Fritz VPN LAN-2-LAN PING auf Windows10

Dieses Thema im Forum "AVM (Fritz)" wurde erstellt von Orlet, 9. Januar 2019.

  1. Orlet

    Orlet Starter

    Registriert seit:
    9. Januar 2019
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Moin Forum,
    ja, ich weiss, zum Thema Ping und Fritz-VPN wurde schon viel geschrieben. Dennoch komme ich einer echten Lösung meines Problems ohne Eure Hilfe nicht näher.

    Folgenden Konstellation:

    3 LAN:
    LAN1 mit einer 7560 (extern DSL, intern 192.168.115.1 mit einem /24er Netz)
    LAN2 mit einer 7490 (extern DSL, intern 192.168.20.1 mit einem /24er Netz)
    LAN3 mit einer 7170 (extern 192.168.1.250 an einer 5490, intern 192.168.10.250 mit einem /24er Netz)

    (Auf der 5490 läuft Portforwarding von ESP, UDP500, UDP4500 auf die 7170, sodaß dort das Tunnelende für LAN3 ist. Momentan bleibt die 5490 in meinem Betrachtungen aussen vor. Vielleicht ändert sich das ja im Lauf der Diskussion)

    Es wurden VPN-Verbindungen von jeder zu jeder Box gezogen, auf der 7560 und der 7490 mittels Web-Interface, auf der 7170 mittels der Fritz!Fernzugang einrichten-Software. Im cfg-File für die 7170 wurde geändert always_renew = yes;

    7560 und 7490 kümmern sich selbst um dyndns, im LAN3 übernimmt das die 5490. Alle Router derzeit ohne IPv6-Unterstützung.

    Im LAN1 läuft noch ein RASPI mit einem OVPN-Server, im LAN3 hängt ein Roadwarrior, der sich mittels "Securepoint SSL VPN" direkt ins LAN1 einklinken kann (wird unten noch wichtig).

    Das zur Ausgangslage.

    Erreichtes Ergebnis:
    - Die VPN-Tunnel zwischen den Boxen stehen.
    - Ping aus den LAN sowohl auf die eigenen als auch die fremden Boxen läuft.
    - Zugriff auf die Web-Interfaces der Boxen aus allen Richtungen möglich
    - Zugriff auf die SMB-Freigaben der Boxen aus allen Richtungen möglich
    - Ping auf sonstige Netzwerkgeräte (Drucker, Fritz!Repeater, IP-Telefone) ist möglich

    Bestehendes Problem:
    - Ping auf Windows-Rechner ist NICHT möglich, Dateifreigabe NICHT möglich

    Jetzt zur Fehlereingrenzung:
    Starte ich auf dem Roadwarrior die direkte Verbindung ins LAN1, so kann er alle Windows-Rechner dort anpingen und sieht die Freigaben. Läuft die Verbindung aber über die Tunnel, geht das nicht.

    Dann habe ich auf einem der Windows-Rechner im LAN1 mal an der Firewall gedreht:
    Neue Regel - Protokoll ICMP - from ANY to ANY - allow

    Und siehe da, plötzlich ist auch an anpingen über die AVM-VPN möglich. Dateifreigabe noch nicht, aber das ist bestimmt nur eine weitere Freigabe in der FW.

    Für mich stellt sich die Situation wie folgt dar:
    Der OVPN-Server (aus der openvpn.conf: client-to-client) nattet die Anfagen aus dem Tunnel. Der angepingte Windows-PC (LAN1) sieht also nur eine Ping-Anfrage des OVPN-Servers, der mit ihm im selben Subnet hängt. Also antwortet er.

    Die Fritz-Box scheint die Anfragen aus dem Tunnel nicht zu natten. Der angepingte Windows-PC in LAN1 sieht also eine Ping-Anfrage aus einem fremden Subnet (z.B. LAN2) und stellt sich (im Standard) stur.

    Nun könnte ich alle Windows-Firewalls in allen Subnetzen anpassen, was a) eine Heidenarbeit ist und b) schnell in Vergessenheit gerät. Eleganter wäre in meinen Augen, die Boxen würden den Tunnel-Trafic natten, wie es der OVPN-Server ja auch tut.

    Wie kann ich das erreichen?
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.129
    Punkte für Erfolge:
    120
    Hi,

    willkommen im Forum.
    Gar nicht. Beim OpenVPN Server macht das auch bestimmt nicht die OpenVPN Software, sondern das Betriebssystem auf dem Raspi.

