This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FritzBox VPN hinter Astaro?

Hallo zusammen!

Ich stehe momentan vor folgendem Problem: Es soll eine Außenstelle (dynamische IP, DynDNS Account verfügbar, FritzBox 7170) per VPN an die Hauptniederlassung angebunden werden.
Bei der Hauptniederlassung (fixe IP) sorgte eine ASG120 v7.306 hinter einem DSL-Modem für die Internetverbindung.
Da die FritzBox IPSec VPN kann, wäre natürlich eine direkte Verbindung zwischen FritzBox und Astaro wünschenswert, aber leider nicht möglich, da die Verbindung laut AVM nur zwischen 2 fixen IP-Adressen funktioniert.
Soweit zur Vorgeschichte...

Wir haben aber hier noch eine alte FritzBox 7170 liegen...
Meine Idee wäre hier also eine VPN-Verbindung zwischen der Zweigstellen-FritzBox und der Hauptniederlassungs-FritzBox, welche dann hinter der Astaro wäre.
Also ungefähr so:

Zweigstelle -> FritzBox 7170#1  (Internet)  Astaro  FritzBox 7170#2 

        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";

Kann jemand was damit anfangen? Google konnte mir nichts sinnvolles zur Erklärung liefern...

- die 7170#2 könnte Probleme mit der internen IP haben: Die VPN-Funktion im Webinterface auf der FritzBox ist nur erreichbar, wenn die FritzBox auf "Internetverbindung über DSL" eingstellt ist. Dort habe ich ebenfalls noch die Verbindungseinstellungen auf "Routed Raw IP" gestellt und eine IP-Adresse aus dem LAN-Bereich der Astaro eingetragen. Möglicherweise will sie dann mit der LAN-IP eine VPN-Verbindung aufbauen, was natürlich nicht klappen wird.

Hat jemand Erfahrung mit einem solchen Szenario? Bin für Tipps offen [:)]

Gruß,
Patrick


This thread was automatically locked due to age.
  • It is possible, I can confirm it can be done. It is just a problem in the gui for PSK which doesn't allow you to set a FQDN. Log in with SSH as "loginuser" and "su -" to root.
    Then run cc (confd config) and change to OBJS/ipsec_remote_auth/psk and in the REF_xx objects set the correct values for 'vpn_id' (e.g mydomain.dyndns.org) and 'vpn_id_type' (fqdn).

    That's all works perfect [:)]
  • Hallo Patrick,
    Astaro hat doch jetzt "Essential Firewall edition" mit PPTP and L2TP over IPSec kostenlos für Firmenkunden bereitgestellt. Ist das keine Option für dich?
    Gruß
    Sven
  • So... wie erwartet: es funktioniert nicht. Wenn ich die (aktuelle) IP der FritzBox in die .cfg-Datei eintrage und diese in die FritzBox importiere, klappt es nicht, da sich die FritzBox nach dem Importieren der .cfg-Datei neu mit dem Internet verbindet und eine neue IP-Adresse bekommt.
    Mit dem dyndns-Namen klappt es auch nicht, es kommt einfach keine Verbindung zustande.

    Gruß,
    Patrick


    Es geht auch nicht ...da die Fritzbox nur IP-Adressen in der Config akzeptiert. Sie kann keine DNS-Auflösung dafür machen.

    So wie es aussieht hast Du keine Chance das zu realisieren.

    Ich hätte aber noch ne andere Idee....wie wäre es mit einer kostenlosen Astaro (Free-Business-Edition) auf einem alten Rechner in der Zweigstelle !?

    Zwei Netzwerkkarten eingebaut und ab gehts !? IPSec geht mit der Free-Edition !
  • Hallo PAtrick, 

    also, man kann eine FritzBox Problemlos an eine Astaro anschliesen, 
    auch mit dynamischen IP addressen.

    Du musst lediglich eine Options in der Konfigurations Datenbank Confd von Hand setzen, diesen werden wir in einem der naechsten Updates auch ins GUI holen. 

