Hallo in die Runde,
heute habe ich ein sehr spezielles Problem, das ich Hoffe mit euch lösen zu können. Gegeben ist eine XL12500 die über einen externen Router mit Internet versorgt wird. Wir haben einen statischen IP Adress Kreis in der Form xx.xx.xx.200 / 255.255.255.248
Hosts von 201 bis 206
Auf dem Interface zum externen Router ist als IP/Maske folgendes eingetragen: xx.xx.xx.202 / 255.255.255.248
Routing Default GW zur xx.xx.xx.201 und auf der LAN Schnittstelle zum externen Router xx.xx.xx.200 / 255.255.255.248 GW xx.xx.xx.202
Das funktioniert alles, Internet geht, VPN geht. Ein Server kann per NAT Regeln und Port Forward von außen erreicht werden.
Jetzt kommt im LAN ein 2. Server, der wegen LetsEncrypt auch von außen erreichbar sein soll hinzu. Er soll dann von außen über den einen Hostrecord per DNS Name unter der .203 erreichbar sein. NAT Regeln sind erstellt.
Der nächste Schritt ist nun im Bintec unter LAN, IP-Konfiguration, (Interface), Grundlegende IPv4-Parameter, IP-Adresse hinzufügen die xx.xx.xx.203 einzutragen. Hier haben wir als Maske .255 gewählt (Testweise auch schon .248).
Soweit alles schick, der neue Server ist von extern unter .203 erreichbar, Portforwardings gehen. Hurra? Leider nein.
Soweit die Vorrede, jetzt das Problem: eine konfigurierte Site-2-Site IPsec Verbindung mit einer Fritz!Box (FW 7.5x) hört auf Daten zu befördern, in dem Augenblick wo die .203 im Bintec aktiviert wird. Weiterer vorhandene VPN Einwahlverbindungen für Clienten mit Shrew und NCP funktionieren weiter. Die Verbindung zwischen Bintec und Fritzbox steht, alles grün, aber kein Datenfluss. Man kann die Verbindung auch Problemlos auf/abbauen aber es geht kein Ping oder sonstiger Zugriff durch den Tunnel. Sobald man die .203 im Bintec wieder entfernt geht der Ping sofort wieder durch ohne den Tunnel neu zu aktivieren..
Das lässt uns nun etwas ratlos zurück. Seit der AVM Firmware 7.5.x ist bei IPsec in der Fritzbox irgendetwas anders. Seit dieser Firmware muss ich IPsec Verbindungen wieder über das externe Config Tool erstellen und importieren, der interne Assistent für eine Kopplung über KeyID geht nicht mehr. Da wird auch nur die Verbindung hergestellt, keine Daten fließen.
Die Config (anonymisiert) für die Fritzbox ist auch sehr einfach und rudimentär:
Die Maske 255.252.0.0 für die Bintec Gegenstelle verwenden wir um weitere Netze im Bereich 172.x zu erreichen und uns zusätzliche Routing Einträge sparen zu können. Der Bintec hat die LAN IP 172.16.0.1. Das funktioniert problemlos.
Was wir nicht verstehen: Was hat das hinzufügen der .203 für eine Auswirkung auf die IPsec Verbindung, die über die .202 reinkommt? Darauf zeigt ja vpn.domain.tld und wird in der FritzBox auch korrekt aufgelöst angezeigt. Da die VPN Verbindung steht und Problemlos aufgebaut wird aber keine Daten fließen tippen wir auf ein Routing Problem, sind aber noch nicht dahinter gekommen, wo das steckt.
Blickt hier jemand durch und hat einen Tipp für uns?
Gruß
heute habe ich ein sehr spezielles Problem, das ich Hoffe mit euch lösen zu können. Gegeben ist eine XL12500 die über einen externen Router mit Internet versorgt wird. Wir haben einen statischen IP Adress Kreis in der Form xx.xx.xx.200 / 255.255.255.248
Hosts von 201 bis 206
Auf dem Interface zum externen Router ist als IP/Maske folgendes eingetragen: xx.xx.xx.202 / 255.255.255.248
Routing Default GW zur xx.xx.xx.201 und auf der LAN Schnittstelle zum externen Router xx.xx.xx.200 / 255.255.255.248 GW xx.xx.xx.202
Das funktioniert alles, Internet geht, VPN geht. Ein Server kann per NAT Regeln und Port Forward von außen erreicht werden.
Jetzt kommt im LAN ein 2. Server, der wegen LetsEncrypt auch von außen erreichbar sein soll hinzu. Er soll dann von außen über den einen Hostrecord per DNS Name unter der .203 erreichbar sein. NAT Regeln sind erstellt.
Der nächste Schritt ist nun im Bintec unter LAN, IP-Konfiguration, (Interface), Grundlegende IPv4-Parameter, IP-Adresse hinzufügen die xx.xx.xx.203 einzutragen. Hier haben wir als Maske .255 gewählt (Testweise auch schon .248).
Soweit alles schick, der neue Server ist von extern unter .203 erreichbar, Portforwardings gehen. Hurra? Leider nein.
Soweit die Vorrede, jetzt das Problem: eine konfigurierte Site-2-Site IPsec Verbindung mit einer Fritz!Box (FW 7.5x) hört auf Daten zu befördern, in dem Augenblick wo die .203 im Bintec aktiviert wird. Weiterer vorhandene VPN Einwahlverbindungen für Clienten mit Shrew und NCP funktionieren weiter. Die Verbindung zwischen Bintec und Fritzbox steht, alles grün, aber kein Datenfluss. Man kann die Verbindung auch Problemlos auf/abbauen aber es geht kein Ping oder sonstiger Zugriff durch den Tunnel. Sobald man die .203 im Bintec wieder entfernt geht der Ping sofort wieder durch ohne den Tunnel neu zu aktivieren..
Das lässt uns nun etwas ratlos zurück. Seit der AVM Firmware 7.5.x ist bei IPsec in der Fritzbox irgendetwas anders. Seit dieser Firmware muss ich IPsec Verbindungen wieder über das externe Config Tool erstellen und importieren, der interne Assistent für eine Kopplung über KeyID geht nicht mehr. Da wird auch nur die Verbindung hergestellt, keine Daten fließen.
Die Config (anonymisiert) für die Fritzbox ist auch sehr einfach und rudimentär:
Code:
/*
*
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "VPNname";
always_renew = no;
keepalive_ip = 172.16.0.1;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "vpn.domain.tld";
localid {
fqdn = "meinefritzbox.myfritz.net";
}
remoteid {
fqdn = "vpn.domain.tld";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "geiheimerkey";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 172.16.0.0;
mask = 255.252.0.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 172.16.0.0 255.252.0.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Was wir nicht verstehen: Was hat das hinzufügen der .203 für eine Auswirkung auf die IPsec Verbindung, die über die .202 reinkommt? Darauf zeigt ja vpn.domain.tld und wird in der FritzBox auch korrekt aufgelöst angezeigt. Da die VPN Verbindung steht und Problemlos aufgebaut wird aber keine Daten fließen tippen wir auf ein Routing Problem, sind aber noch nicht dahinter gekommen, wo das steckt.
Blickt hier jemand durch und hat einen Tipp für uns?
Gruß
Zuletzt bearbeitet: