VPN: Fritz!Box <-> Lancom, Routing funktioniert nicht

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
DerSenator
Beiträge: 6
Registriert: 05 Sep 2007, 17:31

VPN: Fritz!Box <-> Lancom, Routing funktioniert nicht

Beitrag von DerSenator »

Hallo,

ich habe Probleme mit dem Routing über mehrere Netze bei der VPN Verbindung zwischen einer Fritzbox und einem Lancom Router.

Nachdem ich jetzt 2 Tage Foren gelesen und getestet habe schildere ich hier einmal mein Problem, in der Hoffnung das mir geholfen werden kann.

Aufbau:

Filiale:
Fritzbox 7170
IP: 192.16.112.199
Netz: 192.16.112.0 255.255.255.0

Zentrale
Lancom 8011
IP: 172.16.112.5
Netz: 172.16.112.0 255.255.255.0

Weiteres Netz der Zentrale
172.16.8.0 255.255.255.0


Konfiguration Fritzbox
Feste Route: 172.16.8.0 255.255.255.0 172.16.112.5
Auszug aus Fitzbox.cfg

Code: Alles auswählen

                accesslist = "permit ip 192.168.112.0 255.255.255.0 172.16.112.0 255.255.255.0", 
                             "permit ip 192.168.112.0 255.255.255.0 172.16.8.0 255.255.255.0", 
                             "permit ip 172.16.112.0 255.255.255.0 192.168.112.0 255.255.255.0", 
                             "permit ip 172.16.8.0 255.255.255.0 192.168.112.0 255.255.255.0";
Konfiguration Zentrale
feste Route: 192.168.112.0 255.255.255.0 Filialrouter
Firewall: access = alle Station an Filialrouter

Problem
Einen Tracert Befehl aus dem entfernten Zentral Netz (172.16.8.0) in das Filialnetz kommt nur bis zum Zentralrouter 172.16.112.5.
Der ICMP Trace auf dem Zentralrouter gibt hierzu folgendes aus:

Code: Alles auswählen

[ICMP] 2011/04/28 12:51:32,756  Devicetime: 2011/04/28 12:51:32,200
ICMP Tx (LAN-1, INTRANET): Dest-IP: 172.16.8.17: Time To Live exceeded 
original packet:
DstIP: 192.168.112.20, SrcIP: 172.16.8.17, Len: 92, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0400, seq: 0xe306
Die Kommunikation zwischen dem Zentral Netz (172.16.112.0) und dem Filial Netz (192.168.112.0) funktioniert ohne Probleme. Des Weiteren existieren mehrere VPN Verbindungen, die in das 172.16.8.0 Netz routen können.

Kann mir jemand sagen warum die Fritzbox auf Anfragen vom Filial Netz 172.16.8.0 nicht antwortet? Vielen Dank
Nach oben
backslash
Moderator
Moderator
Beiträge: 7129
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi DerSenator

da dürften die Netzbeziehungen nicht stimmen und das LANCOM versucht eine neue SA auszuhandeln... Und genau damit hat die Fritzbox Probleme - insbesondere, wenn sie die anderen SAs selbst ausgehandelt hat.

Versuche das ganze mal auf ein SA-Päärchen 192.182.112.0/255.255.255.0 <-> 172.16.0.0/255.255.0.0 zu reduzieren - dann dürfte die Fritzbox auch mitspielen. Traffic in andere als die gewünschten Netze kannst du dann immer noch in der Firewall des LANCOMs abblocken


Gruß
Backslash
Nach oben
DerSenator
Beiträge: 6
Registriert: 05 Sep 2007, 17:31

Beitrag von DerSenator »

Hallo backslash und vielen Dank für deine Antwort. Die SAs habe ich auch schon in Verdacht gehabt.

Wenn ich dich richtig verstehe, sollte ich die Fritzbox .cfg wie folgt ändern:

Code: Alles auswählen

accesslist = "permit ip 192.168.112.0 255.255.255.0 172.16.0.0 255.255.0.0",
                             "permit ip 172.16.0.0 255.255.0.0 192.168.112.0 255.255.255.0";
Leider bringt dieses keine Erfolg bzw. Änderung.

Zusätzlich habe ich in der Fritzbox die Route 172.16.0.0 255.255.0.0 172.16.112.5 als einzige Route eingerichtet, es macht aber keinen Unterschied ob dieses vorhanden ist oder nicht.

Im Lancom habe ich schon mit den "Aufbau Netzbeziehung" variiert zwischen einzeln und gemeinsam für KeepAlive. Des Weiteren die Regelerzeugung zwischen manuell und automatisch. Siehe Screenshots.

Der einzige erkennbare Unterschied zwischen meinen diversen lancom zu lancom Verbindungen ist, das der Aggressive Modus ausgewählt werden musste.

Noch jemand nie Idee? Kann das Ganze überhaupt funktionieren bzw. gibt es jemanden der dieses schon hin bekommen hat? Im Netz habe ich noch keine Erfolgsmeldungen entdecken können.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Nach oben
DerSenator
Beiträge: 6
Registriert: 05 Sep 2007, 17:31

Beitrag von DerSenator »

Hallo backslash,

deine vorherige Antwort war korrekt, ich hatte sie nur falsch interpretiert. Die SA´s werden hier definiert:
phase2remoteid {
ipnet {
ipaddr = 172.16.0.0;
mask = 255.255.0.0;
}
}

und nicht in den Access Listen. Denkfehler von mir.
Somit klappt jetzt auch die Verbindung hervorragend! Danke

Ein Problem gibt es wenn mehrere SAs ausgehandelt werden soll. Ich habe noch das Netz 172.19.1.X hinterm Lancom, welches nicht mit der Maske 255.255.0.0 abgedeckt wird.

phase2remoteid {
ipnet {
ipaddr = 172.16.0.0;
mask = 255.255.0.0;
}
ipnet {
ipaddr = 172.19.1.0;
mask = 255.255.255.0;
}

Handelt immer nur eine SA aus, das andere Netz ist dann nicht erreichbar. Firewall Regeln im Lancom und AVM sind angepasst.
accesslist = "permit ip 10.51.22.0 255.255.255.0 172.16.0.0 255.255.0.0",
"permit ip 10.51.22.0 255.255.255.0 172.19.1.0 255.255.255.0",
"permit ip 172.16.0.0 255.255.0.0 10.51.22.0 255.255.255.0",
"permit ip 172.19.1.0 255.255.255.0 10.51.22.0 255.255.255.0";


Frage: Kann die Fritzbox überhaupt mehrere SAs aushandeln oder ist meine Syntax falsch?

Dieses Netz ist glücklicherweise nicht so wichtig, das ich das Projekt 40 ausländische Filialen anzubinden trotzdem durchführen kann.
Nach oben
backslash
Moderator
Moderator
Beiträge: 7129
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi DerSenator
Ein Problem gibt es wenn mehrere SAs ausgehandelt werden soll. Ich habe noch das Netz 172.19.1.X hinterm Lancom, welches nicht mit der Maske 255.255.0.0 abgedeckt wird.
für 172er Netze könntest du auch die Maske 255.240.0.0 nehmen...
Frage: Kann die Fritzbox überhaupt mehrere SAs aushandeln oder ist meine Syntax falsch?
ich weiss nicht, ob sie das mitlerweile kann, aber zumindest früher hatte sie da mal ganz massiv Probleme mit (dazu gibt es hier im Forum auch ein paar Threads)...

Gruß
Backslash
Nach oben
hagbard21
Beiträge: 2
Registriert: 10 Feb 2011, 16:55

SAs zwischen Fritzbox und Lancom

Beitrag von hagbard21 »

Hallo Leute,
muss mich jetzt auch mal einklinken, da ich den VPN Tunnel zwischen Fritzbox und Lancom 8011 nur mit einer Netzbeziehung hinbekomme.
Hier erstmal meine .cfg

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "xxx.xxx.xxx.xxx";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = xxx.xxx.xxx.xxx;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "FRITZBOX";
                }
                remoteid {
                        fqdn = "LANCOM8011";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "#####################";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.228.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.223.0;
                                mask = 255.255.255.0;
                        }
				    }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
"permit ip any 192.168.221.0 255.255.255.0",
"permit ip any 192.168.222.0 255.255.255.0",
"permit ip any 192.168.223.0 255.255.255.0",
"permit ip any 192.168.224.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
Also mein Problem ist, wenn ich mehrere ipnets bei phase2 eintrage oder statt der 192.168.223.0 die 192.168.0.0 255.255.255.0 nehme, dann kommt der Tunnel nicht zustande. Was genau muss in der VPN Regel im Lancom stehen? Könnte evtl. das Clientsubnetz .228 das Problem sein, da es ja bei ipnet 192.168.0.0 mit drin steckt...? Müßte ich für das Fritz-Netz ein ganz anderes Subnetz wählen, z.B. 172.xxx.xxx.xxx?
Dankbar für jede Hilfe...
Nach oben
backslash
Moderator
Moderator
Beiträge: 7129
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi hagbard21,

das beste ist, die Fritzbox zu entsorgen - dann klappt es auch mit VPN...
Was genau muss in der VPN Regel im Lancom stehen?
Das hängt davon ab, auf welcher Seite sich welche Netze befinden, denn das geht aus deiner Fritzbox-Konfig nicht hervor.

Wenn die weiterern Netze auf der Seite der Fritzbox sind, dann mußt du im LANCOM nur die Route passend umsetzen, also statt des 192.168.228.0/255.255.255.0 Netzes routest du einfach das 192.168.0.0/255.255.0.0-Netz auf den VPN-Tunnel. In der Fritzbox legst du dann als lokale Phase-2-ID das 192.168.0.0/255.255.0.0 Netz an.


Wenn die Netze auf der LANCOM-Seite sind, dann mußt du das dem LANCOM über eine passende VPN-Regel in der Firewall bekannt machen:

Code: Alles auswählen

[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen

Aktion:    übertragen
Quelle:    192.168.0.0/255.255.0.0
Ziel:      VPN-Gegenstelle
Dienste:   alle Dienste
In diesem Fall ist das 192.168.0.0/255.255.0.0 Netz für die Fritzbox dann die remote Phase-2-ID

Gruß
Backslash
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“