Lancom und Fritzbox VPN geht aber...

[do1emu]

Hallo zusammen,

vorerst vielen Dank, dass ihr euch die Zeit nehmt meine Probleme zu erörtern

Wir haben einen Lancon 1781A (10.10.0.1) in der Firma und ich habe zu Hause eine Fritzbox 7490 (192.168.157.1). Die VPN steht und die Geräte 192.168.157.0/24 können den Lancom pingen. Die Geräte in der Firma können die Fritzbox nicht pingen aber die sind ja auch in einen anderen Subnetz.
Also an dem Lancom ist ein HP-Switch angeschlossen 10.10.0.254 der wiederum die 192.168.102.0/24 und 192.168.7.0/24 (VLAN für Telefone) routet.

Die Traceroute auf einem Firmenpc zu meiner Fritzbox:

192.168.102.254 -> 10.10.0.1 -> Internet

Hä? Wo muss ich dem Lancom sagen, dass er das bitte via die VPN routen muss?

Traceroute von einem Heimpc zu einem Firmenpc:
1 <1 ms <1 ms <1 ms fritz.box [192.168.157.1]
2 10.10.0.1 meldet: Zielhost nicht erreichbar.

Ich denke mal die Firewallregel im Lancom, die ich habe ist falsch!?

Ich habe die Vernetzung nach dieser Anleitung gemacht: https://www2.lancom.de/kb.nsf/1275/80B7 ... enDocument

Wäre dankbar für jede Hilfe

[GrandDixence]

Hä? Wo muss ich dem Lancom sagen, dass er das bitte via die VPN routen muss?

Mittels Eintrag in der Routing-Tabelle. Siehe:

http://www.lancom-forum.de/fragen-zum-t ... 16213.html

[do1emu]

so wie unter 1.20 im Tutorial beschrieben und auch hier erfolgt ist oder noch eine Zweite?

[do1emu]

ok, vielen Dank für den Hinweis... da war tatsächlich ein Fehler in der Route.

sieht jetz so aus:

lancom_route.PNG

Jetzt kann ich aus dem Firmennetzwerk die Fritzbox inkl. aller an ihr angeschlossenen Geräte pingen!
Aber aus dem Fritznetzwerk komme ich immer noch nur bis zum Lancom aber ich erreiche kein Gerät dahinter. Weder die Netze 192.168.102.0/24 noch 192.168.7.0/24 noch PPTP clients die im Sleben Subnetz wie der Router sind.

Ich erhalte immer "Zielhost nicht erreichbar"

[GrandDixence]

IPSec lässt nur IP-Datenpakete durch den VPN-Tunnel, deren Quell-IP-Adresse und Ziel-IP-Adresse in der Security Association (SA) aufgeführt sind. Hier fehlt wohl die Konfiguration der entsprechenden IP-Adressen in der VPN-Konfiguration der Fritzbox. Im LANCOM wird dies unter:

/Setup/VPN/Netzwerkregeln/IPv4-Regeln
/Setup/VPN/IKEv2/Gegenstellen/IPv4-Regeln

von Hand konfiguriert. Was sagt:

Code: Alles auswählen

show vpn sadb

[do1emu]

Danke für diesen Stichpunkt, das werde ich mir genau anschauen. Hier die Antwort auf deine Frage

Code: Alles auswählen

 Peer FRITZ_VPN_EK, phase 1 ikev1
Flags 0x00100001   Ready
   VLAN-ID 0, HW switch port 0, Routing-tag 0, Com-channel 1
   Dead Peer Detection active
   authentication method: preshared key (1)
   encryption AES_CBC_256   hash SHA1
   initiator cookie: 0x62bc5f97cbc6fcda
   responder cookie: 0xba691365bdee05b8
   life secs 3600 rekeying_in 839 secs life_cnt_sec 1199 secs kb 0 byte_cnt 0
   initiator id: fritzbox, responder id: lancom,
   src: 217.*.*.* dst: 91.*.*.*

SA: Peer FRITZ_VPN_EK, Rule ipsec-0-FRITZ_VPN_EK-pr0-l0-r0 phase 2 ikev1
Flags 0x00001001   Ready
   VLAN-ID 0, HW switch port 0, Routing-tag 0, Com-channel 1
   life secs 3600 rekeying_in 841 secs life_cnt_sec 1201 secs kb 0 byte_cnt 0
   initiator id: fritzbox, responder id: lancom,
   src: 217.*.*.* dst: 91.*.*.*
   10.10.0.0/24 <-> 192.168.157.0/24
   proposal 1 protocol IPSEC_ESP algorithm AES_CBC_256 hash HMAC-SHA1
     spi[outgoing]   0x26f4f3e4
     spi[incoming]   0xd2a431b6

[do1emu]

In der Fritzbox VPN-Konf

steht das ja drin:

Code: Alles auswählen

accesslist = "permit ip any 10.10.0.0 255.255.255.0",
                             "permit ip any 192.168.102.0 255.255.255.0",
                             "permit ip any 192.168.7.0 255.255.255.0";

daher glaube ich, dass die Fritzbox auch alles sauber durch die VPN routet und nur der Lancom sagt dann "Zielhost nicht erreichbar"

Aus dem Firmennetz kann ich ja alle Geräte erreichen aber von zu Hause halt nur den Lancom-Router!

Code: Alles auswählen

Routenverfolgung zu 192.168.102.5 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  fritz.box [192.168.157.1]
  2  10.10.0.1  meldet: Zielhost nicht erreichbar.

Ablaufverfolgung beendet.

[GrandDixence]

Code: Alles auswählen

 Peer FRITZ_VPN_EK, phase 1 ikev1
   10.10.0.0/24 <-> 192.168.157.0/24

Das LANCOM-Gerät ist so konfiguriert, dass das Fritzbox-Netzwerk (192.168.157.0/24) durch den VPN-Tunnel nur das LANCOM-Netzwerk 10.10.0.0/24 erreichen kann (und umgekehrt).

Durch diese Konfiguration ist es nicht möglich, IP-Adressen ausserhalb 10.10.0.0/24 vom Fritzbox-Netzwerk aus über den VPN-Tunnel zu erreichen.

Geräte im LANCOM-Netzwerk mit einer IP-Adresse auserhalb 10.10.0.0/24 können den VPN-Tunnel nicht nutzen und erreichen somit auch keine Geräte im Fritzbox-Netzwerk.

Wie man diese Fehlkonfiguration korrigiert, habe ich bereits mitgeteilt.

[do1emu]

vielen Dank bis hier her, ich bin einen Schritt weiter:

Code: Alles auswählen

> show vpn sadb

SA-REPORT

SA: Peer FRITZ_VPN_EK, phase 1 ikev1
Flags 0x00000001   Ready
   VLAN-ID 0, HW switch port 0, Routing-tag 0, Com-channel 1
   Dead Peer Detection passive
   authentication method: preshared key (1)
   encryption AES_CBC_256   hash SHA1
   initiator cookie: 0x084553444f99475a
   responder cookie: 0x3496594946d56a43
   life secs 3600 rekeying_in 2078 secs life_cnt_sec 2438 secs kb 0 byte_cnt 0
   initiator id: fritzbox, responder id: lancom,
   src: 217.*.*.* dst: 80.*.*.*

SA: Peer FRITZ_VPN_EK, Rule ipsec-2-FRITZ_VPN_EK-pr0-l0-r0 phase 2 ikev1
Flags 0x00000001   Ready
   VLAN-ID 0, HW switch port 0, Routing-tag 0, Com-channel 1
   life secs 3600 rekeying_in 2778 secs life_cnt_sec 3498 secs kb 2000000 byte_cnt 1768
   initiator id: fritzbox, responder id: lancom,
   src: 217.*.*.* dst: 80.*.*.*
   192.168.102.0/24 <-> 192.168.157.0/24
   proposal 1 protocol IPSEC_ESP algorithm AES_CBC_256 hash HMAC-SHA1
     spi[outgoing]   0x3284c5d6
     spi[incoming]   0xc8cf239b

SA: Peer FRITZ_VPN_EK, Rule ipsec-0-FRITZ_VPN_EK-pr0-l0-r0 phase 2 ikev1
Flags 0x00000001   Ready
   VLAN-ID 0, HW switch port 0, Routing-tag 0, Com-channel 1
   life secs 3600 rekeying_in 2789 secs life_cnt_sec 3509 secs kb 2000000 byte_cnt 960
   initiator id: fritzbox, responder id: lancom,
   src: 217.*.*.* dst: 80.*.*.*
   10.10.0.0/24 <-> 192.168.157.0/24
   proposal 1 protocol IPSEC_ESP algorithm AES_CBC_256 hash HMAC-SHA1
     spi[outgoing]   0x86b38444
     spi[incoming]   0xab523af4

SA: Peer FRITZ_VPN_EK, Rule ipsec-1-FRITZ_VPN_EK-pr0-l0-r0 phase 2 ikev1
Flags 0x00000001   Ready
   VLAN-ID 0, HW switch port 0, Routing-tag 0, Com-channel 1
   life secs 3600 rekeying_in 2785 secs life_cnt_sec 3505 secs kb 2000000 byte_cnt 0
   initiator id: fritzbox, responder id: lancom,
   src: 217.*.*.* dst: 80.*.*.*
   192.168.7.0/24 <-> 192.168.157.0/24
   proposal 1 protocol IPSEC_ESP algorithm AES_CBC_256 hash HMAC-SHA1
     spi[outgoing]   0x6e7d687e
     spi[incoming]   0xd3458364

trotzdem kann ich nicht alle IPs pingen bzw ich erhalte sehr hohe Pings und nur 1 von 4 Paketen kommt durch. Da ist noch irgendwo was faul...

Wenn ich was umstelle, dann muss ich immer einige Minuten warten bis die Umstellung jede "Ecke" des Routers erreicht hat habe ich das Gefühl. Nochmal die Frage IKEv2 ist aber hier für mich uninteressant, da ich mit IKEv1 arbeite!?

EDIT: haha ich habe mich verschrieben xD konnte 191.168.102.x pingen aber aus dem Firmennetzt immernoch gar keine IP... und habe die Regel oben für 10.10.0.0 ergänzt die war nach den Regeländerungen dann erst weg

[do1emu]

Ok, für alle die mal ein ähnliches Problem haben, die Lösung ist echt einfach

Also zuerst ist es egal ob man die SA-Regeln in der Firewall direkt anlegt oder aber unter VPN -> Allgemein -> Netzwerkregeln dies tut und diese Regeln dann der Verbindung zuordnet. Damitman von Extern auch das Firmennetz erreicht muss natürlich noch eine normale Firewall-Regel angelegt werden "Diese Regel ist für die Firewall aktiv", die dann die Pakete von Quelle VPN-Verbindung zu "beliebig" akzepiert. Diese Regel hattee ich zwar testweise auch mal drin aber mit der falschen Prio, sodass sie nie gegriffen hat!

Danke an alle für die Hilfe!