    Bitte konfiguriere den VPN tunnel komplett mit IP adresse als VPN-ID fuer das Remote gateway. 

    Danach verbinde dich per SSH auf die Astaro und werden mit 'su -' root user und starte den Confd-Client mit dem program 'cc'.

    Danach musst du dich mit folgenden befehlen durchhangeln um den FQDN als VPN-ID zu setzen. du kannst 'tab' nutzen um eine tab-completion zu bekommen under/oder zu sehen welche optionen es gibt.



    ghansenfw2:/root # cc
    Confd command-line client.  Maintainer: 
    $Id: confd-client.pl,v 1.107.2.8.2.9 2009/08/21 13:13:15 ischwarze Exp $

    Connected to 127.0.0.1:4472, SID = lnSPuFySQhBOteArlxdb.
    Available modes: MAIN OBJS RAW WIZARD.
    Type mode name to switch mode.
    Typing 'help' will always give some help.

    127.0.0.1 MAIN > 


    Nun in den Object namespace wechseln mit dem Befehl "OBJS":
                                          
    127.0.0.1 MAIN > OBJS
    Switched to OBJS mode.
                                                                                                                              


    Nun das ipsec remote gateway object heraussuchen um die Referenz auf das Authentication object zu bekommen:

                     
    127.0.0.1 OBJS > ipsec
    ipsec              ipsec_connection   ipsec_remote_auth
    127.0.0.1 OBJS > ipsec
                                                                                                                                               
    127.0.0.1 OBJS ipsec >
    MAIN           OBJS           policy         RAW            remote_gateway WIZARD
    127.0.0.1 OBJS ipsec > remote_gateway
                                                                                                                                               
    127.0.0.1 OBJS ipsec remote_gateway >
    MAIN                                                                 REF_wEAxCWURUx[Andre Scheffknecht GW,ipsec,remote_gateway]
    OBJS                                                                 REF_WsxrbnZgaE[Heidrun Hansen GW,ipsec,remote_gateway]
    RAW                                                                  REF_ZBdTLvxXEB[Astaro Karlsruhe Cluster,ipsec,remote_gateway]
    REF_doPXHxYEvk[Fritz Test,ipsec,remote_gateway]                      WIZARD
    REF_lFABMQdXvU[Astaro Heaven,ipsec,remote_gateway]
    127.0.0.1 OBJS ipsec remote_gateway > REF_doPXHxYEvk[Fritz Test,ipsec,remote_gateway]
    Logged into object 'REF_doPXHxYEvk'. Use 'w' to write eventual changes.
    {
              'comment' => '',
              'name' => 'Fritz Test',
              'authentication' => 'REF_YATgenqSTd',
              'networks' => [
                              'REF_WjmQmoNbQv'
                            ],
              'host' => 'REF_NetworkAny'
            }



    Bitte die Referenz "REF_YATgenqSTd" merken und mit ".." zurueck zur root gehen:
                                                                                                                              
               
    127.0.0.1 OBJS ipsec remote_gateway [REF_doPXHxYEvk] > ..
                                                                                                                                               
    127.0.0.1 OBJS ipsec remote_gateway > ..
                                                                                                                                               
    127.0.0.1 OBJS ipsec > ..

    127.0.0.1 OBJS > 


    Nun das passende Remote Auth Object finden und oeffnen, bitte TAB nutzen und wenn es mehr als ein PSK auth object gibt, das mit der oben gemerkten Referenz nutzen:

    127.0.0.1 OBJS > ipsec_remote_auth
                                                                                                                
    127.0.0.1 OBJS ipsec_remote_auth >
                                                                                                                
    127.0.0.1 OBJS ipsec_remote_auth > psk
                                                                                                                
    127.0.0.1 OBJS ipsec_remote_auth psk >

    127.0.0.1 OBJS ipsec_remote_auth psk > REF_YATgenqSTd[REF_YATgenqSTd,ipsec_remote_auth,psk]

    Logged into object 'REF_YATgenqSTd'. Use 'w' to write eventual changes.
    {
              'psk' => 'pppp',
              'comment' => '',
              'name' => 'REF_YATgenqSTd',
              'vpn_id' => '1.1.1.1',
              'vpn_id_type' => 'ipv4_address'
            }
                                                                                                                              127.0.0.1 OBJS ipsec_remote_auth psk [REF_YATgenqSTd] > 


    Jetzt sind wir im edit modus dieses objectes, einfach die beiden keys mit den richtigen werten ueberschreiben und am ende mit 'w' speichern.
                     
