Lancom 1811 über Fritzbox an Kabelanschluss - VPN und DynDns

[hebraun]

Hallo,

trotz intensiver und zeitraubender Lese- und Probierarbeit gelingt es mir nicht eine VPN-Verbindung zu zwei Filialen herzustellen. Leider bin ich mit der durchaus komplexen Situation fachlich etwas überfordert. Ich brauche dazu also Hilfe.

Zusatzinfo: Vor dem Wechsel von "DSL Telekom" zu Kabeldeutschland liefen die VPN-Verbindungen über viele Jahre perfekt und stabil.

Anschlusskonfiguration:
---------------------------
Die Reihenfolge der aufgeführten Hardwarekomponenten gibt die Anschlusskonfiguration wieder. Die Fritzbox wird also vor dem Lancom, als reines Modem (ohne Routerfunktion) betrieben. So meine leihenhafte Vorstellung.

1. Kabelanschluss (IP: 188.194.x.x)
2. Fritzbox 6360 (IP: 192.168.1.1)
3. Lancom 1811 (IP: 192.168.0.1) - Anbindung Fritzbox über WAN-Buchse
4. Switch
5. Netzwerkclients (feste IP´s: 192.168.0.x)

Mit dieser Konfiguration ist ein "normaler" Internetbetrieb mittlerweile funktionsfähig. Der Lancom 1811 baut seine Internetverbindung über eine Plain-Ethernet-Verbindung zur Fritzbox auf. Konfiguration sh. unten.

Mit dieser aufgebauten Lösung sollen zwei dezentrale Filialen (eine Filiale über eine feste IP, die andere über eine DynDNS-Domain) per VPN angebunden werden. Die "Gegenstellen" in den Filialen sind ebenfalls Lancom 1811 Komponenten (mit externen Modem) an DSL-Anschlüssen der Telekom.

Problemstellungen:
-----------------------
1. DynDNS
Eine funktionsfähige DynDNS Domain (meinerseit - nicht Filiale) besteht bereits. Setzte ich einen Ping aus meinem Netzwerk auf meine DynDNS-Domain ab, so erhalte ich keine Antwortmeldung zurückgemeldet. Beim Ping auf die jeweiligen Filial-IP bzw. DynDNS-Domains erhalte ich Antworten im normalen Zeitbereich.

Hierbei stellt sich für mich noch eine weitere grundlegende Frage. Kann der DynDNS Dienst nur über Kabeldeutschland funktionsfähig betrieben werden (hierzu kann man auf der Website von Kabeldeutschland den DynDNS Dienst konfigurieren) oder funktioniert dies weiterhin mit dem Dienst von DynDNS.org?


2. VPN
Eine VPN-Verbindung zur Filiale ist ebenfalls nicht möglich. Währenddessen ich aber eine Internetverbindung (Remotedesktopverbindung) aufbauen kann, wenn ich die DynDNS-Domain direkt eingebe.
Leider kann ich mit den Lancom-Log-Files und deren Einträge wenig anfangen.

Die folgenden Punkte geben die Einstellungen und das Vorgehen bis zum heutigen Tage wieder:

- Den bestehenden Lancomrouter 1811 habe ich nach einem Reset in den Auslieferungszustand versetzt und danach die Konfiguration neu aufgesetzt.
- Aktuelle Firmware: 8.50
- Aktuelle Firmware Lancom 1811 in der Filiale: aktuell
- Der Lancom 1811 baut seine Internetverbindung über eine Plain-Ethernet-Verbindung zur Fritzbox auf. Die Einrichtung erfolgte über den Config-Wizard
- VPN-Verbindungen zur gewünschten Gegenstelle wurden ebenfalls mit dem Wizard eingerichtet. Ebenso die DynDNS-Einstellungen.
- An den VPN-Einstellungen in der Filiale wurden keine Änderungen vorgenommen
- An der Fritzbox habe ich keine weiteren Netzwerkeinstellungen- auch keine statischen Routen - etc. vorgenommen.
- Weitere Routen (Lancom 1811), Kommunikationslayer, Portforwardings und Firewalleinstellungen, etc. wurden nicht gesetzt
- In den Konfigurationen der Lancoms habe ich zu Testzwecken auf beiden Seiten "NAT-Trversal" aktiv gesetzt
- Firewall zu Probezwecken an allen Lancom´s ausgeschalten

Filialen (vor Ort getestet):
- Ein Ping von der Filiale auf meine DynDNS-Domain wird mit der richtigen IP-Adresse zurückgemeldet
- VPN-Verbindung zu meinen Rechnern unter meiner DynDNS-Domain funktioniert ebenfalls nicht
- Internet Remotedesktioverbindung unter Eingabe meiner DynDNS-Domain läuft leider auch nicht

Auszug LANMonitor:
----------------------
Protokoll: DHCP
- Netzwerkprotokoll: TCIP
- Eigene IP-Adresse: 192.168.1.3
- Eigene IP-Netzmaske: 255.255.255.0
- Zugewiesenes Gateway: 192.168.1.1
- Default DNS-Server: 192.168.1.1
..
VPN
- Nicht verbunden mit xxxx
- Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Initiatorr) [0x1106]
- Entferntes Gateway 195.243.x.x


Vielen herzlichen Dank für jeden erdenklichen fachlichen Input!

Viele Grüße
Herbert Braun

[Dr.Einstein]

Die Fritzbox wird also vor dem Lancom, als reines Modem (ohne Routerfunktion) betrieben.

