VPN Lan-Lan-Kopplung nicht möglich!

Dieses Thema im Forum "AVM (Fritz)" wurde erstellt von shszieg, 26. Dezember 2018.

  1. shszieg

    shszieg Starter

    Registriert seit:
    26. Dezember 2018
    Beiträge:
    4
    Punkte für Erfolge:
    1
    Schonmal Danke für jede Hilfe im Voraus!

    Ich bin am Verzweifeln und möchte folgendes realisieren. Bin nur leider kein Netzwerktechniker und langsam gehen mir als Student die Ideen aus.

    Ich möchte Folgendes realisieren:
    Ziel Ich möchte von extern über die Fritzbox von meinen Eltern daheim über einen VPN-Tunnel in das Subnetz meiner Fritzbox weitergeleitet werden, um von meiner Fritzbox auf meine NAS zugreifen zu können.
    Der gedachte Weg ist demnach folgender:
    - Über dynDNS auf die Fritzbox meiner Eltern zugreifen
    - Über entsprechende Weiterleitung (Port oder Routing -- keine Ahnung) auf meine Fritzbox weitergeleitet werden
    - Über Portweiterleiung auf meine NAS weitergeleitet werden
    - Und somit von außen Zugriff auf meine NAS zu haben
    (Der Weg ist leider so kompliziert, weil ich in einem Wohnheim wohne und in meinem Zimmer nur eine Subnetz über meine eigene Fritzbox mit IPv4 aufbauen kann. Eine klassische Portweiterleitung über mehrere Router kommt somit nicht in Frage)

    Aktuelles Problem ist,
    dass ich einfach nicht von einem in das andere Subnetz zugreifen kann wenn ich die VPN Verbindung stehen habe.

    Die Eckdaten:
    Die Fritzbox meiner Eltern:
    Fritzbox 7580 hängt direkt am Anbieter und bekommt dynamische IPv4-Adresse
    Subnet 255.255.255.0
    IP: 192.168.67.99
    DHCP: 192.168.67.20 bis 192.168.67.80

    Meine Box:
    Fritzbox 3390 hängt im Wohnheim hinter einer anderen Fritzbox direkt am Anbieter hängt und ebenfalls eine dynamische IPv4-Adresse bekommt. Ich bin mit meiner Fritzbox allerdings in einem eigenen Subnetz und vergebe eigene IP´s über meine DHCP in meinem Subnetz.
    Subnet 255.255.255.0
    IP: 192.168.98.1
    DHCP: 192.168.67.20 bis 192.168.67.200

    Der VPN
    wurde nach der Standard-Anleitung von AVM
    (https://en.avm.de/service/vpn/how-to-tips/setting-up-a-vpn-connection-between-two-fritzbox-networks/)
    erstellt und funktioniert nicht wie es soll mit der MyFRITZ!-Internetzugang Domain.
    Es wurde außerdem schon versucht eine eigene config-Datei zu erstellen und hochzuladen für die VPN-Verbindungen, was leider auch damit geendet hat, dass keine VPN-Verbindung aufgebaut wurde. (Wie diese aussah anbei!)


    Wo können meine Fehler liegen? Ist mein Ansatz überhaupt umsetzbar?
    Danke für eure Hilfe!



    Diese Config wurde bei meiner Fritzbox im Wohnheim eingebunden und bei meinen Eltern die selbe wobei die Stellen local und remote id sowie phase2local und phase2remote id miteinander vertauscht wurden damit alles passt!




    vpncfg {
    connections {
    enabled = yes;
    editable = yes;
    conn_type = conntype_lan;
    name = "From Nik to P22";
    always_renew = yes;
    reject_not_encrypted = no;
    dont_filter_netbios = yes;
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = 0.0.0.0;
    remote_virtualip = 0.0.0.0;
    localid {
    fqdn = "meine dyndns-Adresse für Fritzbox 3390";
    }
    remoteid {
    fqdn = "die dyndns-Adresse meiner Eltern für 7580";
    }
    mode = phase1_mode_aggressive;
    phase1ss = "all/all/all";
    keytype = connkeytype_pre_shared;
    key = "Der shared-Secret";
    cert_do_server_auth = no;
    use_nat_t = yes;
    use_xauth = no;
    use_cfgmode = no;
    phase2localid {
    ipnet {
    ipaddr = 192.168.98.0;
    mask = 255.255.0.0;
    }
    }
    phase2remoteid {
    ipnet {
    ipaddr = 192.168.67.0;
    mask = 255.255.0.0;
    }
    }
    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
    accesslist = "permit ip any 192.168.98.0 255.255.0.0",
    "permit ip any 192.168.67.0 255.255.0.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
    }


    // EOF
     
  2. shirocco88

    shirocco88 Routinier

    Registriert seit:
    28. Dezember 2017
    Beiträge:
    102
    Punkte für Erfolge:
    18
    #2 shirocco88, 27. Dezember 2018
    Zuletzt bearbeitet: 27. Dezember 2018
    nach welcher Anleitung bist Du vorgegangen ?
    was hast Du bei der "eigenen config-Datei" gegenüber der Default-Config-Datei (per Web-Interface erstellt) geändert ? Bitte Beschreibung welche Direktive mit welcher Zielsetzung geändert wurde.

    Die beigefügte Config sieht irgendwie "verbogen" aus:
    die Subnet-Masks sind falsch;
    auch ist die accesslist falsch;
    Ist dies eine "Public IPv4-Adresse" ? oder ist dies ein DS-Lite/AFTR Anschluß ?
    Voraussetzung: mindestens eine VPN-Seite benötigt einen non-shared Public-IPv4-Adresse, sonst geht IPsec-VPN nicht.
     
