VPN Verbindung Fritzbox 7390 <> LANcom 1823

[gubbel]

Hallo werte Gemeinde,

Dies ist mein erster Beitrag nachdem ich nun schon seit 3 Monaten immer mal wieder hier und da etwas gelesen habe. Der Grund, warum ich mich nun mal zu Wort melde ist etwas schwieriger. Zumindest in meinen Augen.

Ich möchte einen VPN Tunnel zwischen einer Fritz!Box (FB) und einem LANcom (LC) 1823 VoIP aufbauen. Beide sollen in der Lage sein, den VPN Tunnel aufzubauen.

Nachdem ich nun ca 12 verschiedene Anleitungen gewälzt habe habe ich einfach keinen Durchblick mehr

Ein paar Infos:

Der LC hat feste IP der DTAG,
FB hängt an einem normalen DSL; dynamische IP -> DynDNS.

IP Netz LC "172.168.10.0"
IP Netz FB "192.168.0.0"

Ich habe es bissher irgendwie geschafft, dass die VPN Verbindung sich aufbaut und (FB typisch) nach 60 Minuten getrennt wird. Ich habe über die Zeit so viele verschiedene Paramter versucht, dass ich nicht mehr durchblicke, welche jetzt richtig sind und welche nicht. Dazu musste ich auch dem LC ein DynDNS verpassen, was völlig sinnfrei ist, da feste öffentliche IP. Ich habe zudem gelesen, dass dyndns und agreesivmode nicht so das gelbe vom Ei sind.

Nun zu meinem Problem:

Irgendetwas in meiner Konfiguration des LC oder der FB ist fehlerhaft. Ich kann vom FB-Netz nur die interne IP des LC per ping erreichen. Alles was hinter dem LC hängt, also Drucker, Server, usw erreiche ich nicht. Außerdem kann ich aus dem Netz des LC keinen Client im FritzBox Netz erreichen. Nichteinmal die FB selbst. Einstellungen in der Firewall des LC habe ich gemacht. Der tracert im LC Netz geht in den Timeout.

Meine FritzBox.cfg (dyndns Namen und key natürlich verändert)

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "LANCOM-dyndns.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "LANCOM-dyndns.org";
localid {
fqdn = "FRITZBOX-dyndns.org";
}
remoteid {
fqdn = "LANCOM-dyndns.org";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "KEY";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 172.160.10.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 172.160.10.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

1. Welche Infos braucht ihr noch um mir hilfreiche Antworten zu geben?
2. Habe ich ein Problem mit dem Routing, oder steht der Tunnel doch nicht so gut, wie ich es immer dachte?
3. Ist es überhaupt möglich den Aufbau des Tunnels von FB und vom LC aus zu initialisieren?
4. Wie kann ich den LC in die .cfg einbauen ohne dyndns zu nutzen?
5. Könnte mir jemand eine kleine Anleitung verlinken, indem alles beschrieben ist, dass es auch funktioniert?

Ich bin für jeden Hinweis sehr sehr dankbar

Gruß

[MariusP]

Hi,

1. Welche Infos braucht ihr noch um mir hilfreiche Antworten zu geben?

Ein "show vpn" auf der Lancomseite, du kannst gerne die Gateway IPs unkenntlich machen.

2. Habe ich ein Problem mit dem Routing, oder steht der Tunnel doch nicht so gut, wie ich es immer dachte?

Ein "IP-Router" Trace auf dem Lancom sollte dir zeigen warum die Pakete nicht die anderen Netze erreichen.
Alternativ kannst du auch einen "VPN-Packet" Trace starten um zu sehen ob vielleicht Adressen des Pakets aus den SA herrausfallen.
Bedenke dabei aber das du dich dabei (vorallem bei dem IP-R und ETH Trace) selbst tracen kannst und somit eine Endlosschleifen durch getraced Traces aufbauen kannst.
Also entweder seriell tracen oder die ungewollten rausfiltern oder nur Pakete mit gewollten IPs reinfiltern.
Wie man sowas macht verrät dir google.

3. Ist es überhaupt möglich den Aufbau des Tunnels von FB und vom LC aus zu initialisieren?

Wie vielleicht zu erwarten ist kann ich über FBs keine Aussage treffen. Aber vom Lancom aus kannst du den Tunnel aufbauen, sofern du in der VPN-Peers Liste den DynDNS-Namen der Fritzbox angegeben hast. Andersrum wird es schwerer, da das Lancom bei der Einwahl von der FB aus nicht weis zu welcher SA er die "zufällige" IP der FB zuordnen muss.
Gruß

[cpuprofi]

Hallo gubbel,

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "LANCOM-dyndns.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "LANCOM-dyndns.org"; -> Auch Feste-WAN-IP des Lancom möglich !!!
localid {
fqdn = "FRITZBOX-dyndns.org"; -> Name der Fritzbox !!!
}
remoteid {
fqdn = "LANCOM-dyndns.org"; -> Name des Lancom !!!
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "KEY";
cert_do_server_auth = no;
use_nat_t = no; -> Yes !!!
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 172.160.10.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 172.160.10.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Ändere das mal, dann sollte es gehen (sofern die Einstellungen im Lancom richtig sind). Wenn beide so eingestellt sind, dass sie die VPN aufbauen, wird immer der Lancom aufbauen, da dieser dieses schneller macht. Wenn die FB aufbauen soll(sollte), bedenke, dass diese einen 60 Minuten Timer hat, der die VPN bei Inaktivität deaktiviert (dieses könnte man aber mit einem Dauer-Ping zum Lancom umgehen).

Grüße
Cpuprofi

[ua]

Hi,

welchen DYNDNS benutzt Du auf der FB?
Mit Myfritz hatte ich das Problem, das das LC nur einen v6-Namen aufgelöst bekam und die VPN Verbindung mit IKE-Fehler abbrach.
Nach Umstellung auf no-ip.org ging es..

VG

Udo

[cpuprofi]

Hallo Udo,

...Mit Myfritz hatte ich das Problem, das das LC nur einen v6-Namen aufgelöst bekam und die VPN Verbindung mit IKE-Fehler abbrach...

ein guter Hinweis zur Fehlervermeidung. Aber da "gubbel" im "FritzBox.cfg" von "LANCOM-dyndns.org" geschrieben hat, gehe ich mal davon aus, dass er auch DYNDNS.ORG benutzt.

Grüße
Cpuprofi

[gubbel]

Hey und schonmal danke für die zalreichen Antworten.

@MariusP:
Sollte dies wenig aussagekräftig haben, kann ich dir gerne den kompletten log zugänglich machen, aber bitte verstehe, dass ich dies hier nicht öffnentlich posten möchte.

Code: Alles auswählen

root@lancom:/

> show vpn

 

VPN SPD and IKE configuration:

 

  # of connections = 20

 

  Connection #1                 172.160.10.0/255.255.255.0:0 <-> 87.180.66.220/255.255.255.255:0 any


    Name:                       "unkenntlich gemacht, da aussagekräftig"

    Unique Id:                  ipsec-2-"unkenntlich"-pr0-l0-r0

    Flags:                      aggressive-mode

    Local  Network:             IPV4_ADDR_SUBNET(any:0, 172.160.10.0/255.255.255.0)

    Local  Gateway:             IPV4_ADDR(any:0, "hier stand die feste IP der DTAG")

    Remote Gateway:             IPV4_ADDR(any:0, 109.84.140.33)

    Remote Network:             IPV4_ADDR(any:0, 109.84.140.33/255.255.255.255)

 

  Connection #2                 192.168.1.0/255.255.255.0:0 <-> 109.84.140.33/255.255.255.255:0 any

 
    Name:                       "unkenntlich gemacht, da aussagekräftig"

    Unique Id:                  ipsec-1-"unkenntlich"-pr0-l1-r0

    Flags:                      aggressive-mode

    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.1.0/255.255.255.0)

    Local  Gateway:             IPV4_ADDR(any:0, "DTAG IP")

    Remote Gateway:             IPV4_ADDR(any:0, 109.84.140.33)

    Remote Network:             IPV4_ADDR(any:0, 109.84.140.33/255.255.255.255)

 

  Connection #3                 192.168.0.0/255.255.255.0:0 <-> 109.84.140.33/255.255.255.255:0 any

 

    Name:                       "unkenntlich gemacht, da aussagekräftig"

    Unique Id:                  ipsec-1-"unkenntlich"-1-pr0-l0-r0

    Flags:                      aggressive-mode

    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.0.0/255.255.255.0)

    Local  Gateway:             IPV4_ADDR(any:0, "DTAG IP")

    Remote Gateway:             IPV4_ADDR(any:0, 109.84.140.33)

    Remote Network:             IPV4_ADDR(any:0, 109.84.140.33/255.255.255.255)

 

  Connection #4                 192.168.1.0/255.255.255.0:0 <-> 109.84.140.33/255.255.255.255:0 any
usw ...

> 

Ich bin gerade dabei einen tracert anzufordern. Ich befinde mich leider zur Zeit in keinem der beiden Netze und habe auch z.B.: per Teamviewer keinen Zugriff. Dies ist erst wieder nächste Woche möglich.

@cpuprofi:

use_nat_t = no; -> Yes !!!

