Jul 29, 2011, updated at Oct 18, 2012 (UTC)

8847

VPN Fritzbox 7270 und Netgear FVS 318v3 Routing

Hallo an Alle,

ich habe nach ewigen Zeiten und einer super Anleitung von hier meine FritzBox 7270 (192.168.177.1) mit einem Netgear Router FVS318v3 (192.168.99.4) per VPN verbunden. Die Verbindung steht und klappt auch super.

Auf der Netgear Seite kann ich unter Static Routes eine Weiterleitung anlegen und somit von dem 99er IP-Breich auf den 177er zugreifen.

In diese Richtung ist dies aber nicht gewollt.

Wie kann ich meine Firtzbox konfigurieren damit dies funktioniert? Ich habe es bei IP-Routing probiert, aber alle möglichen Einstellungen klappen nicht.

Auf der Netgear Seite befindet sich eine Domäne mit SBS 2008, kann ich den Server dazu bringen dem fremden IP-Bereich 19.168.177. ... zu "vertrauen"? Also das ich ohne der Domäne beizutreten zum Beispiel eine Remotedesktopverbindung starten kann (Ports sind auch für fremden IP-Bereich freigegeben-klappt aber nicht)?

Danke für Eure Hilfe

Waldi76

Please also mark the comments that contributed to the solution of the article

Content-Key: 170611

Url: https://administrator.de/contentid/170611

Printed on: April 19, 2024 at 17:04 o'clock

17 Comments

Latest comment

Tach auch,

Zitat von @Waldi76:

Das ist schön.
Kannst du PCs auf der jeweils anderen Seite anpingen und bekommst eine Antwort?

Auf der Netgear Seite kann ich unter Static Routes eine Weiterleitung anlegen und somit von dem 99er IP-Breich auf den 177er
zugreifen.

Wieso willst du hier ein Routing einrichten?
Wenn du ein VPN zwischen diesen beiden Netzwerken eingerichtet hast, musst du nichts von LAN A (.177) in LAN B (.99) routen.

In diese Richtung ist dies aber nicht gewollt.

Du musst in den VPN-Konfigurationen festlegen, auf welche IP-Adressen/-Subnetze/-Bereiche du Zugriffe aus dem anderen LAN ermöglichen willst.

Im Netgear wird das unter 'Traffic Selector' eingetragen, bei der FB in die cfg unter 'accesslist'.

Danke fpür deine Hilfe!

Kannst du PCs auf der jeweils anderen Seite anpingen und bekommst eine Antwort?

Nein

Wieso willst du hier ein Routing einrichten?

Damit ich zum Beispiel auf Remotedesktop über die VPN Verbindung starten kann ohne Ports nach außerhalb zu öffnen

Du musst in den VPN-Konfigurationen festlegen, auf welche IP-Adressen/-Subnetze/-Bereiche du Zugriffe aus dem anderen LAN
ermöglichen willst.

Im Netgear wird das unter 'Traffic Selector' eingetragen, bei der FB in die cfg unter 'accesslist'.

In der FB cfg steht:

 

accesslist = "permit ip any 192.168.99.0 255.255.255.0";

Wenn ich beim eNetgear Router Static Route den anderen Router eintrage, kann ich zum Beispiel einen privaten Webserver aufrufen.

Waldi76

Routen zu konfigurieren ist Blödsinn, da die beiden Netze ja über den VPN Tunnel direkt verbunden sind und so "direkt" am Router dran sind. Alle Geräte in den lokalen Netzten "sehen" also auch alle Geräte auf der anderen Seite, da die beiden VPN Router ja alle ihre lokalen Netze kennen. Routen dafür einzutragen ist also sinnlos und kontraproduktiv.
Vermutlich hast du wie immer in diesem Falle vergessen die lokalen Firewalls anzupassen das die Zugriffe aus den remoten IP Bereichen zulassen !! Normalerweise werde die ja wie allgemein bekannt blockiert !
Hier kannst du sehen wie man es richtig einstellt:
http://www.google.de/url?sa=t&source=web&cd=1&ved=0CBgQFjAA ...
und
http://www.senki.de/index.php?option=com_content&view=article&i ...
die AVM Seite hat selber auch ein paar Beispiele für andere NetGear Gurken parat. Die IPsec Konfig ist aber immer wieder die selbe !

Ich werde heute zum testen die Firewalls deaktivieren und nochmals probieren.

Was ich aber nicht verstehe: Wenn ich beim Netgear die statische Route eintrage, dann kann ich sofort auf die Weboberfläche meine fritzbox vom fremden Netz mit der lokalen IP 192.168.177.1 zugreifen.

Entferne ich die Route klappt dies nicht mehr.

Vista Firewall sollte doch in beiden Fällen aktiv werden oder?

