Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

Digitalisierungsbox Premium VPN LAN to LAN mit einer FritzBox

Gelöst

Hallo, 

 

ich weiß es gibt schon sehr viele Einträge zu VPN und der DigiBox Premium. Aber ich werde aus den bisherigen Einträgen einfach nicht schlau bzw. kann mein Vorhaben nicht erfolgreich abschließen. 

 

Wir haben vor eine LAN to LAN Verbindung zwischen zwei entfernten Standorten einzurichten. Auf der einen Seite (Firma) ist ein Anschluss der Telekom mit DigiBox Premium vorhanden. Auf der anderen Seite (wir nennen es "Privat")  ist ein 1&1 Anschluss mit einer FritzBox 7412 vorhanden. Diese FritzBox könnte aber auch durch eine 7490 ersetzt werden, da wir diese noch vorrätig haben... 

 

DigiBox:

VPN- IPsec wurde über den Assistenten erstellt.

Lokale IPSec ID: Firma

Entfernte IPSec ID: Privat

Lokale IP-Adresse: 192.168.2.1

IPSec-Peer-Adresse: DynDNS Adresse von FritzBox

IP-Adresse des Remote-Netzwerkes: 192.168.1.0

Netzmaske: 255.255.255.0

---------

FritzBox:

VPN- IPsec wurde über den Assistenten als "mit Firmennetzwerk verbinden" erstellt.

Lokale IPSec ID: Privat

Entfernte IPSec ID: Firma

Lokale IP-Adresse: 192.168.1.1

IPSec-Peer-Adresse: DynDNS Adresse von DigiBox

IP-Adresse des Remote-Netzwerkes: 192.168.2.0

Netzmaske: 255.255.255.0

 

Preshared Key wurde auch vergeben.

 

Auf der Statusseite ist zu erkennen, dass der Tunnel einen grünen Pfeil hat! Gehe ich dann in die VPN Einstellung ist dort ein grüner Pfeil nach oben gerichtet, welcher sich bewegt. Daneben ist eine "0" zu sehen... Somit ist Phase-1-Aktiv

 

 

Separat habe ich eine VPN Verbindung in der FritzBox angelegt, um von hier aus der Ferne die FritzBox einstellen zu können. Sonnst würde ich nie etwas einstellen können, da die Privatadresse zu weit weg ist. 

 

Wenn ihr euch über diverse Einstellungen wundert, bitte nicht aufregen. Ich habe alles mir mögliche probiert was ich in Foren gefunden habe...

 

Ich lege unten ein paar Screenshots dabei, ich hoffe ihr könnt mir helfen... Vielen Dank schonmal Fröhlich

1 AKZEPTIERTE LÖSUNG
Lösung

Hi,

 

Bild Digibox16:

 

PFS-Gruppe deaktivieren, da die FB diese nach den Werten aus der Phase 1 bezieht. Daher hier nicht notwendig.

IP-Komprimierung deaktivieren. (Wurde aber schon geschrieben)

 

Bild FritzBox1:

VPN-Benutzername (Key-ID) ist nicht gleich dem in Bild DigiBox15 angezeigtem Lokalem ID-Wert. Die müssen gleich sein.

Entweder auf beiden Seiten Digi...Box oder ....spdns.de. Hier reicht aber auch ein einfacher Begriff, wie "0815VPN" o.ä..

Sonst klappt zwar Phase 1 (Bild DigiBox12 grüner Pfeil nach oben) aber Phase2 scheitert.

 

Frage zu Bild FritzBox: Hast du zwei Einträge zur selben Gegenstelle in der Box?

 

 

 

Lösung in ursprünglichem Beitrag anzeigen  

Ich weiß nicht, ob ich etwas übersehen habe, aber so auf dem ersten Blick ist mir nichts besonderes aufgefallen.

Das Einzige: Hast Du schon mal getestet, in der DigiBox die IP-Kompriemierung abzuschalten (Bild16)?

Evtl. hat @Kalle2014 noch eine Idee oder ihm fällt was auf...

Fritzboxen sind nicht mein Fachgebiet, denn denen gehe ich aus dem Weg.

Das Problem beim IPSec ist, das es sehr viele Parameter gibt und sich das Verhalten der Fritzbox von Firmware zu Firmware ändert.

Man müsste sich also am besten den IPSec - Trace ansehen und die Fehlermeldungen analysieren.

 

Übrigens: Ich hätte noch sowohl bintec be.IP plus als auch DigiBox Smart oder Premium auf Lager. Diese laufen sehr gut am 1&1 - Anschluss. Zwinkernd

Lösung

Hi,

 

Bild Digibox16:

 

PFS-Gruppe deaktivieren, da die FB diese nach den Werten aus der Phase 1 bezieht. Daher hier nicht notwendig.

