Wie konfiguriert man eine Statische Route auf drittes Netz via VPN?

[thumi69]

Hi, habe meine 7270 jetzt erfolgreich an einen IPcop verbunden (Netz-zu-Netz) und kann tatsächlich alles aus dem anderen Netz errreichen. Soweit so gut, auch wenn es wegen der unterschiedlichen Begriffe nicht einfach war...

Jetzt möchte ich der Fritzbox mitteilen, dass ein bestimmtes öffentliches Netz statt über die Standardroute durch den Tunnel erreicht werden soll (denn der Router im anderen Netz, hat statische IP und ist somit viel besser in Zugriffslisten eintragbar).

Fritzbox statische Route geht nicht, bei der fritzbox.cfg einfach eine zweite accesslist dazusetzen geht genausowenig.

Kann jemand helfen?

 

[frank_m24]

Hallo,

erst mal Willkommen im Forum. Glaubs mir: Du hast uns gefehlt. Kein Witz.

Hi, habe meine 7270 jetzt erfolgreich an einen IPcop verbunden (Netz-zu-Netz) und kann tatsächlich alles aus dem anderen Netz errreichen.

Echt? Cool. Von einem funktionierenden Linux VPN Client träumen viele. Welches Framework setzen sie ein in IPCop? OpenSWAN? Racoon? Wie sieht die Konfig aus? Damit kannst du viele glücklich machen (siehe Zitat oben).

Soweit so gut, auch wenn es wegen der unterschiedlichen Begriffe nicht einfach war...

Ja, das glaube ich, ich habs auch mal 2 Tage lang probiert und bin dann zu OpenVPN gewechselt ... Ich hab aber damals einen dicken Fehler gemacht, wie ich mittlerweile weiß. Ich hab falsche Authentifizierungsinformationen für Phase 2 angenommen ... habs aber trotzdem nicht wieder probiert, weil OpenVPN einfach zu gut funktioniert hat. Mittlerweile setze ich das Box VPN für einen Tunnel zum Cisco VPN Concentrator bei uns in der Firma ein.

Fritzbox statische Route geht nicht

Hmm, das wäre mein erster Vorschlag gewesen: Eine Statische Route ins Zielsubnetz mit einem Gateway auf der anderen Seite des VPN Tunnels.

Was mir noch einfallen würde: Eine statische Route auf den Clients hinter der Box. Ist natürlich nicht sonderlich komfortabel. Könnte aber funktionieren.

Es wäre schön, wenn wir dieses Thema ein bisschen weiter verfolgen könnten. Das hat Potential für einen echten Renner.

 

[thumi69]

Hi Frank,

danke für die Blumen. Da ich eher aus der Mausschubser-Fraktion komme (bitte keine Buh-Rufe), wollte ich weder auf der einen noch auf der anderen Seite irgendetwas nachinstallieren müssen.
Das gute ist, die Konfig funktioniert komplett mit Bordmitteln über das GUI.
Meine Fritzbox-Firmware-Version ist 54.04.56-10521, sollte aber auch mit der normalen funktionieren. Beim IPcop benutze ich die normale vorhandene VPN-Konfig. Um ehrlich zu sein, weiss ich nicht, welche Software genau dahinter steckt. Muss man idealerweise ja auch nicht wissen. Ich trage mal die Konfig zusammen...

Jetzt mal zurück zum ursprünglichen Problem. Statische Routen auf den Clients ist nicht gut, da ich z.B. mit meinem Notebook ständig zwischen Firmennetz und zu Hause pendle. Da hätte ich gleich bei der vorherigen Windows-VPN-Einwahl bleiben können.
Konkrete Fragen:
1. Wenn ich eine statische Route angebe, muss ich da den Router aus dem anderen Netz angeben als Ziel? Der ist gleichzeitig VPN-Router als auch NAT-Router ins öffentliche Netz.
2. Braucht die lokale VPN-Konfig in der Access-List das dritte Netz auch? Sind weitere Änderungen nötig an der lokalen VPN-Konfig?
3. In der AVM-Anleitung steht, man muss dafür sorgen, dass die entfernten Netze die Rückrouten kennen. Dafür müsste ich doch aber nicht sorgen, da der IPcop die Pakete über VPN bekommt und gleich über NAT ins öffentliche Netz geht und damit kennt der IPcop ja auch beim zurückkommenden Paket automatisch wieder den Rückweg, oder?

Würde mich auch freuen, wenn ich bischen Hilfe bekommen würde, wie ich den jeweiligen Weg prüfen könnte. Momentan bin ich nich mal sicher, ob die Pakete überhaupt beim IPcop ankommen. Bei Traceroute ist nach der FB Schluss...

Gruss,
Stephan

 

[thumi69]

So, hier wie versprochen die beiden Konfigurationen:

Fritzbox:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Verbindung zu IPcop";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = [IPcop-IP];
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "[meinhost].dyndns.org";
                }
                remoteid {
                        ipaddr = [IPcop-IP];
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "blablabla";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any [Netz_hinter_IPcop] 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

IPcop:

Siehe Anhang...

Ich bekomme zwar auf dem IPcop immer noch Fehler wegen ""Fritzbox" #348: ignoring informational payload, type INVALID_ID_INFORMATION", aber funktionieren tut es zumindestens in Richtung FB->IPcop.

 

[frank_m24]

Hallo,

1. Wenn ich eine statische Route angebe, muss ich da den Router aus dem anderen Netz angeben als Ziel? Der ist gleichzeitig VPN-Router als auch NAT-Router ins öffentliche Netz.

Zielsubnetz ist das dritte Netz, welches du erreichen willst. Gateway ist die Router-IP auf der anderen Seite des VPNs.

2. Braucht die lokale VPN-Konfig in der Access-List das dritte Netz auch?

Hmm. Gute Frage. Kann sein. Teste es mal.

3. In der AVM-Anleitung steht, man muss dafür sorgen, dass die entfernten Netze die Rückrouten kennen. Dafür müsste ich doch aber nicht sorgen, da der IPcop die Pakete über VPN bekommt und gleich über NAT ins öffentliche Netz geht und damit kennt der IPcop ja auch beim zurückkommenden Paket automatisch wieder den Rückweg, oder?

Richtig.

Jetzt müsste nur noch einer die VPN Config aus dem IPCop rausextrahieren, und wir hätten eine lauffähige Beispeilkonfiguration für einen Linux VPN Client. Wenn ich mal herausgefunden habe, welches VPN Framework im IPCop benutzt wird, sollte es machbar sein.

 

[thumi69]

[Edit frank_m24: Sinnfreies Fullquote vom Beitrag direkt darüber gelöscht. Lies noch mal die Forumregeln.]

Hmmm, hatte sowohl die statische Route auf der FB schon genauso eingerichtet, dass das Drittnetz als Ziel die interne IP des IPcop hat und auch das mit der Accesslist hab ich drin. Geht trotzdem nicht. Sehe mittels Wireshark nicht mal, dass auf dem Zielserver irgendwas ankommt. Also funktioniert nicht mal der Hinweg...

Also laut Softwareliste IPcop 1.4 wird Openswan benutzt. Wo finde ich da die Konfig(s), dann such ich die raus.

 

[frank_m24]

Hallo,

in /etc/openswan sollte was zu finden sein.

 

[thumi69]

Also /etc/openswan gibts nicht, aber bei "ipsec barf" gibt er eine Openswan version aus.
Hier mal die /etc/ipsec.conf:

config setup
	interfaces="%defaultroute "
	klipsdebug="none"
	plutodebug="emitting control dns nat_t "
	plutoload=%search
	plutostart=%search
	uniqueids=yes
	nat_traversal=yes
	virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!172.16.17.0/255.255.255.0,%v4:!192.168.0.0/255.255.255.0

conn %default
	keyingtries=0
	disablearrivalcheck=no

conn Fritzbox #RED
	left=[publich IP Ipcop[
	leftnexthop=%defaultroute
	leftsubnet=172.16.17.0/255.255.255.0
	right=meinhost.dyndns.org
	rightsubnet=192.168.0.0/255.255.255.0
	rightnexthop=%defaultroute
	leftid="@IPcop"
	rightid="@meinhost.dyndns.org"
	ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
	esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
	ikelifetime=1h
	keylife=8h
	dpddelay=30
	dpdtimeout=120
	dpdaction=restart
	pfs=yes
	authby=secret
	auto=start

 

[frank_m24]

Hallo,

Ja, das sieht nach einer OpenSWAN Config aus, auch wenn es bei mir schon lange her ist.
Irgendwie sind da aber noch nicht die Zugangsdaten drin. Wo z.B. ist dein PSK gespeichert? Gibt es ein Verzeichnis /etc/ipsec oder /etc/ipsec.d?

Tja, es sieht so aus, als ob AVM keine Daten über den VPN Tunnel schickt, außer Daten für das direkte Zielsubnetz.