[Frage] VPN zwischen 2 Fritzboxen tunneln, alle Daten über VPN.. möglich?

superfun

Neuer User
Mitglied seit
21 Okt 2005
Beiträge
86
Punkte für Reaktionen
0
Punkte
6
Hallo,

ich habe eine Frage, ich möchte den kompletten Datenverkehr zwischen 2 Fritzboxen per VPN tunneln.

Grund ist, es kann passieren das während einem Providerwechsel das Internet ausfällt und ich möchte per UMTS eine Alternative haben.. da jedoch VoIP mit dem UMTS-Tarif nicht möglich ist, will ich das für die paar Tage mit VPN überbrücken.

Szenario würde dann so aussehen:

1. Fritzbox mit UMTS-Stick baut Internet auf

2. Fritzbox per Lan1 an Box1, baut VPN zu entfernter Fritzbox auf, überträgt ALLE Daten per VPN-Tunnel


Kann mir jemand was zur Durchführbarkeit meines Vorhaben sagen? Wenn ich nach "VPN zwischen Fritzboxen" und "alle daten tunneln" bei Google suche, finde ich nur den einen ODER den anderen Fall, aber keine Kombination.

Danke im Voraus.
 
VPN = Tunnel

Virtual Private Network - alle daten werden durch eine verschlüsselte Verbindung (=Tunnel) übertragen
 
ja, das ein VPN ein Tunnel ist, weiß ich ja..

ich meine es so, das die Daten zwischen den beiden Boxen AUSSCHLIEßlich per VPN Daten übertragen werden sollen, was ja im Normalfall nicht der FALL ist, man kann zwar mit beiden Netzen der Boxen kommunizieren, aber jede Box für sich überträgt die Daten direkt zwischen Provider und Box
 
Klarstellung: Beide Boxen sind an unterschiedlichen Standorten (nicht in einem Haus)?

Wenn die Boxen an unterschiedlichen Standorten stehen müssen diese über den Provider die Daten übertragen da dieser ja die Verbindung mit dem Internet herstellt. Oder du legst dein eigenes Kabel und verbindest damit die Boxen.

Ansonsten, wenn es das ist was du möchtest musst du die VPN-Datei manuell editieren um den gesamten Verkehr der einen zur anderen zu tunneln. Wenn du dann mit der Box A in USA bist und dies so mit einer Box B in Dtl verbindest geht alles über die Box in Dtl. Du bist sozusagen in Dtl.

Suche mal hier nach "gesamten Verkehr tunneln" oder so hier im Forum
 
hallo,

also die Boxen stehen in einem Raum, die eine wie gesagt baut die UMTS-Verbindung auf, an Box 2 hängen dann die PCs und Telefone..

Ich möchte nun die Box 2 so konfigurieren, das der gesamte Verkehr (einschließlich VoIP) über VPN läuft, so dass ich trotz Sperre für VoIP über UMTS von Seiten des Anbieters, VoIP nutzen kann (ist nicht gerne gesehen, aber ist nur für ein paar Tage)

Aktuell läuft Box 2 noch alleine und ist per VPN mit einer BOX in einem anderen Ort verbunden, jedoch wird hier nicht der gesamte Verkehr getunnelt.
Kann durch eine Modifikation an Box 2 ggf. schon mein Ziel erreicht werden oder muss zwangsläufig eine Box zwischengeschalten werden oder geht es nur über freetz mit OpenVPN?

Vielen Dank.
 
Also bei dem was du als Wunsch beschrieben hast würde es doch völlig reichen, wenn die Box1 über VPN seine VOIP-Registrierung an Box2 vornehmen würde.
Das war schon bei deinem ersten Post mein Gedanke, warum ich auch erst einmal nicht weiter darauf eingegangen bin.
Aber da du jetzt wiederholt betont hast, warum du es machen willst, verstehe ich (und vielleicht ja auch der ein oder andere hier) nicht, warum du unbedingt alles tunneln willst. Vielleicht doch noch andere Beweggründe?

Gruß
the.gangster
 
Um alle Daten über AVMs LAN-zu-LAN-VPN zu senden, müsste man ein VPN "Diese FRITZ!Box mit einem Firmen-VPN verbinden" entsprechend modifizieren können, leider macht mir die Liste für "Bestimmte DNS-Anfragen immer über den VPN-Tunnel auflösen" nicht besonders viel Hoffnung.
 