Mit einem Ping kann ich die Fritzbox mit der internen IP 192.168.1.1 aus meinem Netz 192.168.0.x ebenfalls nicht erreichen

- An der Fritzbox habe ich keine weiteren Netzwerkeinstellungen- auch keine statischen Routen - etc. vorgenommen. DHPC an der Fritzbox 6360 ist aktiv geschalten

All diese genannten Punkte ergeben nicht wirklich einen Sinn. Die Fritz!Box ist natürlich im Router Betrieb, es wird das öffentliche Netzwerk verbunden mit einem 192.168.1.x, zusätzlich soll hinter der Fritz!Box noch ein 192.168.0.x-Netzwerk konfiguriert werden.
In die Fritz!Box gehört eine statische Route sowie Portweiterleitungen für VPN rein:
ZielNetz: 192.168.0.0 /24 über 192.168.1.3
Portweiterleitung: Port 500 UDP + 4500 UDP + Protokoll 50 (ESP) auf 192.168.1.3

NAT-T sollte in beiden Lancom-Routern scharf geschaltet sein.

[hebraun]

Hallo,

vielen herzlichen Dank für die Hinweise zu einer möglichen Ursachenbehebung.

trotz der Portfreischaltungen und der Einrichtung der statischen Route funktionieren leider die VPN-Verbindungen immer noch nicht.

Was mich sehr stutzig macht, ist das, wenn ich einen Ping aus meinem Netzwerk auf meine DynDNS mache, ich keine Rückmeldung erhalte. Irgendwie muss wohl noch ein zusätzlicher / anderer Fehler vorlliegen, der die Weiterleitung von der Fritzbox auf den Lancom blockiert.

Viele Grüsse

[garfield0815]

hast du nat-traversal aktivirt ?????

wird den bei einem ping die dyndns adresse richtig aufgelöst

[hebraun]

hallo,

ja, NAT-Traversal wurde in den VPN-Einstellungen des Lancom eingestellt.

Ping DynDNS: Wenn ich einen Ping auf meine DynDNS absetze erhalte ich folgende Rückmeldung (die wahrscheinlich eigentlich keine ist):

- ping meinedomain.homedns.org
- Rückmeldung: Ping meinedomain.homedns.org [188.195xx.xx] mit 32 Bytes Daten
- Zeitüberschreitung der Anforderung
- ...

Hinweis: die o.g. IP-Adresse ist die richtige - lediglich fehlen die Rückantwortzeiten.

Viele Grüsse
Herbert (kurz vor dem verzweifeln)

[hebraun]

hallo,

also die Meldungen die im vorhergehendenden Eintrag angegeben wurden, erhalte ich auch bei ausgeschaltetem Lancom Router.

Ich verstehe jetzt gar nichts mehr.

Gruss
herbert

[LoUiS]

also die Meldungen die im vorhergehendenden Eintrag angegeben wurden, erhalte ich auch bei ausgeschaltetem Lancom Router.

Warum auch nicht? Der DNS Server loest einfach den FQDN in die letzt aktuelle IP auf. Ob diese IP auch noch erreichbar ist weiss doch der DNS nicht.


Ciao
LoUiS

[hebraun]

Lösung von AVM:
Problemstellung
------------------
Ping an eigene DynDNS oder eigene Kabel IP funktionieren nicht.

Antwort: von AVM Support
-----------------------------
Werden Anfragen für eigene Domainnamen, wie z.B. den DynDNS-Namen der FRITZ!Box selbst, über die FRITZ!Box nicht mehr beantwortet, ist das kein Fehler der FRITZ!Box. Vielmehr handelt es sich um ein Sicherheitsmerkmal der FRITZ!Box zum Schutz vor so genannten "DNS-Rebindung Attacken".

Löst ein öffentlicher DNS-Server einen Domainnamen auf eine IP-Adresse aus dem lokalen Netzwerkbereich der FRITZ!Box auf, blockiert der DNS-Server der FRITZ!Box diese DNS-Antwort und leitet sie nicht weiter. Dadurch verhindert die FRITZ!Box, dass Angreifer mittels getarnter Nameserver über ein DNS-Rebinding Zugriff auf das Heimnetz von Nutzern erlangen können.

TIPP:
- Lassen Sie private IP-Adressen (IP-Adressbereiche nach RFC1918, die im Internet nicht geroutet werden) nicht über den eigenen öffentlichen Domainnamen auflösen.

- Tragen Sie die Computernamen der Netzwerkgeräte im lokalen Netzwerk, die über den öffentlichen Domainnamen gehostet worden sind, in der FRITZ!Box unter "Heimnetz (nicht immer vorhanden) > Netzwerk > Bearbeiten" oder "Gerät hinzufügen" ein. Dadurch wird der Name des Netzwerkgerätes durch die FRITZ!Box auch lokal aufgelöst.

HINWEIS:
Netzwerkgeräte, die Ihre IP-Adresse per DHCP von der FRITZ!Box erhalten, sind hier automatisch eingetragen.

Freundliche Grüße aus Berlin
Salem Enageh (AVM Support)

[hebraun]

Hallo,

ich wollte hier kurz über die Problemlösung zum Eintrag vom 19.6.2011 berichten:

Problemstellung:
LC 1811 i.V. mit Fritzbox baut keine VPN-Verbindung zu zwei Filialen auf.

Lösung:
Nach nochmaliger Einrichtung der VPN-Einträge im Lancofig (über den Wizard) ALLER Lancom-Komponenten konnten die Probleme gelöst werden. Alle VPN-Verbindungen laufen performant und zuverlässig.

Freundliche Grüsse
Herbert Braun