Hallo zusammen,
vielleicht weiss von euch jemand, ob es möglich ist, bei einer LAN-LAN-Kopplung zwischen Fritzbox und LANCOM in der Fritzbox mehrere SAs zu konfigurieren. Die SAs wurden im LANCOM in der Firewall als VPN-Regeln angelegt:
Folgender Aufbau:
- Netz auf Fritzbox: 192.168.0.0/24
- Netz auf LANCOM: 192.168.1.0/24
- weiteres über den LANCOM (VPN) erreichbares Netz: 10.0.0.0/16
Das 10.0.0.0/16 Netz soll über die Fritzbox erreicht werden.
Ich habe schon mehrere Versuche unternommen die Konfiguration abzuändern, trotzdem wurde die zweite konfigurierte SA auf dem LANCOM nicht ausgehandelt.
So sah die Änderung des Fritzbox-Konfigurationsfiles bisher aus:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "test.dyndns.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "test.dyndns.org";
localid {
fqdn = "FRITZBOX";
}
remoteid {
fqdn = "LANCOM";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
ipnet {
ipaddr = 10.0.0.0;
mask = 255.255.0.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0",
accesslist = "permit ip any 10.0.0.0 255.255.0.0";
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Danke und Gruß,
dl1xun
mehrere SAs bei VPN-Kopplung Fritzbox <-> LANCOM
Moderator: Lancom-Systems Moderatoren
Hallo,
die Route ins 10.0.0.0er Netz ist natürlich in der Fritzbox eingetragen. Ich sehe im IP-Router-Trace am LANCOM auch Pakete von der Fritzbox an die korrekte Gegenstelle ankommen, jedoch werden diese aufgrund der nicht ausgehandelten Phase2 für das 10er Netz im LANCOM nicht weitergeleitet. Die Fritzbox handelt die Phase2 also nicht korrekt aus. Deswegen stellt sich mir allgemein die Frage, ob die Fritzbox mehrere SAs für eine Gegenstelle aushandeln kann..
die Route ins 10.0.0.0er Netz ist natürlich in der Fritzbox eingetragen. Ich sehe im IP-Router-Trace am LANCOM auch Pakete von der Fritzbox an die korrekte Gegenstelle ankommen, jedoch werden diese aufgrund der nicht ausgehandelten Phase2 für das 10er Netz im LANCOM nicht weitergeleitet. Die Fritzbox handelt die Phase2 also nicht korrekt aus. Deswegen stellt sich mir allgemein die Frage, ob die Fritzbox mehrere SAs für eine Gegenstelle aushandeln kann..