  3. shszieg

    shszieg Starter

    Registriert seit:
    26. Dezember 2018
    Beiträge:
    4
    Punkte für Erfolge:
    1
    Das ist der Fall bei der Fritzbox meiner Eltern daheim. Meine bekommt keine direkte da sie im Wohnheim hinter einer anderen Fritzbox hängt. Die Config wurde nach keinem wirklichen Muster erstellt. Ich habe mehr ausprobiert. So auch Subnetz-Maske 255.255.0.0, als Versuch um im Netz von Subnetz 98 auf Subnetz 67 zugreifen zu können. Die Überlegung dahinter was, dass bei der normalen Subnetz-Maske 255.255.255.0 nur die letzten drei Stellen nicht maskiert werden und ich somit nicht auf ein anderes Subnetz zugreifen kann das die Stellen wo die 67 oder 98 stehen maskiert werden.

    Wenn ich die Config nach dem normalen Schema konfiguriere, habe ich zum Beispiel das Problem das meine Fritzbox im Wohnheim nicht über die SUBDOMAIN.myfritz.net errreichbar ist und mir folgende Fehlermeldung wirft....

    Ist das das Problem ? Und dementsprechend: Welche Adresse muss ich bei meiner Box im Wohnheim in der VPN-config unter
    Code:
    localid {
                                   fqdn = "EIGENE_SUBDOMAIN.myfritz.net"; 
                                 }
    einrichten, damit das Ganze hinhauen kann? (unter der Adresse ist die Box ja nicht erreichbar)
     
  4. shszieg

    shszieg Starter

    Registriert seit:
    26. Dezember 2018
    Beiträge:
    4
    Punkte für Erfolge:
    1
    Normal würde ich die Config nach folgendem Muster erstellen. Nur bin ich mir bei meiner Situation an folgenden Stellen unsicher:
    - fqdn = "EIGENE_SUBDOMAIN.myfritz.net"; (da die Fritzbox unter der Subdomain nicht erreichbar ist, da Sie hinter einer weiteren Box hängt.)
    - mask = 255.255.255.0;
    accesslist = "permit ip any 192.168.21.0 255.255.255.0";
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
    (da ich ja vom .67-Subnetz in das .98-Subnetz zugreifen will und eine Portweiterleitung oder ein Routing einrichten will, um am Ende auf meiner Box zu landen.)



    Code:
    vpncfg {
            connections {
                         enabled = yes;
                         conn_type = conntype_lan;
                         name = "AnzeigeName_Gegenstelle";       | <- ÄNDERN
                         always_renew = no;
                         reject_not_encrypted = no;
                         dont_filter_netbios = no;
                         localip = 0.0.0.0;
                         local_virtualip = 0.0.0.0;
                         remoteip = 0.0.0.0;
                         remote_virtualip = 0.0.0.0;
                         remotehostname = "FREMDE_SUBDOMAIN.myfritz.net";   | <- ÄNDERN
                         localid {
                                   fqdn = "EIGENE_SUBDOMAIN.myfritz.net";   | <- ÄNDERN
                                 }
                         remoteid {
                                   fqdn = "FREMDE_SUBDOMAIN.myfritz.net";   | <- ÄNDERN
                                  }
                         mode = phase1_mode_aggressive;
                         phase1ss = "all/all/all";
                         keytype = connkeytype_pre_shared;
                         key = "GEHEIM";               | <- PSK ÄNDERN
                         cert_do_server_auth = no;
                         use_nat_t = yes;
                         use_xauth = no;
                         use_cfgmode = no;
                         phase2localid {
                                        ipnet {
                                               ipaddr = 192.168.98.0;   | <- Eigenes Netzwerk ANPASSEN
                                               mask = 255.255.255.0;
                                              }
                                       }
                         phase2remoteid {
                                         ipnet {
                                                ipaddr = 192.168.67.0;   | <- Fremdes Netzwerk ANPASSEN
                                                mask = 255.255.255.0;
                                               }
                                        }
                         phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                         accesslist = "permit ip any 192.168.67.0 255.255.255.0";   | <- Fremdes Netzwerk und Subnetzmaske ANPASSEN
                        }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
           }
    
    // EOF
     
  5. shirocco88

    shirocco88 Routinier

    Registriert seit:
    28. Dezember 2017
    Beiträge:
    102
    Punkte für Erfolge:
    18
    #5 shirocco88, 27. Dezember 2018
    Zuletzt bearbeitet: 27. Dezember 2018
    Bitte anderen DynDNS-Provider nutzen, der die richtige öffentliche IP automatisch erkennt;
    z.B. http://freedns.afraid.org/
    oder die MyFritz-DynDNS-Adresse der vorgelagerten Fritzbox.

    Bitte die Out-of-Box Config verwenden und dann die Direktiven "remotehostname", "keepalive_ip"
    wie hier beschrieben.
     
  6. shszieg

    shszieg Starter

    Registriert seit:
    26. Dezember 2018
    Beiträge:
    4
    Punkte für Erfolge:
    1
    Meine kaskadierte Fritzbox im Wohnheim lässt sich aber doch über eine DynDNS aufgrund der Kaskade nicht erreichen. Oder liege ich da falsch ?
    - Auf alle Fälle funktioniert es nicht über den Service von MyFritz und bei dem unabhängigen Anbieter Spdns.eu kann ich meine Fritzbox auch nicht erreichen