Beiträge von gr00ve

Hi axelb ,

Ich habe mit Fritz! Fernzugang einrichten eine Konfigurationsdatei für FritzBox B erstellt und mein USG Netz [192.168.1.0] manuell zur acesslist hinzugefügt. Mal sehen, ob es klappt.

    }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0",
                             "permit ip any 192.168.1.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Gruß,

gr00ve

Zitat von tomtim

....

Aber wir Axel schon geschrieben hat, die Fritte weiss ja nicht, dass ein Netz mit verschiedenen anderen Netzen hinter ihr hängt, somit kann sie das VPN ja nicht ans Netz verbinden. Also wieder Handarbeit

...

Servus tomtim ,

ja , davon hatten wir's grad. Ich sehe da zwei Probleme:

1. Dyndyns auf beiden Seiten: so wie ich das sehe, erlaubt der Controller bei Site to Site als Peer nur eine IP Adresse und kein URL. Bitte korrigiere mich, wenn ich falsch liege.
2. USG zu Fritz (Netz B hat nur FB) geht nach meinen Recherchen auch nur mit Config Dateien, also auch da wieder Handarbeit.

Gruß,

gr00ve

Zitat von axelb

...

Vermutlich wird die "gegnerische" FritzBox (Netz B) Anfragen aus dem Netz A (192.168.1.0/24) ablehnen, weil es sich da nicht um eine Adresse aus dem hierfür hinterlegten Adressbereich (192.168.178.0/24) handelt.

Das VPN wird ja offensichtlich zwischen den beiden FritzBoxen aufgebaut.

Hier sind beide Adressbereiche in den VPN-Einstellungen der FriBo zu hinterlegen, sonst weiß die doch gar nicht wohin mit den Paketen.

Das geht übrigens nicht mehr mittels Assistenten, sondern man muß sich die Config-Datei selber zusammenbauen.

CU, Axel

Alles anzeigen

axelb

Super, das war genau das, was ich nicht gesehen habe, ich habe mich nur auf Seite A konzentriert. Vielen Dank! Von da aus kann ich weiterarbeiten. Mit Config Dateien für die FritzBox habe ich zwar noch keine Erfahrung, aber das wird sich lernen lassen.

Grüße,

gr00ve

Servus,

ich habe folgendes Problem: ich habe zwei Standorte (beide DynDNS) per FritzBox Site to Site VPN verbunden. Netz A 192.168.1.0, Netz B 192.168.180.0. Die Verbindung steht und ich komme, wenn ich den Rechner direkt an die FB anstecke, problemlos ins Remotenetz. Bin ich aber in meinem LAN hinter der USG Pro 4 (doppeltes NAT per config.gateway.json deaktiviert), komme ich nicht ins Remotenetz. Ich habe es mit und ohne Static Routes probiert und mit Firewall Rules experimentiert, leider bis lang ohne Erfolg.

Was mich verwirrt ist, dass wenn eine Static Route mit Next Hop USG [192.168.1.1] gesetzt ist, das USG bei ping und tracert sofort meldet "host nicht erreichbar" und die FBs ihr VPN nicht aufbauen. Ist die Route aber auf WAN gesetzt oder deaktiviert, wird der Fernzugang aufgebaut. Dann aber ist timeout, dh die Sache endet auf der FritzBox.

tracert 192.168.180.1

Routenverfolgung zu 192.168.180.1 über maximal 30 Hops

  1     1 ms     1 ms     1 ms  USGPro4 [192.168.1.1]
  2     1 ms     1 ms     2 ms  fritz.box [192.168.178.1]
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6     *        *        *     Zeitüberschreitung der Anforderung.

Wo ist mein Denkfehler? Was übersehe ich hier?

Gruß,

gr00ve

Guten Morgen und Gutes Neues Jahr!

Ich habe das Update vorhin durchgeführt (bevor ich den Thread hier gelesen hatte ) und alles läuft einwandfrei.

Gruß,

gr00ve

Zitat von BlackSpy

Lacht euch tot, gibt ein Buch drüber

Den Namen für sein Buch hat der aus dieser Liste.

