Site-to-Site-VPN über FritzBoxen ok, aber USG 4 blockt

Servus,

ich habe folgendes Problem: ich habe zwei Standorte (beide DynDNS) per FritzBox Site to Site VPN verbunden. Netz A 192.168.1.0, Netz B 192.168.180.0. Die Verbindung steht und ich komme, wenn ich den Rechner direkt an die FB anstecke, problemlos ins Remotenetz. Bin ich aber in meinem LAN hinter der USG Pro 4 (doppeltes NAT per config.gateway.json deaktiviert), komme ich nicht ins Remotenetz. Ich habe es mit und ohne Static Routes probiert und mit Firewall Rules experimentiert, leider bis lang ohne Erfolg.

Was mich verwirrt ist, dass wenn eine Static Route mit Next Hop USG [192.168.1.1] gesetzt ist, das USG bei ping und tracert sofort meldet "host nicht erreichbar" und die FBs ihr VPN nicht aufbauen. Ist die Route aber auf WAN gesetzt oder deaktiviert, wird der Fernzugang aufgebaut. Dann aber ist timeout, dh die Sache endet auf der FritzBox.

tracert 192.168.180.1

Routenverfolgung zu 192.168.180.1 über maximal 30 Hops

  1     1 ms     1 ms     1 ms  USGPro4 [192.168.1.1]
  2     1 ms     1 ms     2 ms  fritz.box [192.168.178.1]
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6     *        *        *     Zeitüberschreitung der Anforderung.

Wo ist mein Denkfehler? Was übersehe ich hier?

Gruß,

gr00ve

Zitat von axelb

...

Vermutlich wird die "gegnerische" FritzBox (Netz B) Anfragen aus dem Netz A (192.168.1.0/24) ablehnen, weil es sich da nicht um eine Adresse aus dem hierfür hinterlegten Adressbereich (192.168.178.0/24) handelt.

Das VPN wird ja offensichtlich zwischen den beiden FritzBoxen aufgebaut.

Hier sind beide Adressbereiche in den VPN-Einstellungen der FriBo zu hinterlegen, sonst weiß die doch gar nicht wohin mit den Paketen.

Das geht übrigens nicht mehr mittels Assistenten, sondern man muß sich die Config-Datei selber zusammenbauen.

CU, Axel

Alles anzeigen

axelb

Super, das war genau das, was ich nicht gesehen habe, ich habe mich nur auf Seite A konzentriert. Vielen Dank! Von da aus kann ich weiterarbeiten. Mit Config Dateien für die FritzBox habe ich zwar noch keine Erfahrung, aber das wird sich lernen lassen.

Grüße,

gr00ve

Zitat von tomtim

....

Aber wir Axel schon geschrieben hat, die Fritte weiss ja nicht, dass ein Netz mit verschiedenen anderen Netzen hinter ihr hängt, somit kann sie das VPN ja nicht ans Netz verbinden. Also wieder Handarbeit

...

Servus tomtim ,

ja , davon hatten wir's grad. Ich sehe da zwei Probleme:

1. Dyndyns auf beiden Seiten: so wie ich das sehe, erlaubt der Controller bei Site to Site als Peer nur eine IP Adresse und kein URL. Bitte korrigiere mich, wenn ich falsch liege.
2. USG zu Fritz (Netz B hat nur FB) geht nach meinen Recherchen auch nur mit Config Dateien, also auch da wieder Handarbeit.

Gruß,

gr00ve

Hi axelb ,

Ich habe mit Fritz! Fernzugang einrichten eine Konfigurationsdatei für FritzBox B erstellt und mein USG Netz [192.168.1.0] manuell zur acesslist hinzugefügt. Mal sehen, ob es klappt.

    }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0",
                             "permit ip any 192.168.1.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Gruß,

gr00ve

So, jetzt haut's hin!

In der USG muss es für das Remotenetz eine Static Route mit Next Hop IP der FritzBox geben, damit die Firewall weiß, wohin die Pakete für das Remotenetz gehen sollen. Again what learned!

Gruß,

gr00ve

Zitat von axelb

Wobei das USG aber doch alle Anfragen, die nicht ins eigene Netzwerk gehören, ohnehin zum nächsten Gateway schickt,

oder habe ich da jetzt einen Denkfehler?

Aber egal ... schön, das es nun funzt

Ich meine mal gelesen zu haben, dass Router private IPs grundsätzlich nicht ins öffentliche Netz routen und WAN1 ist für das USG ja öffentlich. So erkläre ich mir die Notwendigkeit der Static Route, aber ich kann auch falsch liegen. Aber, wie Du richtig schreibst, Hauptsache es funktioniert.

Gruß,

gr00ve

Zitat von razor

Kannst Du nochmal genau schreiben, wo Du welche Route eingetragen hast, um Dein Ziel zu erreichen?

Wenn ich Deinen ersten Post richtig gelesen habe, dann hängst Du als Client hinter dem USG, welches wiederum hinter der FRITZ!Box A (LAN: 192.168.1.0/24) hängt und Du bist nicht in das LAN 192.168.180.0/24 hinter FRITZ!Box B gekommen, korrekt?

Danke für die kurze Zusammenfassung.

Servus razor,

genau so. Mein Hausnetz ist komplett hinter dem USG, bei dem aber NAT deaktiviert ist. Meine FritzBox (A) macht Internetzugang, VOIP und VPN. Nachdem die beiden FBs verbunden waren, konnte ich mich aus dem Hausnetz nicht auf Box B verbinden. Das ging nur, wenn ich den Laptop direkt an die FB A angeschlossen hatte und hatte offenbar zwei Gründe:

1. FritzBox B hatte in der VPN Verbindung nur das Netz von Box A als "erlaubt" definiert. Mein Heim LAN musste ich manuell in der access list einfügen. (Danke nochmal axelb )
2. Die USG Firewall muss wissen, wo die Pakete für das Remotenetz [192.168.180.0/24] hinsollen. Dazu habe ich eine Static Route mit Next Hop FritzBox A [192.168.178.1] eingerichtet.

So funktioniert es jetzt.

Gruß,

gr00ve