VPN Fritzbox zu Vigor3910

[kleinkariert]

Jetzt habe ich hier mit dem Vigor3910 einen recht leistungsfähigen VPN-Router an Glasfaser mit 1Gb/s und stehe wohl vor dem Problem, dass DrayTek keine IPsec/IKEv1-VPNs per Dial-In akzeptiert.
Dial-Out-VPNs mit Fritzboxen sind bestens dokumentiert und laufen dagegen sofort.
Ein Fritzbox-LAN-zu-LAN-VPN zum Vigor3910 habe ich nicht hinbekommen und auch keinen dokumentierten Fall gefunden mit diesem oder bauähnlichen DrayTek-VPN-Router.

Bei VDSL-Gegenstellen mit öffentlicher IPv4 stellt das "Dial-Out-only" bei IKEv1-VPN auch kein Problem da, aber 1&1 hat jetzt mit der DS-lite-Einführung begonnen, was Kabel- und LTE-Anbieter jahrelang vorgemacht haben.
Leider bekommt man nicht überall Anschlüsse mit für SoHo ausreichender Geschwindigkeit und gleichzeitig mit öffentlicher IPv4.

Die optimale (Dünnbrettbohrer-)Lösung wäre sicher, wenn ich es trotzdem hinbekommen könnte, aber wer außer AVM setzt schon noch auf IKEv1, auch wenn mir die default ausgehandelten Protokollbestandteile bei AVM etwas sicherer erscheinen als bei DrayTek.
Hat jemand Vorschläge, Ideen, Lösungen?

 

[hausrocker]

Wo ist denn das Problem mit dem Dial-out? Das ist doch quasi Lan-zu-Lan, zumindest für die Fritzbox. Und wenn die Verbindung dauerhaft aufrecht gehalten wird, spielt es doch keine Rolle, wer sich wo eingewählt hat. Ist natürlich agressive mode dann wo nur eine IP fest ist denke ich, auch wenn man in der Fritzbox ja schon die IP der Gegenseite eingibt. Ich glaube das hat keine Funktion, kann das?
Bei mir im 2850 steht auch, dass der Tunnel verschlüsselt ist:
IPsec Tunnel AES-SHA1 Auth - grüne Schrift.

 

[kleinkariert]

Das ist nicht nur quasi sondern richtiges LAN-zu-LAN für beide Router. ;-)

Inzwischen gibt es aber bei uns nur noch VPN-"Filialen" mit LTE-Zugang und ohne öffentliche IP-Adresse. So müsste sich das Fritzbox-VPN generell in Richtung öffentliche IP einwählen, was aber durch Draytek völlig ausgeschlossen ist.

So hatte ich schon kurz nach #1 angefangen, alle beteiligten PCs und Notebooks auf den Windows-VPN-Client umzustellen. Was sich als gute Entscheidung herausgestellt hat bei den nachfolgenden HomeOffice-Wellen und viel flexibler und zuverlässiger ist.

Worauf ich dann leider verzichten musste, sind über VPN an unsere TK-Anlage angeschlossene IP-Telefone. Aber da hat unser Telefonie-Provider easybell auch eine Lösung und zwar per Cloud-Account.

 

[basti76nie]

Hallo zusammen,

auf das identische Problem bin ich seit Wochen/Monaten auch gestoßen.

Habe ebenfalls einen Vigor 3910 im Head-Office und die Filialen haben in der Regel „nur“ eine FritzBox mit nicht öffentlicher IPv4 (zum Teil Kabel-Internet mit IPv6 oder LTE mit nicht erreichbarer IPv4).

Nach dem Update der FritzBox auf FW 7.50 ist ja nun WireGuard als zusätzliches VPN Protokoll in der FritzBox verfügbar und auf diese Art klappt nun auch der LAN-to-LAN VPN Tunnel mit dem Vigor 3910 (wobei der Vigor 3910 als Dial-In Router fungiert).

Gruß basti76nie

 

[FlyingToaster]

Ja, da sind ja einige Firmware-Updates für den Vigor gekommen, fast wie bei AVM, nur ohne den Labor/Inhaus-***.
Als Client-VPN für den 3910 habe ich WG erfolgreich getestet aber letztendlich verworfen, wegen der zwingend festen IP-Adresszuordnung und der deshalb fehlenden "Multiple Concurrent Connections"-Option. Da bin ich mit dem Windows-nativen L2TP flexibler und muss keinen speziellen Client mit sporadischen Allüren benutzen.
Selbst bei AVMs IPsec/IKEv1-LAN-zu-LAN ist zwar jetzt anscheinend Dial-In möglich, kommt aber bei mir trotzdem nicht mehr auf die Filial-Fritzboxen. So kann ich auch mal jemanden ins Filial-LAN/WLAN lassen, ohne dass derjenige gleich per VPN in ins Firmennetz gelangen könnte.

Privat bei meinem FTTH warte ich noch auf die finale 7.5x-Release für die 5590, bin aber noch mit AVMs prähistorischem IPsec/IKEv1 zufrieden.

 

[fiberbox]

Wie war die Frage... von Fritz -> zu Vigor? Diese config funktioniert seit Monaten stabil.

vpncfg {
    connections {
        enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "vigor";
                boxuser_id = 0;
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "dyndns.vigor";
                keepalive_ip = 192.168.vigor.1;
                localid {
                        fqdn = "dyndns.fritz";
                }
                remoteid {
                        fqdn = "dyndns.vigor";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "gaaaaaaaaaaaasnz-geheim-und-sicherrrrrrrrrr";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.Fritz.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                accesslist = "permit ip any 192.168.vigor.0 255.255.255.0",
                             "permit ip any 1xx.xxx.vigor.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

 

[FlyingToaster]

Danke für die Auskunft! Freut mich und gut zu wissen,