VPN Verbindung Lancom 8011 <> FritzBox 6360

[JanItor]

Hallo,

gibt es irgendwo eine Anleitung wie man das sauber hin bekommt? Die AVM Doku ist nicht besonders hilfreich.
Ich bekomme es so einfach nicht hin, es scheitert schon bei der grundlegenden Verbindung.

Hat da jemand einen Tipp?

[MariusP]

Hi,
Du könntest probieren über den vpn-s trace herrauszufinden was für Proposals die FritzBox aushandeln möchte.
Dann du dich rantasten so das beide Seite die selben Regeln konfiguriert haben.

Wer soll denn bei deiner Verbindung der Initiator sein?
Gruß

[JanItor]

Optimalerweise die FB.

Grundsätzlich sollte das aber funktionieren?

[MariusP]

Hi,
Solang beide die selben Algorithmen erwarten und die richtigen Netze verbinden wollen, dann ja.
wie genau man das aber auf einer FB einstellen kann, ka.
Daher ja auch der vpn-s trace damit du sehen kannst welche Werte die FB aushandeln möchte.
Gruß

[Dr.Einstein]

Hallo JanItor,

in der AVM FAQ steht ein Beispiel für eine VPN Einrichtung mittels config Datei und dem Programm "Fernzugang einrichten". Dieses einfach durchklicken, die eine Konfig versuchen in den Lancom zu integrieren (PreShared Key, FQDN/IPv4) die andere direkt in die Fritz!Box importieren, fertig.

Gruß Dr.Einstein

[JanItor]

Ich habe es jetzt tatsächlich hinbekommen. Sowohl per FritzFernzugang als auch per Direktverbindung der beiden Router (FritzBox und Lancom).
Der Schlüssel war die Software FritzFernzugang einrichten. Einfach durchklicken ist aber etwas vereinfacht gesagt.
Da liegen schon noch einige Steine im Weg. Letztlich kann man aber mit der erstellten *cfg arbeiten und entsprechende (notwendige) Anpassungen vornehmen.
Danke euch!

[Avalanche]

Wärst Du so lieb und würdest die daraus entstandene Fritzbox VPN Config posten (natürlich ohne Shared Key)? Ich bastle im Moment auch in dem Bereich und würde mich über eine Vorlage freuen.

Geht bei Dir eine SA über den Tunnel oder funktioniert das bei Dir auch mit mehreren SAs?

[Dr.Einstein]

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "1.2.3.4";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 1.2.3.4;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "fritzbox.berlin";
                }
                remoteid {
                        ipaddr = 1.2.3.4;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "hierstehtnormalerweiseeinKey";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.63.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.63.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Mehrere SAs bin ich am experimentieren. Bin der Meinung, früher ging das mal. Mit der aktuellen Fritz Firmware ist das scheinbar nicht mehr möglich. Eigentliche reichte früher

Code: Alles auswählen

accesslist = "permit ip any 192.168.63.0 255.255.255.0", "permit ip any 192.168.103.0 255.255.255.0";

Scheinbar greift diese Auflistung nicht mehr. AVM interessiert das aber nicht, zumindest nicht den Support, den ich dran hatte. Ist ja ein Problem von nem Fremdhersteller, häääh?

Gruß Dr.Einstein

[JanItor]

Der Dr. war schneller.

[Avalanche]

Vielen lieben Dank fürs Posten!

[JanItor]

Mehrere SAs bin ich am experimentieren. Bin der Meinung, früher ging das mal. Mit der aktuellen Fritz Firmware ist das scheinbar nicht mehr möglich. Eigentliche reichte früher

Code: Alles auswählen

accesslist = "permit ip any 192.168.63.0 255.255.255.0", "permit ip any 192.168.103.0 255.255.255.0";

Scheinbar greift diese Auflistung nicht mehr. AVM interessiert das aber nicht, zumindest nicht den Support, den ich dran hatte. Ist ja ein Problem von nem Fremdhersteller, häääh?

Gruß Dr.Einstein

Hat sich hierzu was ergeben?

[Dr.Einstein]

Bis auf eine pampige Antwort, dass man sich bei AVM nicht um andere Marktbegleiter kümmert nicht. Hatte keine Lust mich mit dem Support weiter rumzuärgern, k.A. was für ** Leute die bei AVM einstellen. Und das war schon der 2nd Level, einfach nur peinlich

Gruß Dr.Einstein

[JanItor]

Schöner Mist. Habe mittlerweile so ziemlich alle Möglichkeiten durch. Nichts hat funktioniert. Er kann sich immer nur in ein Netz auf der Gegenseite verbinden.
Kann man Lancomseitig ein Workaround basteln?
Ich muss außer dem normalen Netz genau ein IP Adresse in einem zweiten Subnetz erreichen.

Config in der Fritzbox wäre:

accesslist = "permit ip any 192.165.0.0 255.255.255.0",
"permit ip any 192.165.1.55 255.255.255.255";

Wie gesagt nimmt das die FB nicht. Frage ist nun ob ich das im Lancom irgendwie steuern kann?

[Dr.Einstein]

Der einzig funktionierende Trick war das Zusammenlegen der Subnet-Mask z.B. 192.168.10.0/24 + 192.168.11.0/24 zu 192.168.10.0/23, dafür muss man natürlich Glück haben, dass die Netze direkt zusammenliegen. Ansonsten leider von der Fritte einen zweiten VPN falls möglich aufbauen.

Meiner persönlichen Meinung nach sollte man aber ein richtiges VPN Gateway hinter die Fritz!Box stellen. Das Geld ist es auf jeden Fall Wert, da es Nerven schont.

Evtl. hilft dir auch ein Downgrade der Version da es wohl in ziemlich frühen Versionen ging?

Gruß Dr.Einstin

[JanItor]

Kannst du die erste Variante mal näher erklären? An welchen Schrauben muss man denn da im Lancom genau drehen? Meine Netzwerke lauten 192.165.1.0/24 und 192.165.0.0/24.

PS: Lieber wäre mir eine Anpassung des FB Netzwerkes.