Ergebnis 1 bis 10 von 10
  1. #1
    Matrose
    Registriert seit
    15.09.2017
    Beiträge
    2


    Standard VPN zwischen TPlink mit private IP und Fritz (public IP, dyndns)

    Hallo zusammen,

    auch nach tagelangem Probieren und Internet-Recherche will es mir nicht gelingen, die beiden per VPN zu verbinden.
    Bin echt verzweifelt und hoffe, unter euch ist ein "VPN Gott"?

    Hier mein Setup:

    A) Ferienhaus
    Router: TPLink Archer MR200 (LTE)
    Provider: amena
    Netz: 192.168.179.1 (Subnet 255.255.255.0)
    Anmerkung 1: Hatte es zunächst eine Fritz 6820 LTE versucht.. die sich aber auch mit Hilfe des AVM Supports nicht überreden ließ, sich mit dem spanischen Orange LTE Netzwerk zu verbinden; Daher der TP Link Router
    Anmerkung 2: Wie wohl bei fast allen LTE Anbietern, bekomme ich nur eine private IP zugewiesen... kann daher kein DYNDNS nutzen; Was auch der Hauptgrund ist, warum ich die VPN Verbindung brauche. All die netten gadgets meiner home automation (Kameras, Bewässerungssteuerung, Rolltor,...) kann ich derzeit nur lokal nutzen und mangels DYNDNS nicht von außen drauf zugreifen (:-((

    B) zu Hause
    Router: Fritz 6490
    Provider: KabelDeutschland
    Netz: 192.168.178.1 (Subnet 255.255.255.0)


    Das Problem:
    Es will mir partout nicht gelingen, im TPLInk den Status von "Down" auf "Active" zu bekommen.


    In der TPLink Konfiguration (Network > IPSec VPN) habe ich folgende Einstellungen vorgenommen:

    IPSec Connection Name: BerlinLaPalma
    Remote IPSec Gateway (URL): 9jcdjltj0xXXXX.myfritz.net (die DYNDNS Adresse der Fritzbox)
    Tunnel access from local IP addresses:Subnet Address
    IP Address for VPN: 192.168.179.0
    Subnet Mask: 255.255.255.0
    Tunnel access from remote IP addresses:Subnet Address
    IP Address for VPN: 192.168.178.0
    Subnet Mask: 255.255.255.0
    Key Exchange Method:Auto (IKE), Authentication Method:Pre-Shared Key
    Pre-Shared Key: c0aaXXXXX (der Key den mir die Fritzbox angibt)
    Perfect Forward Secrecy:Enable
    ==Phase 1== Mode:Aggressive
    Local Identifier Type:FQDN, Local Identifier: www.xxx.com (nach allem, was ich gelesen habe, muss auch bei "einseitigem" Aufbau (wie gesagt: kein DYNDNS im Ferienhaus möglich) ein Identifier vergeben werden; wenn ich es richtig verstanden habe, sollten die Geräte dann nur prüfen, ob es sich um den selben handelt)
    Remote Identifier Type:FQDN, Remote Identifier: 9jcdjltj0xXXXX.myfritz.net (hier wieder die DYNDNS Adresse der Fritzbox)
    Encryption Algorithm:3DES, Integrity Algorithm:MD5, Diffie-Hellman Group for Key Exchange:1024bit, Key Life Time(Seconds): 3600
    ==Phase 2== Encryption Algorithm:3DES, Integrity Algorithm:MD5, Diffie-Hellman Group for Key Exchange:1024bit, Key Life Time(Seconds): 3600


    Auf der Fritz-Box Seite habe ich zwei VPN Verbindungen konfiguriert:
    A) "VPN1", welche ganz normal über die online Config erstellt wurde und mit deren Hilfe ich z.B. per Smartphone problemlos eine VPN Verbindung hinbekomme
    B) "BerlinLaPalma"
    Da nicht alle Parameter über die online-Config zugänglich sind, hatte ich den Hinweis bekommen, ein config file hochzuladen
    Hier die Details:

    vpncfg {connections {enabled = yes; conn_type = conntype_lan;
    name = "BerlinLaPalma";
    always_renew = no; reject_not_encrypted = no; dont_filter_netbios = no;
    localip = 0.0.0.0; local_virtualip = 0.0.0.0;
    remoteip = 0.0.0.0; remote_virtualip = 0.0.0.0;
    remotehostname = "";
    localid {fqdn = "9jcdjlXXXX.myfritz.net";}
    remoteid {fqdn = "www.xxx.com"; }
    mode = phase1_mode_aggressive; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared;
    key = "c0aaaXXX"; (der selbe key wie oben)
    cert_do_server_auth = no; use_nat_t = yes; use_xauth = no; use_cfgmode = no;
    phase2localid {ipnet {ipaddr = 192.168.178.0; mask = 255.255.255.0; } }
    phase2remoteid {ipnet {ipaddr = 192.168.179.0; mask = 255.255.255.0; } }
    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
    accesslist = "permit ip any 192.168.179.0 255.255.255.0"; }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";}

    Bin für jeden Tipp unendlich dankbar. Können mehr als gerne auch mal per teamviewer gemeinsam draufschauen...

  2. Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

  3. #2
    Oberbootsmann Avatar von Vogelbecker
    Registriert seit
    11.08.2006
    Ort
    Südniedersachsen
    Beiträge
    1.004


    Standard

    War das nicht so, das man bei KabelDeutschland keine öffentliche IPv4-Adresse mehr bekommt?
    Was zeigt die Fritzbox denn an bei dir?
    Kannst aus Spanien die myfritz-Adresse anpingen?
    Home Dell Precision T7610 | Intel Xeon E5-2687W v2 | 64 GB RAM | Nvidia Geforce GTX 1060 6GB | 512 GB SSD | 4x1TB HDD Raid 10 | Win10
    Mobil Dell Latitude E5570 | Core i7-6820HQ | 16 GB RAM | 500GB Samsung 960 Evo | Ubuntu 17.04
    Server Dell T20 | 16 GB RAM | 2x 500 GB für OS | 8x 2 TB an RaidContoller für Storage | ESXi 5.5
    Mein Blog zum Hausbau, Elektronik-Bastelei, etc.

  4. #3
    Hauptgefreiter
    Registriert seit
    18.05.2011
    Ort
    PAF
    Beiträge
    251


    Standard

    Hast du IPv6 oder v4? Wir hatten das Spiel bei mir auch. Brauche fürs HomeOffice ein VPN in die Firma und das ging mit IPv6 auf meiner Seite einfach nicht. Musste mich dann auf IPv4 umstellen lassen, danach ging es dann irgendwie. Zumindest hat unser Dienstleister es danach hinbekommen.

  5. #4
    Kapitän zur See Avatar von dreadkopp
    Registriert seit
    26.05.2010
    Beiträge
    3.368


    • Systeminfo
      • Motherboard:
      • HP Z420 WS
      • CPU:
      • E5 2660
      • Kühlung:
      • Custom Wakü
      • Gehäuse:
      • MacPro 1,1
      • RAM:
      • 8x8GB DDR3 reg ECC
      • Grafik:
      • GTX 750Ti / RX480
      • Storage:
      • Samsung Evo 850 512GB, SanDisk 128GB, 2TB Seagate
      • Monitor:
      • 2x LG 25UM58, LG Flatron W2242PE, JVC 50''
      • Netzteil:
      • Delta 600
      • Betriebssystem:
      • Arch Linux, OSX(vm), Win10(vm)
      • Handy:
      • LG G3 32GB

    Standard

    Denkbar ungünstiges setup. Mit lte bist du imho sowieso schon in einem subnet und von außen nicht direkt erreichbar. Mit Kabel Deutschland auf der anderen Seite kann es auch etwas problematisch sein. Hab da irgendwas im Hinterkopf. Ich würde dir am ehesten empfehlen einen kleinen vserver anzumieten (<5€/m) und den VPN server dort aufzusetzen. Dann haben all deine clients eine 'feste anlaufstelle' und deine Probleme sollten vorbei sein.



    Gesendet von meinem LG-D855 mit Tapatalk

  6. #5
    Matrose
    Registriert seit
    15.09.2017
    Beiträge
    2
    Themenstarter


    Standard

    Besten Dank für die schnellen Anmerkungen:

    a) KabelDeutschland hatte in der Tat mal versucht, mich auf private IP umzustellen, nach meinem Protest hatte ich aber wieder eine public IP erhalten.
    Sonst würde die "normale" VPN Verbindung vom Smartphone zur FritzBox auch nicht gehen.
    b) Ich habe auf beiden Seiten IPv4 Verbindungen.