In sämtlichen Anleitungen war dies stets auf "no" gesetzt, obwohl die Software von AVM zum Erstellen der .cfg immer auf yes stellt. Werde dies noch testen. Namen sind soweit eigentlich angepasst und auch sowohl in der FB als auch im LC gleich. Ich glaube, ich habe dort zwar die dyndns namen genommen, diese aber systematisch immer überall eingetragen, damit die Parameter stimmen. Werde mal mit "yes" testen und davon berichten. Allerdings erst nächste Woche

@ua:
Danke für den Hinweis. Habe nicht mit Myfritz gearbeitet, da ich den den dyndnsfree.de Account meiner Firma nutzen kann. Diese hat extra einen nonamehost.de Domain gebucht. Habe nur dyndns.org geschrieben, damit jeder weiß, dass ein dyndns Anbieter dahinter steckt.

[MariusP]

Hi,

Remote Network: IPV4_ADDR(any:0, 109.84.140.33/255.255.255.255)

Wie du siehst, ist das entfernte Netz nur eine IP (Netzmaske 255.255.255.255) und die Adresse des Netzes ist 109.84.140.33.
Dabei wolltest du IP Netz FB "192.168.0.0" als Netz haben.
Da liegt dann auch schon der Grund warum du nicht mehr erreichen kannst.
Hast du die Regelerzeugung im Lancom auf automatisch stehen oder auf manuell? Ich schätze auf automatisch?
Gruß

[gubbel]

Moin Marius,

Ja die Regelerzeugung steht auf automatisch, da dies in sehr vielen Anleitungen aus dem Internet zu finden war. Doof gefragt, was ist denn diese "Regelerzeugung"?!



Auf manuell stellen würde schon helfen? Was muss ich dann noch manuell einstellen?

Ich denke, dass die 109.84.140.33 die öffentliche IP war. Ist die Frage ob dann beim entfernten Gateway wirklich die interne IP stehen sollte.

[MariusP]

Hi,
Schau dir mal:
https://www2.lancom.de/kb.nsf/fe78f8220 ... enDocument
und
https://www2.lancom.de/kb.nsf/1275/232D ... enDocument
Da sind Beispiele aufgeführt.
Manuelle Regelerzeugung erfordert Einträge in der Firewall. Damit kann man wesentlich präzisier seine zu verbindenden Netze angeben über eine Kombination aus IP-Routing Einträgen+ Firewall Regeln.
Die Automatische Regelerzeugung erzeugt für jedes Locale Netz sowie in Kombination mit jedem IP-Routing Eintrag der auf eine VPN-Gegenstelle verweist.
Einzustellen ist das unter /Setup/VPN/VPN-Peers/Rule-creation für die jeweilige VPN-Gegenstelle.
http://www.lancom-systems.de/docs/LCOS- ... 46199.html
http://www.lancom-systems.de/download/d ... _d81e83159
Gruß

[cpuprofi]

Hallo Gubbel,

...Auf manuell stellen würde schon helfen?...

ich habe bei den VPN's zu den Fritzboxen auch die "Regelerzeugung" auf "Automatisch". Ich denke mal eher, dass der Fehler am Routing liegt.

Grüße
Cpuprofi

[JanItor]

Ich hänge mich mal hier an. Ich habe das Problem das der Lancom Router offensichtlich die myfritz Adresse (xyz.myfritz.net) nicht auflösen kann. Diese muss mit einem speziellen Port versehen werden. Also xyz.myfritz.net:4xxxx
Kennt das Problem jemand?

[cpuprofi]

Hallo,

...Lancom Router offensichtlich die myfritz Adresse (xyz.myfritz.net) nicht auflösen kann. Diese muss mit einem speziellen Port versehen werden. Also xyz.myfritz.net:4xxxx...

das was Du schreibst, stimmt nicht. Gib mal im CMD "ping" - Leerzeichen - und nur Deine "myfritz Adresse" ohne Port ein und du wirst sehen das die Adresse aufgelöst wird. Voraussetzung ist dann natürlich, dass "ping" erlaubt ist...

Grüße
Cpuprofi

[ua]

Hi,

Problem hatt eich auch mit myfritz: Die lösen manchmal nur nach V6 auf!
Der LC will aber VPN per V4 initieren.
Nimm' mal einen anderen Dyndns-Provider, damit hat es bei mir auch funktioniert.

VG aus OBC

Udo

PS Wann kommt denn myLC .... Duck und wech ....

[cpuprofi]

@JanItor

kann denn Dein Internetprovider IPv4? Es soll ja manche geben, die machen nur IPv6...

Grüße
Cpuprofi

[MariusP]

Hi,

PS Wann kommt denn myLC ..

Was meinst du genau mit myLC?
My LanCom gibt es ja schon?
Gruß