Es müsste dir doch selber einleuchten das statische Routen sinnlos sind. Alle deine IP Netze inkl. der VPN Netze sind doch direkt am Router auf der jeweiligen Seite dran. Damit ist doch die IP Wegefindung auch ohne statische Routen absolut eindeutig !
Wenn die Rechner in den Netzen alle diese Router als Default Gateways eingetragen haben sind statische Routen logischerweise obsolet.
Meist zeigt das einen Konfigurationsfehler an oder einen Bug in der VPN Software.
Bei netGear kein Wunder, denn was das Thema VPN anbetrifft sind die ja nun nicht gerade erste Wahl wenn man die zahllosen Leidensthreads hier im Forum liest...

Soweit denke ich habe ich das auch fast verstanden. Eine Frage habe ich noch.

Alle Rechner haben einen Gateway (die interne Router-IP). Dieser Router soll dann den richtigen Weg zum entfernten Gateway wissen oder soll ich als zusätzlichen Gateway die Adresse des fremden Routers eintragen?

Zitat von @Waldi76:

Soweit denke ich habe ich das auch fast verstanden. Eine Frage habe ich noch.

Alle Rechner haben einen Gateway (die interne Router-IP). Dieser Router soll dann den richtigen Weg zum entfernten Gateway wissen
oder soll ich als zusätzlichen Gateway die Adresse des fremden Routers eintragen?

Nein, du musst kein zusätzliches Gateway eintragen.
Warum sollte das auch etwas bringen? Windows-PCs nutzen sowieso nur das Standardgateway.

Ich denke nicht, dass du die Funktionalität eines VPN verstanden hast.

@aqui,
ja, viele dieser Netgear-Geräte sind ziemlich billig und außerdem können die billigen nur IPSec-VPN.
Trotzdem ist in den allermeisten Fällen nicht das Gerät das Problem, sondern zumeist der Admin, ob der fehlenden Grundkenntnisse.

Verstanden oder nicht?

Zwei Netze mit verschiedenen Adressbereichen, Firewalls deaktiviert, Ping auf den Router geht im eigenen Netz, Ping ins fremde Netz = Zielhost nicht erreichbar.

Er erkennt die Zieladresse nicht, weiß nicht wo er das andere Subnetz suchen soll.

Zitat von @Waldi76:

Verstanden oder nicht?

Zwei Netze mit verschiedenen Adressbereichen, Firewalls deaktiviert, Ping auf den Router geht im eigenen Netz, Ping ins fremde
Netz = Zielhost nicht erreichbar.

Er erkennt die Zieladresse nicht, weiß nicht wo er das andere Subnetz suchen soll.

Das liegt aber nicht an fehlenden Routingeinstellungen, sondern an Fehlern in deiner VPN-Konfiguration.

Hier sind die Einstellungen aus meiner Fritzbox. Ich habe mich genau an die Anleitung von Erasor gehalten.

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "fremde IP";  
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = fremde IP;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "Home DDNS";  
                }
                remoteid {
                        ipaddr = fremdeIP;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "geheim";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = eigene interne IP;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = fremde interne IP;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any fremde interne IP 255.255.255.0";  
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}


// EOF

Kann jemand enen Fehler finden?

Ja,...auf den ersten Blick:
phase2remoteid {
ipnet {
ipaddr = fremde interne IP; -->> Das versteht kein Router ! Dort muss eine "wirkliche" Netzwerk IP Adresse (Host Bits auf 0) hin !
mask = 255.255.255.0;

Desgleichen:
accesslist = "permit ip any fremde interne IP 255.255.255.0";
und
fqdn = "Home DDNS"; --> Da muss der DynDNS Domain Name hin !
name = "fremde IP";
remoteip = fremde IP;
remoteid ipaddr = fremdeIP;

Die Konfig ist voll dieser Fehler. Sieh dir doch bitte Hier:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/images/Reda ...
einmal an wie das korrekt auszusehen hat zu einem FVS318 und halte dich daran !! AVM direkt wird es ja wohl nicht falsch machen, oder ?!

Für die Text Platzhalterr musst du doch logischerweise richtige IP Netze ala 172.16.1.0 oder 10.1.1.0 usw. eintragen genau wie DU sie in deinem Netzwerk auf beiden Seiten verwendest. Folglich also die 192.168.177.0 und die 192.168.99.0 !! Der Text ist doch nur Platzhalter !! Dzzzz....
Steht auch so in der AVM Anleitung....natürlich nur wenn man sie denn mal durchliest !
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
So schwer kann es doch nicht sein das einfach mal abzutippen....

So schwer kann es doch nicht sein das einfach mal abzutippen....

Ist es auch nicht , aber ich werde doch nicht meine interne Netzwerkeinstellungen mit fester IP, DDNS Name und vielleicht noch mit PSK ins Internet stellen. Die internen hätte ich eventuell lassen können, aber da kommt bei mir die "übertriebene Vorsicht" durch.

