Beiträge von benni86

Hallo,

nachdem ich die IPSec S2S Verbindung mit der Fritzbox erfolgreich wie hier beschrieben einrichten konnte. Klappt die Verbindung über L2TP z.B. unter iOS nicht mehr.

Ich habe den selben PSK in der config.gateway.json für IPSec als auch in der GUI für L2TP verwendet. Sobald ich die Verbindung für die Fritzbox wieder lösche und die USG-4-PRO neustarte geht die L2TP Verbindung unter iOS wieder. Daher hatte ich vermutet, dass es an einer Regel in der iptables liegt, da diese nach meinem Verständnis erst nach einem Neustart von alten Regeln befreit wird. Aber der Unterschied zwischen iptables mit und ohne S2S VPN ist marginal (links mit S2S VPN aber ohne L2TP Funktionalität, rechts so, dass es mit dem iPhone geht):

Habt ihr eine Idee?

Viele Grüße

Benjamin

Also ich beantworte mir die Frage mal selbst, was geholfen hat war folgende Konfigurationseinstellung unter local.prefix:

"tunnel": {
          "1": {
                "allow-nat-networks": "disable",
                 "allow-public-networks": "disable",
                 "esp-group": "ESP-FritzBox",
                 "local": {
                    "prefix": "192.168.1.248/29"
                  },
                  "remote": {
                    "prefix": "192.168.2.0/24"
                  }
                 }
}

Das führt dann dazu, dass der Eintrag in iptables so aussieht:

Chain UBNT_VPN_IPSEC_FW_IN_HOOK (1 references)
target     prot opt source               destination
ACCEPT     all  --  192.168.2.0/24       192.168.1.248/29

Danke für eure Hilfe und die tollen Tipps!

Zitat von gierig

Mhhh da war was und da klingelt was...

hat du es mal mit „do not match“ probiert ?

Btw State Option wie NEW und Releatet mit einbezogen ?

(Ich stochere wein wenig im Dunkeln, da war aber mal was mit den USG IPsec und der Option)

evt war das auch was mit das es nicht Protokoll „ALL“ sein durfte.

Weil grundlegend ist das ja richtig was du eingestellt hast...

Alles anzeigen

Ja da habe ich schon probiert mit "do not match" aber dann probiere ich mich halt noch ein wenig durch oder muss mir was ganz anderes überlegen.

Ok also es funktioniert jetzt, nachdem ich es hier im Forum zum wiederholten mal gelesen habe, aber auch mehrfach gelesen habe, dass es keinen Sinn macht:

Beitrag

RE: FritzBox 7490 hinter USG als Telefonanlage mit Draytek V130

Hallo zusammen, es läuft !!! Nachdem ich die VLAN ID in die USG eingetragen habe und beim DrayTek entfernen. 10 Min. warten und plötzlich ging es.
Hatte vorher nochmal die Netze komplett entfernt und ein Backup eingespielt. Nun läuft es ja. Von allen Geräten USG, DrayTek und FB erstmal ein Backup gezogen und gesichert.

Aktuell meldet USG zwar das keine Internet Verbindung vorhanden ist.
ubiquiti-networks-forum.de/attachment/8723/

Aber unter USG direkt gibt es eine externe IP.

…

MyMeyer

5. Januar 2022

VLAN Tag von der USG und nicht vom DrayTek setzen lassen.

Ich danke euch!!!

Wollte zum Test mal den gesamten Traffic aus dem VPN blocken und habe das daher so angelegt, aber wie gesagt da passiert leider nichts.

Zitat von gierig

FW sollten aber greifen evt. hast du sie „NACH“ den eingebauten regeln erstellt ? Denke sie sollten „VOR“ diesen kommen.

den Haken habe ich aber eigentlich gesetzt

Die "H13" Gruppe wurde übrigens so erstellt:

_sip._udp.tel.t-online.de. 3276    IN    SRV    10 0 5060 stg010-l01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._udp.tel.t-online.de. 3276    IN    SRV    30 0 5060 hno002-l01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._udp.tel.t-online.de. 3276    IN    SRV    20 0 5060 nes008-f01-mav-pc-rt-001.edns.t-ipnet.de.

sieht bei mir ähnlich aus. Was mich aber wundert, wenn ich auf dem Mac den DNS manuell auf 8.8.8.8 stelle funktioniert das genauso. Also was sagt mir das jetzt?