Also bei dem was du als Wunsch beschrieben hast würde es doch völlig reichen, wenn die Box1 über VPN seine VOIP-Registrierung an Box2 vornehmen würde.
Das war schon bei deinem ersten Post mein Gedanke, warum ich auch erst einmal nicht weiter darauf eingegangen bin.
Aber da du jetzt wiederholt betont hast, warum du es machen willst, verstehe ich (und vielleicht ja auch der ein oder andere hier) nicht, warum du unbedingt alles tunneln willst. Vielleicht doch noch andere Beweggründe?

Gruß
the.gangster

naja, ich dachte, alles zu tunneln wäre einfacher, als nur die VoIP-Registrierung..
wie würde das denn idealerweise funktionieren, damit die VoIP-Registrierung erfolgreich an Box 2 funktionieren würde?
Wie bereits erwähnt, Box1 geht per UMTS ins Netz und VoIP ist an Box1 zumindest gesperrt aufgrund Provider-Beschränkungen
 
Ich blicke es zwar immer noch nicht vollkommen, was das am Ende werden soll und die Modelle der beteiligten FRITZ!Boxen sind offenbar ebenso geheim, wie die dort verwendeten Firmware-Versionen ... aber wenn es als Übergangslösung gedacht ist, kann man ja auch einen LAN-Port direkt als VPN-Anschluß verwenden (der wird damit "virtuell" zu einem Port an der entfernten FRITZ!Box) und die zweite FRITZ!Box mit den nachgelagerten Clients dann dort an der ersten Box anschließen. Die zweite Box würde dann alle Daten an das entfernte VPN-Gateway senden, das VPN wird dabei zwischen der entfernten FRITZ!Box und der mit der UMTS-Verbindung aufgebaut.
 
Ich blicke es zwar immer noch nicht vollkommen, was das am Ende werden soll und die Modelle der beteiligten FRITZ!Boxen sind offenbar ebenso geheim, wie die dort verwendeten Firmware-Versionen ... aber wenn es als Übergangslösung gedacht ist, kann man ja auch einen LAN-Port direkt als VPN-Anschluß verwenden (der wird damit "virtuell" zu einem Port an der entfernten FRITZ!Box) und die zweite FRITZ!Box mit den nachgelagerten Clients dann dort an der ersten Box anschließen. Die zweite Box würde dann alle Daten an das entfernte VPN-Gateway senden, das VPN wird dabei zwischen der entfernten FRITZ!Box und der mit der UMTS-Verbindung aufgebaut.

Ich blicke es zwar immer noch nicht vollkommen, was das am Ende werden soll und die Modelle der beteiligten FRITZ!Boxen sind offenbar ebenso geheim, wie die dort verwendeten Firmware-Versionen ... aber wenn es als Übergangslösung gedacht ist, kann man ja auch einen LAN-Port direkt als VPN-Anschluß verwenden (der wird damit "virtuell" zu einem Port an der entfernten FRITZ!Box) und die zweite FRITZ!Box mit den nachgelagerten Clients dann dort an der ersten Box anschließen. Die zweite Box würde dann alle Daten an das entfernte VPN-Gateway senden, das VPN wird dabei zwischen der entfernten FRITZ!Box und der mit der UMTS-Verbindung aufgebaut.

also es handelt sich um eine entfernte 7490 mit aktueller Labor-FW.. hinzu kommt eine 7390 (soll sich per VPN verbinden) mit aktueller Labor und eine 7330SL, die mit UMTS ins Netz gehen soll

im Falle des VPN zwischen 7490 und 7330SL, würde dann der gesamte Verkehr der 7390 (per LAN an der 7330SL) über die 7490 erfolgen?

Aktuell habe ich ein VPN zwischen 7490 und 7390 laufen, dort wird aber nicht der Verkehr "umgeleitet" über die 7490, sondern ich kann lediglich auf die Geräte im Netz zugreifen, wie muss ich die cfg´s editieren, damit alles über die 7490 läuft, somit auch VoIP?
 
Wenn die 7330SL auch die folgenden Einstellungen bei der Erstellung einer LAN-LAN-Verbindung anbietet, wird der ausgewählte LAN-Port praktisch zum Bestandteil des entfernten Netzes. Was Du dann damit machst, ist Deine Sache ... auch die ständige Wiederholung der Frage nach den zu ändernden Einstellungen bringt Dir nichts, solange die Mitleser das Grundanliegen nicht richtig verstehen können.

Welchen Funktionsumfang ein solcher "virtueller LAN-Port" hat (es wird wirklich der komplette dort durchlaufende Verkehr über das VPN getunnelt), steht sicherlich irgendwo in der AVM-Dokumentation.

Mit einer Ansage "Stelle das da und das da ein ..." kann und will ich auch nicht dienen, ich wollte nur den Hinweis auf diese Möglichkeit auch noch in die Runde werfen, da es (bei geeigneten Boxen) eine Möglichkeit ist, "allen Verkehr" für einen Client (oder auch mehrere, wenn da noch ein Switch dazwischen ist) über eine VPN-Verbindung zu leiten. Ob das am Ende auch für DHCP-Broadcasts gilt oder ob die dort angeschlossene FRITZ!Box eine "händische Konfiguration" ihres WAN-Interfaces braucht, weiß ich allerdings auch nicht ... ich würde aber beim technischen Hintergrund der Realisierung sogar darauf tippen, daß da DHCP-Requests auf der anderen Seite ankommen könnten, wenn nicht explizit gefiltert wird. Ansonsten bleibt ja noch die Möglichkeit der Angabe der Adressen, wie man dem Screenshot entnehmen kann.

Anhang anzeigen 81409
 
Zuletzt bearbeitet:
ich werd das mal mit einem Testaufbau starten, in dem ich es spiegelverkehrt mit 7330 und 7490 versuche.. sollte dann ja auch mit der 7390 gehen ^^
 
ich werd das mal mit einem Testaufbau starten, in dem ich es spiegelverkehrt mit 7330 und 7490 versuche.. sollte dann ja auch mit der 7390 gehen ^^
Ist jetzt nicht böse gemeint und auch leicht OT .. aber das ist auch wieder so eine eher kryptische Aussage, die für Dich vielleicht vollkommen logisch klingt, mit der ein Unbeteiligter aber nichts anfangen kann.

Was ist denn da wozu spiegelverkehrt?

7390 hinter 7330 kann es nicht sein, das ist ja der "seitenrichtige Aufbau". Also kann man nur raten ... meinst Du nun VPN zwischen 7490 und 7390, wobei die 7330 dann am "reservierten" Port angeschlossen wird oder meinst Du doch die 7330 hinter der 7490 oder die 7490 als Client mit einem reservierten Port von der 7330 oder oder oder ... bei drei Boxen hält sich zwar die Anzahl der möglichen Permutationen noch in Grenzen, aber eindeutig geht irgendwie anders.

Du mußt einfach mal davon ausgehen, daß die Leute, die Deine Beiträge lesen, nur das lesen und verstehen können, was da am Ende steht ... was Du Dir beim Schreiben gedacht haben könntest, ist pure Spekulation. Also mußt Du eben genau aufschreiben, was Du nun eigentlich meinst bzw. welche Gedanken Du Dir dazu gemacht hast. Ansonsten wird es auch für den Leser eher anstrengend, Deine Ambitionen noch irgendwie nachzuvollziehen und dann neigt man eher dazu, die Segel zu streichen und den ganzen Thread zu ignorieren.
 
Ist jetzt nicht böse gemeint und auch leicht OT .. aber das ist auch wieder so eine eher kryptische Aussage, die für Dich vielleicht vollkommen logisch klingt, mit der ein Unbeteiligter aber nichts anfangen kann.

Was ist denn da wozu spiegelverkehrt?

7390 hinter 7330 kann es nicht sein, das ist ja der "seitenrichtige Aufbau". Also kann man nur raten ... meinst Du nun VPN zwischen 7490 und 7390, wobei die 7330 dann am "reservierten" Port angeschlossen wird oder meinst Du doch die 7330 hinter der 7490 oder die 7490 als Client mit einem reservierten Port von der 7330 oder oder oder ... bei drei Boxen hält sich zwar die Anzahl der möglichen Permutationen noch in Grenzen, aber eindeutig geht irgendwie anders.

Du mußt einfach mal davon ausgehen, daß die Leute, die Deine Beiträge lesen, nur das lesen und verstehen können, was da am Ende steht ... was Du Dir beim Schreiben gedacht haben könntest, ist pure Spekulation. Also mußt Du eben genau aufschreiben, was Du nun eigentlich meinst bzw. welche Gedanken Du Dir dazu gemacht hast. Ansonsten wird es auch für den Leser eher anstrengend, Deine Ambitionen noch irgendwie nachzuvollziehen und dann neigt man eher dazu, die Segel zu streichen und den ganzen Thread zu ignorieren.

meinte mit "Spiegelverkehrt" das die Konfiguration ja irgendwann zusammen mit der 7390 laufen soll, ich es aber zum Test am anderen Ende des VPN mit der 7490 mal versuche, ob ich so hinter der UMTS-Box (7330) auch VoIP betreiben kann ;)
spiegelverkehr ist das vielleicht nicht der richtige Begriff gewesen, sorry ;)

EDIT:
habe jetzt an der 7490 LAN1 so konfiguriert, das alle Daten über VPN geleitet werden, aber seit dem baut sich die VPN Verbindung mit dem Fehler "IKE-Error 0x1c" nicht mehr auf, wenn ich die spezielle Lan2-Konfig rausnehme, geht es wieder.. was mache ich falsch?
 

Anhänge

  • VPN.jpg
    VPN.jpg
    123.1 KB · Aufrufe: 40
Zuletzt bearbeitet:
Ich verstehe zwar nicht, woher der Screenshot stammt, aber es ist ziemlich witzlos, da alle verfügbaren LAN-Ports an die entfernte Box "zu delegieren". Das ist sicherlich nicht Sinn der Sache. Auf der Seite, wo die zweite FRITZ!Box angeschlossen werden soll, ist für einen (und wirklich nur einen) LAN-Port die Checkbox zu selektieren und dann die zweite FRITZ!Box mit ihrem WAN-Anschluß (vermutlich ist das LAN1) auch genau mit diesem Anschluß an der ersten FRITZ!Box zu verbinden. Die VPN-Konfiguration erfolgt dabei - wie schon mal geschrieben - zwischen der entfernten FRITZ!Box und der "ersten" FRITZ!Box lokal. Auf der entfernten FRITZ!Box hat in keiner der Checkboxen für die LAN-Ports eine Checkmark etwas zu suchen, auf der ersten Box nur an der bereits erwähnten einzelnen Stelle und die zweite FRITZ!Box hat mit dem ganzen VPN überhaupt nichts mehr zu tun.

Es wäre wirklich nett, wenn Du Dir meine Bemerkungen zur Nachvollziehbarkeit Deiner Gedanken zu Herzen nehmen und tatsächlich mal etwas Klarheit in Deine Beiträge bringen würdest. Es steht wieder nicht da, welche Boxen miteinander wie verbunden werden sollen und woher Du am Ende den Screenshot hast. Das ist aber essentiell, wenn man Deinen Ansatz verfolgen will. Ich bin auch gerne dazu bereit, aber irgendwie nicht länger willens, mir ständig irgendwelche Knoten ins Hirn zu machen, weil bei dem von Dir Geschriebenen so viele Unklarheiten verbleiben.

Wenn Du Dir den Satz
superfun schrieb:
habe jetzt an der 7490 LAN1 so konfiguriert, das alle Daten über VPN geleitet werden, aber seit dem baut sich die VPN Verbindung mit dem Fehler "IKE-Error 0x1c" nicht mehr auf, wenn ich die spezielle Lan2-Konfig rausnehme, geht es wieder.. was mache ich falsch?
mal selbst durchliest ... hast Du dann tatsächlich wenigstens eine ungefähre Vorstellung, worum es darin gehen soll?

Ich ehrlich gesagt nicht. Das fängt mit "LAN1 so konfiguriert" an und endet mit "die spezielle Lan2-Konfig". Wer soll da am Ende noch durchblicken? Der LAN1-Anschluß der 7490 läßt sich meines Wissens (ich lasse mich gerne mit einem Screenshot korrigieren) überhaupt nicht als "ipsecbridge" einrichten, das geht wohl nur mit LAN2-LAN4, wenn LAN4 nicht als Gastnetz benutzt wird. Was hast Du denn da nun konfiguriert? Man kann nur raten und damit verliert man irgendwie auch die Lust am Mitdenken.
 
der Screenshot stammt aus der 7490.. wobei egal ist, ob ich einen oder mehrere LAN-Anschlüssen als "ausgewählten LAN-Anschluss" für den VPN-Tunnel festlege, ich kann die 7490 nicht mehr über den Tunnel mit der 7390 verbinden

Mein Versuch sieht aktuell so aus:

7490 mit UMTS <-- 7330 mit VoIP per LAN1 an LAN2 der 7490 verbunden
VPN-Client1 LAN2 der 7490 ist eingestellt als VPN-Tunnel zur 7390

7390
VPN-Client2

Der VPN-Tunnel zwischen 7490 und 7390 läuft super, solange ich ihn an der 7490 nicht auf einen ausgewählten LAN-Anschluss beschränken will, dann kann er nicht mehr aufgebaut werden.
An der 7390 erfolgt dann im Log der Fehler "IKE-Error 0x1c", an der 7490 steht unter Status des VPN "wird aufgebaut".

Woran kann das liegen?