Gruß und Guten Rutsch,

gr00ve

Mal sehen, ob mir die die Arbeit antuen möchte, aber wenn, denn würde es

NCC-1701-E

NCC-1701-K

und das Gast Netz

TEN_FORWARD werden.

Gruß und Guten Rutsch,

gr00ve

iTweek

Sorry, daß ich dieses alte Thema nochmal ausgrabe: hast Du in der USG irgendeinen Port freigegeben / forwarded oder funktioniert es auch so? Ich versuche gerade, mein FAX mit dem Lynksys PAP2 über 1&1 VOIP zum Laufen zu bekommen. Senden klappt schon, aber beim Empfang hapert's noch. Das FAX Gerät klingelt zwar, aber es kommt kein FAX durch.

Gruß und Guten Rutsch,

gr00ve

EDIT: war ein Einstellungsproblem am Faxgerät. Jetzt klappt auch der Empfang.

BlackSpy

Ja, habe ich gelesen. Genau deshalb wundert es mich ja, daß in der App der Default noch Port 8443 ist.

Gruß,

gr00ve

Ich habe auf Beta Tester geclickt, daher habe ich 3.1.1 Das hab' ich jetzt davon...

Autoconnection habe ich mittlerweile auch gefunden (das neue Layout ist etwas anders), nur ändert das nichts.

Welchen Port nutzt Du? Bei mir verbindet er sich nämlich über den voreingestellten 8443 nicht, über 443 aber schon.

Gruß,

gr00ve

BlackSpy

Sorry, vielleicht habe ich mich da missverständlich ausgedrückt: ich komme rein, muß mich aber bei jedem Start der App neu einloggen. Das war vor dem Update nicht so. Welche Version der App hast Du? Ich habe 3.1.1

Gruß,

gr00ve

BlackSpy

Das bezieht sich doch aber auf Remote Access über die Unifi Cloud, oder sehe ich das falsch?

Ich will ja nur lokal rein und drin bleiben und wie gesagt, unter iOs funktioniert's ja auch.

Der Kopf neben der Glocke ist bei mir gar nicht da. Seltsam...

Gruß,

gr00ve

TheFreeman ,

Unifi Network für Android.

Die haben die Ports geändert. Versuch mal statt Port 8443 nur 443. Damit komm ich rein, aber bleib leider nicht drin...

Gruß,

gr00ve

Hi BlackSpy,

entweder bin ich zu doof die Einstellungen zu finden oder es gibt sie bei mir nicht. Wenn ich links oben auf die drei waagrechten Striche gehe, kommt bei mir Folgendes:

Ich bin allerdings auch nur lokal angemeldet und habe kein Unifi Account. Liegt es vielleicht daran?

Gruß,

gr00ve

Servus,

nach dem letzten Update von Cloud Key Gen 2+ Firmware, Controller und Android App merkt sich die App die Login Daten nicht mehr und ich muß bei jedem Login alles komplett neu eingeben: Name, IP Adresse, Port (steht noch per default auf 8443, obwohl nur noch 443 geht), Benutzername und Passwort. Das nervt!

Die iOS App auf meinem dienstlichen IPhone X ist davon übrigens nicht betroffen, es scheint ein Problem der Android App zu sein. Da ich aber drei Dinge gleichzeitig aktualisiert habe (Firmware, Controller, App), kann ich schwer nachvolziehen, woran es genau liegt.

Hat jemand ein ähnliches Problem bzw. eine Lösung?

Gruß,

gr00ve

Zitat von tomtim

..Dann verstehe ich aber nicht warum du ein USG Pro4 benötigst. Du machst ja eh alles in der Fritzbox. ...

Nö. Das USG macht das komplette Routing in meinem Netz inklusive DHCP, hat eine bessere Firewall (DPI, IPS), verwaltet mehrere VLANs, hat besseres Gast Management etc. pp. Die FritzBox macht nur NAT und statische Routen. Da ich sie aber für VOIP brauche, geht es nicht ohne.

Auch einen Guten Rutsch,

gr00ve

Zitat von tomtim

...

Punkt 2 .. Gut wenn du an der Firewall warst... Wie gesagt ... Komplizierter Weg mehrmals durch Netzwerk wenn du die Fritte doppelt verwendest. Einmal als Modem und dann wieder als VPN Zugriff. Wie kommst du auf dein Netz? Feste IP oder Dyndns ? Wer stellt das her ?

