VPN: Mit VPN-Client auf anderes Subnetz

[musv]

Guten Abend,

ich bin grad am probieren, aber so richtig will sich mir die Lösung nicht aufdrängen. Das Problem:

• Fritzbox_Basis: = "zentrale Fritzbox" mit IP-Range 192.168.1.0/24
• Fritzbox_Zwei: = zusätzliche Fritzbox mit IP-Range 192.168.2.0/24
• Client: baut von außen eine VPN-Verbindung zu Fritzbox_Basis auf und bekommt IP 192.168.1.80

Mit dem Client kann ich jetzt wunderbar alle Rechner in 192.168.1.0/24 ansprechen. Ich krieg aber keine Verbindung zum Netzwerk 192.168.2.0/24.

Die VPN-Config von Fritzbox_Basis:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "fritzbox_zwei.dyndns.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "fritzbox_zwei.dyndns.org";
                localid {
                        fqdn = "fritzbox_basis.dyndns.org";
                }
                remoteid {
                        fqdn = "fritzbox_zwei.dyndns.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "ist_geheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = "client@fritzbox_basis.de";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.1.80;
                remoteid {
                        user_fqdn = "client@fritzbox_basis.de";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "ist_geheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.1.80;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.0.0 255.255.0.0 192.168.1.80 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Ich vermute mal, dass mein Fehler in der accesslist des Clients liegt. Ursprünglich stand da:

permit ip 192.168.1.0 255.255.255.0 192.168.1.80 255.255.255.255

drin.

Wie krieg ich den Client von außen dazu, Zugriff auf das zweite Netzwerk zu bekommen?

 

[KunterBunter]

Ich vermute stark, dass du, selbst ohne das VPN, mit einem PC, der sich im Netz 192.168.1.0 befindet, keine Verbindung zum Netz 192.168.2.0 bekommst. Dazu müsste es ein Gateway vom Netz 192.168.1.0 in das Netz 192.168.2.0 geben. Wahrscheinlich hast du aber nur eins in der umgekehrten Richtung.

 

[musv]

Doch das klappt wunderbar. Also z.B.

• PC 192.168.1.20 (Rechner an Fritzbox_Basis mit Lan oder Wlan) -> hat Zugriff auf alle Rechner von Fritzbox_Zwei
  
• PC 192.168.2.40 (Rechner an Fritzbox_Zwei) -> hat Zugriff auf alle Rechner von Fritzbox_Basis
• Client 192.168.1.80 (Notebook von außen) -> bekommt per VPN (Shrew Soft Client) Zugriff auf alle Rechner von Fritzbox_Basis, kann aber nicht mal Fritzbox_Zwei über die interne IP (192.168.2.1) anpingen

Also mein Problem besteht darin, dass der Client von außen anders behandelt wird als die Rechner, die direkt an die Fritzbox angestöpselt sind.

 

[KunterBunter]

Was für Fritzboxen sind das und mit welcher Firmware-Version? Wie sind die beiden Fritzboxen verbunden und eingerichtet: NAT-Router und IP-Client? Poste mal Screenshots der Seite mit den Verbindungseinstellungen.

 

[musv]

Was für Fritzboxen sind das und mit welcher Firmware-Version?

• Fritzbox_Basis: ist eine 7240
• Fritzbox_Zwei ist eine 7330

Wie sind die beiden Fritzboxen verbunden und eingerichtet: NAT-Router und IP-Client?

Die Fritzboxen stehen etwa 400 km auseinander, sind über separate DSL-Zugänge mit dem Internet und beide per Fritz-VPN verbunden (siehe o.g. Config-File, erste Sektion). NAT-Router oder IP-Client sind irrelevant.

Poste mal Screenshots der Seite mit den Verbindungseinstellungen.

Siehe oben: Config-File, 1. Sektion

Vielleicht war die Anfangserklärung etwas undurchsichtig. Ich versuch die Situation noch mal darzustellen:

Client ---- [VPN + Internet] ----> Fritzbox_Basis <---- [VPN + Internet] ----> Fritzbox_Zwei

Zwischen Fritzbox_Basis und Fritzbox_Zwei klappt jeglicher Kontakt wunderbar. Nur der Client, der sich halt per VPN zur Fritzbox_Basis verbindet, kriegt keinen Zugriff über die interne VPN-IP auf die Fritzbox_Zwei.

 

[dieguteFrauWaas]

Dann poste doch mal bitte die VPN-Config des Clients, wenn Du den Fritz! Fernzugang benutzt; dort gibt es auch eine accesslist, die wahrscheinlich nur die Erlaubnis auf das Netzwerk der Fritzbox-Basis nennt. Die kann man aber erweitern.

 

[Freetz!Box]

Ich vermute mal, dass mein Fehler in der accesslist des Clients liegt. Ursprünglich stand da:

permit ip 192.168.1.0 255.255.255.0 192.168.1.80 255.255.255.255

drin.

Wie krieg ich den Client von außen dazu, Zugriff auf das zweite Netzwerk zu bekommen?

Du musst lediglich das zweite Netz hinzufügen

accesslist = "permit ip 192.168.1.0 255.255.255.0 192.168.1.80 255.255.255.255",
             "permit ip 192.168.[COLOR=#ff0000]2[/COLOR].0 255.255.255.0 192.168.1.80 255.255.255.255";

Allerdings ist das nicht besonders effizient. Besser ist es wenn der VPN-Client ohne Umwege auf das jeweilige Netz zugreift.

 

[musv]

Ist schon lang her, dass ich den Thread eröffnet hab.

Hab auch neben dieser Variante viel probiert, bin aber bei allen gescheitert.

Die hier genannte Lösung funktioniert zumindest bei mir nicht.