[Problem] VPN LAN-LAN über 2 FB 3270 v3

[Fritzbäcker]

Guten Abend,
ich habe mich hier angemeldet, da ich seit Tagen keine Lösung für mein Problem finde...
Folgendes Problem besteht: ich möchte ein LAN-LAN-VPN zwischen zwei Fritzboxen einrichten. Die VPN ist laut den Box-Oberflächen erfolgreich hergestellt. Ich kann auch beide Boxen anpingen bzw. über Firefox auf die andere Box Oberfläche.
Aber weiter komme ich nicht. Ich kann auf die Freigaben des jeweils anderen Netzwerks nicht zugreifen, die Rechner auch nicht pingen, schon von beiden Seiten ausprobiert.
Folgende Konfiguration liegt vor:
Netz 1: 192.168.10.0, Subnetz 255.255.255.0 DHCP aktiv, LAN-PC Windows 7 ultimate, WLAN-PC Windows XP home, FW FritzOS 05.21
Netz 2: 192.168.20.0, Subnetz 255.255.255.0 DHCP aktiv, LAN-PC Windows 7 professional, LAN-PC WIndows 7 home, FW 96.04.87
Beide Netzwerke nicht über Heimnetzgruppen, sondern über Arbeitsgruppen, alle mit gleicher Arbeitsgruppe und Heimnetzwerk, alle mit "einem" gleichen Benutzerkonto ohne Passwort.
Als Firewall laufen in Netz 1 auf beiden Rechnern F-Secure, in Netz 2 die Windows-Firewall.
Dynamic-DNS ist bei no-ip.org, mit 2 Hosts
Innerhalb der eigenen Netzwerke läuft alles problemlos.

Folgendes habe ich schon probiert:
- Ich habe in allen Windows-Firewalls (also auch in Netz 1) alle Datei-und Druckerfreigaben für die jeweiligen ip-Adressen bzw. ip-Teilnetze freigegeben.
- ich habe in den Fritzboxen als aktive Portfreigaben eingestellt: MS Remotedesktop TCP 3389 bzw. Exposed Host alle anderen Ports
- ich habe mit deaktivierter F-Secure-Firewall, aber aktivierter und wie oben beschriebener Windows-Firewall probiert
- ich habe zumindest in Netz 1 alle Firewalls (Windows, F-secure) deaktiviert
- ich habe in F-Secure eine neue Regel erstellt mit folgenden Diensten: ISAKMP, IGMP, Ping, NAT-Traversal, Windows filesharing and network printers, DNS(UDP), Windows network browsing, SMB over TCP/IP (TCP), SMB over TCP/IP (UDP), DNS (TCP), ESP jeweils ein- und ausgehend zulassend.

Müssten die Rechner der Gegenseite in der Oberfläche der Box unter Geräte/Benutzer automatisch erscheinen? Sie erscheinen in den Boxen, aber nur weil ich die Portfreigaben eingerichtet habe, die jetzt aber wieder deaktiviert sind, da es nicht funktioniert...
Muss ich noch ein Extra-VPN-Programm installieren wie z.B. Team-Viewer oder muss ich eine VPN-Verbindung im Netzwerk- und Freigabecenter einrichten?

Ich bin davon ausgegangen, dass das alles unter dieser Fritzbox ganz einfach einzurichten ist, und bin fast am verzweifeln. Ich brauch das VPN "nur" um von Netzwerk 1 auf ein einziges Programm auf Netzwerk 2 zuzugreifen und die Rechner von hier aus zu warten...

Vielen Dank jetzt schon mal für Eure Tipps, falls ihr mehr Infos braucht, bitte Bescheid sagen, ich bin weder VPN- noch Netzwerkfachfrau
Viele Grüße

 

[KunterBunter]

Ich kann auf die Freigaben des jeweils anderen Netzwerks nicht zugreifen

Meinst du damit die Windows-Netzwerkfreigaben?
Trotz bestehender VPN-Verbindung werden die Computer des entfernten Netzwerkes nicht in der Netzwerkumgebung angezeigt. Woran liegt das?

 

[Fritzbäcker]

Hallo Kunterbunter,
ja diese Anweisung von avm habe ich auch schon befolgt, ich glaube ich habe fast alle Tipps und Kiniffe von avm gelesen und ausprobiert...
Ich komme nur auf die Box, nicht weiter...
Bekomme immer diese Fehlermeldung: Windows 7 Fehlercode 0x80070035 Der Netzwerkpfad wurde nicht gefunden... Deswegen glaube ich, es liegt nicht an den Boxen, sondern an den Windows- bzw. Firewall-Einstellungen, und wie schon gesagt, ich kann die Rechner auch nicht anpingen, nur die Boxen...

 

[KunterBunter]

Was steht denn in der accesslist der beiden config-Dateien?