P.S. tut mir leid, wenn meine Aussagen für dich verwirrend klingen, ich lese mir die Beiträge vorm posten auch noch mal durch und finde Sie eigentlich in Ordnung..

ok, bei:
"habe jetzt an der 7490 LAN1 so konfiguriert, das alle Daten über VPN geleitet werden, aber seit dem baut sich die VPN Verbindung mit dem Fehler "IKE-Error 0x1c" nicht mehr auf, wenn ich die spezielle Lan2-Konfig rausnehme, geht es wieder.. was mache ich falsch?"

habe ich etwas verwechselt und wollte natürlich LAN2 an der 7490 schreiben, da LAN1 nicht konfigurierbar ist ;)
 
Zuletzt bearbeitet:
Die VPN-Verbindungen werden auf der 7490 und der 7390 über das GUI konfiguriert?

Wie sehen die Einstellungen auf der 7490 aus, wenn Du dort die Konfiguration für nur einen einzelnen Port aktivierst? Entweder Screenshot oder VPN-Konfigurationsdatei ...

Ein IKE-Error 0x1c deutet eigentlich auf einen Phase2-Error hin, wo dann die Netzwerk-Adressen auf beiden Seiten nicht zueinander passen.

Du hast schon gelesen, daß nach der Konfiguration einer VPN-Verbindung mit "ipsecbridge" (das ist dann der Fall, wenn Du "auf LAN-Ports beschränken" verwendest) die FRITZ!Box neu gestartet werden muß? Das macht sie an dieser Stelle i.d.R. nicht von alleine.

Ansonsten wäre der (zeitgleiche) Inhalt der Dateien /var/tmp/ike.log von der 7390 und der 7490 die richtige Stelle für die Fehlersuche, allerdings beide Dateien von einer frisch gestarteten Box, die nicht schon 30 Minuten VPN-Verbindungsversuche hinter sich hat.

Zu meiner Verwirrung:
Du siehst aber, daß Dir trotz mehrmaligem Lesen nicht einmal die Verwechselung von LAN1 und LAN2 aufgefallen ist? Ich kenne das Problem ja auch, daß einem selbst alles was man schreibt total logisch und eingängig vorkommt. Dann hilft es, 5 Minuten zu warten und dann den eigenen Text einfach noch mal aus dem Blickwinkel eines Unbeteiligten zu lesen. Es ist ja auch nicht böse gemeint, aber meine mahnenden Worte waren bis dahin eher fruchtlos. Die letzte Beschreibung war dann schon besser verständlich, auch wenn es sicherlich bei VPN-Fragen immer schöner ist (und weniger Nachfragen provoziert), wenn man die VPN-Konfigurationen auch noch dazupackt (die stehen notfalls in einer Sicherungsdatei, wenn man nur den GUI-Assistenten verwendet hat). Bei Deinem speziellen Problem gehört dann allerdings noch ein Abschnitt aus der ar7.cfg dazu, da dort die bereits mehrfach erwähnte "ipsecbridge" dann eingerichtet wird - das ist auch der Grund, warum der Neustart notwendig wird, die Umkonfiguration des Switches macht AVM offenbar nicht "on thy fly".
 
so, habe mal die VPN-Konfigs der 7490 und 7390 als Screenshot hochgeladen.

Stimmt die Konfig des ausgewählten LAN-Anschlusses nicht oder ist unvollständig?
 

Anhänge

  • VPN_7490.jpg
    VPN_7490.jpg
    175 KB · Aufrufe: 35
  • VPN_7390.jpg
    VPN_7390.jpg
    171.8 KB · Aufrufe: 33
Im Screenshot aus Beitrag #14 ist zu erkennen, daß auf einer Seite des Tunnels das Netz 192.168.179.0 verwendet wird.
Ich halte diese Wahl für bedenklich, da dies der Standard-Adressblock für den Gast-Bereich von FritzBoxen ist.
Wenn nun auf dieser Box (versehentlich oder absichtlich) das Gastnetz freigegeben wird, könnte das zu unvorhersehbaren Problemen mit dem Tunnel führen.

Joe
 
Im Screenshot aus Beitrag #14 ist zu erkennen, daß auf einer Seite des Tunnels das Netz 192.168.179.0 verwendet wird.
Ich halte diese Wahl für bedenklich, da dies der Standard-Adressblock für den Gast-Bereich von FritzBoxen ist.
Wenn nun auf dieser Box (versehentlich oder absichtlich) das Gastnetz freigegeben wird, könnte das zu unvorhersehbaren Problemen mit dem Tunnel führen.

Joe

das wird kein Problem, Gastnetz bzw. Gastzugang sind permanent abgeschalten ;)
VPN lief ja zwischen beiden Boxen auch so schon über Monate mit den Netzen 192.168.179.0/180.0 :)
Nur mit den ausgewählten LAN-Anschlüssen kommt es zu Problemen.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.