    Welche Netzwerkzone ist auf den Windowsrechnern fürs Netzwerkinterface eingestellt? Privat oder Öffentlich?

    VG
     
  3. shirocco88

    shirocco88 Routinier

    Registriert seit:
    28. Dezember 2017
    Beiträge:
    102
    Punkte für Erfolge:
    18
    #3 shirocco88, 9. Januar 2019
    Zuletzt bearbeitet: 9. Januar 2019
    Portforwarding von ESP ???
    wie soll das gehen ? Portforwarding geht doch nur bei UDP- und TCP-Protokoll und nicht bei ESP-Protokoll. !!!

    das passt.

    ja, so funktioniert AVM-VPN.
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.129
    Punkte für Erfolge:
    120
    Hi,
    das Protokoll wird weitergeleitet. Die Einstellung dafür wird aber unter "Portweiterleitung" bei der FB durchgeführt.
    VG
     
  5. shirocco88

    shirocco88 Routinier

    Registriert seit:
    28. Dezember 2017
    Beiträge:
    102
    Punkte für Erfolge:
    18
    ein Natting von IPsec-VPN-Traffic ist bei AVM Fritzboxen nicht vorgesehen und somit nicht implementiert.
     
  6. shirocco88

    shirocco88 Routinier

    Registriert seit:
    28. Dezember 2017
    Beiträge:
    102
    Punkte für Erfolge:
    18
    könntest Du Bitte einen Screenshot zur Untermauerung dieser Aussage beifügen,
    Bei mir geht die Portweiterleitung/Port-Freigabe nur für die Protokoll-Typen "UDP" oder "TCP", nicht jedoch den Protokolltyp "ESP";
    auch "Exposed Hosts" läßt das ESP Protokoll fallen, da dieses keine Portnummer besitzt, bzw. NICHT portbasierend ist.
     
  7. Orlet

    Orlet Starter

    Registriert seit:
    9. Januar 2019
    Beiträge:
    5
    Punkte für Erfolge:
    1
    [​IMG] Ist jetzt nicht von der 5490, sondern nur schnell in der 7560 den Dialog für Dich geöffnet. Neben ESP kannst Du dort auch GRE forwarden.[​IMG]

    Weil weiter oben die Frage gestellt wurde nach dem Netzwerktyp, die eth-Schnittstellen der W10 stehen auf privat, wobei das eigentlich egal ist, man kann die von mir getestete Regel ja auch für öffentlich erfassen.

    OK, es ist also die Firewall in der Box, die den Traffic zwischen TUN-DEV und ETH-DEV forwarded statt nattet. An die komm ich nicht ran. Muss ich akzeptieren.

    Wobei ich mich dann schon Frage, die die ganzen Fritz-VPN-Roadwarrior Ihren Zugriff auf die Windows-Kisten des Fritz-Netzes hinbekommen. Oder verhält sich die Fritz bei Roadwarrior anderns? Liese sich damit "tricksen" indem jede Box der Warrior bei jeder der anderen Boxen ist?
     
  8. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.129
    Punkte für Erfolge:
    120
    Hi,
    Die "Private Zone" könnte offener sein bzgl. Anfragen aus anderen Subnetzen mit private IP-Adressen. Erwähnt hast nichts darüber, für welche Zone du die Firewallfreigabe gemacht hast.
    Aber sicher dat, siehe Anhang. Das ging vor laaaaaanger Zeit bei aaaaaalten Modellen nicht.
    Die Firewall "forwarded" keine Netzwerkpakete. Und wie kommst du darauf, dass irgendein Router "Out-of-the-box" an einem internen Interface NATtet? Du kannst es bei einigen Modellen zusätzlich einstellen, aber generell ist das unüblich. Wenn das so bei deinem Raspi eingestellt, dann ist das für Routerverhältnisse die Ausnahme.
    "Dazwischen" (also zwischen zwei Interfaces) wird sowieso nicht geNATtet. Das NAT wird auf dem Outgoing Interface gesetzt, d.h. Quelle-IP jedes Paketes, der aus diesem Interface rausgeht, wird durch eine andere IP ersetzt ("geNATtet") - also nicht nur der VPN-Verkehr. Auch da kann man wieder bei fortgeschrittenen Routern Ausnahmen definieren, z.B. wenn man eine DMZ mit öffentlichen IP-Adressen hinter dem Router betreiben will.
    Ja klar, der VPN-Client erhält eine IP-Adresse aus dem LAN-Segment der FB.

