Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

Digitalisierungsbox hinter FritzBox per VPN Site to Site

Gelöst

Guten Tag,

ich habe folgendes Szenario:

  • Büroanschluss mit Digitalisierungbox Premium ("Firmenbox") direkt am Telekomanschluss als normaler Router. 
  • Privatanschluss bei einem Kabelkanbieter (mit öffentlicher IPv4 Adresse) und einer FritzBox als Router
  • Für das Büro zuhause hinter der FritzBox eine Digitalisierungsbox Premium ("Privatbox"), die eine Netztrennung zum Privatnetz erstellen soll und dann dauerhaft per VPN im Firmennetz eingewählt sein soll. Die Privatbox habe ich gerade erst ausgepackt, es gibt bis auf die Internetverbindung per "externes Gateway/Kabelmodel" keine weiteren Einstellungen
  • Surfen etc. geht problemlos über die Privatbox

Die Digitalisierungboxen habe ich nach diesem Video eingerichtet:

https://digitalisierungsbox.bintec-elmeg.com/vpn-site-to-site-zwischen-zwei-digitalisierungsboxen/

 

In der FritzBox habe ich die Privatbox als Exposed Host angegeben, testweise habe ich auch mal eine ganz normale Weiterleitung auf einen Rechner mit offenem Port 80 gemacht, das funktioniert (IP stimmt also).

 

Beim Verbindungsaufbau steht in der Oberfläche beider Digitalisierungsboxen als Status "Phase 1 aktiv". 

Diesen Thread habe ich schon bearbeitet, trotz der für die Digitalisierungsbox angegeben Einstellungen ist das Ergebnis unverändert:

https://telekomhilft.telekom.de/t5/All-IP-das-digitale-Netz/Digitalisierungsbox-Premium-VPN-LAN-to-L...

 

Portweiterleitungen gibt es auf den beiden Digitalisierungsboxen keine, an den Firewalleinstellungen wurde meines Wissens auch nichts geändert

 

Nun zur eigentlich Fragen: 

Wo kann ich Logs finden mit denen eine nähere Eingrenzung des Fehlers möglich ist? Oder gibt es noch andere Aspekte, die ich übersehen habe?

 

Im Anhang ein paar Screenshots

iuv_0-1599128952035.png

iuv_1-1599128960727.png

iuv_2-1599129022814.png

 

Vielen Dank

iuv

 

1 AKZEPTIERTE LÖSUNG

@iuv 

In deiner Firmenbox ist das Gast-WLAN falsch.

Du hattest von 192.168.4.0/24 geschrieben.

 

Lösung in ursprünglichem Beitrag anzeigen  

@iuv 

Was für eine Fritzbox hast du (gekauft oder gemietet)? Bei welchem Anbieter?

Bei Vodafone Kabel Deutschland mit einer gekauften Fritzbox oder bei Vodafone West mit einer gemieteten Fritzbox gäbe es eine einfache Lösung.

 

@Maximilia Vielen Dank für die schnelle Antwort.

 

Ich habe hier in meiner Testumgebung eine 6490 Cable, im Realbetrieb soll das unter der 6591 laufen. Beides sind Leihgeräte von Vodafone Kabel Deutschland.

Hallo @iuv ,

Warum die DB als Exposed Host?

Die udp Ports 500 und 4500 würden ausreichen.

VPN auf der FB ist nicht aktiv?

 

 

Moin,
@wari1957: Nein, VPN ist auf der FB nicht aktiv. Exposed Host der Einfachheit halber. Habe jetzt die beiden Ports explizit freigegeben, hat aber leider keinen Unterschied gemacht.

@iuv 

Siehst du unter Home -> Mehr anzeigen -> Monitoring Internes Protokoll im Subsystem IPSec Meldungen?

 

@iuv 

Hast du am KDG Anschluss eine feste IP, die im sogenannten RIP-Modus läuft?

 

Das würde das Problem erklären, weil man dann VPN im NAT über VPN Tunneln würde, funktioniert in der Praxis nie richtig.

 

Ansonsten würde ich eine gekaufte Fritzbox empfehlen, da kann man einen LAN Anschluss in einen Brigdemode schalten, also man hat dann quasi 2 getrennte Anschlüsse mit getrennten IP Adressen, die sich aber die gebuchte Bandbreite teilen.

Eine gekauft fritzbox kann man aber nicht bei Altprodukten mit fester IP einsetzen.

 

Telekom hilft Team
Hallo @iuv,

haben die Hinweise aus der Community bereits weitergeholfen?
Geben Sie uns hier gern eine Rückmeldung.


Lieben Gruß, Melanie B.

@wari1957 Nein, da sehe ich leider gar nichts. 

@Maximilia Nein, hier habe ich eine dynamische IP, die sich alle paar Tage ändert.

 

@iuv 

Ich habe dein Szenario in Etwa nachgebaut.

Eine DB an einem eigenen DSL-Anschluß und an einem anderen DSL-Anschluß eine zweite DB hinter einem Speedport Pro.

Im Pro eine Portweiterleitung auf die DB (udp/500, udp/4500).

Site-2-Site VPN funktioniert.