Vielleicht noch als Ergänzung die FritzBox sagt im Log:

Anmeldung der Internetrufnummer +497xxxxxxxxx war nicht erfolgreich. Ursache: Gegenstelle antwortet nicht. Zeitüberschreitung.

Zitat von Uwe

Das der Ping nicht funktioniert, ist erstmal normal. Der sucht einen A- oder AAAA-Record im DNS, gibt es aber nicht. Nur den SRV.

Zeig doch mal deine Fritz Einstellungen.

Hier mal die Einstellungen der Rufnummer:

ubiquiti-networks-forum.de/attachment/23481/

und hier die allgemeinen der Anschlusseinstellungen:

Fehlt dir noch was?

Viele Grüße

Benjamin

Hallo,

ich weiß das Telekom SIP Thema ist ein viel diskutiertes in der Vergangenheit, aber es hat sich seit den meisten Beiträgen geändert, dass die Telekom wohl auf DNS SRV umgestellt hat. Daher weiß ich nicht in wie weit diese Ratschläge dort noch aktuell sind.

Mein Setup sieht so aus Vigor 130 <--> USG-PRO-4<-->USW-48-PoE<-->FritzBox 7490 (IP Client als Telefonanlage).

Mein Problem ist, dass sich nur die Telekom-Rufnummern nicht registrieren lassen, im Gegensatz zu den anderen Rufnummern (z.B. Sipgate). Meine erste Vermutung nach einiger Recherche war, dass die DNS Server nicht korrekt hinterlegt sind. Das sollte aber inzwischen passen (ursprünglich stand dort mal 127.0.0.1, durch Löschen dieser IP in der Gateway GUI wurden dort automatisch die Telekom DNS eingetragen):

$ show dns forwarding nameservers
-----------------------------------------------
Nameservers configured for DNS forwarding
-----------------------------------------------
217.237.151.142 available via 'ppp pppoe0'
217.237.150.188 available via 'ppp pppoe0'

In der Zoiper App erhalte ich beim Versuch die Nummer zu registrieren einen 408 Fehler. Die Fritzbox sagt nichts spezifisches.

Ich kann tel.t-online.de aber von keinem Endgerät aus pingen, das sieht mir nach einem Fehler aus, oder ist das ok?

~ ping tel.t-online.de
ping: cannot resolve tel.t-online.de: Unknown host

Ich hoffe es hat jemand eine Idee.

Viele Grüße

Benjamin

Hallo zusammen,

ich bin leider relativ neu in der Materie also entschuldigt bitte die womöglich dummen Fragen.

Ich habe es nun mithilfe einiger Lektüre (vorallem mit dieser Seite und diesem Thread) geschafft das VPN zwischen FritzBox und USG-PRO-4 aufzubauen.

Das VPN steht und funktioniert. Nun möchte ich gerne, dass nur ein gewisses Subnet (z.B. 192.168.2.148/29) des Remote-FritzBox Netzes (192.168.2.0/24) auf mein Netzwerk zugreifen kann. Also dachte ich, das sollte mit einer einfachen Firewallregel zu machen sein. Da das leider nicht geklappt hat bin ich auf folgenden Thread gestoßen: was ich verstehe und durch iptables --list verifizieren kann ist, dass einfach alles aus dem Remotenetz durchgelassen wird:

sudo iptables --list | grep -B2 192.168.2.0
Chain UBNT_VPN_IPSEC_FW_IN_HOOK (1 references)
target     prot opt source               destination
ACCEPT     all  --  192.168.2.0/24       192.168.1.0/24

Was dort aber weiterhin im Thread empfohlen wurde ist für mich leider etwas zu schwammig. Ich dachte nun zum Test mal in der config.gateway.json "auto-firewall-nat-exclude": "disable" angeben zu können damit sich die Situation in den iptables irgendwie ändert, aber keine Veränderung.

Hat jemand einen Tipp für mich wie ich das bewerkstelligen könnte um nur gewisse Clients aus dem Remotenetz in mein Netz zu lassen?

Vielen Dank schonmal an alle die sich meiner Anfängerfrage annehmen