Willkommen in der Business Community

aquapool · ‎29.11.2020

Moin!,

ich benötige eine VPN-Verbindung von einer bintec be.ip plus (Firma) zu einer Fritzbox 7390 (Homeoffice).

Da ich im Homeoffice eine Vodafone Cable Starter Box (Router) habe und die Kosten für z.B. eine Fritze Cable 6591 scheue, habe ich die 7390 aus meinem Altbestand hinter dem Vodafone Router via Lan geklemmt.

Auf dem Vodafone Router habe ich ein Portforwarding der Ports UDP 500, UDP/TCP 4500 und UDP/TCP 10000 zur 7390 eingerichtet.

Die Fritze ist entsprechend konfiguriert also als Router hinter einem ext. Modem etc. und hat ein eigenes Netz (DHCP on).

Den be.ip. plus sowie die 7390 habe ich nach den Anleitungen hier im Forum, welche sich mit den Anleitungen bei YouTube decken, eingerichtet. Die VPN-Verbindung funktioniert einwandfrei, alle Statusanzeigen sind auf grün!

Nur: ich bekomme keine Daten durch den Tunnel! In der Fritze werden unter Internet > Freigaben > VPN steht unter "lokales Netz" 0.0.0.0 und unter "entferntes Netz" ebenfalls 0.0.0.0
Ich habe alle Einstellungen schon 1000mal überprüft, kann aber keinen Fehler finden. Die IP-Kreise sind auch alle getrennt, be.ip plus hat 192.168.3.x (eigener IP Kreis für GAST Zugänge), Vodafone Router hat 192.168.6.x und die 7390 hat 192.168.188.x

Hat irgendjemand eine ähnliche Konfig die funktioniert oder eine Idee worin das Problem bestehen könnte?

Das ist hier so wie "Operation gelungen, Patient tot"....

Gruß

Michael

wari1957 · ‎30.11.2020

@aquapool

In der be.ip das entfernte Netzwerk auf 192.168.188.0/255.255.255.0 setzen, dann sollte zumindest mal der Weg passen.

Lösung in ursprünglichem Beitrag anzeigen

wari1957 · ‎29.11.2020

Hallo @aquapool ,

was zeigt denn die be.ip im IPSec-Verbindungsstatus an (entfernte IP, ...)?

Der Gastzugang der be.ip ist nicht vertrauenswürdig?

Zum Test schon mal das vertrausenswürdige Netz genutzt?

Ping auf die IPSec-Schnittstelle der be.ip erlaubt?

Funktioniert ein Ping direkt in der be.ip zur FB?

Dein Vodafone Zugang bekommt eine öffentliche IPv4-Adresse zugewiesen?

Wenn nein, den Verbindungsaufbau immer über die FB initiieren.

aquapool · ‎30.11.2020

Hallo @wari1957

im IPSec-Verbindungsstatus (be.ip) wird die entfernte IP (via dynDNS die Externe) angezeigt.

Der Gastzugang ist vertrauenswürdig (siehe Bild1).

Ping von be.ip zur FB funktioniert nicht.

Vodafone-Zugang bekommt IPv4 zugewiesen (hatte ich von IPv6 umstellen lassen)

Wo kann ich die Ping Erlaubnis der IPSec-Schnittstelle kontrollieren?

Hier noch 2 Bilder von den Firewall-Regeln, mit denen bin ich mir unsicher..., sind die so ok? Als Basisparameter ist die IPSec-Schnittstelle ja vertrauenswürdig...

Verbindungsaufbau über die FP initiieren?? Ich dache die FB kann nur als Client?! Wie könnte das denn gehen?

Gruß

Michael

wari1957 · ‎30.11.2020

@aquapool

- Ping von be.ip zur FB funktioniert nicht.

Das ist schlecht.

Du pingst schon auf die 192.168.6.x der FB?

Was wird denn bei einerm tracert 192.168.6.x angezeigt?

- Wo kann ich die Ping Erlaubnis der IPSec-Schnittstelle kontrollieren?

Unter Administrativer Zugriff die IPSec-Schnittstelle hinzufügen und den Haken bei Ping setzen.

Dann sollte die FB die be.ip pingen dürfen.

- Hier noch 2 Bilder von den Firewall-Regeln, mit denen bin ich mir unsicher..., sind die so ok? Als Basisparameter ist die IPSec-Schnittstelle ja vertrauenswürdig...

Wenn der Gastzugang vertrauenswürdig ist, dann darfst du die ersten drei Regeln löschen.

- Verbindungsaufbau über die FP initiieren?? Ich dache die FB kann nur als Client?! Wie könnte das denn gehen?

Da dein Vodafoneanschluß eine öffentliche IPv4-Adresse hat, ist das hinfällig.

wari1957 · ‎30.11.2020

@aquapool

Ein Screenshot der aktiven IPv4-Routen der be.ip wäre nicht schlecht.

aquapool · ‎30.11.2020

Hallo @wari1957

Ping habe ich jetzt in der be.ip freigegeben, kann ich aber erst via FB heute Nachmittag testen...

tracert meldet: Zielhost nicht erreichbar.

anbei das Routing und der Eintrag im Ping-Generator.

