VPN zwischen zwei Fritz!Box | Kein Datenaustausch trotz aktiver Verbindung

[-]Dr.OeTz![-]

Hallo Zusammen,

Ausgangslage:

Fritz!Box 7590 (als Master)
IP intern: 192.168.178.1
hinter VDSL Anschluss, IP ist öffentlich erreichbar, MyFRITZ aktiv, DynDNS vorhanden, VPN von Smartphone und Co läuft super

Fritz!Box 6820 LTE (quasi die Außenstelle)
IP intern: 192.168.179.1
LTE via O², IP nicht öffentlich, MyFRITZ aktiv


Habe es nach dieser Anleitung versucht:
https://avm.de/service/vpn/praxis-tipps/fritzbox-als-vpn-client-mit-anderer-fritzbox-verbinden/

Ergebnis:
VPN Verbindung aktiv
Ping von Außenstelle Richtung Master erfolgreich (nur über IP, nicht über DNS-NAME)
Ping von Richtung Außenstelle nicht möglich
Internet in Außenstelle funktioniert

Wird die Funktion "Gesamten Netzwerkverkehr über die VPN-Verbindung senden " in der Außenstelle aktiviert, funktioniert DNS überhaupt nicht mehr


Also habe ich eine Andere Anleitung getestet:
https://avm.de/service/vpn/praxis-tipps/fritzbox-als-vpn-client-mit-anderer-fritzbox-verbinden/
(Dazu gibt es auch ein Video von AVM)

Ergebnis:
VPN Verbindung aktiv
Kein Ping in das jeweils andere Netz möglich


Hat irgend jemand eine Idee was ich falsch mache?

 

[chrigu]

Versuche es mal aus dem lte Netz zur vdls Adresse. Sollte es so funktionieren hast du cgn

 

[Wilhelm14]

Hallo, deine verlinkte Anleitung richtet eine Fritzbox als Client ein und dort steht:
Der Zugriff aus dem Netzwerk des VPN-Servers auf Geräte im Netzwerk des VPN-Clients ist hingegen nicht möglich.
Vermutlich willst du eher LAN-LAN-Koppelung, aber das kann eventuell nicht klappen, weil der LTE-Anschluss eine eben nicht öffentliche IP4 hat, bzw. wie chrigu sagt, eine Carrier Grade NAT sein könnte.

https://avm.de/service/vpn/praxis-t...1611_Was-ist-DS-Lite-und-wie-funktioniert-es/
Und noch was zur LAN-LAN-Koppelung:
Es reicht eigentlich, wenn einer von beiden eine öffentliche IPv4 hat. Bei einem trägt man "Dauerhaft halten" ein, beim anderen nicht.
https://avm.de/service/fritzbox/fri...Box-Netzwerken-kann-nicht-hergestellt-werden/

Und noch ein Edit: du kannst dich mal bei myfritz.net einloggen. Dort steht genau, welche Fritzbox wie und auch wie nicht erreichbar ist.

 

[Borderland555]

192.168.179.1 ist Standardmäßig das IP Netz vom Gastzugang in der 7590.

Ohne dein Problem jetzt genauer studiert zu haben, könnte es daran liegen, bzw. solltest du nicht dieses IP Netz für die VPN Verbindung wählen, da damit natürlich dann Probleme vorhersehbar sind.

Ich selber habe 192.168.100.1 und 192.168.200.1 vergeben.
Ist leicht zu merken.

Anleitung um eine VPN Verbindung zwischen zwei Fritzboxen einzurichten wäre überigens diese hier:

https://avm.de/service/fritzbox/fri...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/

 

[-]Dr.OeTz![-]

Versuche es mal aus dem lte Netz zur vdls Adresse. Sollte es so funktionieren hast du cgn

Hallo, deine verlinkte Anleitung richtet eine Fritzbox als Client ein und dort steht:
Der Zugriff aus dem Netzwerk des VPN-Servers auf Geräte im Netzwerk des VPN-Clients ist hingegen nicht möglich.

Diesen Hinweis hatte ich übersehen!

Tatsächlich - wenn ich die FRITZ!Box als Client ("Diese FRITZ!Box mit einem Firmen-VPN verbinden") verbinde, kann ich aus der Außenstelle auf das Hauptnetz zugreifen aber nicht anders herum. Danke @chrigu & @Wilhelm14 -> Ein Teilerfolg :-)

192.168.179.1 ist Standardmäßig das IP Netz vom Gastzugang in der 7590.

Ohne dein Problem jetzt genauer studiert zu haben, könnte es daran liegen, bzw. solltest du nicht dieses IP Netz für die VPN Verbindung wählen, da damit natürlich dann Probleme vorhersehbar sind.

Ich selber habe 192.168.100.1 und 192.168.200.1 vergeben.
Ist leicht zu merken.

Anleitung um eine VPN Verbindung zwischen zwei Fritzboxen einzurichten wäre überigens diese hier:

https://avm.de/service/fritzbox/fri...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/

Danke!! Das habe ich komplett übersehen. Natürlich! Habe es geändert:

FritzBox 7590 Hauptnetzwerk:
VPN-Kennwort (Preshared Key): [Schlüssel analog Außenstelle]
Internet-Adresse: [MyFRITZ!-Adresse Außenstelle]
Entferntes Netz: 192.168.200.0
Subnetzmaske: 255.255.255.0
VPN-Verbindung dauerhaft halten -> inaktiv

FritzBox 6820 Außenstelle:
VPN-Kennwort (Preshared Key): [Schlüssel analog Hauptnetzwerk]
Internet-Adresse: [MyFRITZ!-Adresse Hauptnetzwerk]
Entferntes Netz: 192.168.178.0
Subnetzmaske: 255.255.255.0
VPN-Verbindung dauerhaft halten -> aktiv

Ergebnis:
VPN = aktiv

ABER

Nun kann ich jeweils auf die Fritz!Box des jeweils anderen Netzespingen zugreifen. In beide Richtungen. Das ist schon mal großartig.

Auf lokale Ressource des jeweils anderen Netzes habe ich jedoch keinen Zugriff... Außerdem bricht die VPN Verbindung leider immer wieder ab.

Ereignissprotokoll Fritz!Box 7590:

15.05.20 01:10:52 VPN-Verbindung zu VPN (FRITZ!Box 6820 LTE) [46.114.7.232] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.
15.05.20 01:09:48 VPN-Fehler: VPN (FRITZ!Box 6820 LTE), IKE-Error 0x2027 [10 Meldungen seit 15.05.20 01:07:33]
15.05.20 01:07:18 VPN-Verbindung zu VPN (FRITZ!Box 6820 LTE) wurde getrennt. Ursache: 3 IKE server
15.05.20 01:05:19 VPN-Verbindung zu VPN (FRITZ!Box 6820 LTE) [46.114.7.232] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.
15.05.20 01:05:18 VPN-Fehler: VPN (FRITZ!Box 6820 LTE), IKE-Error 0x203e
15.05.20 01:05:04 VPN-Fehler: VPN (FRITZ!Box 6820 LTE), IKE-Error 0x2027 [9 Meldungen seit 15.05.20 01:03:05]

Das Spiel wiederholt sich dann dementsprechend...









Hat jemand eine Idee?

 

[bender_]

Ich selber habe 192.168.100.1 und 192.168.200.1 vergeben.

Vorsicht. 192.168.100.1 ist die Standard IP bei vielen Kabelmodemrouter im Modembetrieb und selten veränderbar. Hat Konfliktpotential.

 

[Wilhelm14]

https://avm.de/service/fritzbox/fri...Box-Netzwerken-kann-nicht-hergestellt-werden/

Der oder die Fehler sollen von der nicht-öffentlichen IPv4 her rühren. Als Abhilfe wird empfohlen, eine Seite auf "dauerhaft halten" zu stellen, die andere nicht. Ich kann den Fehler bestätigen und kenne zwei Standorte, die per VDSL anstandslos liefen. Seitdem einer auf Glasfaser mit CGN läuft, gibt es regelmäßig diese Probleme. Meine Vermutung, AVM müsste IPv6 in ihr VPN einbauen.

Auf lokale Ressource des jeweils anderen Netzes habe ich jedoch keinen Zugriff

Wie erfolgt der Zugriff, auf was möchtest du wie zugreifen. Manche Smarthome Apps sprechen per Broadcast ins LAN, was nicht übers VPN geht. Auch Netzwerknamen (von Freigaben) werden nicht aufgelöst. Man muss dann direkt per IP gehen.