Zugriff auf DS via VPN an Fritz!Box

[archimor]

Leider bin ich in dieser Hinsicht nicht sonderlich bewandert. Ich habe bisher den IP-Adressbereich meiner Fritzbox zu Hause geändert. Meine DS liegt im gleichen Netzwerk. z.B. Fritzbox 192.168.178.1 und DS 192.168.178.23. Zu Hause ist der Aufruf im lokalen Netz mit lokaler IP kein Problem. Werde direkt auf die Oberfläche der DS geleitet. Was brauchst du an weiteren Daten, um weiterhelfen zu können?

 

[Frogman]

Bspw. das Subnet in der Firma.

 

[archimor]

Okay, melde mich morgen nochmal. Da ich ungern IP Adressen im Internet öffentlich machen möchte, würde ich gerne vorher fragen, was genau ich zur Problemlösung angeben soll. Reicht subnetzmaske Arbeit / Heimnetz, oder werden auch die exakten Adressen der Geräte, also vpn Client, fb und ds benötigt?

 

[Frogman]

Wichtig ist nur, dass das verwendete Subnet in der Firma ein anderes ist als bei Dir zu Hause.

 

[joku]

Reicht subnetzmaske Arbeit / Heimnetz, oder werden auch die exakten Adressen der Geräte, also vpn Client, fb und ds benötigt?

Hallo, wenn die VPN Verbindung steht und Du auf Deine FritzBox gelangst, sollten die IP Netze unterschiedlich sein.
Wenn Du die zwei Dateien fritzbox.cfg und vpnuser.cfg mit dem AVM Tool erstellt hast,
sollten dort IP Adressen ab 192.168.178.200 für den Client stehen.
Zugriffeinstellung sind in dem Bereich accesslist.

                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255";
        }

Wenn das alles passt und nichts falsch ist, funktioniert das.

Gruß Jo

 

[archimor]

Also in der Fritzbox lässt sich der Status auch beobachten:



Für mich sieht das soweit ganz gut aus..
ipconfig /all auf der Arbeit liefert mir 'ne Subnetzmaske 255.255.255.0.
Leider weiterhin kein Zugriff auf meine DS bzw. mein Heimnetz möglich.. Fritzbox (mit lokaler IP) kein Problem.
Was kann das sonst noch sein? Anscheinend muss ich wohl doch wieder auf den https Zugriff aus dem Internet zurückgreifen..

Habe jetzt nochmal in die .cfg geschaut:



Schaut auf jeden Fall anders aus..

Grüße

 

[laserdesign]

Hallo,

die Mask für das local Subnet ist falsch, stelle die mal auf /24 also 255.255.255.0

 

[joku]

Für mich sieht das soweit ganz gut aus..

Ja, das sieht es

Leider weiterhin kein Zugriff auf meine DS bzw. mein Heimnetz möglich.. Fritzbox (mit lokaler IP) kein Problem.

Die acceslist kannst Du ja mal anpassen, mit einen Editor und neu importieren.

Gruß Jo

 

[joku]

version {
revision = "$Revision: 1.30 $";
creatversion = "1.1";
}

pwcheck {
}

datapipecfg {
security = dpsec_quiet;
icmp {
ignore_echo_requests = no;
destunreach_rate {
burstfactor = 6;
timeout = 1;
}
timeexceeded_rate {
burstfactor = 6;
timeout = 1;
}
echoreply_rate {
burstfactor = 6;
timeout = 1;
}
}
masqtimeouts {
tcp = 15m;
tcp_fin = 2m;
tcp_rst = 3s;
udp = 5m;
icmp = 30s;
got_icmp_error = 15s;
any = 5m;
tcp_connect = 6m;
tcp_listen = 2m;
}
ipfwlow {
input {
}
output {
}
}
ipfwhigh {
input {
}
output {
}
}
NAT_T_keepalive_interval = 20;
}

targets {
policies {
name = "Beschreibung";
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = 192.168.178.201;
remoteip = 0.0.0.0;
remotehostname = "mein.ddns.tld";
localid {
user_fqdn = "Benutzer";
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "PreSharedSchlüssel";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipaddr = 192.168.178.201;
}
phase2remoteid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.178.0 255.255.255.0";
wakeupremote = no;
}
}

policybindings {
}

// EOF

 

[archimor]

Getan. Nun kann ich keine VPN-Verbindung mehr aufbauen. Im Protokoll der VPN-Software steht: Verbinden zu DDNS-Adresse schlug fehl. Die verwendete Identität ist der Gegenstelle nicht bekannt... Anscheinend war die Subnetzmaske doch richtig? Schade, hätte gedacht, dass es jetzt klappt..
Die FB arbeitet aber tatsächlich mit 255.255.255.0 - hab gerade nochmal nachgeschaut..

 

[joku]

Getan. Nun kann ich keine VPN-Verbindung mehr aufbauen. Im Protokoll der VPN-Software steht: Verbinden zu DDNS-Adresse schlug fehl. Die verwendete Identität ist der Gegenstelle nicht bekannt...

Hallo, schau mal alles in Ruhe nochmal an
Ich benutze als Editor zB Notepad++ mit Linuxzeilenende.
Die Identität hat mit der Netzmaske nicht zu tun.

Gruß Jo

 

[archimor]

Ich finde nix, hab ja nur die Subnetzmaske ausgetauscht, sonst keinerlei Änderungen vorgenommen. Scheint mir doch etwas auffällig, wenn nur diese Änderung dazu führt, dass die Verbindung nicht aufgebaut werden kann..

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "meinDDNSName";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.178.201;
                remoteip = 0.0.0.0;
                remotehostname = "meinDDNSName";
                localid {
                        user_fqdn = "";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "meinKey";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.178.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = IPderFritzBox;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any IPderFritzbox 255.255.255.0";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

Irgendwelche Auffälligkeiten?

Danke schonmal für die tolle Hilfe

 

[joku]

Irgendwelche Auffälligkeiten?

accesslist = "permit ip any IPderFritzbox 255.255.255.0";

accesslist = "permit ip any 192.168.178.0 255.255.255.0";

IPderFritzbox = 192.168.178.1 ?

Gruß Jo

 

[archimor]

Kann es ein, dass die virtualip und die ipaddr nicht korrekt ist? Müsste hier nich eine IP im DHCP-Adressbereich der Fritzbox angegeben sein?
also x.x.x.was anderes als bei der lokalen Adresse der Fritzbox?
Ist es richtig dass die remoteip genullt ist?

Nein die IP ist nicht die StandartIP wie bereits geschrieben! Habe den Adressbereich geändert, um ihn von anderen Fritzboxen abzuheben.

 

[joku]

Kann es ein, dass die virtualip und die ipaddr nicht korrekt ist? Müsste hier nich eine IP im DHCP-Adressbereich der Fritzbox angegeben sein?

permit ip any 192.168.178.0 sollte heissen und die IP Adressen solltest Du kenen
der DHCP hört bei der .199 auf daher geht VPN mit der .200 los
Die Einträge in der vpnuser.cfg und fritzbox.cfg müssen passen.

schau mal bei Dir hier nach

phase2localid {
ipaddr = 192.168.178.201;
}
phase2remoteid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}

Gruß Jo

 

[laserdesign]

Hallo,

kannst du nicht den VPN direkt im Webfrontend der FritzBox einrichten, also ohne dieses AVM-Fernzugangstool??

Bei meiner FritzBox 7490 mit aktueller Firmware ist das möglich.

 

[archimor]

Mir ist gerade etwas aufgefallen: Meine bisherige lokale IP der Fritzbox war 27.8.x.x Subnet 255.255.255.0. Bei der Konfigurationssoftware von AVM fiel mir auf, dass dort automatisch die Subnetzmaske 255.255.255.255 also /32 ausgewählt wurde. Diese findet sich dann natürlich auch in der .cfg - Wie kommt das zustande? Ich werde jetzt meinen Adressbereich ändern und schauen ob es dann funktioniert..

 

[joku]

kannst du nicht den VPN direkt im Webfrontend der FritzBox einrichten, also ohne dieses AVM-Fernzugangstool??

Hallo Fred,
Das geht , aber er braucht ja noch die vpnuser.cfg für den Client.
Die sollte es dann mit einem Editor erstellen.

Gruß Jo

 

[joku]

Ich werde jetzt meinen Adressbereich ändern und schauen ob es dann funktioniert..

Und schau die Config File an !

Das stimmt noch was nicht.

localid {
user_fqdn = ""; <- Benutzername fehlt, Identitätfehler !
}


phase2localid {
ipaddr = 192.168.178.201;
}
phase2remoteid {
ipnet {
ipaddr = IPderFritzBox; <- die hat die 1 Netz die 0, also 192.168.178.0
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any IPderFritzbox 255.255.255.0";

Zugriff auf das Netz ( .0 ) und nicht nur auf die FritzBox, auch die 192.168.178.0

Gruß Jo

 

[archimor]

@laserdesign, ja anscheinend schon, dachte das ist lediglich für Smartphones gedacht? Mit welchem Clienten connectest du denn dann?