 

[Fritzbäcker]

In der cfg von Netz1: accesslist = "permit ip any 192.168.20.0 255.255.255.0";, in der von Netz2: accesslist = "permit ip any 192.168.10.0 255.255.255.0
Ich verwende die Original cfs vom Fritzprogramm, wo ich eine Verbindung zwischen zwei Boxen ausgewählt hatte.

 

[andilao]

Nicht-Windows-Firewalls sind auch abgeschaltet oft Ursache für Kommunikationsverlust.
Die W7-Netzwerk-Freigabe funktioniert bei Dir ohne Kennwort?
Hast Du etwa den PCs je eine zusätzliche IP-Adresse aus dem entfernten Subnetz gegeben?
Zusätzliche Portfreigaben der Fritzboxen sind sinnlos.

Einzig notwendig sind:
- Eine korrekte Einrichtung des VPNs per "FRITZ!Box-Fernzugang einrichten"
- Öffnung der Windows-Firewall für beide Subnetze:

für XP:
netsh firewall set service type = FILEANDPRINT mode = enable scope = CUSTOM addresses = 192.168.0.0/16
oder
netsh firewall set service type = FILEANDPRINT mode = enable scope = CUSTOM addresses = 192.168.10.0/24,192.168.20.0/24

für W7 in beiden Subnetzen:
netsh firewall set service type = FILEANDPRINT mode = enable scope = CUSTOM addresses = 192.168.0.0/16 profile = CURRENT

für W7 im 1. Subnetz:
netsh firewall set service type = FILEANDPRINT mode = enable scope = CUSTOM addresses = LocalSubnet,192.168.10.0/24 profile = CURRENT

für W7 im 2. Subnetz:
netsh firewall set service type = FILEANDPRINT mode = enable scope = CUSTOM addresses = LocalSubnet,192.168.20.0/24 profile = CURRENT

 

[Fritzbäcker]

Hallo andilao,
W7 Netzwerkfreigabe ist ohne Kennwort, ja
Nein, ich habe den PC's keine zusätzlichen Adressen vergeben, das mit den zusätzlichen Portfreigaben hatte ich nur ausprobiert... Denke aber das die FB das eigentlich auch nicht braucht, wenn VPN konfiguriert ist, wäre ja blöd, genauso wie zusätzliche Software.
Das mit der Öffnung der Firewall hatte ich glaube ich schon gemacht, habs aber noch mal probiert, Bei XP mit deinem Befehl keine Problem. Unter Win7 heißt der Befehel jetzt "netsh advfirewall firewall set rule=" finde aber auch bei Tante Google nichts, wie ich den alten Befehl in den neuen übersetze... Ich hatte über die erweiterten Firewall-Einstellungen (unter WIN7) alle ein-und ausgehenden Regeln für "Datei und Druckerfreigabe" 1. aktiviert und zugelassen, und dann unter Eigenschaften Reiter Bereich Remote-Adresse local-host und das jeweils andere ip-Teilnetz eingetragen. Hilft irgendwie leider nicht...

 

[andilao]

Die Parameter von advfirewall fragt man per "netsh advfirewall help" ab. Doch müssten die "alten" Befehle noch ohne Probleme funktionieren.

Versucher es einfach mal mit deinstallierter F-Secure-Firewall.

Meine Erfahrungen: Schaden durch Angriffe = 0h zu Zeitverschwendung durch "Firewalls" ca. 50h.

 

[Fritzbäcker]

Leider funfktionieren die alten Befehle nicht mehr, aber ich denke ich hab das ja schon über die Windows-Oberfläche eingestellt.
Ok, F-Secure ganz zu deinstallieren, werde ich versuchen....

 

[Fritzbäcker]

also mit deinstallierter FW F-Secure ging es sofort...Kann pingen und zugreifen. Gibt es jetzt eine Möglichkeit F-Secure wieder zu installieren, hat uns bis jetzt immer gut geschützt???

 

[andilao]

Die "alten" Befehle gehen bei meinem W7 Ultimate "aus Gründen der Rückwärtskompatibilität" ohne Probleme:

[U]WICHTIG: Der Befehl wurde erfolgreich ausgeführt.[/U]
"netsh firewall" ist jedoch veraltet.
Verwenden Sie stattdessen "netsh advfirewall firewall".
Weitere Informationen zur Verwendung von "netsh advfirewall firewall" anstelle
von "netsh firewall" finden Sie im KB-Artikel 947709
unter "http://go.microsoft.com/fwlink/?linkid=121488".

OK.

Möglicherweise hast Du es nicht als Administrator gestartet oder Dich einfach von der GUI täuschen lassen. Ist sie bereits geladen, zeigt sie die geänderten Einträge erst nach einem Refresh an.


Beim XP war die Firewall und deren GUI sehr simpel, bei W7 erspart eine einzige Befehlszeile das Ändern von 9 Einträgen (auch wenn sie nicht alle nötig sind).