VPN (LAN-LAN-Kopplung) zwischen 6660 Cable und 7590 ax

[Liqidale]

Hallo zusammen,

zu dem Thema VPN gibt es ja schon einige Beiträge, aber die haben mir nicht weiterhelfen können.

Ich möchte die Netzwerke von zwei Wohnungen verbinden, welche zu weit auseinander liegen für (W)LAN.
In den Wohnungen stehen einaml die 6660 Cable mit Fritz OS 7.29 und einmal die 7590 ax mit 7.31.

Die 6660 hat scheinbar eine öffentliche IPv4 und eine IPv6 Adresse, die 7590 nur eine öffentliche IPv4.

Beide sind laut Anzeige auch per VPN verbunden und haben unterschiedliche Netzwerke (192.168.188.0 und 192.168.178.0).
Bei beiden sind "VPN-Verbindung dauerhaft halten" und "NetBIOS über diese Verbindung zulassen"
Ich habe Beide schon mehrmals neugestartet und die VPN-Verbindung neu eingerichtet.

Ich komme jedoch von Netzwerkgeräten nicht in das jeweils andere Netzwerk, kann z.B nicht die andere Box über die interne IP aufrufen.
Ping und Traceroute laufen ins leere.

Was noch verwunderlich ist, ich komm vom Internet nicht auf die 7590, wohl aber auf Netzwerkgeräte per Portfreigabe.

Ich hoffe ihr habt ein paar Ideen was ich versuchen könnte, damit es funktioniert.

LG Liqidale

 

[blurrrr]

Hi,

also wenn die VPN-Verbindung (vermeintlich) steht, kannst Du mal z.B. versuchen zu schauen, wie die Strecke nach drüben so aussieht via Eingabeaufforderung unter Windows "tracert <Geräte-IP auf der Gegenseite>". Damit sollte der "Pfad" welchen die Pakete nehmen sichtbar werden. Die Erreichbarkeit (bzw. Latenz) generell kannst Du kurzerhand via "ping <Geräte-IP auf der Gegenseite>" testen.

Allerdings spinnen die Fritzboxen ab und zu auch mal und behaupten, dass eine Verbindung besteht, obwohl sie eben nicht mehr besteht, da hilft dann ein kurzer Neustart.

Was noch verwunderlich ist, ich komm vom Internet nicht auf die 7590, wohl aber auf Netzwerkgeräte per Portfreigabe.

Funktioniert denn auch auch eine Portfreigabe (IPv4) auf der Seite der Cable-Fritzbox?

 

[Stationary]

Die 6660 hat scheinbar eine öffentliche IPv4

Strikt sprachlich betrachtet wäre das der Grund, warum es nicht funktioniert… „scheinbar“: nur dem äußeren Eindruck nach, nicht aber tatsächlich so… (Du meinst „anscheinend“).

Die Subnetzmaske stimmt?
Die Internetadressen sind richtig eingetragen?
Der pre-shared key ist bei beiden identisch und korrekt eingetragen?

Vielleicht kannst Du mal von einer Box die IPSec VPN Seite hochladen, entsprechend teilgeschwärzt natürlich.

 

[Liqidale]

Hi,

also wenn die VPN-Verbindung (vermeintlich) steht, kannst Du mal z.B. versuchen zu schauen, wie die Strecke nach drüben so aussieht via Eingabeaufforderung unter Windows "tracert <Geräte-IP auf der Gegenseite>". Damit sollte der "Pfad" welchen die Pakete nehmen sichtbar werden. Die Erreichbarkeit (bzw. Latenz) generell kannst Du kurzerhand via "ping <Geräte-IP auf der Gegenseite>" testen.

Wie erwähnt, laufen diese ins Leere. Ping hat eine Zeitüberschreitung und tracert kommt auf die lokale Box und danach auch Zeitüberschreitung

Allerdings spinnen die Fritzboxen ab und zu auch mal und behaupten, dass eine Verbindung besteht, obwohl sie eben nicht mehr besteht, da hilft dann ein kurzer Neustart.

