Aktuelles

VPN zwischen TPlink mit private IP und Fritz (public IP, dyndns)

lapalma24

New member
Thread Starter
Mitglied seit
15.09.2017
Beiträge
2
Hallo zusammen,

auch nach tagelangem Probieren und Internet-Recherche will es mir nicht gelingen, die beiden per VPN zu verbinden.
Bin echt verzweifelt und hoffe, unter euch ist ein "VPN Gott"?

Hier mein Setup:

A) Ferienhaus
Router: TPLink Archer MR200 (LTE)
Provider: amena
Netz: 192.168.179.1 (Subnet 255.255.255.0)
Anmerkung 1: Hatte es zunächst eine Fritz 6820 LTE versucht.. die sich aber auch mit Hilfe des AVM Supports nicht überreden ließ, sich mit dem spanischen Orange LTE Netzwerk zu verbinden; Daher der TP Link Router
Anmerkung 2: Wie wohl bei fast allen LTE Anbietern, bekomme ich nur eine private IP zugewiesen... kann daher kein DYNDNS nutzen; Was auch der Hauptgrund ist, warum ich die VPN Verbindung brauche. All die netten gadgets meiner home automation (Kameras, Bewässerungssteuerung, Rolltor,...) kann ich derzeit nur lokal nutzen und mangels DYNDNS nicht von außen drauf zugreifen :-)-((

B) zu Hause
Router: Fritz 6490
Provider: KabelDeutschland
Netz: 192.168.178.1 (Subnet 255.255.255.0)


Das Problem:
Es will mir partout nicht gelingen, im TPLInk den Status von "Down" auf "Active" zu bekommen.


In der TPLink Konfiguration (Network > IPSec VPN) habe ich folgende Einstellungen vorgenommen:

IPSec Connection Name: BerlinLaPalma
Remote IPSec Gateway (URL): 9jcdjltj0xXXXX.myfritz.net (die DYNDNS Adresse der Fritzbox)
Tunnel access from local IP addresses:Subnet Address
IP Address for VPN: 192.168.179.0
Subnet Mask: 255.255.255.0
Tunnel access from remote IP addresses:Subnet Address
IP Address for VPN: 192.168.178.0
Subnet Mask: 255.255.255.0
Key Exchange Method:Auto (IKE), Authentication Method:Pre-Shared Key
Pre-Shared Key: c0aaXXXXX (der Key den mir die Fritzbox angibt)
Perfect Forward Secrecy:Enable
==Phase 1== Mode:Aggressive
Local Identifier Type:FQDN, Local Identifier: www.xxx.com (nach allem, was ich gelesen habe, muss auch bei "einseitigem" Aufbau (wie gesagt: kein DYNDNS im Ferienhaus möglich) ein Identifier vergeben werden; wenn ich es richtig verstanden habe, sollten die Geräte dann nur prüfen, ob es sich um den selben handelt)
Remote Identifier Type:FQDN, Remote Identifier: 9jcdjltj0xXXXX.myfritz.net (hier wieder die DYNDNS Adresse der Fritzbox)
Encryption Algorithm:3DES, Integrity Algorithm:MD5, Diffie-Hellman Group for Key Exchange:1024bit, Key Life Time(Seconds): 3600
==Phase 2== Encryption Algorithm:3DES, Integrity Algorithm:MD5, Diffie-Hellman Group for Key Exchange:1024bit, Key Life Time(Seconds): 3600


Auf der Fritz-Box Seite habe ich zwei VPN Verbindungen konfiguriert:
A) "VPN1", welche ganz normal über die online Config erstellt wurde und mit deren Hilfe ich z.B. per Smartphone problemlos eine VPN Verbindung hinbekomme
B) "BerlinLaPalma"
Da nicht alle Parameter über die online-Config zugänglich sind, hatte ich den Hinweis bekommen, ein config file hochzuladen
Hier die Details:

vpncfg {connections {enabled = yes; conn_type = conntype_lan;
name = "BerlinLaPalma";
always_renew = no; reject_not_encrypted = no; dont_filter_netbios = no;
localip = 0.0.0.0; local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0; remote_virtualip = 0.0.0.0;
remotehostname = "";
localid {fqdn = "9jcdjlXXXX.myfritz.net";}
remoteid {fqdn = "www.xxx.com"; }
mode = phase1_mode_aggressive; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared;
key = "c0aaaXXX"; (der selbe key wie oben)
cert_do_server_auth = no; use_nat_t = yes; use_xauth = no; use_cfgmode = no;
phase2localid {ipnet {ipaddr = 192.168.178.0; mask = 255.255.255.0; } }
phase2remoteid {ipnet {ipaddr = 192.168.179.0; mask = 255.255.255.0; } }
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.179.0 255.255.255.0"; }
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";}

Bin für jeden Tipp unendlich dankbar. Können mehr als gerne auch mal per teamviewer gemeinsam draufschauen...
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

Vogelbecker

Active member
Mitglied seit
11.08.2006
Beiträge
1.033
Ort
Südniedersachsen
War das nicht so, das man bei KabelDeutschland keine öffentliche IPv4-Adresse mehr bekommt?
Was zeigt die Fritzbox denn an bei dir?
Kannst aus Spanien die myfritz-Adresse anpingen?
 

