VPN Kopplung AVM Fritz!Box 7170 an LC1724

AS1306 · Beitrag von **AS1306** » 21 Jul 2008, 21:47

Hi,

eine Frage für das Verständnis meinerseits. Ich habe mittlerweile neben meinen LAN-LAN Kopplungen zw. Lancom-Geräten, VPN Verbindungen zu 2 FB7170 am Laufen. Diese stehen und laufen auch sehr stabil, da alle Netze untereinander erreichbar sind und LAN-Monitor auch alles korrekt anzeigt. Nun zu meinem Problem. Greife ich von der Seite der FB auf den 1811´er zu funktioniert alles 1A. SBS und alle Clients sind über IP und WINS erreichbar. Geht es nun in die andere Richtung sind alle IP´s in den Netzen hinter den FB´s zwar pingbar, eine Anzeige mit dem Befehl: net view \\IP ergibt jedoch, das kein Netzwerkpfad vorhanden ist. Freigaben sowie Benutzer gibt es aber definitiv. Die IP der FB ist allerdings erreichbar! Da ich zur Zeit die Situation mit den FB´s nicht ändern kann, würde ich mich freuen, wenn jemand eine Idee hat, woran es liegen könnte.

Falls Interesse an der LAN-LAN Kopplung zw. LANCOM + FB besteht, kann ich sie ja mal posten. Vom Prinzip ist es wie bei AVM beschrieben, allerdings wurde dort vergessen im LANCOM noch eine Route in das entfernte Netz zu setzen

- Hab hier eine PDF, die alles Schritt für Schritt schön mit Bildchen beschreibt

Jemand ´ne Idee für mein Problem? Maskiert die FB etwas??? Mit dem AVM Client gibt es dieses Problem nicht.

Vielen Dank

Andreas

AS1306 · Beitrag von **AS1306** » 21 Jul 2008, 22:16

AS1306 hat geschrieben: Die IP der FB ist allerdings erreichbar! (über HTTP!!!) um korrekt zu sein.

Wollte dies nur kurz noch einmal klarstellen

Andreas

passi · Beitrag von **passi** » 23 Jul 2008, 10:23

Ist unter Kommunikation --> Protokolle --> PPP-Liste --> Gegenstelle --> "Netbios über IP aktivieren" gesetzt?

AS1306 · Beitrag von **AS1306** » 31 Jul 2008, 15:10

Hallo passi,

vielen Dank für Deinen Tipp

- daran lag es aber nicht, obwohl ich zugebe, dass dies schon eine Fehlerquelle sein könnte, die man auch mal schnell übersieht.

Mein Problem war meine eigene Blindheit, die einfach vergaß, dass da noch eine Firewall im Spiel war und bei der VPN-Verbindung 2 bzw. mehr Subnetze im Spiel waren bzw. sind. Das muss natürlich in der FW eingetragen sein

Die Lösung: http://support.microsoft.com/kb/889740/de

Habs auch mal kurz hier http://www.lancom-forum.de/ptopic,42615,.html#42615 notiert!

Sorry für die späte Reaktion - hab mich etwas erholen dürfen ...

Andreas

ITMueller · Beitrag von **ITMueller** » 19 Aug 2008, 08:26

Hallo Forum,

da ich mal wieder eine Anfrage per PN erhalten und immer noch keine Doku gemacht habe (Schande über mein Haupt), da mir einfach die Zeit dazu fehlt, hier mal meine Fritz!Box Konfiguration. Im Prinzip liegt alles nur an dieser blöden CFG Datei. Ihr müsst die IKE Phase 2 entsprechend anpassen.

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "LANCOM 3850";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "***.dyndns.org";
                localid {
                        fqdn = "fritzbox";
                }
                remoteid {
                        fqdn = "lancom";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "*************";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 172.16.201.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 172.16.201.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Mit dieser Konfig hat sich bei mir der LC 3850 in die Fritz!Box eingewählt. Wenn man das ganze anders herum auch noch nutzen will kann es sein, dass weitere Anpassungen notwenig sind....

AS1306 · Beitrag von **AS1306** » 24 Aug 2008, 22:13

So nun hab ich es endlich geschafft

- ist halt doch ein kleiner Zeitaufwand gewesen

Anbei die Lösung um eine VPN-Kopplung zwischen einer AVM-Fritzbox und einem LANCOM-Router einzurichten. Eine Anpassung der *.cfg Datei für die AVM-Fritzbox hinsichtlich der Phase 2 ist und war bei mir nie notwendig. Da ich mittlerweile so einige Boxen an entsprechende LANCOM-Router gekoppelt habe, erachte ich diesen Schritt auch nicht für unbedingt notwendig.

Falls Ihr die Anleitung, die diesem Post als PDF-Datei anhängt folgt (In einem Archiv verpackt, dass erst nach Anmeldung im Forum downloadbar ist!) , funktioniert es zu 100%! Ich hatte einen Fall, in dem sich die entfernte AVM-Box erst nach einem Neustart "bereiterklärte" mitzuarbeiten, aber seitdem lief es problemlos

Ich denke, dass dies die Lösung darstellt. Die Anleitung auf der AVM-Homepage ist leider nicht ganz präzise und vor allem nicht ganz vollständig!

Viel Spaß und Erfolg

Andreas

ctedv · Beitrag von **ctedv** » 02 Sep 2008, 13:23

Hallo AS1306,

kannst Du deine Doku noch mal zur Verfügung stellen? Vielen Dank.

AS1306 · Beitrag von **AS1306** » 02 Sep 2008, 14:29

Hi ctedv,

die Doku ist doch downloadbar! Du bist doch angemeldeter User? ZIP- und RAR-Datei stehen doch zur Verfügung

Sollte alles nicht gehen - schick mir ´ne PN

Andreas

ctedv · Beitrag von **ctedv** » 02 Sep 2008, 14:38

Sorry, hatte Probleme mit dem Browser. - Die Anleitung konnte ich herunterladen.

Leider bekomme ich trotzdem keine Verbindung zustande. Folgende Meldungen stehen im Lancom1724- bzw. Fritz7270-Router:

Bei dem Verbindungsaufbau vom Lancom1724 zur FritzBox7220 steht im LANmonitor:
Dynamic VPN - kein passender Eintrag in PPP-Liste vorhanden.

(Unter Kommunikation - Gegenstellen - Polling-Tabelle: Habe ich die FritzBox mit der internen IP eingetragen.)

Bei dem Verbindungsaufbau von der FritzBox zum Lancom1724 steht im Protokoll:

VPN: FRITZ!BOX, Error IKE-Error 0x2027 (IKE-ERROR 0x2027)
VPN: FRITZ!BOX, Error IKE-Error 0x1c (IKE-ERROR 0x1c)

Vielen Dank schon mal für eure Hilfe.

ctedv · Beitrag von **ctedv** » 02 Sep 2008, 14:42

Noch eine kleine Ergänzung:

Der Lancom Router hat eine Feste-IP-Adresse. Diese habe ich unter Remotehostname in der vpncfg hinterlegt.

AS1306 · Beitrag von **AS1306** » 02 Sep 2008, 15:15

Hi ctedv,

Bei dem Verbindungsaufbau vom Lancom1724 zur FritzBox7220 steht im LANmonitor:
Dynamic VPN - kein passender Eintrag in PPP-Liste vorhanden.

Warum ist hier dynamisches VPN aktiv??? Schau mal Seite 2 Bild Nummer 2 - kein dynamisches VPN aktiviert! Check das mal!

Feste Adresse ist dann o.k.!

Andreas

ctedv · Beitrag von **ctedv** » 02 Sep 2008, 15:26

Hallo,

ich habe die Einstellung überprüft. Allerdings ist dynamisches VPN nicht aktiviert.

AS1306 · Beitrag von **AS1306** » 02 Sep 2008, 15:35

Hi ctedv,

hast Du zufälliger Weise die *.cfg Datei mehrmals hintereinander in die Fritzbox geladen? Da hatte ich auch mal ein Problem, die Box hatte sich da irgendwie "verschluckt". Nimm mal den Pollingeintrag noch einmal heraus! Starte sowohl die FRITZ!Box als auch den LANCOM neu - Was passiert jetzt?

Hast Du eventuell noch einen 2. VPN-Zugang in der *.cfg Datei eingerichtet?

Bis später

Andreas

ctedv · Beitrag von **ctedv** » 02 Sep 2008, 15:56

Hallo.

Habe die *.cfg-Datei noch mal entfernt und neu eingespielt.
Beide Geräte wurden neu gestartet. Bei dem Lancom-Router steht im Monitor:
Kein Eintrag in Pollingtabelle und Keep-Alive ist eingestellt (Initiator) [0x1108]

In der Firtzbox steht:
IKE-Error 0x2026

Nachdem ich Polling wieder eingetragen habe, kommt es wieder zu dem Fehler:

dynamic VPN - kein passender Eintrag in PPP-Liste vorhanden (Initiator) [0x1104]

AS1306 · Beitrag von **AS1306** » 02 Sep 2008, 16:02

Hi ctedv,

noch mal kurz ´ne Frage - FB7270

Hast Du die *.cfg Datei Zeile für Zeile kontrolliert? Ein Freizeichen oder zusätzliches Zeichen hat hier wohl ungeahnte Auswirkungen! Welche Firmware nutzt Du? Ich hab´s gerade noch mal mit einer FB7170 probiert - lief sofort ohne Probleme.

Kann jemand einen Unterschied in der VPN-Konfiguration FB7170 und FB7270 bestätigen?

Beide Geräte wurden neu gestartet. Bei dem Lancom-Router steht im Monitor:
Kein Eintrag in Pollingtabelle und Keep-Alive ist eingestellt (Initiator)[0x1108]

Diese Meldung kann ich bestätigen, war bei mir das gleiche, wenn die 9.999 als Verbindungszeit (Standleitung) eingesetzt wird. Probier es mal mit 0 - VPN-Aufbau auf Anforderung!

Check mal bitte die *.cfg Datei Zeile für Zeile!!!

Bis später

Andreas