Hab ich schon mehrmals versucht und auch ein erneuter Neustart hat nichts gebracht.

Funktioniert denn auch auch eine Portfreigabe (IPv4) auf der Seite der Cable-Fritzbox?

Hatte ich bis gerade eben nicht probiert, funktioniert aber.
Auf die 6660 komm ich auch von außen drauf, nur nicht auf die 7590.

Strikt sprachlich betrachtet wäre das der Grund, warum es nicht funktioniert… „scheinbar“: nur dem äußeren Eindruck nach, nicht aber tatsächlich so… (Du meinst „anscheinend“).

ja, bring ich immer wieder durcheinander

Die Subnetzmaske stimmt?
Die Internetadressen sind richtig eingetragen?
Der pre-shared key ist bei beiden identisch und korrekt eingetragen?

Ja, ist alles per Copy&Paste bzw. Standard Subnetzmaske

Vielleicht kannst Du mal von einer Box die IPSec VPN Seite hochladen, entsprechend teilgeschwärzt natürlich.

Meinst du diese Seite?

 

[blurrrr]

Ich würde sagen: Alles nochmal komplett rausschmeissen (S2S-VPN), Boxen neustarten, neu anlegen.

 

[Stationary]

In der anderen Box sieht es ähnlich aus?
Nur dann mit „home“, h3n…, lokal 188.0/24, entfernt .178.0/24?
Es steht auch überall .0 und nicht irgendwo .1?

 

[blurrrr]

Es steht auch überall .0 und nicht irgendwo .1?

Gute Idee, jetzt wo Du es sagst, genau das habe ich früher auch öfters mal gesehen

 

[Liqidale]

In der anderen Box sieht es ähnlich aus?
Nur dann mit „home“, h3n…, lokal 188.0/24, entfernt .178.0/24?
Es steht auch überall .0 und nicht irgendwo .1?

ja, das sollte alles stimmen, hier nochmal die andere Box.
ich werde nochmal beide neustarten und dann VPN neu einrichten, mal schauen was passiert...

 

[Barungar]

Hast Du mal geprüft, ob es Überschneidungen mit anderen den beiden FritzBoxen bekannten Netzen gibt?
Ich persönlich mag die Range 192.168.0.0/16 überhaupt nicht. Weil sich da zu viel "ab Werk" rumtummelt.
In Deinem Fall denke ich z.B. an das Fritz Gastnetz, das gibt es auf beiden Seiten des VPNs und eventuell gibt es da eine Überschneidung.

 

[Liqidale]

Also nach einem erneuten Neustart und Neueinrichtung des VPNs funktioniert es jetzt
Das gleiche Prozedere hab ich vorher mindestens 5 mal gemacht...
Danke für eure Unterstützung und Anregungen

 

[Stationary]

Fritz Gastnetz,

das wäre normalerweise .179.0 gewesen.


Aber schön, daß es jetzt funktioniert.

 

[blurrrr]

Ich persönlich mag die Range 192.168.0.0/16 überhaupt nicht. Weil sich da zu viel "ab Werk" rumtummelt.

Also ich persönlich halte primär Abstand (und bei externen Einrichtungen) von

192.168. ... 0/1/2/178/179... damit ist das meiste (in Deutschland) eigentlich schon raus. Richte ich sowas für wen ein, geht es meist in die Richtung "Such Dir eine Zahl zwischen x und y aus, aber nicht a,b,c,d,e". Hat natürlich irgendwo den Nachteil, dass sich die Geburtsjahre irgendwo häufen... Aber sei's drum, hauptsache erstmal weg von den "typischen" Dingern.

 

[Barungar]

Auch, wenn wir uns vom Thema (kurz) entfernen Ich bevorzuge 10.0.0.0/8 und 172.16.0.0/12.
192.168.0.0/16 meide ich komplett, das sind die Subnetze die "jeder nutzt".