VPN zwischen zwei Fritzboxen

[Aristophanes]

Guten Abend
und wieder melde ich mich mit einem Off-Topic Thema bei euch -

Ich versuche schon seit Tagen vergeblich eine VPN Verbindung zwischen zwei FritzBoxen über das Internet aufzubauen, aber leider vergeblich.
Laut Internetbeschreibungen scheint es wirklich einfach zu sein, aber bei mir will es einfach nicht.

Mein Problem ist, dass mir zwar anfangs folgendes angezeigt wird:

Aber die Verbindung kommt nie zu Stande :-(

Die Konfiguration meiner ersten FB sieht so aus:


Die Konfiguration der zweiten FB:



im ausgegrauten Bereich steht die jeweilige DynDNS die auch perfekt funktioniert. Ich habe von einem anderen Haushalt schon auf beide FB zugegriffen. Daran kann es also nicht liegen.
Das Passwort ist auch zu 100% das identische

Weiß jemand Rat?

Vielen dank schonmal!

 

[jugi]

1. Hat einer der Anschlüsse DS-Lite oder haben beide eine IPv4 Adresse? VPN über IPv6 kann die Fritzbox noch nicht.
2. Sind das denn die Subnetze der Fritten (10.10.10.0 bzw. 172.16.0.0)?

Sonst sieht tatsächlich erstmal alles richtig aus.

 

[Aristophanes]

Beide haben eine IPv4 Adresse
und ja, die von dir genannten sind in der Tat die Subnetze

Freundliche Grüße

 

[jugi]

Was sagt denn das Log der Boxen? Die IKE Fehler sind manchmal einigermaßen hilfreich.

 

[rednag]

Ich habe so ein Setup erfolgreich am laufen.
Beide sind mit DynDNS von SPDNS angebunden.
Meines Wissens müssen sich aber nur die letzten Oktaven des Netzwerksegmentes unterscheiden.
FritzA 192.168.178.x
FritzB 192,168,179,x
Ansonsten sehen die Bilder schon erfolgsversprechend aus.

Gruß Rednag

 

[jugi]

@rednag Hauptsache SubnetzA != SubnetzB - wobei ich mit 178 und 179 vorsichtig wäre: wenn du bei nem DAU-Kumpel mit Standard-Fritzbox-Konfig bist kommste bei dir nicht rein, weil das Subnetz da und das Subnetz bei dir zuhause gleich sind. Also besser was exotisches nehmen.

 

[Aristophanes]

Ich habe eben mal nach dem Log geschaut: "IKE-Error 0x001C "invalid id""
Hm, welche ID meint er damit?

Bezogen auf die Subnetze:
Wenn ich dich richtig verstehe, Jugi, dann sollte ich die Subnetze erstmal so lassen?

 

[jugi]

Die "id" könnte die Internetadresse oder irgendwas mit den IPs sein - bist du 1000%ig sicher, dass da keiner DS-Lite hat?

@Subnetze: Theoretisch ja, aber wer weiß, was AVM da zusammengezimmert hat… nimm mal 192.168.X.0 Subnetze (X != {0,1,2,178,179})

 

[Aristophanes]

Okay, wie sehe ich es ob einer DS-Lite hat?

du sagst das so einfach mit dem nimm mal. Ich werde hier geköpft, wenn später das Netzwerk nicht mehr geht und zwischen mir und der einen FB liegen 200km ;-)
Das müsste ich versuchen, wenn ich mal wieder dort bin, daher wäre es toll, wenn es an etwas anderem liegt ;-)

Hab eben mal nachgeschaut:

FB1:


FB2:

 

[rednag]

Hi jugi,

danke für den Hinweis. So ganz klar ist mir das aber nicht was Du meinst?
So läuft das bei mir. In dem 192.168.179.x steht Debian mit rsync.
Meine Syno daheim (192.168.178.x) sichert dort hin. Beide Fritz!Boxen 7490 befinden sich in einem VPN.
Das wird gegenseitig aufgebaut und dauerhaft gehalten.

Gruß Rednag

 

[rednag]

Ich werde hier geköpft, wenn später das Netzwerk nicht mehr geht und zwischen mir und der einen FB liegen 200km ;-)

Dann sei doch froh, daß 200km dazischen liegen

 

[jugi]

@Aristophanes: Jo, am VPN rumspielen macht immer Spaß Ich bin aber mit meinem Latein leider jetzt auch am Ende Ggf. nochmal die komplette Verbindung neu einrichten und dabei den VPN-Shared-Key via copy&paste in die beiden Felder einfügen - nur damit auch das 100% identisch ist.

@rednag: so funktioniert das, ja. aber wenn du jetzt bei nem Kumpel bist (der auch 192.168.178.0/24 hat) und dich von da aus mit deiner Fritzbox-VPN verbindest, dann weiß dein Client bei 192.168.178.1 nicht welche der beiden Boxen gemeint ist (und nimmt AFAIK dann die bei deinem Kumpel - du kommst also nicht an dein Heimnetz)

 

[Aristophanes]

@ Jugi
Ich habe hier beide Interfaces der Boxen offen und es mehrmals neu erstellt. Inklusive Copy and paste des Passworts
Aber das Problem ist leider immer noch. Es steht da "wird aufgebaut" und nach einiger Zeit kommt dann "nicht verbunden".

Sowas ärgert mich - wenn alles richtig konfiguriert ist, aber es nicht geht

 

[jugi]

schreib dem avm support mal, ob die ne idee haben.

 

[Aristophanes]

"Wir haben Ihre Supportanfrage erhalten."

Ich melde mich, sobald ich eine funktionierende Lösung bekommen habe

Vielen dank für deine Hilfe!!

 

[frankyst72]

178 ist der FritztBox-Standard. Da alle zu faul sind, bzw. auch gar keinen Grund haben das zu ändern, kann es leicht passieren, dass Du bei jemanden im Netz bist, der auch die 178 verwendet und wenn Du Dich dann mit Deinem Netz verbinden willst, geht das nicht, weil beide 178 verwenden. Deshalb solltest Du Dein Netz weg von der 178 legen (aber auch nicht 179, weil das schon das andere Netz verwendet). Nur um irgendwelchen Problemen aus dem Weg zu gehen. Wenn Du natürlich nie bei Kumpels bist und Dich mit Deinem Netz verbinden willst, kannst Du es auch so lassen,

 

[rednag]

Ah ok,

jetzt ist mir klar, was ihr versteht.
Ich habe die Box bzw. die IP-Range per Default übernommen. Auch weil es bisher noch keinen Grund gab, daß zu ändern.
Da mit dem VPN verstehe ich und klingt einleuchtend.
Kann ich dann z. B. mein Netz 192.168.178.x so lassen, und nur bei meinem Kumpel die 192.168.10.179 machen?
Mein Netz würde ich gerne in der Range lassen, da die Geräte alle eien feste IP haben. Diese alle zu Änderung ist mir zu aufwendig.

Gruß Rednag

 

[frankyst72]

FritzA 192.168.178.x
FritzB 192,168,179,x

Das kannst Du schon so lassen. Nur der Hinweis, wenn Du Dich mal in einem anderen Netz befindest, dass auch die 192.168.178.x (was halt relativ häufig in FritzBox-Netzten so ist) befindest kannst Du zu Deinem Netz "FritzA 192.168.178.x" keine VPN-Verbindung aufbauen. Damit das nicht passiert raten wir zu einem anderen Subnetz, nichts weiter

 

[consigliere74]

Hallo Aristophanes,
Hallo frankyst72,

Für FritzBox B würde ich 192,168,179.0/24 nicht nehmen, da dies das Standard Subnetz für das Gäste Wlan Netz und Gäste LAN (Port 4) ist. (zumindest an den Fritz.Boxen 7390 & 7490)
Nutze doch z.B. für Fritz.Box A 192.168.178.0/24 und an Fritz.Box B 192.168.100.0/24

Habe selbst zwischen 2 FB 7390 einen VPN-Tunnel aktiv.
Habe damals (ist schon länger her) das Tool "FRITZ!Fernzugang einrichten" benutzt. http://avm.de/service/vpn/uebersicht/

 

[Aristophanes]

Guten Abend
ich habe leider noch keine Antwort vom Support erhalten, aber ich frage jetzt einfach mal so frei raus - könnte es auch an der Netzklasse liegen? Also das ich nicht zwei verschiedene Klassen miteinander verbinden kann, oder das eben nur Klasse 3 Netze gehen?
Freundliche Grüße