Das Routing ist komisch...

Gruß

Michael

wari1957 · ‎30.11.2020

@aquapool

Die letzte Route mit der Schnittstelle LAN_LOCAL darfst du löschen.

Warum gibst du der be.ip als lokale Adresse die 192.168.3.90, die ist doch 192.168.3.1.

Warum ist die Metrik der IPSEC_CONNECTION_3 0 und nicht 1?

aquapool · ‎30.11.2020

@wari1957

IP Adresse und Metrik hab ich jetzt wieder geändert, Ich hatte aus Verzweiflung etwas rumprobiert und vergessen die Einstellungen wieder rückgängig zu machen...

Den letzten Routeneintrag habe ich auch gelöscht.

Ping geht leider immer noch nicht.

Mit tracert 192.168.6.186 (FB) komm ich nur bis 192.168.178.1 (Router be.ip).

Da hakt etwas gehörig...

Kalle2014 · ‎30.11.2020

Wie kommt man überhaupt von der 192.168.178.1 zur 192.168.6.x ? Gibt es da noch weitere Gateways dazwischen, und ist bei diesen dann auch eine entsprechende Route gesetzt? Das die 192.168.3.90 das Gateway zur 192.168.6.x sein soll, ist für mich schon komisch.

wari1957 · ‎30.11.2020

@aquapool

Vielleicht hat die FB ein Problem mit den VLAN-IDs.

Hast du schon mal die IPSec-Verbindung mit der lokalen Adresse 192.168.178.1 in der be.ip getestet, die hat ja wenigstens VLAN-ID 1?

Kalle2014 · ‎30.11.2020

Wichtig: VLAN-IDs funktionieren nur, wenn sie dem WLAN - Controller bekannt sind.

aquapool · ‎30.11.2020

@Kalle2014

@wari1957

anbei die aktualisierte Route zum testen mit 192.168.178.1 statt 192.168.3.1 bzw. .90.

von der 192.168.178.1 geht es via dynDNS direkt zu 192.168.6.x. Auf dem Router (Vodafone) gibt es dann ein Portforwarding UDP500/4500/10000 zur FB die das VPN macht.

VLAN 2 ist im WLAN-Controller > Slave-AP-Konfiguration > Drahtlosnetzwerke VSS unter GAST eingetragen. Jetzt habe ich ja auf *.178.1 geändert...

Hat aber leider nicht geholfen...
Anbei auch noch die Schnittstellen.

wari1957 · ‎30.11.2020

@aquapool

Der Adressbereich 192.168.6.0/24 ist das lokale Netz der FB?

Welche IPv4-Adresse weißt der Vodafone Router der FB an deren WAN-Seite zu?

aquapool · ‎30.11.2020

@wari1957

der Adressbereich 192.168.6.0/24 ist das lokale Netz des Vodafone Routers.

Das Lokale Netz der FB lautet 192.168.188.0

WAN Seite der FB vom Vodafone Router ist 192.168.6.186

Kalle2014 · ‎30.11.2020

Hallo @aquapool ,

dann kann das ja auch nicht funktionieren.

Die Routingeinträge in der be.IP plus oder DigiBox Premium dürfen sich nur auf das interne Netzwerk beziehen, also INNERHALB des per VPN verbundenen Netzes.

Fazit: Es muss eine Route für das Ziel 192.168.188.0 angelegt werden, und das Gateway ist der VPN - Tunnel. Danach sollten die Systeme im Netzwerk 192.168.188.x erreichbar sein, wenn in der FB die Rückroute korrekt definiert ist.

wari1957 · ‎30.11.2020

@aquapool

In der be.ip das entfernte Netzwerk auf 192.168.188.0/255.255.255.0 setzen, dann sollte zumindest mal der Weg passen.

aquapool · ‎30.11.2020

@wari1957

ja, vielen Dank, hab ich gemacht, Tunnel steht wieder aber ping geht immer noch nicht, weder von der be.ip zur FB noch anders herum...

wari1957 · ‎30.11.2020

@aquapool

Ein Screenshot der VPN-Konfiguration der FB wäre nicht schlecht.

aquapool · ‎30.11.2020

@wari1957

jetzt läuft es, ich hatte übersehen, dass ich wegen der Änderung der IP in der be.ip ja auch noch die IP in in den VPN Einstellungen der FB ändern muss....

Ich probiere jetzt noch einmal die IP im GAST-Netz der be.ip aus. Wenn das nicht funktioniert ist damit noch etwas faul. Das mit dem IP-Kreis der FB war ein super Tip! Merkwürdig nur, dass der Tunnel auch via IP-Kreis des Vodafone Routers aufgebaut werden konnte...

Jetzt komme ich wieder alleine weiter

Herzlichen Dank für Deine ausdauernde Hilfe!

Gruß

Michael

Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

bintec be.ip plus / Digitalisierungsbox Premium VPN IPsec zur Fritzbox 7390 keine Daten