Ich glaube du hast bestimmt ein doppeltes NAT und machst du eine doppelte Einwahl oder ich weiss es nicht. ...

Bei der Herstellung der VPN Verbindung zu meiner dynamischen IP Adresse nutze ich ein DynDNS Service, der Rest ist hier erklärt. Lies Dir das mal durch. Vielleicht ist die Anleitung ja falsch, aber ich bin danach vorgegangen und es funktioniert.

Ich verstehe nicht, was Du mit "wenn du die Fritte doppelt verwendest" meinst. Der VPN Tunnel endet auf der FritzBox unter einer IP im Range der Box und wird per statischer Route an das USG weitergereicht. Dort sagt die Firewall: "Ok, 192.168.xxx.201 ist erlaubt, darf rein." Wo verwende ich die FritzBox doppelt?

Zum doppelten NAT: wie schon weiter oben geschrieben, deaktiviere ich einzelne statischen Routen auf der FritzBox kappe ich damit den Internetzugang der betreffenden Subnets. Daraus schließe ich, daß am USG kein NAT stattfindet.

Gruß,

gr00ve

Zitat von tomtim

... Wie soll das bitte funktionieren.

Fritzbox - USG - zurück zur Fritte VPN - zurück zur USG Firewall - weiter zur Fritzbox ins Netz ? ..

Ich habe zwei Anwendungsfälle:

1. Ich bin in einem fremden unsicheren WLAN (Hotel, öffentlicher Hotspot) und möchte sicher im Netz surfen. Dazu verbinde ich mich per VPN zur Fritzbox, die den Traffic direkt ins offene Netz weitergibt. Damit bin ich natürlich durch die 50Mbit/s Up meines Hausanschlusses limitiert, aber in der Praxis stört das kaum, da die öffentlichen WLANs selten schneller sind. Dazu kommt, das in "nicht so freien Ländern" wie Russland, China oder Saudi-Arabien nicht nur der Internetzugang stark eingeschränkt ist, sondern auch kommerzielle VPN Provider oft blockiert werden. Mit meiner Lösung sind CNN, Facebook etc immer möglich.
2. Will ich, was seltener, aber doch auch vorkommt, von außen in mein Heimnetz, endet die VPN Verbindung auch hier auf der FB und zwar unter den IPs 192.168.xxx.201 ff. Dafür ist auf dem USG eine Firewallregel eingerichtet, damit die Firewall einen Zugriff z. B. auf den KNX Server von genau (und nur) dieser IP erlaubt.

Fall zwei ist in dem oben verlinkten Blog erklärt. Es funktioniert also nicht nur bei mir, sondern auch bei anderen.

Gruß,

gr00ve

Ich nutze die FritzBox als VPN Endpoint, weil mir das USG VPN keinen Vorteil bringt. Beide nutzen Ipsec, sind also für den Hausgebrauch hinreichend sicher. Die nötigen Firewall Regeln im USG sind in wenigen Minuten eingerichtet und auch skalierbar, d.h. ich kann den Zugriff auf das gesamte LAN, einzelne VLANs oder nur auf eine einzige IP Adresse freigeben. Windows 10 benötigt eine eigene Software (Shrewsoft), das ist richtig, aber für mich kein Problem. Ich bin beruflich viel unterwegs und verwende, da ich Hotel WLANs grundsätzlich mißtraue, oft mein FritzBox VPN als Internetzugang. Dabei leitet die FB meinen Traffic, der über VPN ankommt, weiter ins offene Netz und das Hotel WALN, bei dem ich nicht weiß, was da vielleicht mitgelesen wird, bleibt außen vor. Warum sollte ich da den Umweg über das USG machen, wenn die FB das genauso gut kann?

Gruß,

gr00ve

Zitat von BlackSpy

Die wird an einer bestimmten Stelle im Controller gespeichert, bei einem Update des USG wird sie dann automatisch von dort neue gelesen und ein prov. durchgeführt, daher dauerhaft.

So ist es. Ich habe gestern meinen Controller auf 6.0.43 aktualisiert und alles ist wie gehabt - kein doppeltes NAT.

Gruß,

gr00ve