- Beitrag abonnieren
- Beitrag stummschalten
- Beitrag als ungelesen kennzeichnen
- Beitrag als gelesen kennzeichnen
Digitalisierungsbox hinter FritzBox per VPN Site to Site
03.09.2020 12:32
Guten Tag,
ich habe folgendes Szenario:
- Büroanschluss mit Digitalisierungbox Premium ("Firmenbox") direkt am Telekomanschluss als normaler Router.
- Privatanschluss bei einem Kabelkanbieter (mit öffentlicher IPv4 Adresse) und einer FritzBox als Router
- Für das Büro zuhause hinter der FritzBox eine Digitalisierungsbox Premium ("Privatbox"), die eine Netztrennung zum Privatnetz erstellen soll und dann dauerhaft per VPN im Firmennetz eingewählt sein soll. Die Privatbox habe ich gerade erst ausgepackt, es gibt bis auf die Internetverbindung per "externes Gateway/Kabelmodel" keine weiteren Einstellungen
- Surfen etc. geht problemlos über die Privatbox
Die Digitalisierungboxen habe ich nach diesem Video eingerichtet:
https://digitalisierungsbox.bintec-elmeg.com/vpn-site-to-site-zwischen-zwei-digitalisierungsboxen/
In der FritzBox habe ich die Privatbox als Exposed Host angegeben, testweise habe ich auch mal eine ganz normale Weiterleitung auf einen Rechner mit offenem Port 80 gemacht, das funktioniert (IP stimmt also).
Beim Verbindungsaufbau steht in der Oberfläche beider Digitalisierungsboxen als Status "Phase 1 aktiv".
Diesen Thread habe ich schon bearbeitet, trotz der für die Digitalisierungsbox angegeben Einstellungen ist das Ergebnis unverändert:
Portweiterleitungen gibt es auf den beiden Digitalisierungsboxen keine, an den Firewalleinstellungen wurde meines Wissens auch nichts geändert
Nun zur eigentlich Fragen:
Wo kann ich Logs finden mit denen eine nähere Eingrenzung des Fehlers möglich ist? Oder gibt es noch andere Aspekte, die ich übersehen habe?
Im Anhang ein paar Screenshots
Vielen Dank
iuv
Gelöst! Gehe zu Lösung.
In deiner Firmenbox ist das Gast-WLAN falsch.
Du hattest von 192.168.4.0/24 geschrieben.
03.09.2020 12:34
Was für eine Fritzbox hast du (gekauft oder gemietet)? Bei welchem Anbieter?
Bei Vodafone Kabel Deutschland mit einer gekauften Fritzbox oder bei Vodafone West mit einer gemieteten Fritzbox gäbe es eine einfache Lösung.
03.09.2020 13:31 Zuletzt bearbeitet: 03.09.2020 13:37 durch den Autor
@Maximilia Vielen Dank für die schnelle Antwort.
Ich habe hier in meiner Testumgebung eine 6490 Cable, im Realbetrieb soll das unter der 6591 laufen. Beides sind Leihgeräte von Vodafone Kabel Deutschland.
03.09.2020 14:19
03.09.2020 14:47 Zuletzt bearbeitet: 03.09.2020 14:47 durch den Autor
03.09.2020 14:50
Siehst du unter Home -> Mehr anzeigen -> Monitoring Internes Protokoll im Subsystem IPSec Meldungen?
03.09.2020 15:17
Hast du am KDG Anschluss eine feste IP, die im sogenannten RIP-Modus läuft?
Das würde das Problem erklären, weil man dann VPN im NAT über VPN Tunneln würde, funktioniert in der Praxis nie richtig.
Ansonsten würde ich eine gekaufte Fritzbox empfehlen, da kann man einen LAN Anschluss in einen Brigdemode schalten, also man hat dann quasi 2 getrennte Anschlüsse mit getrennten IP Adressen, die sich aber die gebuchte Bandbreite teilen.
Eine gekauft fritzbox kann man aber nicht bei Altprodukten mit fester IP einsetzen.
04.09.2020 08:32
haben die Hinweise aus der Community bereits weitergeholfen?
Geben Sie uns hier gern eine Rückmeldung.
Lieben Gruß, Melanie B.
04.09.2020 09:00
@wari1957 Nein, da sehe ich leider gar nichts.
@Maximilia Nein, hier habe ich eine dynamische IP, die sich alle paar Tage ändert.
04.09.2020 09:11
Ich habe dein Szenario in Etwa nachgebaut.
Eine DB an einem eigenen DSL-Anschluß und an einem anderen DSL-Anschluß eine zweite DB hinter einem Speedport Pro.
