Beiträge von PeaceMkr

Mit was kriege ich da ein verwertbares Ergebnis? die 1 ist die DM.

pktstat -n bringt mir das hier ausgegraut:

            tcp 192.168.178.189:8080 <-> 192.168.178.1:2669
            - 200 POST /inform
            tcp 192.168.178.189:8080 <-> 192.168.178.1:2670
            - 200 POST /inform
            tcp 192.168.178.189:8080 <-> 192.168.178.1:2671

Heute bin ich mal dazugekommen da genauer zu schauen: Port 8080 soll auf IP 192.168.178.189 weitergeleitet werden.

Folgenden Output bekomme ich mit iptables:

# iptables -L -n | grep 8080
RETURN     tcp  --  0.0.0.0/0            192.168.178.189      tcp dpt:8080 /* 00000000006049644146 */
RETURN     tcp  --  192.168.178.189      0.0.0.0/0            tcp spt:8080 /* 00000000006049644146 */
LOG        tcp  --  0.0.0.0/0            192.168.178.189      tcp dpt:8080 ctstate NEW limit: avg 50/sec burst 100 LOG flags 0 level 4 prefix "[WAN_IN-RET-3019] "
RETURN     tcp  --  0.0.0.0/0            192.168.178.189      tcp dpt:8080 ctstate NEW /* 00000000004294970315 */

Wenn ich jetzt mal mitlogge und das aus der messages rausziehe kommt auf dem Port bei einem Verbindungsversuch das hier raus:

Feb  8 10:12:50 Dream-Machine-Pro user.warn kernel: [110490.359078] [PREROUTING-DNAT-33] IN=ppp1 OUT= MAC= SRC=XXX.XXX.XXX.XXX DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=41236 DF PROTO=TCP SPT=59091 DPT=8080 WINDOW=64240 RES=0x00 SYN URGP=0
Feb  8 10:12:50 Dream-Machine-Pro user.warn kernel: [110490.359159] [WAN_IN-RET-3019] IN=ppp1 OUT=br0 MAC= SRC=XXX.XXX.XXX.XXX DST=192.168.178.189 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=41236 DF PROTO=TCP SPT=59091 DPT=8080 WINDOW=64240 RES=0x00 SYN URGP=0
Feb  8 10:12:51 Dream-Machine-Pro user.warn kernel: [110490.611195] [PREROUTING-DNAT-33] IN=ppp1 OUT= MAC= SRC=XXX.XXX.XXX.XXX DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=41238 DF PROTO=TCP SPT=59092 DPT=8080 WINDOW=64240 RES=0x00 SYN URGP=0
Feb  8 10:12:51 Dream-Machine-Pro user.warn kernel: [110490.611277] [WAN_IN-RET-3019] IN=ppp1 OUT=br0 MAC= SRC=XXX.XXX.XXX.XXX DST=192.168.178.189 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=41238 DF PROTO=TCP SPT=59092 DPT=8080 WINDOW=64240 RES=0x00 SYN URGP=0

Das schaut eigentlich völlig unspektakulär aus oder sieht da jemand ein Problem? Verbindung wird aber nicht hergestellt :-/

razor Ja kann ich nachvollziehen. Wenn man da nicht die Ruhe weg hat kriegt man mit den Fritzboxen die Krise. Die zeigen leider keine sinnvollen Fehlermeldungen an. Wenn ich da was am Laufen habe geb ich Bescheid. Ich hab da auch die letzten Monate mit einer Kombination aus Edgerouter<->Fritzbox und jetzt mit DM<->Fritzbox rumgebastelt und auch der Chef einer befreundeten IT-Firma hat das Handtuch geworfen.

Im ganzen Internet gibts zwar einige Configs aber oft laufen die Unterhaltungen dann ins leere.

Mit den oben genannten Einstellungen bekomme ich jetzt bei mir Zuverlässig ein VPN was auch funktioniert.

Ja das hab ich natürlich alles geprüft. Die VMs können alle ins Internet. Die Forwardings hab ich mit Logging versehen und da sehe ich sogar das er bei einer Anfrage von Aussen auch die richtige interne IP zum Forwarden zeigt aber passieren tut leider nix. Andere Forwardings auf Native Geräte funktionieren, VLANs gibts nicht. Ich habe testhalber mal von der DM auf einen Raspberry und hier mit iptables auf den ESX forwarded und das funktioniert auch. Die DM ist auch der DHCP-Server, der ESXi hat eine statische IP.

Hallo thomas, bin da momentan dran ein script zu schreiben was das ganze auch dyndns-tauglich macht und was dann regemässig läuft und die config anpasst. Mal schauen ob das funktioniert und dann könnte ich das hier mit posten. Müsste aber noch schauen obs cron auf der DM gibt oder irgendwas greifbar ist, was beim boot gestartet wird.

Also es laufen ja Portforwardings z.B. auf einen Raspberry der mit im Netz hängt und hier funktioniert das problemlos also kann ich auch ausschließen das es an den Einstellungen in der GUI der DM liegt.

Mit RDP meine ich Windows. Das ist schon klar. Es geht auch darum (abseits aller Sicherheitsaspekte) das man den RDP-Port der VM von Außen erreichen kann. Es geht aber auch z.B. darum die Webseite einer Zoneminder-Installation (Kameraüberwachung) unter Linux von Außen erreichbar zu machen. Diese Forwardings gehen alle nicht und haben als einziges gemeinsam, dass sie auf dem ESXi laufen - also virtualisiert sind. Sobald ich ein Natives Gerät wähle funktioniert es. Ich suche also eher eine Möglichkeit das ganze zu debuggen, auf der DM schauen zu können was die bei dem Forwarding genau macht, als so basics wie man das einstellt. Intern im Netz mit den Netzinternen IPs funktioniert das alles völlig unauffällig. Mir scheint da nur irgendwas mit dem NAT nicht zu passen.

Hallöchen, wieder mal Problemchen

Ein Kumpel hat sich eine DM Pro zugelegt für seine recht umfangreiches Haus-Installation. Jetzt hab ich ihm einen ESXi aufgeschwatzt weil er verschiedene Dienste laufen hat und das eigentlich sonst bei mir ganz praktisch läuft. Der ESXi läuft, die VMs laufen, aber es ist unmöglich einen Port z.B. auf RDP oder irgendetwas anderes was auf dem ESXi läuft von Außen zu forwarden.

Ich kann völlig Problemlos z.B. SSH oder auch die Weboberfläche vom ESXi selbst forwarden aber sobald ich eine IP nehme, die auf dem ESXi läuft, geht nix. Lustigerweise läuft das ganze aber Netzintern völlig problemlos. Hier kann ich alle Services erreichen. Hat jemand einen Tip woran das liegen kann? Ich kann auch auf der Console das syslog mitlaufen lassen und sehe auch meinen Verbindungsversuch aber passieren tut trotzdem nix.

Grüsse, Jan

Hallo razor, das kann ich nachliefern. Soweit ich weiß kann die DM ja kein Wireguard bzw. hab ich das nirgends gesehen und die Fritz kanns ja auch erst ab 07.50.

Also um das ganze zu komplettieren:

Fritzbox 5490 mit Fritz!OS 07.29

Dream Machine Pro 1.12.33

Das ganze ist ein IPSec-Tunnel über die Site2Site-Verbindung.

Anbei noch die Fritzbox-Config auf Nachfrage eines Forumsusers. Das in eine Textdatei kopieren und diese übers Webinterface einlesen.

Was ich bisher feststellen konnte war allerdings das der Tunnel bei der Zwangstrennung und Vergabe einer neuen IP neu eingerichtet werden muß was ziemlich lästig ist weil die DM leider keine DNS-Einträge mag.

