Welchen Port nutzt Fritz!Box für VPN (Fritz!Fernzugang)

[fuberlin]

Weiß jemand welchen Port die Fritz!Box(en) selbst für das eigene VPN über Fritz!Fernzugang, bzw. die Verbindung von zwei Fritz!Boxen nutzen?
Hintergrund ist folgender:
Die Fritz!Box müßte hinter einen anderen Router in dem dann der/die entsprechende(n) Port(s) für das VPN auf die dahinter hängende FB freigegeben werden um weiterhin sowohl Fritz!Fernzugang, sowie die Direktverbindung zweier Netze mit Fritz!Boxen nutzen zu können.

 

[RalfFriedl]

AVM verwendet für das VPN den Standard IPSec. Somit geht die Frage nach einem Port an der Sache vorbei.

 

[fuberlin]

hmm... wird es somit unmöglich die Fritz!VPN Systeme weiterhin zu nutzen wenn die FB hinter einem anderen Router hängen muß?

 

[RalfFriedl]

Das kann man nicht pauschal beantworten. Generell ist IPSec nicht dafür ausgelegt, hinter einem anderen Router benutzt zu werden, es gibt aber Erweiterungen, um das zu machen. Außerdem hängt es vom anderen Router ab.

 

[rspring]

..es gibt aber Erweiterungen..., ...hängt es vom anderen Router ab...

Kannst Du dazu genaueres sagen?

 

[RalfFriedl]

Schau mal nach IPSEC NAT-traversal.

 

[rspring]

Konkret habe ich die Konfiguration Internet-Linksys WTR54 (Tomato FW)-FBF 7170 (Freetz). Zu der Fritzbox will ich den Fernzugang einrichten. Lt. Tomato-FAQ müßte das direkt gehen. Tut es aber nicht. (Remoteadmin/dyndns der Fritzbox geht übrigens durch Freetz & Inadyn)
Habe ich da irgend eine Einstellung/Portforwarding übersehen?

 

[RalfFriedl]

Ich habe noch nie IPSEC mit NAT verwendet, ich weiß nur, daß es diese Erweiterung gibt, mit der es möglich sein soll. Ich weiß nicht, welche Geräte dies unterstützen und wie man diese dafür konfigurieren muß. Wenn es auf der Linksys Seite funktionieren soll, ist immer noch die Frage, ob auch AVM das unterstützt.

 

[rspring]

Ich verstehe die Erklärung zu IPSEC NAT-traversal so, daß die VPN-Enden nichts davon mitbekommen. Insofern müßte das der AVM-Impementierung egal sein.

 

[KunterBunter]

Aber es gibt trotzdem in der AVM VPN Konfig einen Parameter, mit dem man das NAT-Traversal einschaltet:
use_nat_t = yes;

 

[rspring]

bei mir steht bei beiden configs (box & client):

use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;

Ich probiere mal, ob

use_cfgmode = yes

hilft.

 

[rspring]

use_cfgmode = yes bringt auch nichts.

Evtl. muß ich ja die IP-Bereiche anpassen. Meine Fritzbox ist Router für einen eigenen IP-Bereich. [Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP) + Zugangsdaten werden nicht benötigt (IP) in den Zugangsdaten]

Die Frage ist, was in der VPN-config hier

phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;

stehen muß, der IP-Bereich der Fritzbox oder der des Linksys?

 

[maxo]

Abend,

ist wahrscheinlich nicht mehr aktuell aber falls doch noch jemand über das
Problem stolpert:

http://www.ip-phone-forum.eu/showthread.php?t=193027

Gerade getestet und für gut befunden VPN läuft auf einer 7390 die hinter einer 6360 hängt nun einwandfrei!

ciao,
maxo

 

[TiCar]

Hi maxo,

da ich über google auf diesen Thread gestoßen bin und genau das gleiche Zenario vor mir habe (FritzBox 6360 <-[Internet]-> Speedport 723V <-> FritzBox 7170), würde ich mich über mehr Infos freuen. Habe in beiden Boxen das CFG eingespielt. Die 7170 hängt über LAN1 am Speedport und DSL wurde entsprechend mit Gateway des Speedports etc. eingerichtet. Am Speedport habe ich UDP 4500 und UDP 500 an die Fritzbox IP weitergeleitet.

KA ob ich irgendwie prüfen kann, ob die Fritzbox a) in an die 6360 kommt, bzw. b) überhaupt ins Inet kommt. Noch baut er jedenfalls kein VPN auf :-(

 

[KunterBunter]

genau das gleiche Zenario vor mir habe (FritzBox 6360 <-[Internet]-> Speedport 723V <-> FritzBox 7170)

Du hast nicht genau das gleiche Szenario, denn bei dir hängt die Fritzbox hinter einem Speedport.
Dazu gab es vor kurzem eine Nachfrage: Speedport W701V (gefritzt) hinter Speedport W921V - > VPN?

 

[Freetz!Box]

Die Verbindung wird erst aufgebaut wenn du auf das entfernte Netzwerk zugreifst.

@KunterBunter

AH wird nicht benutzt und ESP wird durch NAT-Traversal in UDP-Pakete eingekapselt. Port 500 & 4500 sind die einzigen Portfreigaben die benötigt werden mit der Standard-VPN-Konfiguration. Was anderes steht auch in den cfg's nicht drin.

 

[TiCar]

ich hab insofern versucht draufzuzugreifen, in dem ich a) jeweils von jeder Seite immer versucht habe die Router anzupingen, bzw. auch einen der laufenden PCs anzupingen.
Der Speedport hat wie gesagt die Weiterleitung von UDP 500 und UDP 4500 (stehen beide auf Aktiv) und wie ich eben geschaut habe, steht das so auch unten in den cfg's drin.

@KunterBunter: Danke - leider steht im anderen Thread auch keine Lösung :-(

 

[Freetz!Box]

@TiCar

Ist die FB7170 im selben Netz wie der Speedport?

 

[KunterBunter]

leider steht im anderen Thread auch keine Lösung :-(

Das ist richtig. Aber dann weißt du schon mal, dass es andere vor dir auch noch nicht geschafft haben.
Warum schließt du die Fritzbox nicht erstmal probeweise direkt ans Internet an? Damit tust du dich um einiges leichter. Wenn dann das VPN steht, kannst du schrittweise Veränderungen vornehmen.

 

[TiCar]

@TiCar

Ist die FB7170 im selben Netz wie der Speedport?

Ja, aktuell sind beide im 1er - Speedport 192.168.1.254 und die FB7170 hat die 192.168.1.253. Hab mein Laptop mal als Gateway die ...1.253 eingetragen und komme auch ins Internet, aber VPN macht sie trotzdem nicht.

@KunterBunter: leider nicht so einfach mal eben das Internet zu canceln während alle im Internet sind :-D da dreht dann die ganze Familie am Rad *hehe* mal schauen, wenn weniger los ist. Bin auch erst wieder an Heilig Abend & 1. Weihnachtstag dort, um weiter probieren zu können.

PS: Kann die FB7170 überhaupt alle Funktionen des Speedports übernehmen? Hat doch glaub gar kein Modem integriert, oder irre ich mich da?