- Anzeige -

Fritz 6360 VPN zu 7390

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

Re: Fritz 6360 VPN zu 7390

Beitragvon Leseratte10 » 03.06.2016, 19:14

Das Fritzbox-VPN kann kein IPv6.

Das bedeutet, du musst das VPN von der UM-Fritzbox aus aufbauen, denn die Büro-Box kann deine UM-Box ja nicht (über IPv4) erreichen.
Leseratte10
Glasfaserstrecke
 
Beiträge: 1275
Registriert: 07.03.2013, 16:56

Re: Fritz 6360 VPN zu 7390

Beitragvon mountbatt » 03.06.2016, 19:14

FritzBox 6490
Unitymedia
IPv4 (über wieistmeineip.de ermittelt): 37.201.2XX.X
IPv6: 2a02:908:500:a:6cfa:1e71:c96d:xxxx

...
Zuletzt geändert von mountbatt am 03.06.2016, 19:29, insgesamt 1-mal geändert.
mountbatt
Kabelneuling
 
Beiträge: 18
Registriert: 20.04.2016, 20:51

Re: Fritz 6360 VPN zu 7390

Beitragvon mountbatt » 03.06.2016, 19:16

@Leseratte, das ist verständlich ja. Aber kann ich die Richtung vorgeben? In den beiden Boxen geb ich ja einfach nur die Verbindung zw. beiden ein und dann connecten die von alleine. Das ist doch von mir nicht "richtungsvorgebend", oder?
mountbatt
Kabelneuling
 
Beiträge: 18
Registriert: 20.04.2016, 20:51

Re: Fritz 6360 VPN zu 7390

Beitragvon johnripper » 03.06.2016, 19:28

Okay, ich war eigentlich auf der Suche nach den VPN-Konfigurationsdateien (beider Fritzboxen), die sehen etwa so aus:

Code: Alles auswählen
/*
 * 27.09.2013
 * 17:00
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Site1-Site2";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "geheimedomain.com";
                localid {
                        fqdn = "geheimedomain.com";
                }
                remoteid {
                        fqdn = "geheimedomain.com";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "Sag ich nicht";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.3.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.3.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


Wichtig ist der Teil der VPNCFG beginnt. Mit dem Konfiguration oben kann ich nichts anfangen, die kannst du wieder löschen. Zunmal da die ganzen MAC Adressen deiner Geräte drinstehen xO

Edit: Wie hast du die VPN Verbindungen denn erstellt? Gib bitte noch das Subnetz der 6360 an, dann kann ich dir auch mal zwei Dateien erstellen.
Zuletzt geändert von johnripper am 03.06.2016, 19:30, insgesamt 1-mal geändert.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Fritz 6360 VPN zu 7390

Beitragvon mountbatt » 03.06.2016, 19:30

Danke für die schnelle Info. Wie komme ich an die VPN Configs?
mountbatt
Kabelneuling
 
Beiträge: 18
Registriert: 20.04.2016, 20:51

Re: Fritz 6360 VPN zu 7390

Beitragvon SpaceRat » 03.06.2016, 19:32

Die Boxen versuchen gleichermaßen, sich gegenseitig zu erreichen, also normal reiner Zufall, welche zuerst durchkommt.

Bei einseitigem CGN kann die Box mit öffentlicher IPv4 die Box hinter dem CGN nicht erreichen, umgekehrt aber schon.
Somit wird in diesem Fall die Verbindung ganz von alleine immer durch die Box hinter dem CGN initiiert.

Bei beidseitigem CGN geht das VPN nur, wenn man die CGN-IPv4s für die VPN-Profile als Ziele nutzt und beide Fritten beim selben Provider sind und die Ports/Kunden nicht durch den Provider isoliert werden ("Port Isolation").

Bei DS-lite - auch einseitigem - geht gar nix. Das Problem ist hier weniger die fehlende öffentliche IPv4 sondern vielmehr, daß der IPv4-Traffic getunnelt werden muß und der Tunnel nicht IPSec-verträglich ist.


Abhilfe:
Beidseitig anständige Router, ggf. gefreezte Fritz!Boxen, mit OpenVPN drauf und das VPN gleich per IPv6 aufbauen lassen. Der Traffic innerhalb des VPN kann dabei auch durchaus noch auf IPv4 belassen werden.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz 6360 VPN zu 7390

Beitragvon johnripper » 03.06.2016, 19:46

@SpaceRat:

Es kann auf jeden Fall out-of-the-box funktionieren. Wichtig dabei ist, dass nur die Fritzbox mit DS-Lite die Verbindung aufbaut und keinesfalls die Fritzbox mit der öffentliche IPv4

Edit:
SpaceRat hat geschrieben:Bei einseitigem CGN kann die Box mit öffentlicher IPv4 die Box hinter dem CGN nicht erreichen, umgekehrt aber schon.
Somit wird in diesem Fall die Verbindung ganz von alleine immer durch die Box hinter dem CGN initiiert.

Nein, genau das ist eben das Problem. Die empfangende Box (mit öffentlicher IPv4) darf auf keinen Fall versuchen eine Verbindung aufzubauen, da dies unweigerlich fehl schlägt und dann wohl den VPN-Tunnel in den Abgrund reißt. Die unten genannten Konfigs sind jetzt so angepasst, dass die 7390 keine Verbindungsversuche unternimmt. Ggf. muss jedoch auch noch der Eintrag "remoteip" auf Empfängerseite (7390) entfernt werden, hierzu habe ich unterschiede Angaben gefunden.

@mountbatt:

Okay anders. Ich habe dir zwei Dateien erstellt mit denen du es mal versuchen solltest:

Wichtig ist hier, dass du
1) das Subnetz der 6360 herausfindest und entsprechend anpasst. Derzeit ist die Annahme, dass es 192.168.178.1/24 (255.255.255.0) ist. Das Subnetz der 7390 ist nochmal zu überprüfen, dies habe ich aus deiner Konfig.
2) du die Hostname der 7390 entsprechend der DynDNS anpasst
3) eine FQDN für die 6360 festlegst (egal, sollte nur gleich sein).

Zuerst diese Datei anpassen und in die 7390 importieren:
Code: Alles auswählen
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "From 7390 to 6360";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "HOSTNAME DER 7390 hier eintragen";
                }
                remoteid {
                        fqdn = "HOSTNAME DER 6360 hier eintragen";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "bitteAendereMich";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.165.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF



Dann folgende Datei anpassen und in die 6360 importieren:
Code: Alles auswählen
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "From 6360 to 7390";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "HOSTNAME DER 7390 hier eintragen";
                localid {
                        fqdn = "HOSTNAME DER 6360 hier eintragen";
                }
                remoteid {
                        fqdn = "HOSTNAME DER 7390 hier eintragen";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "bitteAendereMich";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.165.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.165.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


All bisherigen VPN Verbindungen in den Boxen bitte testweise deaktivieren.

Edit 19:49: Einen Fehler noch korrigiert.
Zuletzt geändert von johnripper am 03.06.2016, 20:02, insgesamt 3-mal geändert.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Fritz 6360 VPN zu 7390

Beitragvon mountbatt » 03.06.2016, 19:49

Ich bin nicht der Threadersteller, meine Boxen sind wie gesagt 7390 (Büro, Netcologne, 192.168.165.0) und 6490 (Zu Hause, Unitymedia, 192.168.178.0) - ich schau mir Deine Configs aber mal an!
mountbatt
Kabelneuling
 
Beiträge: 18
Registriert: 20.04.2016, 20:51

Re: Fritz 6360 VPN zu 7390

Beitragvon johnripper » 03.06.2016, 19:53

mountbatt hat geschrieben:Ich bin nicht der Threadersteller, meine Boxen sind wie gesagt 7390 (Büro, Netcologne, 192.168.165.0) und 6490 (Zu Hause, Unitymedia, 192.168.178.0) - ich schau mir Deine Configs aber mal an!

Okay, hatte ich richtig getippt mit dem Subnetz, solltest du so übernehmen können bis auf die Anpassungen die markiert sind.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Fritz 6360 VPN zu 7390

Beitragvon mountbatt » 03.06.2016, 20:01

Will nicht … selbes Problem wie zuvor.
Die NetCologne Box 7390 meldet: VPN-Verbindung zu From 7390 to 6360 wurde getrennt. Ursache: 3 IKE server
mountbatt
Kabelneuling
 
Beiträge: 18
Registriert: 20.04.2016, 20:51

VorherigeNächste

Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 19 Gäste