vpncfg {    
    connections 
    {         
    enabled = yes;         
    editable = yes;
    conn_type = conntype_lan;         
    name = "NAME DER VPN-Verbindung";  
    always_renew = yes;         
    reject_not_encrypted = no;         
    dont_filter_netbios = yes;         
    localip = 0.0.0.0;         
    local_virtualip = 0.0.0.0;         
    remoteip = Dreammachine-IP;
    remote_virtualip = 0.0.0.0;         
    remotehostname = "Dreammachine Hostname";  
    keepalive_ip = 0.0.0.0;         
    localid 
    {             
    fqdn = "XXXXXXXXX.myfritz.net";    
    }         
    remoteid 
    {
    fqdn = "Dreammachine Hostname";
    }         
    mode = phase1_mode_idp;         
    phase1ss = "all/all/all";         
    keytype = connkeytype_pre_shared;         
    key = "VERYSICHERERKEY";    
    cert_do_server_auth = no;         
    use_nat_t = no;         
    use_xauth = no;         
    use_cfgmode = no;         
    phase2localid 
    {             
    ipnet 
    {                 
    ipaddr = 192.168.0.0;
    mask = 255.255.255.0;             
    }         
    }         
    phase2remoteid 
    {
    ipnet 
    {                 
    ipaddr = 192.168.1.0;
    mask = 255.255.255.0;             
    }         
    }         
    phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";         
    accesslist = "permit ip any 192.168.0.0 255.255.255.0";    
    }     
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",                  
    "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Ich antworte mir mal selbst nachdem das jetzt stabil läuft:

auf der Dream Machine hab ich die config der VPN-Verbindung anpassen müssen da die Weboberfläche das nicht hergibt.

Ich habe folgendes angepasst:

rightid=myfritz-adresse
leftid=dyndns der DM

esp=3des-sha1-modp1024

Die Fritzbox hat folgende Änderungen bekommen:

remoteip = Externe IP der DM
remotehostname = dyndns der DM
localid
fqdn= "myfritz-Adresse)
remoteid
fqdn= "dyndns der DM"

phase1ss = "all/all/all";
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";

Rest ist so wie in den zahlreichen Beispielen im Netz oder wie es dieser Fritzbox VPN Konfigurator ausspuckt. Wichtig ist wohl das fqdn und nicht ipaddr verwendet wird.

Damit baut er jetzt einen Stabilen Tunnel auf.

Hallöchen,

ich bin schon wieder am Verzweifeln mit diesem VPN-Gedöns bei der Fritzbox.

Auf der DM-Seite hab ich folgendes eingestellt:

Key Exchange Version: IKEv1
Encryption: AES-256
Hash: SHA1
IKE DH Group: 2
ESP DH Group: 5
PFS Enabled
Route-Based VPN Enabled
Route Distance 30

Und die Remote-IP von wo die Anfrage kommt und die IP-Adress-Range 192.168.1.0/24 die im Fritzbox-Netz verwendet wird.

Bei der Fritzbox hab ich jetzt einfach mal Verbindung zu Firmennetzwerk gewählt und das wars.Das Ergebniss mit swanctl kommt dann so daher:

 received stroke: initiate 'f3cb_bd22_7417_916f'
10[IKE] initiating Main Mode IKE_SA f3cb_bd22_7417_916f[18] to 37.247.77.135
10[ENC] generating ID_PROT request 0 [ SA V V V V V ]
10[NET] sending packet: from 46.243.110.103[500] to 37.247.77.135[500] (180 bytes)
09[NET] received packet: from 37.247.77.135[500] to 46.243.110.103[500] (232 bytes)
09[ENC] parsed ID_PROT response 0 [ SA N((24576)) V V V V V V ]
09[IKE] received XAuth vendor ID
09[IKE] received DPD vendor ID
09[IKE] received NAT-T (RFC 3947) vendor ID
09[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
09[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
09[ENC] received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
09[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
09[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
09[NET] sending packet: from 46.243.110.103[500] to 37.247.77.135[500] (244 bytes)
12[NET] received packet: from 37.247.77.135[500] to 46.243.110.103[500] (228 bytes)
12[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
12[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
12[NET] sending packet: from 46.243.110.103[500] to 37.247.77.135[500] (108 bytes)
13[NET] received packet: from 37.247.77.135[500] to 46.243.110.103[500] (76 bytes)
13[ENC] parsed ID_PROT response 0 [ ID HASH ]
13[IKE] IDir '37.247.77.135' does not match to '37.247.77.135'
13[IKE] deleting IKE_SA f3cb_bd22_7417_916f[18] between 46.243.110.103[46.243.110.103]...37.247.77.135[%any]
13[IKE] sending DELETE for IKE_SA f3cb_bd22_7417_916f[18]
13[ENC] generating INFORMATIONAL_V1 request 2778249710 [ HASH D ]
13[NET] sending packet: from 46.243.110.103[500] to 37.247.77.135[500] (92 bytes)

Auffällig ist hier:

IDir '37.247.77.135' does not match to '37.247.77.135'

Die ID Key-ID kann ich aber im Site2Site-Dialog der DM gar nirgends eingeben glaub ich jedenfalls. Kann mir jemand sagen wo da genau der Fehler liegt?

