VPN LAN-LAN Verbindung Fritzbox 7390 <-> 7270v2

JoergR

Neuer User
Mitglied seit
2 Nov 2005
Beiträge
108
Punkte für Reaktionen
2
Punkte
18
Ich möchte über eine Fritzbox VPN LAN-LAN Verbindung eine Freigabe auf einem PC an der entfernten Fritzbox an meinem lokalen PC als Netzlaufwerk einbinden.

Die VPN Verbindung zwischen den beiden Fritzboxen steht, ich kann vom lokalen PC aus die entfernte Fritzbox anpingen mit "ping 192.168.2.1". Jedoch scheitert schon ein Ping auf den entfernten PC (192.168.2.2) hinter der Fritzbox und die Freigabe \\192.168.2.2\freigabe lässt sich nicht einbinden, Fehlermeldung: "Netzwerkpfad nicht gefunden".

Auf beiden PCs läuft Windows 8.1.
Lokal: Fritzbox 7390, FRITZ!OS 6.30, 192.168.1.0
Remote: Fritzbox 7270v2, FRITZ!OS 6.05, 192.168.2.0
Eingerichtet entsprechend http://avm.de/nc/service/fritzbox/f...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/

Geht das, was ich vorhabe?
Was mache ich falsch?
 
Geht das, was ich vorhabe?
Ja.

Was mache ich falsch?
U.a. "verdammst" Du uns hier dazu, uns den Kopf auf der Basis mangelnder Informationen zu zerbrechen. Wahrscheinlich hat Dir auch deshalb bisher niemand geantwortet.

Wenn Du schon einmal einen anderen Thread gelesen haben solltest (denn selbstverständlich hast Du ja erst mit der Suchfunktion geprüft, ob bereits jemand anderes dasselbe Problem hatte und sich dort vielleicht schon eine Lösung findet), dann wird Dir auch aufgefallen sein, daß bei allen VPN-Problemen eigentlich immer die Frage der verwendeten Konfigurationen auftaucht und der TE aufgefordert wird, diese (meinetwegen verfremdet, aber noch erkennbar in ihrer Struktur) hier zu veröffentlichen. Warum sollte das für Dein Problem anders sein?

Und auch wenn Du schon gesucht haben solltest (alles andere wäre ein kaum verzeihlicher Fehler :mrgreen:), dann solltest Du das mit dem Stichwort "dont_filter_netbios" vielleicht noch einmal versuchen. Ob diese Vermutung stimmen könnte, muß man wg. fehlender Konfigurationen ja leider spekulieren.
 
Danke für die Antwort.
Schon mal gut, zu wissen, dass es geht.

Hier die lokale Konfiguration, mit FBEditor ausgelesen:

Code:
vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "remote.myfritz.net";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "remote.myfritz.net";
                keepalive_ip = 192.168.2.1;
                localid {
                        fqdn = "...";
                }
                remoteid {
                        fqdn = "...";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "...";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Die entfernte Konfiguration reiche ich noch nach, ist aber vermutlich ähnlich.
 
Zuletzt bearbeitet:
Die sieht auch erst einmal richtig aus ... sowohl das "dont_filter_netbios" ist richtig als auch die "accesslist".

Wenn die grundlegende VPN-Verbindung funktioniert (das sollte man nach Deinem "ping" ja vermuten), kann auch die mit 06.20 eingeführte abweichende Konfiguration der Proposals nicht die Ursache sein.

