefahr

Viele Grüße
buecke

 

[annexa]

Entwarnung: Es klappt. Spitze. Vielen Dank !!!

 

[suffi]

Hallo!

Ich habe heute abend ein wenig rumprobiert. Mir ist die Funktionsweise nunmehr schon einigermaßen klar.

Mein Problem ist nun:
Meiner Ansicht nach geht der https: Verkehr nicht über das VPN. Irgendeine Idee?

Mein String lautet:
accesslist = "deny ip any 192.168.179.0 255.255.255.0", "deny ip any 79.225.0.0 255.255.0.0", "permit ip any 192.168.170.0 255.255.255.0", "permit ip any any";

Eigentlich müsste alles über VPN laufen, Zattoo merkt es aber beim registrieren. Irgendeine Idee?

LG Suffi

 

[Icemaker]

Mal ne kleine Verständisfrage:

Hab folgende Situation: Fritz Box in Deutschland mit abgeänderter .cfg

Fritz Fernzugang in der Schweiz.
Muss da wie "annexa" auch was an den DNS "schrauben" oder ist das nur nötig wenn zwei Boxen direkt gekoppelt sind?

irgendwie klappt das nämlich nicht so ganz:
.cfg Schweiz

accesslist = "deny ip any 192.168.1.0 255.255.255.0", "deny ip any 188.60.0.0 255.255.0.0", "permit ip any any";

ipconfig sagt:
IP: 192.168.1.44
Sub: 255.255.255.0

Internet:
Ip 188.60. ....... (letzten beiden Blöcke sind immer nur Variable ne)
Subnetz müsste doch dann 255.255.0.0 sein wie in der .cfg oder?

Lese ich diese File ein kommt immer Zeitüberschreitung
Über Lösungsvorschläge würde ich mich sehr freuen

 

[annexa]

Hallo Icemaker,

ich bin ja kein Experte mit diesem Thema, aber wenn ich Dich richtig verstehe, hast Du ja die Ausgangssituation von Buecke.

Daher sollte der Beitrag #1 fuer Dich zum Ziel fuehren. Haengt Dein Computer in der Schweiz direkt am Inet oder hinter einem Router (war nicht ganz klar aus Deiner Signatur, wo die FB steht).

@ suffi: Ich bin diese Woche unterwegs, werde es aber mit Zattoo mal probieren und hier posten, falls es erfolgreich ist. Ich route ja nur gezielt einige wenige Internet Adressen ueber DE. Zattoo hab ich als Test IP auch in meine CFG um zu sehen ob das VPN steht, ich benutze Zattoo allerdings nicht. Wenn ich auf die Seite gehe, zeigt sich das DE Angebot. Allerdings brechen die Test-Live-Streams nach einer Weile ab, ich hatte aber in der Firewall gesehen, dass Zattoo noch Verbindungen ueber andere IPs aufbaut, die ich nicht geroutet hatte und dachte dass es daran liegt.

Mehr Spaeter. Gruss

 

[derchris]

Geht das ganze auch mit einem Mac Client und der IPSecuritas Software?

 

[staubsauger-nono]

Ich habe jetzt beide Möglichkeiten ausprobiert. Über die Fritz-Sw wird wohl der komplette Datenverkehr zum Inet getunnelt. Ich würde das Ganze aber lieber über Shrew laufen lassen. Nur welche Einstellungen muß ich da vornehmen? Vielleicht sehe ich auch vor lauter Bäumen hier den Wald nicht mehr
Weil eine Regel mit 0.0.0.0 0.0.0.0 wird ja von der SW nicht akzeptiert.