Dauerhaftes VPN zwischen zwei FritzBoxen mit fester IP

Gorby

Vice Admiral
Dabei seit
Juni 2008
Beiträge
6.957
Hallo liebe CB'ler,

ich versuche mich gerade an dem Thema VPN und bin da noch relativ unbeholfen, weshalb ich eure Hilfe aufsuche :)

Ich möchte ein VPN zwischen zwei FritzBoxen aufbauen. Grund ist, dass Rechner aus dem Netzwerk von FritzBox B auf ein NAS im Netzwerk von FritzBox A zugreifen können sollen. FritzBox A ist eine FritzBox 7490, FritzBox B eine 7590. Beide mit Firmware FritzOS 7.01.

Da beide eine feste IP haben (Geschäftskundenvertrag) würde ich gerne das Benutzen eines DynDNS-Anbieters oder MyFritz vermeiden.

Erstmal hab ich das Netzwerk der FritzBox B auf 192.168.20.1 umgestellt, da die zwei Netzwerke ja nicht die gleichen Adressräume haben dürfen. FritzBox A nutzt standardmäßig weiter die 192.168.178.1 da ein umkonfigurieren hier recht umständlich ist.
Dann bin ich bei FritzBox A in der Weboberfläche auf Internet > Freigaben > VPN auf "VPN-Verbindung hinzufügen" und habe "Ihr Heimnetz mit einem anderen FRITZ!Box-Netzwerk verbinden (LAN-LAN-Kopplung)" gewählt. Ist das richtig?
Als nächstes habe ich bei "Internet-Adresse" eben die öffentliche IP der anderen FritzBox eingegeben und und ebenso unter Entferntes Netzwerk und Subnetzmaske die Daten der anderen FritzBox. "VPN-Verbindung dauerhaft halten" habe ich ebenfalls aktiviert.

Danach habe ich bei FritzBox B das Gleiche getan, nur, dass ich eben da die Daten (also öffentliche IP, Entferntes Netzwerk und Subnetzmaske) der FritzBox A eingetragen habe.

Ach ja und bei beiden ist natürlich das gleiche Passwort drin.

Jedoch kommt keine Verbindung zustande. Was mache ich falsch?

Brauch ich noch irgendwelche Portregeln oder muss ich gewisse (Sicherheits-)Funktionen an/abschalten?

Wie muss die Internet-Adresse der jeweils anderen FritzBox eingetragen werden?
Reicht einfach die IP oder muss da noch ein "http:\\" oder sowas davor?

Schon mal danke für jede Hilfe & LG
Gorby
 

Wilhelm14

Fleet Admiral
Dabei seit
Juli 2008
Beiträge
18.866
Hallo. Die Adresse der Gegenstelle wird direkt eingegeben, ohne \\, http oder sonstwas. Dein entferntes Netz endet auch auf 0, also 192.168.20.0? Das darf nicht auf 1 enden.
 

Nizakh

Captain
Dabei seit
Juni 2010
Beiträge
3.809
Wenn die Fritzbox das Netz der Gegenstelle kennen möchte, solltest du keinen Host eigeben ;)

Also ja:
192.168.20.0/24 bzw. 192.168.178.0/24

Mit dem Aufbau des VPN Tunnels hat das aber erstmal nichts zu tun. Die Netzadressen werden für die statischen Routen (die automatisch erzeugt werden) benötigt.
 

Wilhelm14

Fleet Admiral
Dabei seit
Juli 2008
Beiträge
18.866
So solle das aussehen. Vielleicht hängt es am Preshared Key, lieber lang als Sonderzeichen, also vielleicht BKHJS9BWHX75JK2JFH.

Ich habe keine Ports freigegeben. Was steht denn im Log der Fritzbox? Vielleicht kann man erkennen, woran es hapert.
 

Anhänge

till69

Lt. Commander
Dabei seit
Jan. 2010
Beiträge
1.962
Du bist Dir bewusst, dass es aber nicht mehr als 10MBit/s werden? Ca. 15 sind es, wenn man die Verschlüsselung abschaltet.
 

Gorby

Vice Admiral
Ersteller dieses Themas
Dabei seit
Juni 2008
Beiträge
6.957
Das ist OK, beide Leitungen haben nur etwa 10 MBit/s Upload.