  7. #6
    Oberleutnant zur See
    Registriert seit
    29.12.2015
    Ort
    FFM
    Beiträge
    1.490


    Standard

    war es nicht auch so, dass die FB nicht in dem Standard-IP-Bereich von 192.168.178.0/24 werkeln darf?
    Geändert von ClearEyetemAA55 (15.09.17 um 14:18 Uhr)

  8. #7
    Flottillenadmiral
    Registriert seit
    31.05.2010
    Ort
    Wo mein Daddel-PC steht
    Beiträge
    4.334


    • Systeminfo
      • Motherboard:
      • AsrockRack X399D8A-2T
      • CPU:
      • 1920X
      • Systemname:
      • 1920X
      • Kühlung:
      • 2xMoRa3 + Watercool GPU/CPU
      • Gehäuse:
      • Thermaltake Core P7 TG
      • RAM:
      • 64GB DDR4
      • Grafik:
      • Nvidia RTX 2080Ti FE
      • Storage:
      • SM961 1TB, 840 EVO 1TB, 2x 860 EVO 1TB, 660p 2TB
      • Monitor:
      • AW5520QF OLED
      • Netzwerk:
      • 10Gbit, 100Gbit (Connectx-4)
      • Sound:
      • Chord Mojo / AKG K812 Pro
      • Netzteil:
      • Seasonic Prime Ultra Titanium
      • Betriebssystem:
      • ESXI 6.7U3 mit Windows10-VM
      • Sonstiges:
      • Gaming in VM! :D
      • Notebook:
      • Zu viele
      • Photoequipment:
      • Unbenutzt
      • Handy:
      • Zu viel benutzt

    Standard

    Was mir nur aufgefallen ist: das 192.168.179.0er Netz ist ja das Standardmäßige "Gast" Netz der Fritzbox, das die im Zweifel per default nie in den 178er Subnetzbereich lässt. Oder die Fritze hat da dann konfliktende Routen (1x 179.x Ziele im Gastnetz und 1x im VPN).

    Kannst ja mal schauen, ob es zufällig mit einem anderen Subnetzbereich im Ferienhaus klappt - bevor du weiter irgendwelche Details der Konfig verbiegst.

    Nur eine Idee.

  9. #8
    Hauptgefreiter
    Registriert seit
    01.01.2014
    Beiträge
    130


    • Systeminfo
      • Storage:
      • 2TB/2TB/3TB/3TB
      • Netzwerk:
      • Fritzbox 7390
      • Photoequipment:
      • Canon EOS 450D
      • Handy:
      • S3

    Standard

    Die beiden boxen dürfen nur nicht die IP Ranges haben. Also wenn beide 192.168.178.* haben geht es nicht, dass ist aber nicht der Fall.....
    Beide benötigen natürlich eine öffentliche IPv4 Adresse, sonst wird das nix..... Aber ob der TP-Link beim VPN genauso arbeitet wie die Fritzbox, weiß ich nicht....

    Gesendet von meinem Moto G (4) mit Tapatalk

  10. #9
    Matrose
    Registriert seit
    06.02.2018
    Beiträge
    1


    Standard

    Hallo lapalma24,

    konntest du dein Problem mittlerweile lösen? Ich habe exakt das gleiche Problem, nur für einen etwas anderen Zweck.
    Bin fast die selben Schritte durchgegangen wie du, also habe auf der einen Seite eine Fritzbox mit öffentlicher Vodafone IP, und VPN verbindungen funktionieren ganz normal vom Handy usw.
    Auf der anderen Seite habe ich einen TP Link mit O2Free Simkarte, ebenfalls nur mit einer privaten IP, so wie du mit Orange.
    Meine Idee war jedoch die, mich nicht mit den zwei Routern sondern nur mit einem Gerät ( Raspberrypi ) an die Fritzbox zu verbinden und dann innerhalb der Fritzbox Portforwarding für diese Virtuelle IP zu aktivieren, sodass ich dann per public IP der Fritzbox über port forwarding bei dem virtuellen Heimnetzgerät ( Raspberrypi per VPN) letztendlich der Raspberrypi selbst über den Port erreichbar ist. Aber egal was ich versuche ( habe auch schon einiges mit der vpncfg hinter mir, es funktioniert einfach nicht. Geschweige denn deine Variante mit Side to Side VPN TPlink to Fritzbox..


    Deshalb interessiert es mich ob du mittlerweile eine Lösung gefunden hast.
    Vielen Dank. Emporea.

  11. #10
    Oberbootsmann
    Registriert seit
    15.08.2013
    Beiträge
    943


    Standard

    Macht es euch einfach, z.B. mit Zerotier ZeroTier | Home (Privat kostenlos, bis zu 100 Netzwerkgeräte) - funktioniert so ein bisschen wie Hamachi .. SDN/VPN Mix.

    Gibt Client für Mac, Win, Linux, IOS, Android ... VPN durch v4/v6/relay
    PC: Custom Xeon E3-1230v3@3.30GHz, 32GB Laptop: MBP 2015er Mobil: iPhone X
    Router: PaloAlto PA-220 & Sophos UTM@Qotom 5250u Server: ESXi6.5 -> 7i3 Intel NUC Storage: BTRFS@Microserver Gen8
    Sophos UTM Certified Engineer 9.3

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •