Lancom und Fritzbox VPN geht aber...
Moderator: Lancom-Systems Moderatoren
Lancom und Fritzbox VPN geht aber...
Hallo zusammen,
vorerst vielen Dank, dass ihr euch die Zeit nehmt meine Probleme zu erörtern
Wir haben einen Lancon 1781A (10.10.0.1) in der Firma und ich habe zu Hause eine Fritzbox 7490 (192.168.157.1). Die VPN steht und die Geräte 192.168.157.0/24 können den Lancom pingen. Die Geräte in der Firma können die Fritzbox nicht pingen aber die sind ja auch in einen anderen Subnetz.
Also an dem Lancom ist ein HP-Switch angeschlossen 10.10.0.254 der wiederum die 192.168.102.0/24 und 192.168.7.0/24 (VLAN für Telefone) routet.
Die Traceroute auf einem Firmenpc zu meiner Fritzbox:
192.168.102.254 -> 10.10.0.1 -> Internet
Hä? Wo muss ich dem Lancom sagen, dass er das bitte via die VPN routen muss?
Traceroute von einem Heimpc zu einem Firmenpc:
1 <1 ms <1 ms <1 ms fritz.box [192.168.157.1]
2 10.10.0.1 meldet: Zielhost nicht erreichbar.
Ich denke mal die Firewallregel im Lancom, die ich habe ist falsch!?
Ich habe die Vernetzung nach dieser Anleitung gemacht: https://www2.lancom.de/kb.nsf/1275/80B7 ... enDocument
Wäre dankbar für jede Hilfe
vorerst vielen Dank, dass ihr euch die Zeit nehmt meine Probleme zu erörtern
Wir haben einen Lancon 1781A (10.10.0.1) in der Firma und ich habe zu Hause eine Fritzbox 7490 (192.168.157.1). Die VPN steht und die Geräte 192.168.157.0/24 können den Lancom pingen. Die Geräte in der Firma können die Fritzbox nicht pingen aber die sind ja auch in einen anderen Subnetz.
Also an dem Lancom ist ein HP-Switch angeschlossen 10.10.0.254 der wiederum die 192.168.102.0/24 und 192.168.7.0/24 (VLAN für Telefone) routet.
Die Traceroute auf einem Firmenpc zu meiner Fritzbox:
192.168.102.254 -> 10.10.0.1 -> Internet
Hä? Wo muss ich dem Lancom sagen, dass er das bitte via die VPN routen muss?
Traceroute von einem Heimpc zu einem Firmenpc:
1 <1 ms <1 ms <1 ms fritz.box [192.168.157.1]
2 10.10.0.1 meldet: Zielhost nicht erreichbar.
Ich denke mal die Firewallregel im Lancom, die ich habe ist falsch!?
Ich habe die Vernetzung nach dieser Anleitung gemacht: https://www2.lancom.de/kb.nsf/1275/80B7 ... enDocument
Wäre dankbar für jede Hilfe
-
- Beiträge: 1060
- Registriert: 19 Aug 2014, 22:41
Re: Lancom und Fritzbox VPN geht aber...
Mittels Eintrag in der Routing-Tabelle. Siehe:do1emu hat geschrieben:Hä? Wo muss ich dem Lancom sagen, dass er das bitte via die VPN routen muss?
http://www.lancom-forum.de/fragen-zum-t ... 16213.html
Re: Lancom und Fritzbox VPN geht aber...
so wie unter 1.20 im Tutorial beschrieben und auch hier erfolgt ist oder noch eine Zweite?
Re: Lancom und Fritzbox VPN geht aber...
ok, vielen Dank für den Hinweis... da war tatsächlich ein Fehler in der Route.
sieht jetz so aus: Jetzt kann ich aus dem Firmennetzwerk die Fritzbox inkl. aller an ihr angeschlossenen Geräte pingen!
Aber aus dem Fritznetzwerk komme ich immer noch nur bis zum Lancom aber ich erreiche kein Gerät dahinter. Weder die Netze 192.168.102.0/24 noch 192.168.7.0/24 noch PPTP clients die im Sleben Subnetz wie der Router sind.
Ich erhalte immer "Zielhost nicht erreichbar"
sieht jetz so aus: Jetzt kann ich aus dem Firmennetzwerk die Fritzbox inkl. aller an ihr angeschlossenen Geräte pingen!
Aber aus dem Fritznetzwerk komme ich immer noch nur bis zum Lancom aber ich erreiche kein Gerät dahinter. Weder die Netze 192.168.102.0/24 noch 192.168.7.0/24 noch PPTP clients die im Sleben Subnetz wie der Router sind.
Ich erhalte immer "Zielhost nicht erreichbar"
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
- Beiträge: 1060
- Registriert: 19 Aug 2014, 22:41
Re: Lancom und Fritzbox VPN geht aber...
