This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FritzBox VPN hinter Astaro?

Hallo zusammen!

Ich stehe momentan vor folgendem Problem: Es soll eine Außenstelle (dynamische IP, DynDNS Account verfügbar, FritzBox 7170) per VPN an die Hauptniederlassung angebunden werden.
Bei der Hauptniederlassung (fixe IP) sorgte eine ASG120 v7.306 hinter einem DSL-Modem für die Internetverbindung.
Da die FritzBox IPSec VPN kann, wäre natürlich eine direkte Verbindung zwischen FritzBox und Astaro wünschenswert, aber leider nicht möglich, da die Verbindung laut AVM nur zwischen 2 fixen IP-Adressen funktioniert.
Soweit zur Vorgeschichte...

Wir haben aber hier noch eine alte FritzBox 7170 liegen...
Meine Idee wäre hier also eine VPN-Verbindung zwischen der Zweigstellen-FritzBox und der Hauptniederlassungs-FritzBox, welche dann hinter der Astaro wäre.
Also ungefähr so:

Zweigstelle -> FritzBox 7170#1  (Internet)  Astaro  FritzBox 7170#2 

        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";

Kann jemand was damit anfangen? Google konnte mir nichts sinnvolles zur Erklärung liefern...

- die 7170#2 könnte Probleme mit der internen IP haben: Die VPN-Funktion im Webinterface auf der FritzBox ist nur erreichbar, wenn die FritzBox auf "Internetverbindung über DSL" eingstellt ist. Dort habe ich ebenfalls noch die Verbindungseinstellungen auf "Routed Raw IP" gestellt und eine IP-Adresse aus dem LAN-Bereich der Astaro eingetragen. Möglicherweise will sie dann mit der LAN-IP eine VPN-Verbindung aufbauen, was natürlich nicht klappen wird.

Hat jemand Erfahrung mit einem solchen Szenario? Bin für Tipps offen [:)]

Gruß,
Patrick


This thread was automatically locked due to age.
  • Und eine FesteIP für Zweigstelle zu bestellen ist keine Option ?

    Gregor Kemter
  • Und eine FesteIP für Zweigstelle zu bestellen ist keine Option ?

    Gregor Kemter


    Ist leider in der nächsten Zeit (1 Jahr+ Vertragslaufzeit) nicht möglich. Wäre mir auch lieber als diese Frickellösung, aber das passiert, wenn man einen Vertriebler machen lässt...

    Gruß,
    Patrick
  • Ich weiss zwar nicht warum AVM zu Astaro nur mit festen IPs gehen soll, gleichzeitig aber AVM zu AVM auch mit dyndns funktioniert.

    Wie wärs mit anderem IPSEC-Fähigen Router anstelle von Fritz ?
    Oder wenn in der Zweigstelle nur 2 leute sitzen, könnte man es auch mit 2 SSL VPN Zugängen lösen.

    Gregor Kemter
  • da die Verbindung laut AVM nur zwischen 2 fixen IP-Adressen funktioniert

    Doofe Frage: Hast Du es den überhaupt schon mal versucht ? DynDNS liefert ja EINE "fixe" IP zurück. Ich habe meine Fritz!Box noch nie als VPN Endpunkt benutzt, könnte mir aber wenn ich mir das Programm "Fritz!Box Fernzugang einrichten" anschaue, werde ich zuerst mal nach dem "Dynamic DNS" Namen unter dem die Box aus dem Internet erreichbar ist, gefragt.
    Also teste doch erstmal Fritz  ASG und lasse Dir bei den dort auftretenden Problemen helfen ;-)

    Grüsse, Karsten

  • Wie wärs mit anderem IPSEC-Fähigen Router anstelle von Fritz ?

    Die Hardware ist ja bereits vorhanden und sollte eben auch genutzt werden...


    Oder wenn in der Zweigstelle nur 2 leute sitzen, könnte man es auch mit 2 SSL VPN Zugängen lösen.

    Jein... zur Zeit ist es ja so gelöst, aber nun sollen in der Zweigstelle VoIP-Telefone per VPN an unsere TK-Anlage angeschlossen werden. 
    Softphones funktionieren mehr schlecht als recht und unterstützen auch nicht die Features unserer elmeg TK-Anlage.

    Doofe Frage: Hast Du es den überhaupt schon mal versucht ? DynDNS liefert ja EINE "fixe" IP zurück. Ich habe meine Fritz!Box noch nie als VPN Endpunkt benutzt, könnte mir aber wenn ich mir das Programm "Fritz!Box Fernzugang einrichten" anschaue, werde ich zuerst mal nach dem "Dynamic DNS" Namen unter dem die Box aus dem Internet erreichbar ist, gefragt.
    Also teste doch erstmal Fritz  ASG und lasse Dir bei den dort auftretenden Problemen helfen ;-)


    Getestet habe ich das noch nicht, aber wenn AVM das schon hier explizit schreibt: "Wichtiger Hinweis: Bei der Verbindung von FRITZ!Box zu Astaro werden nur feste IP-Adressen unterstützt. Es können daher keine DynDNS-Namen bzw. Accounts verwendet werden. "

    Aber probieren werde ich es mal, soviel Aufwand ist es ja nicht. Ich werde mich mit den Resultaten melden.
    Danke für die Antworten! [:)]

    Gruß,
    Patrick

  • Getestet habe ich das noch nicht, aber wenn AVM das schon hier explizit schreibt: "Wichtiger Hinweis: Bei der Verbindung von FRITZ!Box zu Astaro werden nur feste IP-Adressen unterstützt. Es können daher keine DynDNS-Namen bzw. Accounts verwendet werden. "

    Aber probieren werde ich es mal, soviel Aufwand ist es ja nicht. Ich werde mich mit den Resultaten melden.


    So... wie erwartet: es funktioniert nicht. Wenn ich die (aktuelle) IP der FritzBox in die .cfg-Datei eintrage und diese in die FritzBox importiere, klappt es nicht, da sich die FritzBox nach dem Importieren der .cfg-Datei neu mit dem Internet verbindet und eine neue IP-Adresse bekommt.
    Mit dem dyndns-Namen klappt es auch nicht, es kommt einfach keine Verbindung zustande.

    Gruß,
    Patrick
  • Wo hast Du denn den DynDNS Namen in der .cfg Datei eingetragen ?
    Bei remoteip und/oder remoteid ?
    Was steht denn im IPSEC-Log der Astaro ?

    Gruss, Karsten
  • Hallo Karsten,

    Wo hast Du denn den DynDNS Namen in der .cfg Datei eingetragen ?

    Unter localid als fqdn-Eintrag, siehe .cfg:


    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_lan;
                    name = "ASG 120";
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 123.123.123.123;
                    remote_virtualip = 0.0.0.0;
                    localid {
                            fqdn = "myname.dyndns.org";
                    }
                    remoteid {
                            ipadr = "123.123.123.123";
                    }
                    mode = phase1_mode_idp;
                    phase1ss = "alt/all-no-aes/all";
                    keytype = connkeytype_pre_shared;
                    key = "geheimerkey";
                    cert_do_server_auth = no;
                    use_nat_t = no;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2localid {
                            ipnet {
                                    ipaddr = 192.168.2.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                    accesslist = "permit ip any 10.222.1.0 255.255.255.0";
            }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    }

    Exakt wie das Beispiel, das AVM bereitstellt, bis auf die folgende Änderung:
    Der dyndns-name ist als fqdn in der  localid {} Sektion eingetragen.
    Auf der Astaro ist die Konfiguration ebenfalls so wie in der AVM-Anleitung, außer dass ich statt die FritzBox nicht als Host(IP-Adresse) angelegt habe, sondern als DNS-Host(mit dem FQDN). 
    An das Log der Astaro komme ich zur Zeit nicht ran, werde ich aber später  nachliefern.

    Was mir aufgefallen war: die Astaro lässt bei Auswahl von "Preshared Key" als Authentication type nur den VPN ID Type: "IP Address" zu. Wähle ich "RSA Key" aus, so kann ich als VPN ID Type noch zusätzlich "Host name" und "E-Mail Address" wählen. Aber soweit ich das sehe, kann die FritzBox nur den Preshared Key als Authentifizierungsmethode. Und somit wäre auch erschlossen, warum man für eine LAN-LAN Kopplung zwischen Astaro und FritzBox feste IP-Adresse benötigt...

    Gruß,
    Patrick
  • Hat inzwischen eigentlich schon jemand eine Verbindung mit einer Fritzbox mit dynamischer IP hinbekommen? Laut den Anleitungen aus der KB müsste es doch eigentlich problemlos funktionieren (selbst ohne DynDNS über die "Respond Only"-Einstellung):

    http://portal.knowledgebase.net/display/2/kb/article.asp?aid=298768
    http://portal.knowledgebase.net/display/2/kb/article.asp?aid=237054
    http://portal.knowledgebase.net/display/2/kb/article.asp?aid=254954

    MfG
  • Hallo,

    bevor du ewig mit der Fritzbox rumexperimentierst, würd ich dem Vertriebler die Hammelbeine langziehen uns mir nen Lancom für die Zweigstelle bestellen lassen, wenn du schon keine ASG bekommst.

    Zwischen Lancom und ASG klappt eine VPN selbst mit dynamischen IP's auf beiden Seiten völlig problemlos.

    Ausserdem kannst du dann sehr einfach Paketverkehr sowohl auf Lancom, als auch auf ASG Seite priorisieren (VOIP), worauf es dir ja hauptsächlich ankommen dürfte.

    Monthy