Turboschnecke

Member
Mitglied seit
18.05.2011
Beiträge
252
Ort
PAF
Hast du IPv6 oder v4? Wir hatten das Spiel bei mir auch. Brauche fürs HomeOffice ein VPN in die Firma und das ging mit IPv6 auf meiner Seite einfach nicht. Musste mich dann auf IPv4 umstellen lassen, danach ging es dann irgendwie. Zumindest hat unser Dienstleister es danach hinbekommen.
 

Morpheus2200

Active member
Mitglied seit
04.08.2001
Beiträge
53.752
Denkbar ungünstiges setup. Mit lte bist du imho sowieso schon in einem subnet und von außen nicht direkt erreichbar. Mit Kabel Deutschland auf der anderen Seite kann es auch etwas problematisch sein. Hab da irgendwas im Hinterkopf. Ich würde dir am ehesten empfehlen einen kleinen vserver anzumieten (<5€/m) und den VPN server dort aufzusetzen. Dann haben all deine clients eine 'feste anlaufstelle' und deine Probleme sollten vorbei sein.



Gesendet von meinem LG-D855 mit Tapatalk
 

lapalma24

New member
Thread Starter
Mitglied seit
15.09.2017
Beiträge
2
Besten Dank für die schnellen Anmerkungen:

a) KabelDeutschland hatte in der Tat mal versucht, mich auf private IP umzustellen, nach meinem Protest hatte ich aber wieder eine public IP erhalten.
Sonst würde die "normale" VPN Verbindung vom Smartphone zur FritzBox auch nicht gehen.
b) Ich habe auf beiden Seiten IPv4 Verbindungen.
 

ClearEyetemAA55

Active member
Mitglied seit
29.12.2015
Beiträge
1.535
Ort
FFM
war es nicht auch so, dass die FB nicht in dem Standard-IP-Bereich von 192.168.178.0/24 werkeln darf?
 
Zuletzt bearbeitet:

besterino

Active member
Mitglied seit
31.05.2010
Beiträge
4.481
Ort
Wo mein Daddel-PC steht
Was mir nur aufgefallen ist: das 192.168.179.0er Netz ist ja das Standardmäßige "Gast" Netz der Fritzbox, das die im Zweifel per default nie in den 178er Subnetzbereich lässt. Oder die Fritze hat da dann konfliktende Routen (1x 179.x Ziele im Gastnetz und 1x im VPN).

Kannst ja mal schauen, ob es zufällig mit einem anderen Subnetzbereich im Ferienhaus klappt - bevor du weiter irgendwelche Details der Konfig verbiegst.

Nur eine Idee.
 

Rockrohr

Member
Mitglied seit
01.01.2014
Beiträge
130
Die beiden boxen dürfen nur nicht die IP Ranges haben. Also wenn beide 192.168.178.* haben geht es nicht, dass ist aber nicht der Fall.....
Beide benötigen natürlich eine öffentliche IPv4 Adresse, sonst wird das nix..... Aber ob der TP-Link beim VPN genauso arbeitet wie die Fritzbox, weiß ich nicht....

Gesendet von meinem Moto G (4) mit Tapatalk
 

Emporea

New member
Mitglied seit
06.02.2018
Beiträge
1
Hallo lapalma24,

konntest du dein Problem mittlerweile lösen? Ich habe exakt das gleiche Problem, nur für einen etwas anderen Zweck.
Bin fast die selben Schritte durchgegangen wie du, also habe auf der einen Seite eine Fritzbox mit öffentlicher Vodafone IP, und VPN verbindungen funktionieren ganz normal vom Handy usw.
Auf der anderen Seite habe ich einen TP Link mit O2Free Simkarte, ebenfalls nur mit einer privaten IP, so wie du mit Orange.
Meine Idee war jedoch die, mich nicht mit den zwei Routern sondern nur mit einem Gerät ( Raspberrypi ) an die Fritzbox zu verbinden und dann innerhalb der Fritzbox Portforwarding für diese Virtuelle IP zu aktivieren, sodass ich dann per public IP der Fritzbox über port forwarding bei dem virtuellen Heimnetzgerät ( Raspberrypi per VPN) letztendlich der Raspberrypi selbst über den Port erreichbar ist. Aber egal was ich versuche ( habe auch schon einiges mit der vpncfg hinter mir, es funktioniert einfach nicht. Geschweige denn deine Variante mit Side to Side VPN TPlink to Fritzbox..


Deshalb interessiert es mich ob du mittlerweile eine Lösung gefunden hast.
Vielen Dank. Emporea.
 

Opticum

Member
Mitglied seit
15.08.2013
Beiträge
944
Macht es euch einfach, z.B. mit Zerotier ZeroTier | Home (Privat kostenlos, bis zu 100 Netzwerkgeräte) - funktioniert so ein bisschen wie Hamachi .. SDN/VPN Mix.

Gibt Client für Mac, Win, Linux, IOS, Android ... VPN durch v4/v6/relay
 
Oben Unten