IPSec lässt nur IP-Datenpakete durch den VPN-Tunnel, deren Quell-IP-Adresse und Ziel-IP-Adresse in der Security Association (SA) aufgeführt sind. Hier fehlt wohl die Konfiguration der entsprechenden IP-Adressen in der VPN-Konfiguration der Fritzbox. Im LANCOM wird dies unter:
/Setup/VPN/Netzwerkregeln/IPv4-Regeln
/Setup/VPN/IKEv2/Gegenstellen/IPv4-Regeln
von Hand konfiguriert. Was sagt:
/Setup/VPN/Netzwerkregeln/IPv4-Regeln
/Setup/VPN/IKEv2/Gegenstellen/IPv4-Regeln
von Hand konfiguriert. Was sagt:
Code: Alles auswählen
show vpn sadb
Re: Lancom und Fritzbox VPN geht aber...
Danke für diesen Stichpunkt, das werde ich mir genau anschauen. Hier die Antwort auf deine Frage
Code: Alles auswählen
Peer FRITZ_VPN_EK, phase 1 ikev1
Flags 0x00100001 Ready
VLAN-ID 0, HW switch port 0, Routing-tag 0, Com-channel 1
Dead Peer Detection active
authentication method: preshared key (1)
encryption AES_CBC_256 hash SHA1
initiator cookie: 0x62bc5f97cbc6fcda
responder cookie: 0xba691365bdee05b8
life secs 3600 rekeying_in 839 secs life_cnt_sec 1199 secs kb 0 byte_cnt 0
initiator id: fritzbox, responder id: lancom,
src: 217.*.*.* dst: 91.*.*.*
SA: Peer FRITZ_VPN_EK, Rule ipsec-0-FRITZ_VPN_EK-pr0-l0-r0 phase 2 ikev1
Flags 0x00001001 Ready
VLAN-ID 0, HW switch port 0, Routing-tag 0, Com-channel 1
life secs 3600 rekeying_in 841 secs life_cnt_sec 1201 secs kb 0 byte_cnt 0
initiator id: fritzbox, responder id: lancom,
src: 217.*.*.* dst: 91.*.*.*
10.10.0.0/24 <-> 192.168.157.0/24
proposal 1 protocol IPSEC_ESP algorithm AES_CBC_256 hash HMAC-SHA1
spi[outgoing] 0x26f4f3e4
spi[incoming] 0xd2a431b6
Re: Lancom und Fritzbox VPN geht aber...
In der Fritzbox VPN-Konf
steht das ja drin:
daher glaube ich, dass die Fritzbox auch alles sauber durch die VPN routet und nur der Lancom sagt dann "Zielhost nicht erreichbar"
Aus dem Firmennetz kann ich ja alle Geräte erreichen aber von zu Hause halt nur den Lancom-Router!
steht das ja drin:
Code: Alles auswählen
accesslist = "permit ip any 10.10.0.0 255.255.255.0",
"permit ip any 192.168.102.0 255.255.255.0",
"permit ip any 192.168.7.0 255.255.255.0";
Aus dem Firmennetz kann ich ja alle Geräte erreichen aber von zu Hause halt nur den Lancom-Router!
Code: Alles auswählen
Routenverfolgung zu 192.168.102.5 über maximal 30 Hops
1 <1 ms <1 ms <1 ms fritz.box [192.168.157.1]
2 10.10.0.1 meldet: Zielhost nicht erreichbar.
Ablaufverfolgung beendet.
-
- Beiträge: 1060
- Registriert: 19 Aug 2014, 22:41
Re: Lancom und Fritzbox VPN geht aber...
Das LANCOM-Gerät ist so konfiguriert, dass das Fritzbox-Netzwerk (192.168.157.0/24) durch den VPN-Tunnel nur das LANCOM-Netzwerk 10.10.0.0/24 erreichen kann (und umgekehrt).do1emu hat geschrieben:Code: Alles auswählen
Peer FRITZ_VPN_EK, phase 1 ikev1 10.10.0.0/24 <-> 192.168.157.0/24
Durch diese Konfiguration ist es nicht möglich, IP-Adressen ausserhalb 10.10.0.0/24 vom Fritzbox-Netzwerk aus über den VPN-Tunnel zu erreichen.
Geräte im LANCOM-Netzwerk mit einer IP-Adresse auserhalb 10.10.0.0/24 können den VPN-Tunnel nicht nutzen und erreichen somit auch keine Geräte im Fritzbox-Netzwerk.
Wie man diese Fehlkonfiguration korrigiert, habe ich bereits mitgeteilt.
Re: Lancom und Fritzbox VPN geht aber...
vielen Dank bis hier her, ich bin einen Schritt weiter:
trotzdem kann ich nicht alle IPs pingen bzw ich erhalte sehr hohe Pings und nur 1 von 4 Paketen kommt durch. Da ist noch irgendwo was faul...
Wenn ich was umstelle, dann muss ich immer einige Minuten warten bis die Umstellung jede "Ecke" des Routers erreicht hat habe ich das Gefühl. Nochmal die Frage IKEv2 ist aber hier für mich uninteressant, da ich mit IKEv1 arbeite!?
