crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
Hallo,
ich weiß es gibt schon sehr viele Einträge zu VPN und der DigiBox Premium. Aber ich werde aus den bisherigen Einträgen einfach nicht schlau bzw. kann mein Vorhaben nicht erfolgreich abschließen.
Wir haben vor eine LAN to LAN Verbindung zwischen zwei entfernten Standorten einzurichten. Auf der einen Seite (Firma) ist ein Anschluss der Telekom mit DigiBox Premium vorhanden. Auf der anderen Seite (wir nennen es "Privat") ist ein 1&1 Anschluss mit einer FritzBox 7412 vorhanden. Diese FritzBox könnte aber auch durch eine 7490 ersetzt werden, da wir diese noch vorrätig haben...
DigiBox:
VPN- IPsec wurde über den Assistenten erstellt.
Lokale IPSec ID: Firma
Entfernte IPSec ID: Privat
Lokale IP-Adresse: 192.168.2.1
IPSec-Peer-Adresse: DynDNS Adresse von FritzBox
IP-Adresse des Remote-Netzwerkes: 192.168.1.0
Netzmaske: 255.255.255.0
---------
FritzBox:
VPN- IPsec wurde über den Assistenten als "mit Firmennetzwerk verbinden" erstellt.
Lokale IPSec ID: Privat
Entfernte IPSec ID: Firma
Lokale IP-Adresse: 192.168.1.1
IPSec-Peer-Adresse: DynDNS Adresse von DigiBox
IP-Adresse des Remote-Netzwerkes: 192.168.2.0
Netzmaske: 255.255.255.0
Preshared Key wurde auch vergeben.
Auf der Statusseite ist zu erkennen, dass der Tunnel einen grünen Pfeil hat! Gehe ich dann in die VPN Einstellung ist dort ein grüner Pfeil nach oben gerichtet, welcher sich bewegt. Daneben ist eine "0" zu sehen... Somit ist Phase-1-Aktiv
Separat habe ich eine VPN Verbindung in der FritzBox angelegt, um von hier aus der Ferne die FritzBox einstellen zu können. Sonnst würde ich nie etwas einstellen können, da die Privatadresse zu weit weg ist.
Wenn ihr euch über diverse Einstellungen wundert, bitte nicht aufregen. Ich habe alles mir mögliche probiert was ich in Foren gefunden habe...
Ich lege unten ein paar Screenshots dabei, ich hoffe ihr könnt mir helfen... Vielen Dank schonmal
Gelöst! Gehe zu Lösung.
Hi,
Bild Digibox16:
PFS-Gruppe deaktivieren, da die FB diese nach den Werten aus der Phase 1 bezieht. Daher hier nicht notwendig.
IP-Komprimierung deaktivieren. (Wurde aber schon geschrieben)
Bild FritzBox1:
VPN-Benutzername (Key-ID) ist nicht gleich dem in Bild DigiBox15 angezeigtem Lokalem ID-Wert. Die müssen gleich sein.
Entweder auf beiden Seiten Digi...Box oder ....spdns.de. Hier reicht aber auch ein einfacher Begriff, wie "0815VPN" o.ä..
Sonst klappt zwar Phase 1 (Bild DigiBox12 grüner Pfeil nach oben) aber Phase2 scheitert.
Frage zu Bild FritzBox: Hast du zwei Einträge zur selben Gegenstelle in der Box?
20.03.2018 16:55
Ich weiß nicht, ob ich etwas übersehen habe, aber so auf dem ersten Blick ist mir nichts besonderes aufgefallen.
Das Einzige: Hast Du schon mal getestet, in der DigiBox die IP-Kompriemierung abzuschalten (Bild16)?
Evtl. hat @Kalle2014 noch eine Idee oder ihm fällt was auf...
20.03.2018 17:29
Fritzboxen sind nicht mein Fachgebiet, denn denen gehe ich aus dem Weg.
Das Problem beim IPSec ist, das es sehr viele Parameter gibt und sich das Verhalten der Fritzbox von Firmware zu Firmware ändert.