Ok. Danke dir. Das scheint auch zu funktionieren. Super Sache!

Hallo usr-adm,

Evt hab ich irgendwo ein Grundsätzliches Problem.

Ich hab bei Networks 2 erstellt.

Einmal das mit der IP 192.168.0.0/24 und das Externe mit der 192.168.1.0/24.

Hier muß ich aber schon eine VLAN-ID eingeben und wenn er auf AUTO eingestellt ist setzt er hier eine 2 ein.

Ich hab quasi gar kein Default Netzwerk bzw. hab ich das damals sicher ersetzt mit dem welches lokal läuft.

Also ich hab gestern nochmal probiert das normale Netzwerk von der Hauptstelle an den AP in der Nebenstelle weiter zu geben und das funktioniert insofern das der AP in der Nebenstelle dann den lokalen DHCP-Server weitergibt.

Es liegt also sehr warscheinlich daran das ich beim Anlegen eines neuen Netzwerkes zwingend eine VLAN eingeben muß außer beim ersten WLAN und wir hier und im VPN eben keine VLANs haben. Kann man das irgendwie umgehen?

Also der AP um den es geht ist in der Nebenstelle bzw. hängt da an der Fritzbox, hat eine 192.168.1.xx - IP und sollte auch den Gateway und die IPs aus der 192.168.1.xx weitergeben bzw. den DHCP-Server 192.168.1.1 (Fritzbox). Das macht er aber momentan leider eben nicht.

Hallöchen,

ich hab da mal wieder ein Problem.

Ich habe 2 Standorte an denen jeweils Unifi-APs verbaut sind. Ich hab diese 2 Standorte per Site2Site-VPN verbunden.

Auf der Hauptseite sind 4 UAP verbaut die mit dem Controller verbunden sind und funktionieren.

Auf der Nebenseite ist ein UAP verbaut den ich per Layer-3-adoption auch in den Controller befördert habe.

Dieser liefert beim Verbinden allerdings keine IP-Adresse aus.

Die Fritzbox auf der Nebenstelle hat den eigenen DHCP-Server aktiviert und sollte eigentlich irgendwas im Rahmen von 192.168.1.xx servieren.

Die Hauptseite hat den DHCP-Server mit 192.168.0.xx am Laufen.

Ich würde ungern den DHCP-Server übers VPN laufen lassen da ich bedenken wegen der Stabilität der Leitung habe und die 2 Firmen schön arbeiten sollen und nicht auf den Provider angewiesen sein sollen.

Wie kriege ich den UAP auf der Nebenstelle dazu das er beim Verbinden die 192.168.1.xx an die Clients weitergibt?

Danke schonmal, Grüsse, Jan

Cool. Danke schonmal für die Info. Muß das hier nach 20 Jahren dann doch mal alles ordentlich machen.

Hallo und danke für die Aufnahme hier im Forum.

Ich hab zuhause bereits seit Jahren Unifi-Equipment und in der Firma konnte ich nach und nach auch vieles installieren. Allerdings ist die Installation hier in den letzten Jahren so vor sich hin gewachsen und es wäre Zeit das ganze zu überarbeiten.

Ich habe hier eine ziemlich große Halle (200m) wo auf der einen Seite der Serverraum mit dem Internetanschluß ist und auf der anderen eine datenintensive Abteilung. Momentan ist das über mehrere Switches verschachtelt miteinander vernetzt mit den üblichen 1Gbit. Ich würde hier gerne auf 10GBit upgraden und das ganze gleich direkt mit Fiber verkabeln. Auf der HP sehe ich aber das nur die 25GBit-SFP+-Module Fiber unterstützen. Sind diese Abwärtskompatibel?

Könnte man einen Switch Pro 48 PoE mit einem Switch Pro 24 über LWL mit 10Gbit Linkspeed verbinden?

Grüsse, Jan