EDIT: haha ich habe mich verschrieben xD konnte 191.168.102.x pingen aber aus dem Firmennetzt immernoch gar keine IP... und habe die Regel oben für 10.10.0.0 ergänzt die war nach den Regeländerungen dann erst weg
Code: Alles auswählen
> show vpn sadb
SA-REPORT
SA: Peer FRITZ_VPN_EK, phase 1 ikev1
Flags 0x00000001 Ready
VLAN-ID 0, HW switch port 0, Routing-tag 0, Com-channel 1
Dead Peer Detection passive
authentication method: preshared key (1)
encryption AES_CBC_256 hash SHA1
initiator cookie: 0x084553444f99475a
responder cookie: 0x3496594946d56a43
life secs 3600 rekeying_in 2078 secs life_cnt_sec 2438 secs kb 0 byte_cnt 0
initiator id: fritzbox, responder id: lancom,
src: 217.*.*.* dst: 80.*.*.*
SA: Peer FRITZ_VPN_EK, Rule ipsec-2-FRITZ_VPN_EK-pr0-l0-r0 phase 2 ikev1
Flags 0x00000001 Ready
VLAN-ID 0, HW switch port 0, Routing-tag 0, Com-channel 1
life secs 3600 rekeying_in 2778 secs life_cnt_sec 3498 secs kb 2000000 byte_cnt 1768
initiator id: fritzbox, responder id: lancom,
src: 217.*.*.* dst: 80.*.*.*
192.168.102.0/24 <-> 192.168.157.0/24
proposal 1 protocol IPSEC_ESP algorithm AES_CBC_256 hash HMAC-SHA1
spi[outgoing] 0x3284c5d6
spi[incoming] 0xc8cf239b
SA: Peer FRITZ_VPN_EK, Rule ipsec-0-FRITZ_VPN_EK-pr0-l0-r0 phase 2 ikev1
Flags 0x00000001 Ready
VLAN-ID 0, HW switch port 0, Routing-tag 0, Com-channel 1
life secs 3600 rekeying_in 2789 secs life_cnt_sec 3509 secs kb 2000000 byte_cnt 960
initiator id: fritzbox, responder id: lancom,
src: 217.*.*.* dst: 80.*.*.*
10.10.0.0/24 <-> 192.168.157.0/24
proposal 1 protocol IPSEC_ESP algorithm AES_CBC_256 hash HMAC-SHA1
spi[outgoing] 0x86b38444
spi[incoming] 0xab523af4
SA: Peer FRITZ_VPN_EK, Rule ipsec-1-FRITZ_VPN_EK-pr0-l0-r0 phase 2 ikev1
Flags 0x00000001 Ready
VLAN-ID 0, HW switch port 0, Routing-tag 0, Com-channel 1
life secs 3600 rekeying_in 2785 secs life_cnt_sec 3505 secs kb 2000000 byte_cnt 0
initiator id: fritzbox, responder id: lancom,
src: 217.*.*.* dst: 80.*.*.*
192.168.7.0/24 <-> 192.168.157.0/24
proposal 1 protocol IPSEC_ESP algorithm AES_CBC_256 hash HMAC-SHA1
spi[outgoing] 0x6e7d687e
spi[incoming] 0xd3458364
Wenn ich was umstelle, dann muss ich immer einige Minuten warten bis die Umstellung jede "Ecke" des Routers erreicht hat habe ich das Gefühl. Nochmal die Frage IKEv2 ist aber hier für mich uninteressant, da ich mit IKEv1 arbeite!?
EDIT: haha ich habe mich verschrieben xD konnte 191.168.102.x pingen aber aus dem Firmennetzt immernoch gar keine IP... und habe die Regel oben für 10.10.0.0 ergänzt die war nach den Regeländerungen dann erst weg
Re: Lancom und Fritzbox VPN geht aber...
Ok, für alle die mal ein ähnliches Problem haben, die Lösung ist echt einfach
Also zuerst ist es egal ob man die SA-Regeln in der Firewall direkt anlegt oder aber unter VPN -> Allgemein -> Netzwerkregeln dies tut und diese Regeln dann der Verbindung zuordnet. Damitman von Extern auch das Firmennetz erreicht muss natürlich noch eine normale Firewall-Regel angelegt werden "Diese Regel ist für die Firewall aktiv", die dann die Pakete von Quelle VPN-Verbindung zu "beliebig" akzepiert. Diese Regel hattee ich zwar testweise auch mal drin aber mit der falschen Prio, sodass sie nie gegriffen hat!
Danke an alle für die Hilfe!
Also zuerst ist es egal ob man die SA-Regeln in der Firewall direkt anlegt oder aber unter VPN -> Allgemein -> Netzwerkregeln dies tut und diese Regeln dann der Verbindung zuordnet. Damitman von Extern auch das Firmennetz erreicht muss natürlich noch eine normale Firewall-Regel angelegt werden "Diese Regel ist für die Firewall aktiv", die dann die Pakete von Quelle VPN-Verbindung zu "beliebig" akzepiert. Diese Regel hattee ich zwar testweise auch mal drin aber mit der falschen Prio, sodass sie nie gegriffen hat!
Danke an alle für die Hilfe!