IP-Komprimierung deaktivieren. (Wurde aber schon geschrieben)

 

Bild FritzBox1:

VPN-Benutzername (Key-ID) ist nicht gleich dem in Bild DigiBox15 angezeigtem Lokalem ID-Wert. Die müssen gleich sein.

Entweder auf beiden Seiten Digi...Box oder ....spdns.de. Hier reicht aber auch ein einfacher Begriff, wie "0815VPN" o.ä..

Sonst klappt zwar Phase 1 (Bild DigiBox12 grüner Pfeil nach oben) aber Phase2 scheitert.

 

Frage zu Bild FritzBox: Hast du zwei Einträge zur selben Gegenstelle in der Box?

 

 

 

Hallo Haustekki, 

 

vielen Dank für deine tollen Ideen. 

 

Hab enun nach dienem Beitrag den ersten Schritt durchgeführt (Bild DigiBox16) und siehe da, der grüne Pfeil ist da, mit einer "1" 😄

 

Ich kann mich nun direkt im Browser auf Geräte im entfernten Netzwerk aufschalten! 

 

Super, hab tausend dank. Auch an alle anderen die Ihre Gedanken und HIrnschmalz dafür aufgewendet haben. 

 

Viele Grüße 

Laserprofi

Alles gut, kein Ding und viel Spass.

Telekom hilft Team
Hallo @Laserprofi2018,

ich möchte Sie in unserer Telekom hilft Community herzlich willkommen heißen.

Wie ich sehe, konnte Ihnen @Haustekki weiterhelfen. Vielen Dank für die Hilfe. Ich habe den Beitrag deshalb als gelöst markiert.

Sollen Sie noch Fragen haben, dann jederzeit gerne.

Viele Grüße Martina Ha.

Hallo liebe Gemeinschaft,

 

nun war ich am Wochenende in der Privatwohnung und habe festgestellt, dass unser Tunnel nicht beidseitig offen ist :0

 

Wenn ich von der Firma nach Privat zugreife geht es. Andersrum nicht. Da ist keine Verbindung möglich.

 

Wisst ihr hierzu noch einen oder ein paar Ratschläge?

Vielen Dank für eure Hilfe.

Laserprofi

Die Fritzbox darf die Verbindung NICHT halten.

Der Aufbau soll nur von der Digibox initiiert werden.

Dazu in der Digibox unter Wartung - Ping Generator einen Ping alle Stunde auf die interne IP der FB.


Sonst baut die Fritzbox einen zweiten Tunnel, aber ohne Routing-Eintrag auf.

Erkennbar an dem zweiten  SA mit 0.0.0.0/0 unter Monitoring IPSec.

Dann geht auch trotz Tunnel kein IP Verkehr.

Also den Haken in der FritzBox "VPN-Verbindung dauerhaft halten" entfernen?

Richtig, der muß weg.

Und den Rest in der Digibox wie beschrieben.

Hallo, 

 

habe das so gemacht. 

 

Haken in der FB ist raus. Die anderen Sachen wie in den Bildern zu sehen auch gemacht... Funktioniert aber leider noch nicht?! 

 

So gang kann ich das nicht verstehen... 

 

LG Laserprofi

Also von den Bildern her sollte das passen.

Der grüne Punkt beim Ping zeigt ja an, dass der durch ging.

Unter Monitoring passt auch die Angabe mit einer SA inkl. Netzwerk.

 

Frage: Ist in der Firewall diese VPN-Verbindung als vertrauenswürdiger Standort eingetragen?

 

Da würde ich mal schauen. Wie du schriebst geht es von der Firma zu dir.

Logisch, weil die Firewall jeden ausgehenden Verkehr zulässt.

Ist der Tunnel nicht vertrauenswürdig, dann wird von dort kommender Verkehr geblockt.

 

Hallo @Laserprofi2018,

hat der Tipp von @Haustekki weiter geholfen?
Bitte um Rückmeldung, falls weitere Hilfe benötigt wird.

Viele Grüße Heike Ha.

Hallo, 

 

werde ich heute testen, melde mich im Laufe des Tages. 

 

Vielen dank 

laserprofi 

Hi, habe das mal gerade nachgebaut:

 

 Im Bild IPSEC-VERTRAUT siehst du die Einstellungen im Menüe Firewall-Richtlinien:

Es geht um die untere der beiden geschwärzten IPSEC-Verbindungen. Die ist im Bild "Vertrauenswürdig".

In der Folge geht ein Ping aus dem fremden Netz auch in das Netz der Digibox -> Bild IPSEC_PING1 = 5 gesendet, kein Paketverlust.

