[Problem] VPN Zwischen zwei Fritzboxen 7390

[Bugul]

Hallo Zusammen,

ich habe ein Problem mit dem VPN-Tunnel zwischen meinen 7390-Fritzboxen.
Das Aufbauen des VPN-Tunnels funktioniert auch und ich komme aus dem jeweils anderen Netz auf die Fritzbox des anderen, aber leider nicht weiter.
Habe ich einen Fehler in den Konfigurationen noch?
In dem 192.168.10.0-Netz ist die Fritzbox nicht der DHCP-Server, aber das sollte ja auch kein Problem sein oder?

Ich hoffe ihr könnt mir helfen.
Vielen Dank schon mal

Daniel

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "domain1";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "domain1";
                localid {
                        fqdn = "domain2";
                }
                remoteid {
                        fqdn = "domain1";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "KEY";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.11.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.11.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "domain2";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "domain2";
                localid {
                        fqdn = "domain1";
                }
                remoteid {
                        fqdn = "domain2";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "KEY";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.11.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.10.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

 

[eisbaerin]

Willkommen im Forum!

In dem 192.168.10.0-Netz ist die Fritzbox nicht der DHCP-Server, aber das sollte ja auch kein Problem sein oder?

Wenn alles andere richtig konfiguriert ist nicht, aber bei dir ja.
Beschreibe mal den Aufbau des 10er Netz genauer.

 

[HabNeFritzbox]

Das Zugreifen per IP sollte gehen auf das andere Netz.

Problem sind halt noch die Firewalls der Geräte selbst, denn das andere Netz ist jeweils ein fremdes Netz und wird also wie Internet gesehen.

Hier müsstest ggf. noch das andere Netz oder direkt 192.168.0.0/16 in vertrauenswürdig setzen.

 

[Bugul]

Das 192.168.10.0 Netz, hat eben einen ebox-Server als DHCP,DNS Server.

Wo kann ich denn die Firewall setzen und 192.168.0.0/16 Freigeben?
Aber wird das nicht schon in der VPN-Config geregelt: accesslist = "permit ip any 192.168.10.0 255.255.255.0"; und accesslist = "permit ip any 192.168.11.0 255.255.255.0";

 

[eisbaerin]

Was soll ich mit dem einen Satz anfangen? Wie soll man dir da helfen?

Unter "genauer" verstehe ich wesentlich genauer und wesentlich ausführlicher!

Alle Netzwerk relevanten Einstellungen (IP-Adressen, Subnet Masken, Default Gateways, Routing Tabellen, ...) der wichtigsten Geräte (FB, ebox, PC's, ...).

 

[Bugul]

Okay dann mal ein paar mehr Infos und wusste ja nicht was du genau alles brauchst oder haben magst.

Netzwerk 192.168.10.0

IP-Adressen: 192.168.10.0
Subnetz-Mask: 255.255.255.0
Default Gateway: 192.168.10.254
Second Gateway: 192.168.10.11

Routing Tabelle:
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default 192.168.10.254 0.0.0.0 UG 0 0 0 eth0
link-local * 255.255.0.0 U 1000 0 0 eth0
192.168.10.0 * 255.255.255.0 U 1 0 0 eth0

Wichtige PCs/Server:
192.168.10.2 Telefonanlage
192.168.10.11 Weiterer Router
192.168.10.220-192.168.10.249 DHCP-Range
192.168.10.250 Ebox (DNS, DHCP)
192.168.10.254 Fritzbox

Netzwerk: 192.168.11.0

IP-Adressen: 192.168.11.0
Subnetz-Mask: 255.255.255.0
Default Gateway: 192.168.11.1

Wichtige PCs/Server:
192.168.11.1 Fritzbox
192.168.11.20 Laptop
192.168.11.22 IP-Telefon

Routing-Tabelle kann ich noch nachliefern, wenn die hierfür gebraucht wird.

Fritzboxsversionen: FRITZ!OS 05.52

Ich komme jeweils nicht von dem einen Netzwerk in das andere Netzwerk. Die Fritzboxen kann ich anpingen und auch auf die Oberfläche zugreifen.
Sinn des VPN-Tunnel ist es das Telefon an der Telefonanlage anzumelden.

$ traceroute 192.168.11.22
traceroute to 192.168.11.22 (192.168.11.22), 30 hops max, 60 byte packets
 1  192.168.10.254 (192.168.10.254)  0.838 ms  0.813 ms  1.063 ms
 2  192.168.11.22 (192.168.11.22)  68.256 ms  70.907 ms  73.551 ms
 3  192.168.11.22 (192.168.11.22)  3077.927 ms !H  3080.216 ms !H  3081.225 ms !H

$ ping 192.168.11.22
PING 192.168.11.22 (192.168.11.22) 56(84) bytes of data.

--- 192.168.11.22 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2016ms

$ traceroute 192.168.11.1
traceroute to 192.168.11.1 (192.168.11.1), 30 hops max, 60 byte packets
 1  192.168.10.254 (192.168.10.254)  0.567 ms  0.868 ms  1.251 ms
 2  192.168.11.1 (192.168.11.1)  57.730 ms  60.074 ms  63.427 ms

$ ping 192.168.11.1
PING 192.168.11.1 (192.168.11.1) 56(84) bytes of data.
64 bytes from 192.168.11.1: icmp_req=1 ttl=63 time=91.7 ms
64 bytes from 192.168.11.1: icmp_req=2 ttl=63 time=58.8 ms
^C
--- 192.168.11.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 58.883/75.321/91.759/16.438 ms

 

[HabNeFritzbox]

Wo kann ich denn die Firewall setzen und 192.168.0.0/16 Freigeben?

Dass kann ich dir nicht sagen, je nach Gerät und Betriebssystem ist es anders. Manche Dienste sind i.d.R. nur aus dem Heimnetz nutzbar, wie z.B. Windows Freigaben, ect. andere Dienste sind eher offen für alles wie HTTP, FTP, je nach Konfiguration.

In der FB wird nur das Routing geregelt. Es ändert nichts daran, dass die Geräte im Netz A für Geräte aus Netz B fremd sind, und wie Internet behandelt werden, und umgedreht.

 

[Bugul]

Auf die Server und das Telefon muss ich auf jedenfall drauf kommen, da dort keine Firewalls laufen, aber genau das funktioniert ja leider nicht und irgendwie wird da wohl von der Fritzbox nicht weiter geroutet. Aber das ist eher eine Vermutung.

 

[eisbaerin]

Subnetz-Mask: 255.255.255.0
Default Gateway: 192.168.10.254

Ist das auf allen Geräten im 10er Netz so eingestellt?

Die Routing Tabelle ist von welchem Gerät?

Das traceroute und ping hast du von welchem Gerät gemacht?

Antwortet die 192.168.11.22 IP-Telefon auf ein Ping aus dem 11er Netz?

link-local * 255.255.0.0 U 1000 0 0 eth0

Ist das eine falsche Subnetzmaske?

Subnetz-Mask: 255.255.255.0
Default Gateway: 192.168.11.1

Stimmt das auch für das IP-Telefon?

 

[HabNeFritzbox]

Wenn Subnet /16 bzw. 255.255.0.0 ist, dann klappt es auch nicht in der FB, da VPN nur ins Fremde Subnet geht, muss schon /24 bzw. 255.255.255.0 sien.

 

[Bugul]

Ist das auf allen Geräten im 10er Netz so eingestellt?

Ja auf allen die das Standard-Gateway haben.

Die Routing Tabelle ist von welchem Gerät?

Von meinem Notebook.

Das traceroute und ping hast du von welchem Gerät gemacht?

Von meinem Notebook, welches im 192.168.10.0-Netz steht.

Antwortet die 192.168.11.22 IP-Telefon auf ein Ping aus dem 11er Netz?

Ja und auch traceroute funktioniert.

Ist das eine falsche Subnetzmaske?

Das ist nur eine Subnetzmask für localhost und normal für Ubuntu/Linux

Stimmt das auch für das IP-Telefon?

Was stimmt auch für das IP-Telefon?

Ich kann leider mir die Routing-Tabelle vom Telefon nicht ausgeben lassen, aber im 192.168.11.0-Netz funktioniert das Telefon und kann sich auch per SIP an die Fritzbox anmelden und so kann man auch damit Telefonieren.

 

[eisbaerin]

Was stimmt auch für das IP-Telefon?

Das was darüber steht. (Subnetzmaske und Gateway)

Kontrolliere noch mal überall die Subnetzmaske und das Gateway,
auch in den FB's.
Kommst du an die Routingtables der FB's ran?
Beide FB's schon rebootet?

 

[Bugul]

Das was darüber steht. (Subnetzmaske und Gateway)

Kontrolliere noch mal überall die Subnetzmaske und das Gateway,
auch in den FB's.
Kommst du an die Routingtables der FB's ran?
Beide FB's schon rebootet?

Ne, die FB`s sind ungepatcht und originale FW drauf.
Ja beide sind schon mehr fach neu gestartet worden und habe auch ein paar Sachen ausprobiert, ob es einen Unterschied macht, dass die VPN-Verbindung immer aufgebaut ist oder nur bei Zugriff. Immer das selbe Problem.

Ja die Subnetmasken sind alle Richtig und auch die Gateways.

 

[HerrFuchs]

Hallo Bugul,

ich kann deiner Konfiguration nicht ganz folgen. Für mich hört es sich so an als wäre die FB in dem einem Netz nicht das default Gateway.
Wenn du sagst du kannst von einer zu anderen Box pingen und die anderen Rechner antworten nicht, dann siht es für mich so aus als kennen die Rechner den Rückweg in das andere Netz nicht. Hast du auf deinem Gateway bekannt gegeben wer den Weg ins 10er Netz kennt??

Gruß

 

[eisbaerin]

Dazu muß man die FB's nicht patchen, telnet zu aktivieren reicht schon.
Dann könnte man auch von denen ping und traceroute machen.

Du kannst ja mal testweise deine ebox abschalten und das DHCP auf der FB einschalten.
Oder du machst auf beiden FB's Werksreset und setzt alles neu auf.

 

[Bugul]

Doch die FBs sind in beiden Boxen default Gateways.
Ich kann weder von dem einen Netzwerk einen Rechner im anderen anpingen.
Posting 2:
Wie Aktiviere ich denn Telnet?