    VG
     

    Anhänge:

  9. Orlet

    Orlet Starter

    Registriert seit:
    9. Januar 2019
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Portfreigabe einrichten - andere Anwendung - Protokoll: TCP, UDP, ESP und GRE. Aussage gilt mindestens für die 5490, die 7560 und die 7490. An die 7170 komm ich grad nicht ran, hab gestern soviel mit den Tunneln rumprobiert, dass jetzt ausgerechnet im Tunnel 7560 zur 7170 der Wurm drin ist. Die 7490 hat ihren Tunnel zur 7170.

    Btw: Kann man die VPN-Einstellungen wirklich absolut auf "Null" zurücksetzen? Also in den neueren Boxen. Ich befürchte nämlich, dass durch man gestriges häufiges Hinzufügen und wieder Löschen von Verbindungen, teils über das Web-UInterface, teils über die cfg-Dateien in den Boxen jetzt ein völlig verqueres cfg-File generiert wurde.

    Und zum Thema zurück: Wenn die Box nicht natted, wie kommen dann die ganzen Fritz-VPN-Roadwarrior auf die Windows-Kisten im Fritz-LAN? Die müssten ja eigentlich alle vor dem gleichen Problem stehen. Es sei denn der Roadwarrior bekommt auf der VPN eine IP aus dem Fritz-Netzwerk.

    Das war es, was ich gestern versucht habe hinzutricksen. Erstmal nur zwischen der 7560 und der 7490. Mittels händisch editierten cfg-File die Boxen jeweils wechselseitig als VPN-Einwahl-Server und als Roadwarrior deklarieren. Um genau zu sein, habe ich über die Software jeweils eine der beiden Boxen als "nur eingehende Verbindung zu dieser FritzBox" gesetzt, die jeweiligen cfg ausgelesen (die eine bekommt dabei "conn_type = conntype_user;", die andere "conn_type = conntype_out;") und mit der jeweils Über-Kreuz-Liegenden Verbindung zusammenkopiert (siehe Anhang).

    Mittlerweile frisst die 7490 Ihre LAN2.cfg noch, die 7560 baut aber die Verbindungen nach LAN1.cfg nicht mehr in Ihren Konfiguration ein. Sie frisst aber auch nicht die testweise hochgeladene LAN2.cfg.
     

    Anhänge:

  10. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.129
    Punkte für Erfolge:
    120
  11. Orlet

    Orlet Starter

    Registriert seit:
    9. Januar 2019
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Ja, sorry. Hatte gerade einen Disput mit der Forensoftware wegen meines nicht eingebundenen Bildes. Es sah so aus, als sein meine erste Antwort untergegangen, desshalb hab ich nochmal neu angefangen, ohne Deine Antwort zu lesen.

    Zur Interface-Einstellung: Ja, da war ich ungenau. Aber da meine Regel ja Wirkung zeigte, hab ich sie offenbar auf der richtigen Kategorie angewandt. Für's Protokoll: Out-of-the-Box ist auch die "Privat"-Einstellung nicht tolerant.

    Bezüglich der Begriffe lasse ich mich gerne belehren, bin da nicht so der Experte. Der RASPI läuft mehr oder weniger Out-Of-The-Box. Wenn da was installiert ist, nach irgendwelchen Anleitungen im Netz. Ich bezweifle, dass darin irgendwelche Spezial-Konfigurationen abgedeckt sind. Aber vermutlich ist es wie bei der Box, er weisst dem Roadwarrior einfach eine lokale IP zu und alles ist gut.

    Mein Geschwätz zu Forwarden und Natten stammt aus Urzeiten, als ich mal einen IP-COP aufgesetzt habe. Dort konnte man in den Firewall-Rules einstellen, wie er mit dem Trafic zwischen den Interfaces umgehen soll: Forwarden oder Natten. Aber lassen wir das, es spielt keine Rolle.

    Ich habe jetzt verstanden, dass die Box NIEMALS den Packeten ins innere Netz Ihren eigenen IP-Stempel als Absender aufdrückt. Beim Warrior macht das nix, da er ja eine IP aus dem lokalen Netz hat.