    127.0.0.1 OBJS ipsec_remote_auth psk [REF_YATgenqSTd] > vpn_id_type='fqdn'
    {
              'psk' => 'pppp',
              'comment' => '',
              'name' => 'REF_YATgenqSTd',
              'vpn_id' => '1.1.1.1',
              'vpn_id_type' => 'fqdn'
            }
                                                                                                                                               
    127.0.0.1 OBJS ipsec_remote_auth psk [REF_YATgenqSTd] > vpn_id='fritz.dyndns.net'
    {
              'psk' => 'pppp',
              'comment' => '',
              'name' => 'REF_YATgenqSTd',
              'vpn_id' => 'fritz.dyndns.net',
              'vpn_id_type' => 'fqdn'
            }
                                                                                                                                               
    127.0.0.1 OBJS ipsec_remote_auth psk [REF_YATgenqSTd] > w
    {
              'ref' => 'REF_YATgenqSTd',
              'lock' => '',
              'type' => 'psk',
              'data' => {
                          'psk' => 'pppp',
                          'comment' => '',
                          'name' => 'REF_YATgenqSTd',
                          'vpn_id' => 'fritz.dyndns.net',
                          'vpn_id_type' => 'fqdn'
                        },
              'class' => 'ipsec_remote_auth',
              'hidden' => 0,
              'nodel' => ''
            }
    Changes to object saved successfully.
    {
              'psk' => 'pppp',
              'comment' => '',
              'name' => 'REF_YATgenqSTd',
              'vpn_id' => 'fritz.dyndns.net',
              'vpn_id_type' => 'fqdn'
            }
                                                                                                                                               
    127.0.0.1 OBJS ipsec_remote_auth psk [REF_YATgenqSTd] >


    mit dem Befehl "exit" kommt man wieder auf die Shell. 

    So das war es, jetzt ist in der Astaro geaendert und auch teil des Backups, es wird nun, wenn der tunnel fertig konfiguriert und angeschalten ist, auch automatisch umgesetzt und die Verbindung sollte hochkommen. 

    Ich hoffe das hilft, viel Erfolg, 
    gruss Gert
  • Man lernt nie aus [8-)] danke Gert !
  • Hallo zusammen!

    das Problem hat sich mittlerweile anders gelöst. Der betroffene Mitarbeiter hat seine Büroanschrift gewechselt und damit auch gleich zur Telekom als Business-DSL-Anbieter mit fixer IP.
    Aber gut zu wissen, dass es auch anders geht, diese Möglichkeiten werde ich mir für die Zukunft merken (für den nächsten armen Tropf, der sich keine fixe IP holt [;)] )
    Vielen Dank für die vielen Rückmeldungen!

    Gruß,

    Patrick
  • Hallo Patrick,
    Astaro hat doch jetzt "Essential Firewall edition" mit PPTP and L2TP over IPSec kostenlos für Firmenkunden bereitgestellt. Ist das keine Option für dich?
    Gruß
    Sven


    Hallo Sven,

    soweit ich das richtig verstanden habe, geht Site-to-Site VPN mit der Essential Firewall Edition nicht. Man kann sich nur per (Windows/MacOs/Linux)-VPN-Client an der Essential anmelden (Roadwarrior Scenario).

    Gruß,
    Patrick


  • Du musst lediglich eine Options in der Konfigurations Datenbank Confd von Hand setzen, diesen werden wir in einem der naechsten Updates auch ins GUI holen. 



    @ hansen
    den eintrag "VPN ID is Hostname" hab ich in der aktuellen version 7.506 nicht gefunden ?!?!? dein post ist ja schon eine weile her....