Man müsste sich also am besten den IPSec - Trace ansehen und die Fehlermeldungen analysieren.
Übrigens: Ich hätte noch sowohl bintec be.IP plus als auch DigiBox Smart oder Premium auf Lager. Diese laufen sehr gut am 1&1 - Anschluss.
Hi,
Bild Digibox16:
PFS-Gruppe deaktivieren, da die FB diese nach den Werten aus der Phase 1 bezieht. Daher hier nicht notwendig.
IP-Komprimierung deaktivieren. (Wurde aber schon geschrieben)
Bild FritzBox1:
VPN-Benutzername (Key-ID) ist nicht gleich dem in Bild DigiBox15 angezeigtem Lokalem ID-Wert. Die müssen gleich sein.
Entweder auf beiden Seiten Digi...Box oder ....spdns.de. Hier reicht aber auch ein einfacher Begriff, wie "0815VPN" o.ä..
Sonst klappt zwar Phase 1 (Bild DigiBox12 grüner Pfeil nach oben) aber Phase2 scheitert.
Frage zu Bild FritzBox: Hast du zwei Einträge zur selben Gegenstelle in der Box?
26.03.2018 16:50
Hallo Haustekki,
vielen Dank für deine tollen Ideen.
Hab enun nach dienem Beitrag den ersten Schritt durchgeführt (Bild DigiBox16) und siehe da, der grüne Pfeil ist da, mit einer "1" 😄
Ich kann mich nun direkt im Browser auf Geräte im entfernten Netzwerk aufschalten!
Super, hab tausend dank. Auch an alle anderen die Ihre Gedanken und HIrnschmalz dafür aufgewendet haben.
Viele Grüße
Laserprofi
26.03.2018 21:30
Alles gut, kein Ding und viel Spass.
28.03.2018 09:24
03.04.2018 16:26
Hallo liebe Gemeinschaft,
nun war ich am Wochenende in der Privatwohnung und habe festgestellt, dass unser Tunnel nicht beidseitig offen ist :0
Wenn ich von der Firma nach Privat zugreife geht es. Andersrum nicht. Da ist keine Verbindung möglich.
Wisst ihr hierzu noch einen oder ein paar Ratschläge?
Vielen Dank für eure Hilfe.
Laserprofi
03.04.2018 16:48 Zuletzt bearbeitet: 03.04.2018 16:50 durch den Autor
Die Fritzbox darf die Verbindung NICHT halten.
Der Aufbau soll nur von der Digibox initiiert werden.
Dazu in der Digibox unter Wartung - Ping Generator einen Ping alle Stunde auf die interne IP der FB.
Sonst baut die Fritzbox einen zweiten Tunnel, aber ohne Routing-Eintrag auf.
Erkennbar an dem zweiten SA mit 0.0.0.0/0 unter Monitoring IPSec.
Dann geht auch trotz Tunnel kein IP Verkehr.
03.04.2018 16:56
03.04.2018 17:05
Richtig, der muß weg.
Und den Rest in der Digibox wie beschrieben.
03.04.2018 17:22
03.04.2018 18:19
Also von den Bildern her sollte das passen.
Der grüne Punkt beim Ping zeigt ja an, dass der durch ging.
Unter Monitoring passt auch die Angabe mit einer SA inkl. Netzwerk.
Frage: Ist in der Firewall diese VPN-Verbindung als vertrauenswürdiger Standort eingetragen?
Da würde ich mal schauen. Wie du schriebst geht es von der Firma zu dir.
Logisch, weil die Firewall jeden ausgehenden Verkehr zulässt.
Ist der Tunnel nicht vertrauenswürdig, dann wird von dort kommender Verkehr geblockt.
03.04.2018 19:38
04.04.2018 09:38
Hallo,
werde ich heute testen, melde mich im Laufe des Tages.
Vielen dank
laserprofi
04.04.2018 10:09
Hi, habe das mal gerade nachgebaut:
Im Bild IPSEC-VERTRAUT siehst du die Einstellungen im Menüe Firewall-Richtlinien:
Es geht um die untere der beiden geschwärzten IPSEC-Verbindungen. Die ist im Bild "Vertrauenswürdig".
In der Folge geht ein Ping aus dem fremden Netz auch in das Netz der Digibox -> Bild IPSEC_PING1 = 5 gesendet, kein Paketverlust.
Schaltet man nun in den Richtlinien die IPSEC-Verbindung auf "nicht Vertrauenswürdig" und dann auf "OK", bleibt der Tunnel online.
zu sehen in Bild IPSEC-VERTRAUT_SA (grüner Balken).
Aber wie in Bild IPSEC_PING2 zu sehen, geht dann von aussen nichts mehr durch. (100% Paketverlust).
Stellt man die IPSEC-Verbindung wieder auf "Vertrauenswürdig" ist wieder alles gut.
Dritter Ping-Verlauf im Bild IPSEC-PING2.
04.04.2018 10:14
04.04.2018 15:48
04.04.2018 17:42
Die Einstellung ist korrekt.
Was willst du denn genau machen?
Von Zuhause die Digibox konfigurieren?
Oder auf andere Sachen hinter der Digibox zugreifen?
Wenn es um den Zugriff auf die Digibox geht, dann prüfe mal in der Digibox die Einstellungen für den "Administrativen Zugriff".
04.04.2018 18:05
Hi,
ich möchte auf Netzwerklaufwerke jeweils hinter der DigiBox und der Fritzbox zugreifen.
Auf die FritzBox und die DigiBox komme ich jetzt beide von beiden Seiten aus.
04.04.2018 20:44
Ping und Zugriff auf die Freigabe bei dir Zuhause von der Firma aus geht?
Ping und Zugriff auf die Freigaben in der Firma von Zuhause geht nicht?
Ist es so?
05.04.2018 16:10
also..
Zugriff bei mir Zuhause von der Firma aus geht, allerdings nur per Browser. Nicht im Explorer. Dazu habe ich festgestellt, dass der Tunnel anscheinend nach einer gewissen Zeit unterbrochen wird. Muss dazu erst in den IPsec Einstellungen die Pfeile benutzen um ihn "anzuschubsen". Ist das machbar, dass er dauerhaft da ist?
Zugriff auf die Firma von Privat geht, allerdings muss ich noch Einstellungen in dem NAS vornehmen anscheinend, da der Zugriif vorhin "Forbidden" war im Browser. Auch hier selbes Spiel, Zugrif nur per Browser möglich, nicht im Explorer. Das ist auch das was ich am liebsten hätte, dass ich mir ein Netzlaufwerk erstellen kann, um auf die Private NAS von der Firma aus zugreifen zu können.
05.04.2018 18:03
05.04.2018 19:34
Zeitthematik:
In den IPSec-Einstellungen für Phase 1 und 2 werden Zeiten für die Gültigkeit der Verschlüsselung hinterlegt. Setze die mal in der Digibox bei Phase1 und 2 auf 28800 Sekunden. Das sollte dem Wert in der FB entsprechen.
Damit wäre die Verschlüsselung 8h gültig.
Geht nun kein Traffic durch den Tunnel, wird der abgebaut.
Daher mein Tipp mit dem Ping-Generator. Richte den mal auf dein NAS zuhause.
So alle halbe Stunde.
Netzwerkfreigabe:
Ich denke mal, dass hier der KasusKnaxus nicht mehr beim VPN liegt.
Wenn ich das richtig verstanden habe, kannst du von beiden seiten aus per https auf die jeweiligen Konfigurationsseiten der beiden NAS zugreifen?
Je nach NAS prüfe bitte die Berechtigungen der Freigaben.
Auch gibt es NAS die eine eigene Firewall mitbringen und dann eben den Zugriff auf die Ports 139 und 445 nur aus dem eigenen Netz zulassen.
Folgendes schreibt AVM dazu: https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/343_Kein-Zugriff-auf...
Ich hoffe, das hilft.
06.04.2018 08:44
Sie benötigen eine persönliche Kaufberatung? Das Geschäftskundenteam der Telekom berät Sie gerne.
Informieren Sie sich über unsere aktuellen Festnetz- & Internet-Angebote.