Also:
Fremde IP = Fremde Feste IP Adresse
HOME DDNS = home DynDNS Adresse
Fremde interne IP und eigen interne IP = ist eine beliebige Adresse nach den Regeln der RFC 1918 natürlich mit 0 am Ende zB. 192.168.15.0

Und nochmals die Verbindung wird korrekt aufgebaut, ich sehe bei der Fritzbox einen grünen Punkt und beim Netgear FVS318v3 steht auch die Verbindung steht.

Der Fehler liegt bei der Fritzbox. Wenn ich mit tracert auf einem an der FritzBox angeschlossenen Rechner eine fremde interne IP Adresse eingebe (auch die Netgear IP), kann er diese Adresse nicht auflösen.

Damit wir uns nicht falsch verstehen, ich habe den höchsten Respekt vor Usern, die sich in Ihrer Freizeit hinsetzen und mit Ihrem Fachwissen andern helfen und danke für die Hilfe.

Waldi76

Zitat von @Waldi76:
Und nochmals die Verbindung wird korrekt aufgebaut, ich sehe bei der Fritzbox einen grünen Punkt und beim Netgear FVS318v3
steht auch die Verbindung steht.

Das klingt doch schon mal gut, aber wenn ich dann das hier lese:

Der Fehler liegt bei der Fritzbox. Wenn ich mit tracert auf einem an der FritzBox angeschlossenen Rechner eine fremde interne IP
Adresse eingebe (auch die Netgear IP), kann er diese Adresse nicht auflösen.

So glaube ich, dass es trotzdem noch einen Konfigurationsfehler gibt.
Ich habe mehrere VPNs zwischen FBs und Netgear-Routern (zwar kein FVS318, aber egal) am Laufen und denke daher nicht, dass es ein generelles Problem ist.

Teste mal folgende Änderungen an deiner Konfiguration:

25. use_nat_t = yes;

Wenn dein Netgear nicht hinter einem Router hängt, dann kannst du NAT-T ausschalten.

40. phase2ss = "esp-all-all/ah-none/comp-all/pfs";

Stell dies bitte mal folgendermaßen ein:

phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs";

Natürlich musst du auch die korrekten Einstellungen am Netgear Router vornehmen.

Mit den anderen Einstellungen bekomme ich leider keine Verbindung. Bekomme es an der Netgear Box nicht hin.

Ich habe beim FVS318 von Netgear den PING erlaubt. Über die externe Adresse kommt er an. Intern über die 192.168.xxx.x kommt er nicht an. Fehlermeldung Zielhost nicht erreichbar. Vom Netzwerk hinter dem Netgear auf das Netzwerk mit der Fritzbox kommt alles an (auch wenn das nicht gewollt ist

). Das ist aber nicht das Problem.

Ich möchte von dem Rechner hinter der Fritzbox auf das Netgear Netzwerk zugreifen.

Hat noch jemand eine Idee, wie ich die Fritzbox "überreden" kann, die entsprechenden Anfragen an das andere Netzwerk über VPN weiterzuleiten?

Zitat von @Waldi76:

Mit den anderen Einstellungen bekomme ich leider keine Verbindung. Bekomme es an der Netgear Box nicht hin.

Das kann ich nicht nachvollziehen.

Ich habe mehrere VPNs zwischen FB und Netgear Routern stehen, immer habe ich die Verschlüsselung auf 3DES gestellt.
Ich habe selbst die Erfahrung gemacht, dass diese die bessere Variante gegenüber AES bei dieser Kombination von Routern ist.
Die Einstellung no-pfs bedeutet, dass du im Netgear-Router in der VPN-Policy den Haken bei PFS rausnimmst.

Ich habe beim FVS318 von Netgear den PING erlaubt. Über die externe Adresse kommt er an.

Das ist unabhängig vom funktionierenden VPN.

Intern über die 192.168.xxx.x kommt er nicht an. Fehlermeldung Zielhost nicht erreichbar. Vom Netzwerk hinter dem Netgear auf das Netzwerk mit der Fritzbox
kommt alles an (auch wenn das nicht gewollt ist

). Das ist aber nicht das Problem.

Vermutlich hast du in der Netgear-VPN-Konfiguration einen Fehler.

Ich möchte von dem Rechner hinter der Fritzbox auf das Netgear Netzwerk zugreifen.

Hat noch jemand eine Idee, wie ich die Fritzbox "überreden" kann, die entsprechenden Anfragen an das andere
Netzwerk über VPN weiterzuleiten?

Das sollte nicht an der Fritzbox liegen, denn nach deinen Aussagen steht das VPN ja (Fritzbox hat grünen Punkt bei VPN, Netgear VPN-Log sagt alles o.k.).

Gehe bitte deine Einstellungen nochmal genau durch. Bestimmt ist dort nur ein kleiner Fehler enthalten.

Danke für Eure Hilfe!

Ich habe herausbekommen, daß der Netgear Pakete "verschluckt" und Probleme macht.

Habe Ihn gegen einen Lancom 1721+ getauscht und nun klappt alles, auch das VPN zur FritzBox klappt perfekt.

Danke!

Das mal wieder zum Thema "NetGear + VPN" !!!

German solved Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment