VPN mit 1781AW hinter Fritzbox

[lolnwo]

Hallo an Alle,

ich hoffe ihr könnt mir helfen, denn ich habe Gestern und Heute schon wieder ewig dran gesessen und weiß nicht, was ich falsch mache. Ich habe mal eine Bilddatei angehängt, damit ihr sehen könnt, was ich machen möchte und vllt. gleich seht woran es scheitert. Habe bereits einige Beiträge hier im Zusammenhang mit Fritzbox und LANCOM (LC) gelesen, aber bin leider noch nicht mit der Nase in den Fehler gedrückt worden.

Ist der Aufbau wie im Bild dargestellt oder gibt es da Grundlegende Fehler die ich übersehen habe?
Wenn ich vor dem LC ein 192.168.26.0 Netzwerk habe (via DHCP von der Fritzbox verteilt), kann ich dann den LC so einstellen, dass er das DHCP durchlässt, sodass wie im Bild dargestellt, die PCs hinterm LC im selben Netzwerk sind? Oder müssen die PCs aus technischen Gründen schon in ein anderes Netz?

Wahrscheinlich hab ich einen ziemlich groben Denkfehler was die Grundlagen von Netzwerken angeht. Echt peinlich

Hoffe ihr könnt mir helfen

LG

lolnwo

[Bernie137]

Hallo lolnwo,

Was für ein Problem hast Du überhaupt mit dem Aufbau oder der Konfiguration?
Es geht aus Deiner - übrigens sehr schönen Grafik - leider nicht hervor, wie denn die Lancoms verkabelt sind. Schließlich haben sie mehrere Anschlüsse. Und was hast Du an den Lancoms konfiguriert (Stichwort LAN/WAN; Wie ist der Internetzugang an beiden Lancoms eingerichtet?).

Bei diesen Gerätschaften sollte man die Fritzboxen nach Möglichkeit prinzipiell degradieren und nur als Vorschaltgerät des Lancoms betrachten. D.h.
- der Lancom macht zukünftig DHCP
- der Lancom ist Standardgateway für alle Clients im LAN
- es entstehen zwei völlig neue IP-Transfernetze jeweils zwischen der Fritzbox und dem WAN Anschluss des Lancoms

Was nicht geht: Alles in ein IP-Netz und der Lancom wird doppelt vernetzt, also LAN+WAN. Vielleicht ist das Dein Problem? Für nur ein Netz gibt es eine andere Lösung.

vg Bernie

[lolnwo]

Grüße Bernie,

danke für deine Rückmeldung. Habe einige Probleme jetzt doch lösen können. (Ärgert mich und scheint irgendwie typisch. Man fragt jemanden um Hilfe und auf einmal fällt einem etwas wieder ein). Also:

In der Grundeinstellung habe ich bei DHCP den Client-Modus ausgewählt, sodass die die ETH1-Schnittstellen eine IP-Adresse aus dem LAN der Fritzboxen bekommen.
Als nächstes habe ich die Internetzugänge bei beiden Geräten auf ETH1 als Plain Ethernet eingerichtet und bei der Frage nach einer IP für das LAN (was ja nicht das selbe LAN ist wie das der Fritzbox..) einfach 192.168.25.99/192.168.28.99 genommen.

Nach Schreiben der Konfiguration habe ich mir eine IP aus dem LC LAN gegeben und erstmal die Routen 192.168.0.0, 10.0.0.0, 224.0.0.0 und 172.16.0.0 deaktiviert und die Route ins LAN der Fritzbox eingetragen. Im Anschluss folge die Konfiguration von DHCP.

Kurz: Bei beiden LCs läuft nun DHCP und ich komme ins Internet

Woran es nun hapert ist die VPN Verbindung. Ich sehe im LANmonitor die Fehlermeldung "Zeitüberschreitung während Signalisierung oder Authentifizierung (Aktiver Vebindungsaufbau) [0x115]"

Die VPN Verbindung habe ich mit dem Setup Assistenten eingerichtet.

Muss ich in den Fritzboxen bestimmte Ports öffnen, damit der VPN Tunnel etabliert werden kann?

LG

lolnwo

[Bernie137]

Bevor wir VPN besprechen, sehe ich noch im Grundaufbau Klärungsbedarf.

In der Grundeinstellung habe ich bei DHCP den Client-Modus ausgewählt, sodass die die ETH1-Schnittstellen eine IP-Adresse aus dem LAN der Fritzboxen bekommen.
Als nächstes habe ich die Internetzugänge bei beiden Geräten auf ETH1 als Plain Ethernet eingerichtet und bei der Frage nach einer IP für das LAN (was ja nicht das selbe LAN ist wie das der Fritzbox..) einfach 192.168.25.99/192.168.28.99 genommen.

Das stimmt aber nicht mit dem Bild oben überein.

nach einer IP für das LAN (was ja nicht das selbe LAN ist wie das der Fritzbox..) einfach 192.168.25.99/192.168.28.99 genommen

Eigentlich wird hier nach einer WAN IP gefragt.

In der Grundeinstellung habe ich bei DHCP den Client-Modus ausgewählt,

Nicht gut und wiederspricht sich mit...

Kurz: Bei beiden LCs läuft nun DHCP und ich komme ins Internet

Ist nun der Lancom DHCP Client oder hat er jetzt eine fest IP und macht DHCP. Und wie ist jeweils LC und Fritz verkabelt 1und ein PC verkabelt?

Aktualisiere doch bitte nochmal das Bild.

Muss ich in den Fritzboxen bestimmte Ports öffnen, damit der VPN Tunnel etabliert werden kann?

Ja. http://blogs.technet.com/b/rrasblog/arc ... rough.aspx

vg Bernie

[lolnwo]

Ich habe das Bild nochmal angepasst und nun entspricht es dem aktuellen Stand.

Bin gerade dabei die VPN-Verbindung nochmal neu zu machen (beim Anschluss wo die feste IP ist) und frage mich ob er mit "...welches IP-Netzwerk sich auf der Gegenseite befindet..", im Einrichtungsdialog, das LAN der LC oder der FB meint. Habe vorhin das LAN des LC eingetragen und in der Fritzbox eine statische Route gesetzt:
NW:192.168.25.0
Mask:255.255.255.0
GW:192.168.26.150

Dann sollte die Fritzbox ja auch wissen, was sie mit Paketen soll, die ins 192.168.25.0 sollen. Habe zusätzlich die Ports die hier angegeben sind in den Fritzboxen freigeschaltet: https://www2.lancom.de/kb.nsf/c2be57848 ... enDocument
Sprich:

UDP 500
ESP
UPD port 4500
UPD port 87

Starte beide Geräte nun einmal neu und schaue nach.

LG

lolnwo

[Bernie137]

Ok, ich sehe Du hast jeweils Transfernetze eingerichtet - das ist prima und macht Sinn.

Bin gerade dabei die VPN-Verbindung nochmal neu zu machen (beim Anschluss wo die feste IP ist) und frage mich ob er mit "...welches IP-Netzwerk sich auf der Gegenseite befindet..", im Einrichtungsdialog, das LAN der LC oder der FB meint.

In Deinem Fall immer das Netz des Lancoms (192.168.25.x, 192.168.28.x) denn dort terminiert es, nie die Transfernetze 192.168.26.x, 192.168.27.x

Am besten Du verwendest den Assistenten noch mal, um auf beiden Geräten das eingerichtete VPN wieder zu entfernen und dann noch mal von vorne.

vg Bernie

[lolnwo]

Also ich musste den Assistenten nun auf jedem Gerät zweimal benutzen, bevor er mir VPN Verbindung im LANmonitor überhaupt angezeigt hat. Nun bekomme ich die Meldung: "Kein übereinstimmendes Proposal gefunden ( Aktiver Verbindungsaufbau, IPSec) [0x3102]".. Habe den Fehler in der KB von LC schon gefunden, kann mit der Antwort: "Bitte überprüfen Sie die Einstellungen unter Konfiguriere-->VPN-->IKE - Proposals sowie unter Konfiguriere-->VPN-->IPSec-Paramater-->IPSec-Proposal-Listen" aber leider nicht viel anfangen

[Bernie137]

"Bitte überprüfen Sie die Einstellungen unter Konfiguriere-->VPN-->IKE - Proposals sowie unter Konfiguriere-->VPN-->IPSec-Paramater-->IPSec-Proposal-Listen"

Ja was steht denn da in beiden Geräten für diese Verbindung?

