[Problem] Von Fritz zu Fritz VPN-Verbindung herstellen funktioniert nicht...

[rm123]

Hallo,

ich versuche verzweifelt eine VPN-Verbindung zwischen zwei FritzBoxen aufzubauen:

Standort1:
-----------
Fritzbox 3270: 192.168.100.1 / 255.255.255.0
dahinter Router mit Rechnern: 192.168.0.100-200 / 255.255.255.0


Standort2:
-----------
Fritzbox 2170: 192.168.200.1 / 255.255.255.0
dahinter Router mit Rechnern: 192.168.0.1-20 / 255.255.255.0

Meine Konfigurationen sehen so aus:


Standort1:
-----------

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "dyndns2";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "dyndns2";
                localid {
                        fqdn = "dyndns1";
                }
                remoteid {
                        fqdn = "dyndns2";
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "PASSWORT";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.200.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.200.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Standort2:
-----------

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "dyndns1";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "dyndns1";
                localid {
                        fqdn = "dyndns2";
                }
                remoteid {
                        fqdn = "dyndns1";
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "PASSWORT";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.200.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.100.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

* Ich habe gelesen, dass der Main-Mode sicherer sei als der Aggressive-Mode, daher habe ich diesen versucht zu aktivieren (phase1_mode_idp).
* Bei der 2170 bekomme ich die Meldung: "IKE-Error 0x2027", jedoch haben mir die Tipps auf der AVM-Seite dazu auch nicht weiter gebracht.
* Die DynDNS-Verbindung ist bei beiden Boxen aktiv.
* Auf der Seite des Routers bekomm ich unter dem Abschnitt VPN jedoch keine Verbindung angezeigt, es leuchtet keine Lampe grün, und als Internet-IP wird dort 255.255.255.0 angegeben.
* Der AVM-Support konnte mir auch leider nicht weiterhelfen.

Ich bin wirklich mit meinem Latein am Ende, hat von euch jemand evtl. einen Tipp für mich, was ich falsch mache?

Danek im Voraus für eure Mühe!

 

[hagalabimbo]

Funktioniert es mit unveränderten Konfigurationsdateien?

 

[rm123]

Hallo,

welche meinst du damit?

 

[hagalabimbo]

Die mit Aggressive Mode.

 

[rm123]

Achso, das habe ich nicht nicht probiert, guter Tipp :gut:

Aber habe ich an den IP-Einstellungen evtl. was falsch gemacht? Passt das mit den Subnetzen soweit?

 

[KunterBunter]

An beiden Standorten gibt es Router mit Rechnern im Netz 192.168.0.0. Zwischen diesen beiden identischen Netzen kannst du nicht routen.

 

[rm123]

Beutet das, dass ich keinen Zugriff auf den anderen Rechner hätte, die Verbindung müsste seitens der Fritzbox aber trotzdem hergestellt werden, da die Netze ja dahinter liegen?

Ist das mit den Subnetzen (255.255.255.0) genauso, dürfen die auch nicht identisch sein?

 

[KunterBunter]

Das sind keine Subnetze, sondern Subnetzmasken. Natürlich können die identisch sein, und sind es in deinem Fall sogar.

 

[hagalabimbo]

Die reine Verbindung zwischen den Fritzboxen sollte dadurch aber nicht beeinträchtigt sein, da diese ja unterschiedliche Subnetze verwenden.

 

[rm123]

Aber das Subnetz 255.255.255.0 ist doch überall gleich, oder hat das keine Auswirkungen?

 

[KunterBunter]

Die reine Verbindung zwischen den Fritzboxen sollte dadurch aber nicht beeinträchtigt sein

Das ist erstmal richtig, aber wenn an den Fritzboxen nur die Router angeschlossen sind, dann kann man nur die Router erreichen, und nicht die Rechner dahinter.

 

[rm123]

Das wäre erstmal nicht so schlimm, ich möchte erstmal nur die beiden Fritzboxen verbinden, die Rechner sollen ohnehin nicht zwingend erreichbar sein. Es kommt je ein Rechner an jede Fritzbox, die dann untereinander erreichbar sein sollen.

 

[rm123]

Weitere Ideen?

 

[hagalabimbo]

Etwas mehr Geduld beim Pushen. Was kam im Aggressive Mode raus?

 

[rm123]

Hallo,

auch das funktioniert leider nicht, im Router steht weiterhin "Fernzugang (VPN): nicht aufgebaut", und in der Log steht nun nichts mehr weiter.

Kann mir sonst jemand evtl. eine funktionierende Konfiguration zur Verfügung stellen (natürlich ohne Passwörter)?

 

[rm123]

Ich bin nach wie vor sehr ratlos. Hat evtl. einer von euch eine funktionierende Konfiguration? :-(

 

[oldmen]

Hast du es denn schon mal ganz trivial nach dieser Anleitung probiert?

Da muss man überhaupt nichts rumkonfigurieren, einfach mit dem Tool die beiden Konfigurationsdateien erzeugen, in die jeweilige Box einspielen und fertig. Läuft auf anhieb, wenn alles richtig ist!

Die jeweils entfernte Box erreicht man dann übers VPN mit ihrer IP (http://192.168.xxx.1/).

 

[rm123]

Danke für den Tipp. Das habe ich schon gefühlte 200 Mal gemacht

Kurioserweise funktioniert der Zugriff von PC -> Fritz, als auch iPhone -> Fritz, nur Fritz -> Fritz verbindet sich einfach nicht. Ich kriege (mittlerweile) auch keine Fehlermeldung, daher kann ich nicht sagen woran es liegen könnte...

 

[eisbaerin]

im Router steht weiterhin "Fernzugang (VPN): nicht aufgebaut", und in der Log steht nun nichts mehr weiter.

Der Router baut die Verbindung ja erst bei Bedarf auf, und da liegt wahrscheinlich keiner vor.

 

[rm123]

Ach - ehrlich? D.h. ich muss erst über den Internet-Explorer beispielsweise die IP der entfernten Fritz aufrufen?