W
WildGuy
Member
- Freitag um 21:54
- #1
Hallo,
ich habe ein Problem mit einem VPN-Tunnel einer Fritzbox. Ruft man aus dem Fritzbox einen Dienst auf der Gegenseite auf, funktioniert es einwandfrei, nur von der Gegenseite kommt man nicht an die Dienste im Netz der Fritzbox. Ping funktioniert sowohl in die eine, als auch in die andere Richtung.
Von der Gegenseite habe ich versucht auf folgende Dienste im Netz der Fritzbox zuzugreifen:
- Webinterface Fritzbox
- Webinterface Synology
- CIFS Synology
Nichts davon hat funktioniert, aber ich bin mir auch nicht sicher, ob ich nicht eventuell einen Fehler in der VPN-Konfiguration habe, welche ich in die Fritzbox importiert habe. Hier mal die erstellte Konfiguration:
Code:
vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "vpn"; always_renew = yes; keepalive_ip = 192.168.200.1; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = X.X.X.X; remote_virtualip = 0.0.0.0; localid { ipaddr = Y.Y.Y.Y; } remoteid { ipaddr = X.X.X.X; } mode = phase1_mode_idp; phase1ss = "dh15/aes/sha"; keytype = connkeytype_pre_shared; key = "mysupersecretsharedkey"; cert_do_server_auth = no; use_nat_t = yes; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.100.0; mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 192.168.200.0; mask = 255.255.255.0; } } phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; accesslist = "permit ip any 192.168.200.0 255.255.255.0"; } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";}// EOF
Ich habe es so verstanden, dass die Zeile "accesslist" nach dem Prinzip: "Ziel Quelle" funktioniert. Somit sollte "any" für die Fritzbox-Seite stehen und der Eintrag dahinter für das Netz der Gegenstelle, aber irgendwie scheint das nicht zu funktionieren. Ich hatte auch mal zu Testzwecken "any" durch "192.168.100.0 255.255.255.0" ersetzt, aber das hat auch keine Besserung gebracht.
Mich wundert, dass ein Ping allerdings sehr wohl vom Netz der Gegenstelle in das Netz der Fritzbox kommt, alles andere aber nicht. Ich habe leider keinen großen Einfluss auf die Gegenstelle, so dass ich dort nicht in die Logdateien schauen kann. Es ist dort aber soweit "alles" erlaubt und mit meiner OPNsense-Firewall (die ist auch mit der gleichen Gegenstelle verbunden) funktioniert alles einwandfrei.
Habe ich eventuell einen Fehler in der oben stehenden Fritzbox-Konfiguration? Vielen Dank vorab!
Stationary
Well-known member
- Gestern um 13:53
- #2
Das sind zu wenig Informationen. Welche Fritzbox, welches VPN (vermutlich IPsec?), welches Gerät macht auf der Gegenseite den Endpunkt der LAN-LAN-Kopplung? Öffentliche IPv4 an beiden Endpunkten vorhanden oder nur an einem? Was wird als DynDNS genutzt?
W
WildGuy
Member
- Gestern um 14:16
- #3
Hier mal Informationen zur Konfiguration der Gegenstelle, mehr kann ich da leider nicht liefern und habe auch keinen Einblick in die Logs:
- IKEv1
- beide Phasen aes256/sha512/modp3072(DH15), Lifetime je 3600
- NAT-T
- DPD (daher merkt die Gegenstelle auch immer, dass der Tunnel weg ist, im Gegensatz zur Fritzbox)
Die Gegenstelle ist auch für alle anderen gleich konfiguriert. Mit meiner OPNsense funktioniert der Zugriff egal wie und egal in welche Richtung. Bei der obigen Konfiguration für die Fritzbox funktioniert zwar der Weg vom Fritzbox-Netzwerk zum Netzwerk der Gegenstelle, aber andersherum nicht. Firewall auf der Gegenstelle kann ich definitiv ausschliessen, von daher muss es irgendwas um die Fritzbox rum sein.
