- Beitrag abonnieren
- Beitrag stummschalten
- Beitrag als ungelesen kennzeichnen
- Beitrag als gelesen kennzeichnen
bintec be.ip plus / Digitalisierungsbox Premium VPN IPsec zur Fritzbox 7390 keine Daten
29.11.2020 12:43
Moin!,
ich benötige eine VPN-Verbindung von einer bintec be.ip plus (Firma) zu einer Fritzbox 7390 (Homeoffice).
Da ich im Homeoffice eine Vodafone Cable Starter Box (Router) habe und die Kosten für z.B. eine Fritze Cable 6591 scheue, habe ich die 7390 aus meinem Altbestand hinter dem Vodafone Router via Lan geklemmt.
Auf dem Vodafone Router habe ich ein Portforwarding der Ports UDP 500, UDP/TCP 4500 und UDP/TCP 10000 zur 7390 eingerichtet.
Die Fritze ist entsprechend konfiguriert also als Router hinter einem ext. Modem etc. und hat ein eigenes Netz (DHCP on).
Den be.ip. plus sowie die 7390 habe ich nach den Anleitungen hier im Forum, welche sich mit den Anleitungen bei YouTube decken, eingerichtet. Die VPN-Verbindung funktioniert einwandfrei, alle Statusanzeigen sind auf grün!
Nur: ich bekomme keine Daten durch den Tunnel! In der Fritze werden unter Internet > Freigaben > VPN steht unter "lokales Netz" 0.0.0.0 und unter "entferntes Netz" ebenfalls 0.0.0.0
Ich habe alle Einstellungen schon 1000mal überprüft, kann aber keinen Fehler finden. Die IP-Kreise sind auch alle getrennt, be.ip plus hat 192.168.3.x (eigener IP Kreis für GAST Zugänge), Vodafone Router hat 192.168.6.x und die 7390 hat 192.168.188.x
Hat irgendjemand eine ähnliche Konfig die funktioniert oder eine Idee worin das Problem bestehen könnte?
Das ist hier so wie "Operation gelungen, Patient tot"....
Gruß
Michael
Gelöst! Gehe zu Lösung.
In der be.ip das entfernte Netzwerk auf 192.168.188.0/255.255.255.0 setzen, dann sollte zumindest mal der Weg passen.
29.11.2020 13:56
Hallo @aquapool ,
was zeigt denn die be.ip im IPSec-Verbindungsstatus an (entfernte IP, ...)?
Der Gastzugang der be.ip ist nicht vertrauenswürdig?
Zum Test schon mal das vertrausenswürdige Netz genutzt?
Ping auf die IPSec-Schnittstelle der be.ip erlaubt?
Funktioniert ein Ping direkt in der be.ip zur FB?
Dein Vodafone Zugang bekommt eine öffentliche IPv4-Adresse zugewiesen?
Wenn nein, den Verbindungsaufbau immer über die FB initiieren.
30.11.2020 10:11
Hallo @wari1957
im IPSec-Verbindungsstatus (be.ip) wird die entfernte IP (via dynDNS die Externe) angezeigt.
Der Gastzugang ist vertrauenswürdig (siehe Bild1).
Ping von be.ip zur FB funktioniert nicht.
Vodafone-Zugang bekommt IPv4 zugewiesen (hatte ich von IPv6 umstellen lassen)
Wo kann ich die Ping Erlaubnis der IPSec-Schnittstelle kontrollieren?
Hier noch 2 Bilder von den Firewall-Regeln, mit denen bin ich mir unsicher..., sind die so ok? Als Basisparameter ist die IPSec-Schnittstelle ja vertrauenswürdig...
Verbindungsaufbau über die FP initiieren?? Ich dache die FB kann nur als Client?! Wie könnte das denn gehen?
Gruß
Michael
30.11.2020 10:31
- Ping von be.ip zur FB funktioniert nicht.
Das ist schlecht.
Du pingst schon auf die 192.168.6.x der FB?
Was wird denn bei einerm tracert 192.168.6.x angezeigt?
- Wo kann ich die Ping Erlaubnis der IPSec-Schnittstelle kontrollieren?
Unter Administrativer Zugriff die IPSec-Schnittstelle hinzufügen und den Haken bei Ping setzen.
Dann sollte die FB die be.ip pingen dürfen.
- Hier noch 2 Bilder von den Firewall-Regeln, mit denen bin ich mir unsicher..., sind die so ok? Als Basisparameter ist die IPSec-Schnittstelle ja vertrauenswürdig...
Wenn der Gastzugang vertrauenswürdig ist, dann darfst du die ersten drei Regeln löschen.
- Verbindungsaufbau über die FP initiieren?? Ich dache die FB kann nur als Client?! Wie könnte das denn gehen?
Da dein Vodafoneanschluß eine öffentliche IPv4-Adresse hat, ist das hinfällig.
30.11.2020 10:48
30.11.2020 11:24
Hallo @wari1957
Ping habe ich jetzt in der be.ip freigegeben, kann ich aber erst via FB heute Nachmittag testen...
tracert meldet: Zielhost nicht erreichbar.
anbei das Routing und der Eintrag im Ping-Generator.
Das Routing ist komisch...
Gruß
Michael
30.11.2020 11:36
Die letzte Route mit der Schnittstelle LAN_LOCAL darfst du löschen.
Warum gibst du der be.ip als lokale Adresse die 192.168.3.90, die ist doch 192.168.3.1.
Warum ist die Metrik der IPSEC_CONNECTION_3 0 und nicht 1?
30.11.2020 12:59
IP Adresse und Metrik hab ich jetzt wieder geändert, Ich hatte aus Verzweiflung etwas rumprobiert und vergessen die Einstellungen wieder rückgängig zu machen...
Den letzten Routeneintrag habe ich auch gelöscht.
Ping geht leider immer noch nicht.
Mit tracert 192.168.6.186 (FB) komm ich nur bis 192.168.178.1 (Router be.ip).
Da hakt etwas gehörig...
30.11.2020 13:08
30.11.2020 13:13
Vielleicht hat die FB ein Problem mit den VLAN-IDs.
Hast du schon mal die IPSec-Verbindung mit der lokalen Adresse 192.168.178.1 in der be.ip getestet, die hat ja wenigstens VLAN-ID 1?
30.11.2020 13:44
30.11.2020 15:16
anbei die aktualisierte Route zum testen mit 192.168.178.1 statt 192.168.3.1 bzw. .90.
von der 192.168.178.1 geht es via dynDNS direkt zu 192.168.6.x. Auf dem Router (Vodafone) gibt es dann ein Portforwarding UDP500/4500/10000 zur FB die das VPN macht.
VLAN 2 ist im WLAN-Controller > Slave-AP-Konfiguration > Drahtlosnetzwerke VSS unter GAST eingetragen. Jetzt habe ich ja auf *.178.1 geändert...
Hat aber leider nicht geholfen...
Anbei auch noch die Schnittstellen.
30.11.2020 15:22
Der Adressbereich 192.168.6.0/24 ist das lokale Netz der FB?
Welche IPv4-Adresse weißt der Vodafone Router der FB an deren WAN-Seite zu?
30.11.2020 16:22
der Adressbereich 192.168.6.0/24 ist das lokale Netz des Vodafone Routers.
Das Lokale Netz der FB lautet 192.168.188.0
WAN Seite der FB vom Vodafone Router ist 192.168.6.186
30.11.2020 16:36
Hallo @aquapool ,
dann kann das ja auch nicht funktionieren.
Die Routingeinträge in der be.IP plus oder DigiBox Premium dürfen sich nur auf das interne Netzwerk beziehen, also INNERHALB des per VPN verbundenen Netzes.
Fazit: Es muss eine Route für das Ziel 192.168.188.0 angelegt werden, und das Gateway ist der VPN - Tunnel. Danach sollten die Systeme im Netzwerk 192.168.188.x erreichbar sein, wenn in der FB die Rückroute korrekt definiert ist.
In der be.ip das entfernte Netzwerk auf 192.168.188.0/255.255.255.0 setzen, dann sollte zumindest mal der Weg passen.
30.11.2020 16:51
ja, vielen Dank, hab ich gemacht, Tunnel steht wieder aber ping geht immer noch nicht, weder von der be.ip zur FB noch anders herum...
30.11.2020 17:00
30.11.2020 17:09
jetzt läuft es, ich hatte übersehen, dass ich wegen der Änderung der IP in der be.ip ja auch noch die IP in in den VPN Einstellungen der FB ändern muss....
Ich probiere jetzt noch einmal die IP im GAST-Netz der be.ip aus. Wenn das nicht funktioniert ist damit noch etwas faul. Das mit dem IP-Kreis der FB war ein super Tip! Merkwürdig nur, dass der Tunnel auch via IP-Kreis des Vodafone Routers aufgebaut werden konnte...
Jetzt komme ich wieder alleine weiter
Herzlichen Dank für Deine ausdauernde Hilfe!
Gruß
Michael