Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 11908 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FritzBox VPN hinter Astaro?

patrick.schneider
Hallo zusammen!

Ich stehe momentan vor folgendem Problem: Es soll eine Außenstelle (dynamische IP, DynDNS Account verfügbar, FritzBox 7170) per VPN an die Hauptniederlassung angebunden werden.
Bei der Hauptniederlassung (fixe IP) sorgte eine ASG120 v7.306 hinter einem DSL-Modem für die Internetverbindung.
Da die FritzBox IPSec VPN kann, wäre natürlich eine direkte Verbindung zwischen FritzBox und Astaro wünschenswert, aber leider nicht möglich, da die Verbindung laut AVM nur zwischen 2 fixen IP-Adressen funktioniert.
Soweit zur Vorgeschichte...

Wir haben aber hier noch eine alte FritzBox 7170 liegen...
Meine Idee wäre hier also eine VPN-Verbindung zwischen der Zweigstellen-FritzBox und der Hauptniederlassungs-FritzBox, welche dann hinter der Astaro wäre.
Also ungefähr so:

Zweigstelle -> FritzBox 7170#1  (Internet)  Astaro  FritzBox 7170#2 

        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 

                            "udp 0.0.0.0:4500 0.0.0.0:4500";

Kann jemand was damit anfangen? Google konnte mir nichts sinnvolles zur Erklärung liefern...

- die 7170#2 könnte Probleme mit der internen IP haben: Die VPN-Funktion im Webinterface auf der FritzBox ist nur erreichbar, wenn die FritzBox auf "Internetverbindung über DSL" eingstellt ist. Dort habe ich ebenfalls noch die Verbindungseinstellungen auf "Routed Raw IP" gestellt und eine IP-Adresse aus dem LAN-Bereich der Astaro eingetragen. Möglicherweise will sie dann mit der LAN-IP eine VPN-Verbindung aufbauen, was natürlich nicht klappen wird.

Hat jemand Erfahrung mit einem solchen Szenario? Bin für Tipps offen [:)]

Gruß,
Patrick


This thread was automatically locked due to age.
Parents
  • 0
    Wo hast Du denn den DynDNS Namen in der .cfg Datei eingetragen ?
    Bei remoteip und/oder remoteid ?
    Was steht denn im IPSEC-Log der Astaro ?

    Gruss, Karsten
  • 0 in reply to KKnecht
    Hallo Karsten,

    Wo hast Du denn den DynDNS Namen in der .cfg Datei eingetragen ?

    Unter localid als fqdn-Eintrag, siehe .cfg: 


    vpncfg {

            connections {

                    enabled = yes;

                    conn_type = conntype_lan;

                    name = "ASG 120";

                    always_renew = no;

                    reject_not_encrypted = no;

                    dont_filter_netbios = yes;

                    localip = 0.0.0.0;

                    local_virtualip = 0.0.0.0;

                    remoteip = 123.123.123.123;

                    remote_virtualip = 0.0.0.0;

                    localid {

                            fqdn = "myname.dyndns.org";

                    }

                    remoteid {

                            ipadr = "123.123.123.123";

                    }

                    mode = phase1_mode_idp;

                    phase1ss = "alt/all-no-aes/all";

                    keytype = connkeytype_pre_shared;

                    key = "geheimerkey";

                    cert_do_server_auth = no;

                    use_nat_t = no;

                    use_xauth = no;

                    use_cfgmode = no;

                    phase2localid {

                            ipnet {

                                    ipaddr = 192.168.2.0;

                                    mask = 255.255.255.0;

                            }

                    }

                    phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";

                    accesslist = "permit ip any 10.222.1.0 255.255.255.0";

            }

            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 

                                "udp 0.0.0.0:4500 0.0.0.0:4500";

    }

    Exakt wie das Beispiel, das AVM bereitstellt, bis auf die folgende Änderung:
    Der dyndns-name ist als fqdn in der  localid {} Sektion eingetragen.
    Auf der Astaro ist die Konfiguration ebenfalls so wie in der AVM-Anleitung, außer dass ich statt die FritzBox nicht als Host(IP-Adresse) angelegt habe, sondern als DNS-Host(mit dem FQDN). 
    An das Log der Astaro komme ich zur Zeit nicht ran, werde ich aber später  nachliefern.

    Was mir aufgefallen war: die Astaro lässt bei Auswahl von "Preshared Key" als Authentication type nur den VPN ID Type: "IP Address" zu. Wähle ich "RSA Key" aus, so kann ich als VPN ID Type noch zusätzlich "Host name" und "E-Mail Address" wählen. Aber soweit ich das sehe, kann die FritzBox nur den Preshared Key als Authentifizierungsmethode. Und somit wäre auch erschlossen, warum man für eine LAN-LAN Kopplung zwischen Astaro und FritzBox feste IP-Adresse benötigt...

    Gruß,
    Patrick
Reply
  • 0 in reply to KKnecht
    Hallo Karsten,

    Wo hast Du denn den DynDNS Namen in der .cfg Datei eingetragen ?

    Unter localid als fqdn-Eintrag, siehe .cfg: 


    vpncfg {

            connections {

                    enabled = yes;

                    conn_type = conntype_lan;

                    name = "ASG 120";

                    always_renew = no;

                    reject_not_encrypted = no;

                    dont_filter_netbios = yes;

                    localip = 0.0.0.0;

                    local_virtualip = 0.0.0.0;

                    remoteip = 123.123.123.123;

                    remote_virtualip = 0.0.0.0;

                    localid {

                            fqdn = "myname.dyndns.org";

                    }

                    remoteid {

                            ipadr = "123.123.123.123";

                    }

                    mode = phase1_mode_idp;

                    phase1ss = "alt/all-no-aes/all";

                    keytype = connkeytype_pre_shared;

                    key = "geheimerkey";

                    cert_do_server_auth = no;

                    use_nat_t = no;

                    use_xauth = no;

                    use_cfgmode = no;

                    phase2localid {

                            ipnet {

                                    ipaddr = 192.168.2.0;

                                    mask = 255.255.255.0;

                            }

                    }

                    phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";

                    accesslist = "permit ip any 10.222.1.0 255.255.255.0";

            }

            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 

                                "udp 0.0.0.0:4500 0.0.0.0:4500";

    }

    Exakt wie das Beispiel, das AVM bereitstellt, bis auf die folgende Änderung:
    Der dyndns-name ist als fqdn in der  localid {} Sektion eingetragen.
    Auf der Astaro ist die Konfiguration ebenfalls so wie in der AVM-Anleitung, außer dass ich statt die FritzBox nicht als Host(IP-Adresse) angelegt habe, sondern als DNS-Host(mit dem FQDN). 
    An das Log der Astaro komme ich zur Zeit nicht ran, werde ich aber später  nachliefern.

    Was mir aufgefallen war: die Astaro lässt bei Auswahl von "Preshared Key" als Authentication type nur den VPN ID Type: "IP Address" zu. Wähle ich "RSA Key" aus, so kann ich als VPN ID Type noch zusätzlich "Host name" und "E-Mail Address" wählen. Aber soweit ich das sehe, kann die FritzBox nur den Preshared Key als Authentifizierungsmethode. Und somit wäre auch erschlossen, warum man für eine LAN-LAN Kopplung zwischen Astaro und FritzBox feste IP-Adresse benötigt...

    Gruß,
    Patrick
Children
No Data
Unfiltered HTML