@Stationary: Vielen Dank für Deine Antwort! Es wird IPSec (IKEv1) genutzt, die Fritzbox wählt sich bei der Gegenstelle ein. Beide Endpunkte haben ganz normale öffentliche IPv4-Adressen, die haben sich bisher auch nicht geändert. Die Verbindung wird aufgebaut, Ping funktioniert auch in beide Richtungen, nur aus dem Netz der Gegenstelle kann man nicht auf das Netz der Fritzbox zugreifen.
Dazu kommt mittlerweile aber auch das Problem, dass die Fritzbox dann teilweise die Verbindung verliert (sagt jedenfalls die Gegenstelle), die Fritzbox ist aber der Meinung, dass die Verbindung noch bestehen würde. Da dachte ich eigentlich, dass so ein Problem mit den Parametern always_renew und keepalive_ip nicht vorkommen sollte.
Habe grade noch ein paar Meldungen in der Fritzbox gefunden: 0x2027. Laut AVM wäre das ein Timeout, ich bin aber derweil die ganze Zeit mit meiner OPNsense zur gleichen Gegenstelle verbunden und da gibt es keinerlei Probleme. Ebenso bin ich via Benutzer-VPN mit der besagten Fritzbox verbunden, auch da gibt es keine Probleme. Lediglich das Site-to-Site-VPN (Fritzbox zur Gegenstelle) ist grade der Meinung, dass es sich nicht verbinden kann und gibt diesen Timeout-Fehler aus.
W
WildGuy
Member
- Gestern um 16:57
- #4
Neue Erkenntnis: Bin mal runter auf DH2 (da die Benutzer-Einwahlverbindung anscheinend auch DH2 nutzt).
Resultat: Trotz "enable = yes;" in der VPN-Config hat die Fritzbox nichtmal mit dem Auge gezuckt, sondern einfach garnichts gemacht. Im Log war auch "garnichts" zu finden (keine Fehler, nichts). Was direkt auffällig war: Trotz dem Parameter, war nach dem Import der Config der Haken zwecks Aktivierung erst garnicht gesetzt. Scheint fast so, als würde die Fritzbox bei DH2 schlichtweg den Dienste verweigern. Trotz nachträglicher Aktivierung und versuchtem Zugriff auf das Netz der Gegenstelle hat die Fritzbox einfach nichts gemacht, dementsprechend war auch nichts in den Ereignissen der Fritzbox zu finden, lediglich die VPN-Einwahlen meines Benutzers waren zu sehen.
Nun habe ich die Config wieder auf DH15 umgestellt, beim Import war sofort der Haken vorhanden und die Verbindung wurde auch sofort aufgebaut.
W
WildGuy
Member
- Heute um 00:00
- #5
Es scheint auch noch das Problem zu geben, dass die Einstellung mit dem keepalive nicht funktioniert? Die Verbindung bricht ab, die Gegenstelle weiss das auch, nur die Fritzbox scheint das nicht zu interessieren, nach einiger Zeit ohne Verbindung steht der Tunnel dann irgendwann wieder, das ganze spielt sich in unterhalb einer Stunde ab. Lasse ich aber vom Netz der Fritzbox dauerhaft einen Ping auf die interne IP der Gegenstelle laufen, bricht die Verbindung nicht ab. Der Ping lief vorhin knapp 3 Stunden ohne Unterbrechung durch. Sollte der keepalive-Eintrag in der Fritzbox-Config nicht genau das bezwecken?
blurrrr
Well-known member
- Heute um 00:06
- #6
Hi,
WildGuy schrieb:
Habe ich eventuell einen Fehler in der oben stehenden Fritzbox-Konfiguration?
auch wenn die letzte Fritzbox-S2S-Config bei mir schon 15+ Jahre her ist, für mich sieht die Config auf den ersten Blick eigentlich ganz ok aus... Sicher, dass das Problem nicht doch am Remote-Standort besteht?
WildGuy schrieb:
Sollte der keepalive-Eintrag in der Fritzbox-Config nicht genau das bezwecken?
Theoretisch schon, via keepalive wird normalerweise in regelmässigen Abständen ein Ping an das angegebene Ziel geschickt, so dass immer ein wenig Traffic durch den Tunnel fliesst.
Du musst dich einloggen oder registrieren, um hier zu antworten.