 

Zumindest in der DB im Büro müßtest du IPSec-Meldungen sehen.

Ist die maximale Anzahl Meldungen in der DB auf 1000 eingestellt?

Zur Not einfach bei der Home DB für die entsprechende IPSec-Verbindung den Pfeil nach unten und dann nach oben betätigen.

 

@iuv 

Sieht dein Status so aus?

Unbenannt.PNG

Wenn ja, sieht das doch gar nicht schlecht aus.

Jetzt noch für ein bischen Netzwerkverkehr zwischen den Boxen sorgen, dann sollte das so aussehen:

Unbenannt.PNG

Falls du die IPv4-Adressen der DB anpingen willst, mußt du erst die IPSec-Schnittstelle beim administrativen Zugriff hinzufügen und Ping erlauben.

 


@iuv  schrieb:

@Maximilia Nein, hier habe ich eine dynamische IP, die sich alle paar Tage ändert.


@iuv 

Dann empfehle ich dir, eine Kabelfritzbox zu kaufen, da kann man dann einen Bridgeanschluss freischalten, sodass du zwei getrennte Netzwerke mit unterschiedlichen IPs hast, wäre m.E. die bessere Lösung als Doppelnat.

 

@wari1957 Die Loganzahl war's wohl, jetzt habe ich diese Ausgabe:

Firmenbox:

iuv_0-1599224813318.png

Und die Privatbox:

iuv_1-1599224861448.png

Die VPN Anzeige standen übrigens beide auf "Standby", als ich dann von der Firmenbox aus gesagt habe, dass sie verbinden soll, ist die Heimbox auch angesprungen auf Phase 0.

 

Hier auch nochmal die einzelnen VPN Settings, beginnend sie sind soweit auf beiden Digiboxen identisch:

 

iuv_3-1599225402330.png

iuv_4-1599225412317.png

iuv_5-1599225433008.png

iuv_6-1599225474157.png

iuv_7-1599225481697.png

(Hier hat die Firmenbox den Bereich 192.168.2.100-199 und zusätzlich noch den Gast-WLAN DHCP-Bereich 192.168.4.100-199, dieser war vorher bei 3.100-199).

 

iuv_8-1599225629858.png

 

Falls du die IPv4-Adressen der DB anpingen willst, mußt du erst die IPSec-Schnittstelle beim administrativen Zugriff hinzufügen und Ping erlauben.

 

Habe ich gemacht (auf der Firmenbox), ein Ping von Zuhause auf die 192.168.2.1 lief leider noch ins Leere.

 

Die Meldung Dead Peer Detection klingt ja noch so, als wenn irgendwas nicht 100% passt.

Unter IPSec -> Phase 1 > Erweiterte Einstellungen steht bei der "Erreichbarkeitsprüung" " Automatische Erkennung", "Blockzeit" "30 Sekunden", "NAT Traversal" "aktiviert".

 

@Maximilia Vielen Dank für die Hilfe, wenn es irgendwie ohne neue FritzBox geht wäre ich nicht böse, da ich die zweite Digibox extra gekauft habe, damit die beiden Endgeräte gut zusammenarbeiten.

 

@iuv 

Sieht doch gar nicht so schlecht aus.

 

Die beiden VPNs hast du nicht mit dem Assistenten erstellt?

Ich frage deshalb, weil bei mir in Phase2 die PFS-Gruppe 5 aktiviert ist.

 

Kannst du bitte auch noch die IPv4-Routen beider DBs posten.

 

Zur weiteren Analyse wirst du um Traces nicht herumkommen.

 

 

@wari1957 Die Phase 5 hatte ich ausgeschaltet, weil das in einem anderen Forenbeitrag als eine Lösung empfohlen wurde. Habe ich eben angeschaltet, aber hat leider nicht geholfen.

 

Hier die Routen

 

Homebox:

iuv_0-1599229163638.png

Firmenbox:

iuv_1-1599229199909.png

 

@iuv 

In deiner Firmenbox ist das Gast-WLAN falsch.

Du hattest von 192.168.4.0/24 geschrieben.

 

Hallo,

@wari1957 das hier steht in der Konfiguration der Firmenbox:

iuv_0-1599460499254.png

 

Ich habe jetzt testweise die Privatbox von 192.168.3.0 auf 192.168.10.0 geändert (und in der Firmenbox entsprechend angepasst), damit die Kollision in den Routen egal sein sollte:

iuv_1-1599461037518.png

und hier die Routen der Privatbox:

iuv_2-1599461087020.png

 

Ich werde das Szenario heute einmal an der Zielfritzbox testen (Das ist das Modell 6591, ich teste ja derzeit mit dem älteren Modell 6490), vielleicht gibt das noch neue Erkenntnisse. 

@iuv 

Das Routing sieht jetzt besser aus, so sollte das auch funktionieren.

iuv_0-1599461849617.png

Das sieht doch richtig aus.

Vielen Dank 
@wari1957 Kann man hier eigentlich irgendwie ein kleines Dankeschön spenden? Du hast mir schon mehrmals bei Digibox Themen geholfen

@iuv 

Wenns funktioniert, ist das Dank genug.