[michi3000]

Hallo,

also ich habe ein riesiges Problem. Folgender Sachverhalt liegt vor:

VPN soll zwischen Ort A und B genutzt werden. An beiden Orten ist DSL vorhanden, dahinter der DSL Router von AVM mit Voice over IP und hinter dem steht der DI-824 VUP+. Als Gateway an jedem Client ist der DI824-VUP+ eingetragen. Der DI824 leitet die interentanfragen durch Eingabge unter WAN als feste IP weiter an die Fritzbox.

Nun soll eine VPN verbindung zwischen den beiden orten a und b hergestellt werden.

in der fritz box habe ich bereits sämtliche ports wie udp 500 tcp 1723 ... freigeschaltet aber es funktioniert noch immer nicht. selbst wenn ich eine anfrage von a auf b tätige versucht der di824 erst gar nicht eine vpn verbindung aufzubauen und das komische ist auch dass nichts in der log datei steht.

eines tages hatte ich es schon einmal so weit, dass er es versuchte, hat aber nicht funktioniert.

wisst ihr was ich nun noch machen kann?

danke.

ciao michi

[michi3000]

Hallo ja das habe ich aber wie schalte ich ein protokoll frei oder was das auch immer sein mag

danke.

ciao michi

[puppet]

Ja, ESP und GRE kannst du dort direkt wählen.
Aber mal was anderes:
Wenn die FritzBox Internetgateway ist, wieso trägst du an den Clients nicht einfach diese als DefaultGW ein? Dann definierst du in der jeweilig lokalen FritzBox eine statische Router (das müsstest du da auch machen können, ansonsten halt auf beiden Routern RIP verwenden) für das jeweilige andere Zielnetz, und als Gateway gibst du den DLink ein. Den Internetzugang auf dem DLink konfigurierst du dann auch entsprechend (DefaulGW FritzBox, DNS Server usw oder am besten gleich eine andere öffentliche IP - falls ihr denn mehr als eine statische bekommen habt, was ja aber sogar bei der T-Com normal ist) und richtest eben deinene Tunnelendpunkte richtig ein (was ja bei dem 824 VUP+ kein Problem darstellen sollte -> RTFM).

[puppet]

Zitat (webwatcher: 17.08.2005, 20:24)

Bei dem AVM auch nicht....

Was meinst du mit "bei dem AVM auch nicht..."?
Statische Routen kann man ohne Probleme eintragen, Ok man kann zwar keine CIDR Notationen nutzen, aber die Subnetzmaske in dezimaler Form einzugeben ist ja auch kein Akt.
Bei RIP bin ich mir nicht sicher, da kommt es darauf an was er für eine Fritz Box hat, aber es würde mich sehr wundern wenn AVM das RIP bei einigen entfernen würde.

[michi3000]

Hallo, ja aber wenn ich am vup die internetzugangsdaten eintrage, dann wählt sich ja der ins wan aber dann kann sich die fritz box nicht mehr einwählen und die fritz box habe ich ja nur aus einem grund: voice over ip! und somit muss diese sich einwählen.

esp und so habe ich alles freigeschaltet nur wenn ich einen ping aufs netz gegenüber mache, dann versucht sich der vup+ erst gar nicht mehr einzuwählen, also eine verbindung herzustellen und er schreibt auch nichts in die log datei, jetzt habe ich schon firmware update gemacht, nen reset durchgeführt aber irgendwie geht jetzt gar nichts mehr! HILFE!

einmal hat er folgende meldung in der log datei gebracht, als ich die verbindung manuell herstellen wollte:

Wednesday August 17, 2005 01:36:29 IKED rx-TX : INIT Wednesday August 17, 2005 01:36:30 Send IKE (INFO) : delete 192.168.1.254 -> 84.153.8.131 phase 1 Wednesday August 17, 2005 01:36:30 IKE phase1 (ISAKMP SA) remove : 192.168.1.254 <-> 84.153.8.131


habt ihr ne ahnung was das heißt. ich bin wirklich langsam am verzweifeln, so etwas kann doch nicht so schwer sein.

danke für eure mithilfe

michael

[puppet]

Du sollst ja am VUP auch nicht direkt eine Vebrindung herstellen, sondern diesen als LAN Client konfigurieren (und als Gateway die FritzBox nehmen)
Wie wäre es wenn du mal die Konfig deines VUP und ein Screenshot deiner Forwarding Regeln der FirtBox hier postest?

[michi3000]

Hallo, leider bin ich nicht zu hause und kann mir keinen screenshot hierherholen, werde es aber heute abend nachholen.

also du meinst ich soll kein wan eintragen und unter lan als gateway einfach die fritz box eintragen.

meinst du dass dann der im vup integrierte vpn server funktioniert?


danke tschö michi

[michi3000]

Hallo hier mal die screeshots von der portfreigabe in der fritz box und die wan einstellung am di-824vup+, vielleicht könnt ihr mir ja helfen.

danke.

Angehängte Miniaturbilder

• 
• 

[puppet]

Mh du gibst dem DLink die IP 192.168.0.158.254/24 an und als Gateway 192.168.1.253? Das dies so nicht funktionieren kann sollte dir eigentlich klar sein.
Was ist denn daran nur so schwer?

Nehmen wir mal folgendes an:
Netz A hat 192.168.10.0/24
- Öffentliche IP: 195.243.151.39

Netz B hat 192.168.20.0/24
- Öffentliche IP: 195.244.83.180

Die FritzBox hat jeweils die .254
Dem DLink gibst du die .253, und als Gateway die jeweils lokale FritzBox an,
also z.B. DLink im Netz A: 192.168.10.253/24 mit Gateway 192.168.10.254

Dann gehst du im DLink unter VPN und richtest einen neuen Tunnel ein.
Konfig am DLink im Netz A:
Tunnel Name: Tunnel1
Local Subnet: 192.168.10.0
Local Netmask: 255.255.255.0
Remote Subnet: 192.168.20.0
Remote Netmask: 255.255.255.0
Remote Gateway: 195.244.83.180 [öffentliche IP Adresse des Netztes gegenüber]
PSK: LassDirWasEinfallen [muss auf beiden Routern gleich sein!]
xAUTH kannst du ggf aktivieren, dies aktiviert die Sicherheit etwas.
Local und Remote musst du dann auf dem anderen Router austauschen.

An der jeweils lokalen FirtzBox musst du die Ports und Protokolle zu dem jeweilig lokalen DLink forwarden.

Also schau nun erstmal ob du den Tunnel aufbauen kannst, dann sehen wir weiter.

Dieser Beitrag wurde von puppet bearbeitet: 18. August 2005 - 18:51

[michi3000]

Hallo, ne ich glaub du hast was falsch verstanden,
hier nochmals der genaue AUFBAU:

NETZ A:

DLINK:
LANIP: 192.168.1.254
Gateway (=LANIP von FRITZ): 192.168.1.253
interne WAN IP (also die IP von der DLINK vom WAN Port aus agesprochen wird): 192.168.158.254


FRITZ:
LAN IP: 192.168.1.254
externe WAN IP (der wählt sich ja erst raus ins NETZ): 80.0.5.5
und die Ports muss er ja zum DLNINK WAN Port weiterleiten, also zur IP 192.168.158.254


ich habe vom DLINK WAN port aus ein Netzwerkkabel zum Fritzbox LAN port gelegt, also diese beiden stellen verbunden.

so nun beim Netz B:

DLINK:
LANIP: 10.0.209.4
Gateway (=LANIP von FRITZ): 10.0.209.252
interne WAN IP (also die IP von der DLINK vom WAN Port aus agesprochen wird): 10.0.209.40


FRITZ:
LAN IP: 10.0.209.252
externe WAN IP (der wählt sich ja erst raus ins NETZ): 90.0.5.5
und die Ports muss er ja zum DLNINK WAN Port weiterleiten, also zur IP 10.0.209.40

ich habe vom DLINK WAN port aus ein Netzwerkkabel zum Fritzbox LAN port gelegt, also diese beiden stellen verbunden.



So ist gerade das Netz augebaut und die Tunnels sind so nur mit anderen IPs wie du es sagtest eingerichtet.

Also:

Konfig am DLink im Netz A:
Tunnel Name: FRAING
Local Subnet: 192.168.1.0
Local Netmask: 255.255.255.0
Remote Subnet: 10.0.209.0
Remote Netmask: 255.255.255.0
Remote Gateway: 90.0.5.5 (externe WAN IP von B)



Konfig am DLink im Netz B:
Tunnel Name: FRAING
Local Subnet: 10.0.209.0
Local Netmask: 255.255.255.0
Remote Subnet: 192.168.1.0
Remote Netmask: 255.255.255.0
Remote Gateway: 80.0.5.5 (externe WAN IP von A)


das müsste doch so alles korrekt sein, oder?

vielen dank.

ciao michael

[puppet]

Zitat (michi3000: 19.08.2005, 07:55)

DLINK:
LANIP: 192.168.1.254 *
Gateway (=LANIP von FRITZ): 192.168.1.253
interne WAN IP (also die IP von der DLINK vom WAN Port aus agesprochen wird): 192.168.158.254 **
FRITZ:
LAN IP: 192.168.1.254 *

Nein so wird das nichts.
* = IP Konflikt
** = Falsches Subnetz wenn du mit einer Maske von 255.255.255.0 arbeitest

Zitat (michi3000: 19.08.2005, 07:55)

und die Ports muss er ja zum DLNINK WAN Port weiterleiten, also zur IP 192.168.158.254

Nein.
Also nochmal zum mitschreiben. Du verbindest den DLink mit dem Netzwerk.
Unter Home -> LAN vergibst du eine IP Adresse die im selben Subnetz ist wie der Rest im LAN (und auch die FritzBox), z.B. 192.168.1.253. An diese IP Adresse musst du auch von der FritzBox die Ports/Protos forwarden.
So da der WAN Port am DLink von den normalen Ethernet Ports getrennt ist musst du also noch den WAN Port mit dem Netzwerk verbinden (selbes wo auch die FB dran ist). Dann stellst du unter Home -> WAN den Zugang auf Static IP Adress.
Nun vergibst dort eine weitere IP Adresse im selben Subnetz, also z.B. 192.168.1.252 / 255.255.255.0. Als Gateway (und falls nicht anders vorhanden auch als DNS) die IP Adresse der lokalen FritzBox ein, z.B. 192.168.1.254.
Nun solltest du über Tools -> Misc auch einen Ping ins Internet senden können.
Dies musst du natürlich auch im Netz B wiederholen.

Wenn nun die Ports und Protokolle an der FB richtig geforwardet sind (also zur LAN IP vom DLink) müsste sich auch dein Tunnel aufbauen.

Die VPN Konfig müsste auf den ersten Blcik so stimmen.

[michi3000]

Hallo aber das gibt es doch gar nicht, warum sagt dann der doofe dlink support dass ich die ports auf die wan ip adresse vom dlink forwarden muss und nicht auf die lan ip adresse von dem dlink?

das kann doch gar nicht sein, weil selbst wenn der dlink direkt ans internet angeschlossen ist gehen die verbindungen, also die ports auch am wan port ein, warum müssen sie jetzt auf einmal am lan port eingehen?

und welche ports sind das genau und wie schalte ich diverse protokolle frei, ich habe keine ahnung, denn ich glaube ich habe schon so ziemlich alles ausprobiert aber nie funktioniert es, das internet funktioniert schon immer aber die vpn verbdinung irgendwie nie.

vielen dank und schöne grüße

michael steib