Im Pro eine Portweiterleitung auf die DB (udp/500, udp/4500).
Site-2-Site VPN funktioniert.
Zumindest in der DB im Büro müßtest du IPSec-Meldungen sehen.
Ist die maximale Anzahl Meldungen in der DB auf 1000 eingestellt?
Zur Not einfach bei der Home DB für die entsprechende IPSec-Verbindung den Pfeil nach unten und dann nach oben betätigen.
04.09.2020 09:52
Sieht dein Status so aus?
Wenn ja, sieht das doch gar nicht schlecht aus.
Jetzt noch für ein bischen Netzwerkverkehr zwischen den Boxen sorgen, dann sollte das so aussehen:
Falls du die IPv4-Adressen der DB anpingen willst, mußt du erst die IPSec-Schnittstelle beim administrativen Zugriff hinzufügen und Ping erlauben.
04.09.2020 11:05 Zuletzt bearbeitet: 04.09.2020 11:06 durch den Autor
@iuv schrieb:@Maximilia Nein, hier habe ich eine dynamische IP, die sich alle paar Tage ändert.
Dann empfehle ich dir, eine Kabelfritzbox zu kaufen, da kann man dann einen Bridgeanschluss freischalten, sodass du zwei getrennte Netzwerke mit unterschiedlichen IPs hast, wäre m.E. die bessere Lösung als Doppelnat.
04.09.2020 15:30
@wari1957 Die Loganzahl war's wohl, jetzt habe ich diese Ausgabe:
Firmenbox:
Und die Privatbox:
Die VPN Anzeige standen übrigens beide auf "Standby", als ich dann von der Firmenbox aus gesagt habe, dass sie verbinden soll, ist die Heimbox auch angesprungen auf Phase 0.
Hier auch nochmal die einzelnen VPN Settings, beginnend sie sind soweit auf beiden Digiboxen identisch:
(Hier hat die Firmenbox den Bereich 192.168.2.100-199 und zusätzlich noch den Gast-WLAN DHCP-Bereich 192.168.4.100-199, dieser war vorher bei 3.100-199).
Falls du die IPv4-Adressen der DB anpingen willst, mußt du erst die IPSec-Schnittstelle beim administrativen Zugriff hinzufügen und Ping erlauben.
Habe ich gemacht (auf der Firmenbox), ein Ping von Zuhause auf die 192.168.2.1 lief leider noch ins Leere.
Die Meldung Dead Peer Detection klingt ja noch so, als wenn irgendwas nicht 100% passt.
Unter IPSec -> Phase 1 > Erweiterte Einstellungen steht bei der "Erreichbarkeitsprüung" " Automatische Erkennung", "Blockzeit" "30 Sekunden", "NAT Traversal" "aktiviert".
@Maximilia Vielen Dank für die Hilfe, wenn es irgendwie ohne neue FritzBox geht wäre ich nicht böse, da ich die zweite Digibox extra gekauft habe, damit die beiden Endgeräte gut zusammenarbeiten.
04.09.2020 15:55
Sieht doch gar nicht so schlecht aus.
Die beiden VPNs hast du nicht mit dem Assistenten erstellt?
Ich frage deshalb, weil bei mir in Phase2 die PFS-Gruppe 5 aktiviert ist.
Kannst du bitte auch noch die IPv4-Routen beider DBs posten.
Zur weiteren Analyse wirst du um Traces nicht herumkommen.
04.09.2020 16:20
@wari1957 Die Phase 5 hatte ich ausgeschaltet, weil das in einem anderen Forenbeitrag als eine Lösung empfohlen wurde. Habe ich eben angeschaltet, aber hat leider nicht geholfen.
Hier die Routen
Homebox:
Firmenbox:
07.09.2020 08:46
Hallo,
@wari1957 das hier steht in der Konfiguration der Firmenbox:
Ich habe jetzt testweise die Privatbox von 192.168.3.0 auf 192.168.10.0 geändert (und in der Firmenbox entsprechend angepasst), damit die Kollision in den Routen egal sein sollte:
und hier die Routen der Privatbox:
Ich werde das Szenario heute einmal an der Zielfritzbox testen (Das ist das Modell 6591, ich teste ja derzeit mit dem älteren Modell 6490), vielleicht gibt das noch neue Erkenntnisse.
07.09.2020 08:52
Das Routing sieht jetzt besser aus, so sollte das auch funktionieren.
07.09.2020 08:58
Das sieht doch richtig aus.
Vielen Dank
@wari1957 Kann man hier eigentlich irgendwie ein kleines Dankeschön spenden? Du hast mir schon mehrmals bei Digibox Themen geholfen
07.09.2020 09:08