 |
|
|
|
| Autor |
Nachricht |
DerSenator
Anmeldungsdatum: 05.09.2007
Beiträge: 6
|
 Verfasst am:
Do 28 Apr, 2011 13:04 |
  |
|
Hallo,
ich habe Probleme mit dem Routing über mehrere Netze bei der VPN Verbindung zwischen einer Fritzbox und einem Lancom Router.
Nachdem ich jetzt 2 Tage Foren gelesen und getestet habe schildere ich hier einmal mein Problem, in der Hoffnung das mir geholfen werden kann.
Aufbau:
Filiale:
Fritzbox 7170
IP: 192.16.112.199
Netz: 192.16.112.0 255.255.255.0
Zentrale
Lancom 8011
IP: 172.16.112.5
Netz: 172.16.112.0 255.255.255.0
Weiteres Netz der Zentrale
172.16.8.0 255.255.255.0
Konfiguration Fritzbox
Feste Route: 172.16.8.0 255.255.255.0 172.16.112.5
Auszug aus Fitzbox.cfg
| Code:
|
accesslist = "permit ip 192.168.112.0 255.255.255.0 172.16.112.0 255.255.255.0",
"permit ip 192.168.112.0 255.255.255.0 172.16.8.0 255.255.255.0",
"permit ip 172.16.112.0 255.255.255.0 192.168.112.0 255.255.255.0",
"permit ip 172.16.8.0 255.255.255.0 192.168.112.0 255.255.255.0";
|
Konfiguration Zentrale
feste Route: 192.168.112.0 255.255.255.0 Filialrouter
Firewall: access = alle Station an Filialrouter
Problem
Einen Tracert Befehl aus dem entfernten Zentral Netz (172.16.8.0) in das Filialnetz kommt nur bis zum Zentralrouter 172.16.112.5.
Der ICMP Trace auf dem Zentralrouter gibt hierzu folgendes aus:
| Code:
|
[ICMP] 2011/04/28 12:51:32,756 Devicetime: 2011/04/28 12:51:32,200
ICMP Tx (LAN-1, INTRANET): Dest-IP: 172.16.8.17: Time To Live exceeded
original packet:
DstIP: 192.168.112.20, SrcIP: 172.16.8.17, Len: 92, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0400, seq: 0xe306
|
Die Kommunikation zwischen dem Zentral Netz (172.16.112.0) und dem Filial Netz (192.168.112.0) funktioniert ohne Probleme. Des Weiteren existieren mehrere VPN Verbindungen, die in das 172.16.8.0 Netz routen können.
Kann mir jemand sagen warum die Fritzbox auf Anfragen vom Filial Netz 172.16.8.0 nicht antwortet? Vielen Dank |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Do 28 Apr, 2011 18:34 |
|
|
Hi DerSenator
da dürften die Netzbeziehungen nicht stimmen und das LANCOM versucht eine neue SA auszuhandeln... Und genau damit hat die Fritzbox Probleme - insbesondere, wenn sie die anderen SAs selbst ausgehandelt hat.
Versuche das ganze mal auf ein SA-Päärchen 192.182.112.0/255.255.255.0 <-> 172.16.0.0/255.255.0.0 zu reduzieren - dann dürfte die Fritzbox auch mitspielen. Traffic in andere als die gewünschten Netze kannst du dann immer noch in der Firewall des LANCOMs abblocken
Gruß
Backslash |
|
|
|
|
DerSenator
Anmeldungsdatum: 05.09.2007
Beiträge: 6
|
| Verfasst am:
Fr 29 Apr, 2011 10:04 |
|
|
Hallo backslash und vielen Dank für deine Antwort. Die SAs habe ich auch schon in Verdacht gehabt.
Wenn ich dich richtig verstehe, sollte ich die Fritzbox .cfg wie folgt ändern:
| Code:
|
accesslist = "permit ip 192.168.112.0 255.255.255.0 172.16.0.0 255.255.0.0",
"permit ip 172.16.0.0 255.255.0.0 192.168.112.0 255.255.255.0";
|
Leider bringt dieses keine Erfolg bzw. Änderung.
Zusätzlich habe ich in der Fritzbox die Route 172.16.0.0 255.255.0.0 172.16.112.5 als einzige Route eingerichtet, es macht aber keinen Unterschied ob dieses vorhanden ist oder nicht.
Im Lancom habe ich schon mit den "Aufbau Netzbeziehung" variiert zwischen einzeln und gemeinsam für KeepAlive. Des Weiteren die Regelerzeugung zwischen manuell und automatisch. Siehe Screenshots.
Der einzige erkennbare Unterschied zwischen meinen diversen lancom zu lancom Verbindungen ist, das der Aggressive Modus ausgewählt werden musste.
Noch jemand nie Idee? Kann das Ganze überhaupt funktionieren bzw. gibt es jemanden der dieses schon hin bekommen hat? Im Netz habe ich noch keine Erfolgsmeldungen entdecken können. |
|
|
|
|
DerSenator
Anmeldungsdatum: 05.09.2007
Beiträge: 6
|
| Verfasst am:
Do 19 Mai, 2011 10:56 |
|
|
Hallo backslash,
deine vorherige Antwort war korrekt, ich hatte sie nur falsch interpretiert. Die SA´s werden hier definiert:
phase2remoteid {
ipnet {
ipaddr = 172.16.0.0;
mask = 255.255.0.0;
}
}
und nicht in den Access Listen. Denkfehler von mir.
Somit klappt jetzt auch die Verbindung hervorragend! Danke
Ein Problem gibt es wenn mehrere SAs ausgehandelt werden soll. Ich habe noch das Netz 172.19.1.X hinterm Lancom, welches nicht mit der Maske 255.255.0.0 abgedeckt wird.
phase2remoteid {
ipnet {
ipaddr = 172.16.0.0;
mask = 255.255.0.0;
}
ipnet {
ipaddr = 172.19.1.0;
mask = 255.255.255.0;
}
Handelt immer nur eine SA aus, das andere Netz ist dann nicht erreichbar. Firewall Regeln im Lancom und AVM sind angepasst.
accesslist = "permit ip 10.51.22.0 255.255.255.0 172.16.0.0 255.255.0.0",
"permit ip 10.51.22.0 255.255.255.0 172.19.1.0 255.255.255.0",
"permit ip 172.16.0.0 255.255.0.0 10.51.22.0 255.255.255.0",
"permit ip 172.19.1.0 255.255.255.0 10.51.22.0 255.255.255.0";
Frage: Kann die Fritzbox überhaupt mehrere SAs aushandeln oder ist meine Syntax falsch?
Dieses Netz ist glücklicherweise nicht so wichtig, das ich das Projekt 40 ausländische Filialen anzubinden trotzdem durchführen kann. |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Do 19 Mai, 2011 11:51 |
|
|
Hi DerSenator
| Zitat:
|
|
Ein Problem gibt es wenn mehrere SAs ausgehandelt werden soll. Ich habe noch das Netz 172.19.1.X hinterm Lancom, welches nicht mit der Maske 255.255.0.0 abgedeckt wird.
|
für 172er Netze könntest du auch die Maske 255.240.0.0 nehmen...
| Zitat:
|
|
Frage: Kann die Fritzbox überhaupt mehrere SAs aushandeln oder ist meine Syntax falsch?
|
ich weiss nicht, ob sie das mitlerweile kann, aber zumindest früher hatte sie da mal ganz massiv Probleme mit (dazu gibt es hier im Forum auch ein paar Threads)...
Gruß
Backslash |
|
|
|
|
hagbard21
Anmeldungsdatum: 10.02.2011
Beiträge: 2
|
| Verfasst am:
Mo 27 Jun, 2011 12:36 |
|
|
Hallo Leute,
muss mich jetzt auch mal einklinken, da ich den VPN Tunnel zwischen Fritzbox und Lancom 8011 nur mit einer Netzbeziehung hinbekomme.
Hier erstmal meine .cfg
| Code:
|
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "xxx.xxx.xxx.xxx";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = xxx.xxx.xxx.xxx;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "FRITZBOX";
}
remoteid {
fqdn = "LANCOM8011";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "#####################";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.228.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.223.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip any 192.168.221.0 255.255.255.0",
"permit ip any 192.168.222.0 255.255.255.0",
"permit ip any 192.168.223.0 255.255.255.0",
"permit ip any 192.168.224.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
|
Also mein Problem ist, wenn ich mehrere ipnets bei phase2 eintrage oder statt der 192.168.223.0 die 192.168.0.0 255.255.255.0 nehme, dann kommt der Tunnel nicht zustande. Was genau muss in der VPN Regel im Lancom stehen? Könnte evtl. das Clientsubnetz .228 das Problem sein, da es ja bei ipnet 192.168.0.0 mit drin steckt...? Müßte ich für das Fritz-Netz ein ganz anderes Subnetz wählen, z.B. 172.xxx.xxx.xxx?
Dankbar für jede Hilfe... |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Mi 29 Jun, 2011 12:13 |
|
|
Hi hagbard21,
das beste ist, die Fritzbox zu entsorgen - dann klappt es auch mit VPN...
| Zitat:
|
|
Was genau muss in der VPN Regel im Lancom stehen?
|
Das hängt davon ab, auf welcher Seite sich welche Netze befinden, denn das geht aus deiner Fritzbox-Konfig nicht hervor.
Wenn die weiterern Netze auf der Seite der Fritzbox sind, dann mußt du im LANCOM nur die Route passend umsetzen, also statt des 192.168.228.0/255.255.255.0 Netzes routest du einfach das 192.168.0.0/255.255.0.0-Netz auf den VPN-Tunnel. In der Fritzbox legst du dann als lokale Phase-2-ID das 192.168.0.0/255.255.0.0 Netz an.
Wenn die Netze auf der LANCOM-Seite sind, dann mußt du das dem LANCOM über eine passende VPN-Regel in der Firewall bekannt machen:
| Code:
|
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: 192.168.0.0/255.255.0.0
Ziel: VPN-Gegenstelle
Dienste: alle Dienste
|
In diesem Fall ist das 192.168.0.0/255.255.0.0 Netz für die Fritzbox dann die remote Phase-2-ID
Gruß
Backslash |
|
|
|
|
|
|
|
|
| |
|
|