    Aber: Man kann, wenn man die AVM-Software "Fernzugang einrichten" verwendet, die Verbindungen auf "Nur eingehend" setzen, dann wird die andere Box quasi zum Roadwarrior. Laut Beschreibung von AVM können "Alle Benutzer aus dem Netz [der Warrior-Box] können in das Netz [der Einwahl-Box] Verbindungen aufbauen. Verbindungen in die andere Richtung sind nicht mehr möglich". In den generierten cfg sieht man, dass dem Warrior eine IP aus dem Netz der Einwahl-Box zugewiesen wird. Klingt für mich so, als würde der Warrior den Traffic in den Tunnel NATten

    [Parallel zum Schreiben getestet: Das ist wohl so. PC´s aus dem Warrior-Netz erreichen alle PC im Einwahl-Netz. Ohne Veränderungen an den Firewalls]

    Jetzt war halt die Idee, das ganze über Kreuz anzulegen. Mal sehen, ob mir das gelingt.

    Eine weitere Idee wäre, die Boxen "im Kreis" zu koppeln. LAN1 als Warrior ins LAN2, LAN2 als Warrior ins LAN3, wobei dieses zusätzlich erreichbare Netzwerk als weiteres erreichbares Subnet auch dem Warrior aus LAN1 bekannt gegeben wird. Dito dann natürlich für LAN3 als Warrior ins LAN1.
     
  12. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.129
    Punkte für Erfolge:
    120
    Hi,
    Das könnte sogar funktionieren. Allerdings hättest du dann pro Box 6 VPN-Verbindungen. Ich weiss natürlich nicht, was du über die VPN-Verbindung machen willst, aber performant ist dieses Gesamtkonstrukt sicher nicht: Die IPSec-Performance der FB ist sowieso schon nicht so dicke und dann noch NATten, was in diesem Fall bestimmt der Prozessor der Box macht. Ich weiss nicht...
    Das hat dann aber eher den Charakter einer Machbarkeitsstudie, oder? Vielleicht auch Spaß haben. Aber dabei geht die Performance endgültig in den Keller, wenn nicht nur in der Kombination LAN1/LAN2, LAN2/LAN3 und LAN3/LAN1 zugegriffen wird.

    Nebenbei hast du jetzt selbst herausgefunden, warum bei einer LAN2LAN Kopplung nichts geNATted wird: Diese Art von Verbindungen sollen alle Geräte aus beiden Subnetzen erreichbar sein, was eben bei einer geNATteten Einzelverbindung mit NAT nicht möglich ist.

    VG
     
  13. Orlet

    Orlet Starter

    Registriert seit:
    9. Januar 2019
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Gelingt mir nicht. Sobald ich neben die Roadwarrior-Verbindung eine Server-Verbindung lege, spuckt die Roadwarrior-Verbindung IKE-Error 0x1c . Noch nichteinmal deaktivieren der Server-Verbindung nützt etwas, man muss sie komplett löschen. Sofort baut der RW wieder eine Verbindung auf.

    [umgekehrt ist es weniger problematisch: eine deaktivierte RW-Verbindung stört eine Server-Verbindung nicht, aber man kann sie halt nicht aktivieren]

    Wirklich hilfreich sind die Hilfeseiten von AVM da nicht, welche id denn da nun invalid sei. Weiss das jemand?

    PS: Es sind pro Box 4 Verbindungen. Beim Kreis pro Box nur zwei, allerdings doppelter Traffic im Tunnel.
     
  14. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.129
    Punkte für Erfolge:
    120
    Hi
    Was soll denn die "Server-Verbindung" sein? Ich hatte das so verstanden, dass du jede Box über zwei Client-Verbindungen mit jeder anderen Box verbindest.
    Deshalb ist
    völlig richtig.
    Ich jedenfalls nicht.

    Die Jungs im ip-phone-forum konfigurieren die FBen gerne auf der Kommandozeile. Vielleicht können die dir helfen.

    Auch, wenn ich das eher selten machen: Wenn es was Ordentliches werden soll mit der Standortvernetzung, dann nimm drei VPN-Router, die man besser als die FB im Routing-Bereich konfigurieren kann, und platziere je einen in jedem Standort.

    VG
     
  15. charlie164

    charlie164 Starter

    Registriert seit:
    30. Juli 2019
    Beiträge:
    1
    Punkte für Erfolge:
    1
    After updating the windows 10, my windows 10 startup folder is not working and I am unable to find out the reason behind this issue. Can anyone tell me why?