Am besten startest Du mal auf beiden Seiten einen Packetdump (braucht natürlich remote auch einen passenden Rechner) und schneidest den Verkehr auf der "Routing-Schnittstelle" mit, da sollte der Traffic für das entfernte Netzwerk noch im Klartext zu lesen sein, insb. der auf TCP 445, wo der Samba-Daemon die Daten austauscht im Falle des Zugriffs über "\\ipaddress". Zu einem solchen Paket auf der "Routing-Schnittstelle" muß dann ein passendes IPSec-Paket auf der "1. Internetverbindung" zu sehen sein, wo das lokale Paket in IPSec-Verpackung dann auf die Reise zur Gegenseite geht. Je nachdem, ob schon nichts zur Gegenseite gesendet wird oder ob von dort keine Antwort kommt, muß man dann weiter suchen. Auch die verwendeten Adressen beim Zugriff sieht man dann entsprechend im Dump ... daß Du auf dem jeweils anderen PC natürlich auch das "entfernte Netz" in der Firewall für das "Windows-Netzwerk" freischalten mußt, versteht sich sicherlich von selbst. Aber auch hier hilft dann ein Packetdump, denn wenn ein Paket auf der entfernten FRITZ!Box ankommt und an den anderen PC ausgeliefert wird, ohne daß dieser antwortet, kommt außer der Firewall nicht mehr so sehr viel als Fehlerquelle in Betracht. Aber das ist erst der übernächste Schritt und auch da hilft dann ein Wireshark-Mitschnitt auf dem betreffenden PC. Jetzt ist erst einmal zu klären, daß nicht einer der beiden beteiligten Router den Traffic auf TCP 445 blockiert.
 
Beim Hinweis auf die Firewall klingelt es. Da habe ich nichts freigeschaltet.
Wie geht das denn? (Die Suche hat mir bisher nicht geholfen).

Noch die remote Konfiguration:

Code:
vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "local.myfritz.net";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "local.myfritz.net";
                keepalive_ip = 192.168.1.1;
                localid {
                        fqdn = "...";
                }
                remoteid {
                        fqdn = "...";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "...";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.1.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Edit:
Habe etwas gefunden, vielleicht geht es aber eleganter? http://www.administrator.de/frage/windows-firewall-blockiert-vpn-verbindung-135338.html
 
Zuletzt bearbeitet:
Habe etwas gefunden, vielleicht geht es aber eleganter?
Die Frage wäre dann halt, was Du gefunden hast (oder liest sich jetzt jemand den Thread bei administrator.de durch, um Dir eine Antwort geben zu können?) ... ich habe tatsächlich gelesen, dort werden aber auch mehrere Lösungswege aufgezeigt - von falschen (jedenfalls in meinen Augen) wie dem kompletten Abschalten der Firewall (das ist max. zum Test, ob es daran tatsächlich liegt, zulässig) bis zum richtigen Ansatz, die "Datei- und Druckerfreigabe" für das entsprechende Subnetz freizuschalten (und ICMP dann natürlich auch, wenn man erstens testen will und zweitens die Steuerung von TCP-Verbindungen darüber ordentlich arbeiten soll).

Das sieht in Windows 8.1. dann in etwa so aus:
Anhang anzeigen 83398
Anhang anzeigen 83399

Du mußt also bei den "inbound rules" dem "File and Printer Sharing" (deutsch sicherlich "Datei- und Druckerfreigabe") für das "private"-Profil (ich gehe davon aus, daß Dein jeweiliges Netz als "Heimnetzwerk" ausgewählt ist und dann gilt "private" als Profil) den erlaubten "remote IP address"-Werten (sicherlich "entfernte Adressen" - ich habe gerade kein deutsches Windows 8.1 zur Hand) das entfernte Netz noch hinzufügen - und zwar bei jedem einzelnen Dienst, aber eben nur beim jeweils richtigen Profil. Inkl. Druckdiensten müßten das 9 verschiedene Dienste sein.

Auch könnte der Umfang der dort angezeigten Einstellungen bei einer "Home"-Edition des Betriebssystems etwas anders ausfallen, das kann ich ebenfalls nicht kontrollieren.
 
Zuletzt bearbeitet:
Danke für die präzisen Angaben.
Dann sind also wohl doch alle 9 Dienste nötig.

Sobald ich das ausprobiert habe, gebe ich Rückmeldung. Aber erst mal brauche ich Fernzugriff auf den entfernten Rechner, um bequemer Testen zu können.

Unter einem deutschen Windows 8.1 Pro sieht das so aus:

DuDfreigaben.jpg freischalten.jpg
 
Zuletzt bearbeitet:
Es funktioniert :) .

Danke nochmal für den Hinweis auf die Firewall.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.