Ansonsten poste uns von beiden Geräte aus der CLI die Ausgabe von "Show vpn" (öffentliche IP entfernen). Dazu verbindest Dich am besten mit putty auf beide Geräte.
Auch ein VPN Status Trace von beiden Geräte wäre hilfreich.

vg Bernie

[lolnwo]

Habe nun alles hinbekommen! Es lag an der Portfreigabe UDP 4500 für Nat-traversal. Diese fehlte in beiden Fritzboxen. Jedenfalls war dies der Letzte Fehler den ich korrigiert habe.

Ich melde mich nochmal, falls ich einen anderen Fehler finde

Vielen Dank

LG

lolnwo

[lolnwo]

Die VPN Verbindungen stehen. Alles funktioniert soweit gut.

An dieser Stelle nochmal vielen Dank für die Hilfe und Denkanstöße!

Das ganze war nur eine Übung um mit der allgemeinen Thematik VPN etwas dazuzulernen. Das eigentliche Ziel habe ich wieder als Grafik angefügt.

Ich möchte von zu Hause mit einem PC im selben Netz sein wie auf der Arbeit. Vielleicht auch der Domäne beitreten. Habe nun aber noch die Sophos Firewall dazwischen und weiß nicht genau wie ich den LC Router im Firmennetz positionieren soll. Vor oder hinter die Firewall? Und wie löse ich das mit den (nötigen?) Transfernetzen? :/


LG

lolnwo

[Bernie137]

Hallo,

schön, dass es funktioniert.

Ich möchte von zu Hause mit einem PC im selben Netz sein wie auf der Arbeit. Vielleicht auch der Domäne beitreten.

Dazu müsstes Du extra einen "Ethernet over GRE-Tunnel" einrichten. Ich vermute aber, dass es überhaupt nicht notwendig ist, dass Du eine IP aus dem gleichen Netzwerk wie auf Arbeit hast. Klassisches Routing sieht es einfach vor, dass an beiden Standorten auch verschiedene IP Netze "gesprochen" werden. Der Domain kannst auch so beitreten, dazu brauchst Du keine 10.148.17.x IP zu Hause. Du kannst zu Hause ein freies privates Netz wählen.

vg Bernie

[lolnwo]

Danke für deine Hilfe Bernie!

Das Problem ist, dass ich zwingend im selben Netz sein muss. Da führt leider kein Weg dran vorbei.

Also um im selben Netz zu sein, brauche ich diesen "Ethernet over GRE"-Tunnel. Alles klar

Und würde das denn möglich sein und wo sollte ich denn den LC Router positionieren? Hinter die Fritzbox? Oder hinter die Sophos Firewall? Oder muss ich die Fritzbox durch den LC Router ersetzen?

LG

lolnwo

[Bernie137]

Und würde das denn möglich sein und wo sollte ich denn den LC Router positionieren?

Wenn Du unbedingt auch eine IP Adresse aus dem Netz haben möchtest, dann sollte m.M. nach der LC das Gateway für die Clients sein und mit diesen direkt verbunden sein, somit wie in Deinem Bild.

Oder hinter die Sophos Firewall? Oder muss ich die Fritzbox durch den LC Router ersetzen?

Das vermag ich von hier aus nicht beurteilen, prinzipiell sind alle Varianten möglich. Vermutlich aber benötigt die Sophos ein "Modem" davor für den Internetzugang, weil sie es selbst nicht kann. Der LC könnte die Fbox ersetzen, aber da dann zwischen LC und Sophos ein Transfernetz ist, klappt es nicht mit der IP Adresse 10.148.17.x Adresse zu Hause. Bleibt also nur die jetzige Variante Deines Bildes.

Ich schrieb vorhin

Der Domain kannst auch so beitreten, dazu brauchst Du keine 192.168.17.x IP zu Hause.

Da muss ich mich korrigieren, ich meinte 10.148.17.x. Habe es oben geändert.

vg Bernie