Edit:
Mmh in den Ereignissen kommt "VPN-Fehler: XXX.XX.XXX.XX, IKE-Error 0x1c"
Laut AVM heist das IKE-Error 0x1c "invalid id"

Edit2:
Auf der AVM Seite zu dem Fehler steht:
6 VPN-Einstellungen korrigieren
Wenn nur eine der beiden FRITZ!Boxen über eine öffentliche IP-Adresse verfügt, darf die Option "VPN-Verbindung dauerhaft halten" nur in der FRITZ!Box mit der privaten IP-Adresse aktiviert sein:
VPN-Einstellungen in FRITZ!Box mit öffentlicher IP-Adresse anpassen
  1. Rufen Sie die Benutzeroberfläche der FRITZ!Box auf, die über eine öffentliche IP-Adresse verfügt.
  2. Klicken Sie auf "Internet" und dann auf "Freigaben".
  3. Klicken Sie auf die Registerkarte "VPN".
  4. Klicken Sie neben der jeweiligen VPN-Verbindung auf die Schaltfläche [IMG]https://service.avm.de/support/media/de/2.png[/IMG] (Bearbeiten).
  5. Deaktivieren Sie die Option "VPN-Verbindung dauerhaft halten".
  6. Tragen Sie im Eingabefeld "VPN-Kennwort (Preshared Key)" das zur Herstellung der VPN-Verbindung erforderliche Kennwort ein.
  7. Klicken Sie zum Speichern der Einstellungen auf "OK" und bestätigen Sie die Ausführung zusätzlich an der FRITZ!Box, falls Sie dazu aufgefordert werden.
VPN-Einstellungen in FRITZ!Box mit privater IP-Adresse anpassen
  1. Rufen Sie die Benutzeroberfläche der FRITZ!Box auf, die nicht über eine öffentliche IP-Adresse verfügt.
  2. Klicken Sie auf "Internet" und dann auf "Freigaben".
  3. Klicken Sie auf die Registerkarte "VPN".
  4. Klicken Sie neben der jeweiligen VPN-Verbindung auf die Schaltfläche [IMG]https://service.avm.de/support/media/de/2.png[/IMG] (Bearbeiten).
  5. Aktivieren Sie die Option "VPN-Verbindung dauerhaft halten".
  6. Tragen Sie im Eingabefeld "VPN-Kennwort (Preshared Key)" das zur Herstellung der VPN-Verbindung erforderliche Kennwort ein.
  7. Klicken Sie zum Speichern der Einstellungen auf "OK" und bestätigen Sie die Ausführung zusätzlich an der FRITZ!Box, falls Sie dazu aufgefordert werden.
Bei mit haben zwar beide öffentliche IP-Adressen, aber sollte ich vllt. trotzdem bei einer oder beiden "VPN-Verbindung dauerhaft halten" deaktivieren? Bei euch scheint es ja auch mit zu gehen^^
 
Zuletzt bearbeitet:

Wilhelm14

Fleet Admiral
Dabei seit
Juli 2008
Beiträge
18.866
Kannst du testweise den https Zugriff aktivieren und prüfen, ob du über die IP überhaupt die Fritzbox erreichst? Oder greifst du aktuell da eh zur Konfiguration schon zu.

Was bei AMV noch steht:
Wenn Sie eine feste IP-Adresse verwenden, darf in der entfernten FRITZ!Box weder ein MyFRITZ!-Konto noch Dynamic DNS eingerichtet sein.

Ich würde auch generell die VPN-Einstellungen nicht bearbeiten, sondern immer neu einrichten. Also vielleicht mal alles löschen und die Fritzboxen neustarten, dann neu einrichten und nochmal neustarten.
 

till69

Lt. Commander
Dabei seit
Jan. 2010
Beiträge
1.962
Hier eine Beispiel-Config zum Import für die Box 192.168.20.1 (remoteip = Statische IP der 192.168.178.1 Box):

Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "VPNTest";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 12.34.56.78;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "fritzbox1.net";
                }
                remoteid {
                        fqdn = "fritzbox2.net";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xxxsecretkeyxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.20.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0";
        }
}


// EOF

Und für die 192.168.178.1 (remoteip = Statische IP der 192.168.20.1 Box):
Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "VPNTest";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 1.3.5.7;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "fritzbox2.net";
                }
                remoteid {
                        fqdn = "fritzbox1.net";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xxxsecretkeyxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.20.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.20.0 255.255.255.0";
        }
}


// EOF
 
Zuletzt bearbeitet:

Gorby

Vice Admiral
Ersteller dieses Themas
Dabei seit
Juni 2008
Beiträge
6.957
Alles klar Leute, werde ich am Wochenende mal testen, kann das heute leider nicht mehr vorantreiben :(

Vielen Dank euch schon mal bis hier :)


Edit:
Hallo Leute, ich habe heute endlich Zeit und Muse gefunden mal weiter zu machen. Erst habe ich mal getestet ob Zugriff über https funktioniert. Dadurch auch Benutzer eingerichtet und hin und her versucht, Neustart etc..
Jedenfalls geht jetzt alles!

Vielen lieben Dank für Zeit und Mühe mir zu helfen, ihr seid spitze! :)
 
Zuletzt bearbeitet:
Top