 

Schaltet man nun in den Richtlinien die IPSEC-Verbindung auf "nicht Vertrauenswürdig" und dann auf "OK", bleibt der Tunnel online.

zu sehen in Bild IPSEC-VERTRAUT_SA (grüner Balken).

Aber wie in Bild IPSEC_PING2 zu sehen, geht dann von aussen nichts mehr durch. (100% Paketverlust).

 

Stellt man die IPSEC-Verbindung wieder auf "Vertrauenswürdig" ist wieder alles gut.

Dritter Ping-Verlauf im Bild IPSEC-PING2.

 

 

 

Hallo @Laserprofi2018,

ja, bitte halten Sie mich auch auf dem Laufenden.

Viele Grüße Martina Ha.

Hallo,

 

habe nun geschaut.

 

Immernoch keine Verbindung vom Tunnel in die DigiBox. Die Einstellung in der Digibox waren bereits so wie im Foto. siehe -> DigiBox_neu

 

Es muss doch aber irgendetwas mit der Firewall zu tun haben oder??

 

VG Laserprofi

Die Einstellung ist korrekt.

 

Was willst du denn genau machen?

Von Zuhause die Digibox konfigurieren?

Oder auf andere Sachen hinter der Digibox zugreifen?

 

Wenn es um den Zugriff auf die Digibox geht, dann prüfe mal in der Digibox die Einstellungen für den "Administrativen Zugriff".

Hi,

 

ich möchte auf Netzwerklaufwerke jeweils hinter der DigiBox und der Fritzbox zugreifen.

 

Auf die FritzBox und die DigiBox komme ich jetzt beide von beiden Seiten aus.

 

 

Ping und Zugriff auf die Freigabe bei dir Zuhause von der Firma aus geht?

 

Ping und Zugriff auf die Freigaben in der Firma von Zuhause geht nicht?

 

Ist es so?

 

 

also..

 

Zugriff bei mir Zuhause von der Firma aus geht, allerdings nur per Browser. Nicht im Explorer. Dazu habe ich festgestellt, dass der Tunnel anscheinend nach einer gewissen Zeit unterbrochen wird. Muss dazu erst in den IPsec Einstellungen die Pfeile benutzen um ihn "anzuschubsen". Ist das machbar, dass er dauerhaft da ist?

 

Zugriff auf die Firma von Privat geht, allerdings muss ich noch Einstellungen in dem NAS vornehmen anscheinend, da der Zugriif vorhin "Forbidden" war im Browser. Auch hier selbes Spiel, Zugrif nur per Browser möglich, nicht im Explorer. Das ist auch das was ich am liebsten hätte, dass ich mir ein Netzlaufwerk erstellen kann, um auf die Private NAS von der Firma aus zugreifen zu können.

 

 

das "Forbidden" konnte ich lösen. Nun die Frage, wie ich den Zugriff per Explorer auf die NAS bekomme..

Die Frage ob sich Tunnel von alleine schließt steht immernoch im Raum?!

Zeitthematik:

In den IPSec-Einstellungen für Phase 1 und 2 werden Zeiten für die Gültigkeit der Verschlüsselung hinterlegt. Setze die mal in der Digibox bei Phase1 und 2 auf 28800 Sekunden. Das sollte dem Wert in der FB entsprechen.

Damit wäre die Verschlüsselung 8h gültig.

Geht nun kein Traffic durch den Tunnel, wird der abgebaut.

Daher mein Tipp mit dem Ping-Generator. Richte den mal auf dein NAS zuhause.

So alle halbe Stunde.

 

Netzwerkfreigabe:

Ich denke mal, dass hier der KasusKnaxus nicht mehr beim VPN liegt.

Wenn ich das richtig verstanden habe, kannst du von beiden seiten aus per https auf die jeweiligen Konfigurationsseiten der beiden NAS zugreifen?

Je nach NAS prüfe bitte die Berechtigungen der Freigaben.

Auch gibt es NAS die eine eigene Firewall mitbringen und dann eben den Zugriff auf die Ports 139 und 445 nur aus dem eigenen Netz zulassen.

 

Folgendes schreibt AVM dazu: https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/343_Kein-Zugriff-auf...

 

Ich hoffe, das hilft.

Hallo @Laserprofi2018,

falls Sie noch Unterstützung benötigen, biete ich Ihnen unseren Remote-Service an. Die Kollegen von der Technik haben dort die Möglichkeit, per Fernwartung auf Ihre Digitalisierungsbox zuzugreifen und die Einstellungen zu überprüfen. Dieser Service ist kostenpflichtig.

Wenn Sie dies wünschen, dann informieren Sie mich bitte kurz und hinterlegen Ihre Kundendaten in Ihrem Profil. Nutzen Sie dazu gerne diesen Link: http://bit.ly/Kundeninfos

Viele Grüße Martina Ha.