ComputerBase Menü
Aktuelles

Site to Site VPN mit TP Link Omada und Fritzboxen

C

Creddy

Cadet 1st Year
Registriert
Juni 2011
Beiträge
9
Hallo zusammen,

ich möchte gerne 2 Standorte mit einer Site-to-Site VPN-Verbindung vernetzen. An beiden Standorten gibt es 2 Fritzboxen. Jeweils eine mit Kabel und eine mit DSL. An jedem Anschluss hängt eine Fritzbox.

An jedem Standort habe ich nun einen TP Link Omada Router ER605 installiert, da diese über mehrere WAN-Anschlüsse verfügen und ich so eine recht gute Ausfallsicherheit habe. Das Load-Balancing nehme ich auch gerne mit. Beide Router verwalte ich über einen Omada-Controller. Aktuell teste ich den Cloud-Controller (Keinen Hardwarecontroller!).

Soweit so gut! Das ganze Konstrukt funktioniert perfekt. Bis zu dem Punkt, wo ich nun eine Site-to-Site Verbindung zwischen den beiden Omada-Routern herstellen möchte. Selbstverständlich habe ich diverse Dokus gelesen und die Tutorials von TP Link durchgearbeitet. TP Link bietet einen Lösung per automatischem IPSec, welche aber nur funktioniert, wenn keine NAT vor den Routern stehen. Bei mir ist das aber der Fall. Entsprechend habe ich versucht per manuellem IPSec die Verbindung herzustellen, wie von TP-Link vorgegeben. Hierzu gibt es folgende Doku: https://www.tp-link.com/en/support/faq/3051/

Ich habe die Einstellungen mit viel Sorgfalt ganz genau so vorgenommen wie beschrieben. Da die WAN-Adressen der Router allerdings die lokalen IP-Adressen aus den Netzen der Fritzboxen sind, habe ich für die VPN-Verbindungen die öffentlichen IP-Adressen eingetragen, welche von den Fritzboxen verwendet werden. Die Router haben auf den Fritzboxen je eine feste IP und sind im Exposed Modus unterwegs. UDP Port 500 und 4500 sind freigegeben. In der Theorie müsste das somit eigentlich laufen. Tut es aber nicht. Ich bin mit meinem Latein am Ende.

Die Doku geht von einem Harware-Controller aus. Vielleicht ist das ein Ansatz. Übrigens habe ich mal eine OpenVPN ausprobiert. Das funktioniert perfekt.

Hat jemand eine Idee wo der Fehler liegen könnte und wo ich am besten ansetzen kann?

Ich freue mich auf Unterstützung. Vielen Dank!

Liebe Grüße
Christian
 
Zu Wireguard:

Das einschränkenste bei Wireguard mit Fritzboxen ist, dass der Webassistent sehr wenige Funktionen hat.

Daher mein Tipp (nutze ich selbst für von AVM nicht im Webassistenten vorgesehenen Usecase (3 Site-to-Site mit je mehr als 1 Subnetz an verschiedenen Routern oder VPN Router != Internetrouter, also "WAN"-IP != Public-IP aka doppel NAT):

Config der Fritzbox exportieren, im Abschnitt vpn.cfg Konfig wie benötigt anpassen, mit Prüfsummentools (frag Google) die neue Prüfsumme der CFG-Datei berechnen, die Prüfsumme oben eintragen, Konfig in die Fritzbox laden.

Setzte aber voraus, dass man weiß wie man seine Konfig zu schreiben hab und man benötigt solange die Konfig nicht final ist, immer eine Fallback weg zum Remote-Router (z.B. Teamviewer auf einen PC im Remotenetz oder Zugang auf auf die Weboberfläche des Routers von außen (nur so lange man das VPN einrichtet, ansonsten unbedingt Zugriff aus Internet auf Router deaktivieren)

Hier mein Weg bzw. wie ich mir meinen Weg erarbeitet habe:
https://www.computerbase.de/forum/t...esen-anleitungen-funktionieren-nicht.2176920/

Zu IPSec durch Fritzbox
Ergänzung ()

Creddy schrieb:
Die Router haben auf den Fritzboxen je eine feste IP und sind im Exposed Modus unterwegs. UDP Port 500 und 4500 sind freigegeben.
Zum Vergrößern anklicken....
Im Exposed Host braucht man keine zusätzlich Freigabe und der Exposed Host sollte abgeschaltet bleiben.

Du musst in der Fritzbox. zusätzlich das ESP-Protokoll durchleiten zur TP-link.

Also Portweiterleitung für:

UDP 500
UDP 4500
ESP

in der Internet-Firtzbox an die TP-Link einrichten.

Und ganz wichtig, die lokalen privaten IPs müssen unterschiedlich sein.

Dazu habe ich früher bei IPsec (vor WG) mit FQDNs gearbeitet und bei localid den lokalen FQDN der Public-IPv4 eingetragen, wenn du als IP nutzt, müsste bei LocalID wohl die lokale Puiblic-IP stehen, nicht die "WAN" IP des kaskadierten TP-Link, welche ja auch eine private IP ist.


Hier eine Beispiel Konfig meine FB als sie noch kaskadiert hinter einer zweiten FB und noch IPSec machte:

Code: 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "local.public.fqdn";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "remote.public.fqdn";
                localid {
                        fqdn = "local.public.fqdn";
                }
                remoteid {
                        fqdn = "remote.public.fqdn";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "abcdefghijklmnopqrstuvqxyz";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.3.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
 
Zuletzt bearbeitet:
Creddy schrieb:
eine mit Kabel und eine mit DSL
Zum Vergrößern anklicken....
Welchen DSL-Anbieter nutzt Du in welchem Land? Du müsstet nämlich wegen der fehlenden IPv6-Unterstützung von Cable zu DSL verbinden. Dort brauchst eine öffentliche IPv4-Adresse. Die muss nicht statisch sein, dynamisch reicht. Brauchst dann aber eben noch einen Dynamic-DNS-Dienst.
Creddy schrieb:
NAT vor den Routern
Zum Vergrößern anklicken....
Und warum hast Du das noch? Falls Du kein DSL-Modem auf die Schnelle holen kannst – langfristigt solltest Du, die bekommst Du gebraucht bereits kostenlos –, würde ich auf der FRITZ!Box unsinnige PPPoE-Daten hinterlegen und PPPoE-Passthrough nutzen. Hast Du die Telekom Deutschland als Internet-Anbieter musst Du noch Easy Login abschalten.
Creddy schrieb:
OpenVPN
Zum Vergrößern anklicken....
An jenen Anschlüssen? Aus reiner Neugierde: Warum das nicht?
 
Zer0DEV schrieb:
Die Fritzbox kann doch inzwischen Wireguard!?
Da kann man sich doch Zeug von TP Link sparen, weil viel zu umständlich. Außerdem wird es dadurch nicht sicherer, weil man eben wieder auf einen Hersteller vertrauen muss, kein Mist gebaut zu haben.

Eine ausführliche Anleitung für Wireguard Site to Site gibt es unter:
https://www.procustodibus.com/blog/2020/12/wireguard-site-to-site-config/
Zum Vergrößern anklicken....
Das die Fritzbox Wireguard ist mir bewusst. Aber über die Fritzbox kann ich keine 2 Internetanschlüsse verwalten da nur ein WAN-Anschluss. Mir geht es ja darum, dass die zweite Leitung als Backup für die erste Leitung da ist wenn es einen Ausfall gibt. Das mit 2 WAN-Anschlüssen kann der Omada Router out of the Box.

conf_t schrieb:
Zu Wireguard:

Das einschränkenste bei Wireguard mit Fritzboxen ist, dass der Webassistent sehr wenige Funktionen hat.

Daher mein Tipp (nutze ich selbst für von AVM nicht im Webassistenten vorgesehenen Usecase (3 Site-to-Site mit je mehr als 1 Subnetz an verschiedenen Routern oder VPN Router != Internetrouter, also "WAN"-IP != Public-IP aka doppel NAT):

Config der Fritzbox exportieren, im Abschnitt vpn.cfg Konfig wie benötigt anpassen, mit Prüfsummentools (frag Google) die neue Prüfsumme der CFG-Datei berechnen, die Prüfsumme oben eintragen, Konfig in die Fritzbox laden.

Setzte aber voraus, dass man weiß wie man seine Konfig zu schreiben hab und man benötigt solange die Konfig nicht final ist, immer eine Fallback weg zum Remote-Router (z.B. Teamviewer auf einen PC im Remotenetz oder Zugang auf auf die Weboberfläche des Routers von außen (nur so lange man das VPN einrichtet, ansonsten unbedingt Zugriff aus Internet auf Router deaktivieren)

Hier mein Weg bzw. wie ich mir meinen Weg erarbeitet habe:
https://www.computerbase.de/forum/t...esen-anleitungen-funktionieren-nicht.2176920/

Zu IPSec durch Fritzbox
Ergänzung ()


Im Exposed Host braucht man keine zusätzlich Freigabe und der Exposed Host sollte abgeschaltet bleiben.

Du musst in der Fritzbox. zusätzlich das ESP-Protokoll durchleiten zur TP-link.

Also Portweiterleitung für:

UDP 500
UDP 4500
ESP

in der Internet-Firtzbox an die TP-Link einrichten.

Und ganz wichtig, die lokalen privaten IPs müssen unterschiedlich sein.

Dazu habe ich früher bei IPsec (vor WG) mit FQDNs gearbeitet und bei localid den lokalen FQDN der Public-IPv4 eingetragen, wenn du als IP nutzt, müsste bei LocalID wohl die lokale Puiblic-IP stehen, nicht die "WAN" IP des kaskadierten TP-Link, welche ja auch eine private IP ist.


Hier eine Beispiel Konfig meine FB als sie noch kaskadiert hinter einer zweiten FB und noch IPSec machte:

Code: 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "local.public.fqdn";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "remote.public.fqdn";
                localid {
                        fqdn = "local.public.fqdn";
                }
                remoteid {
                        fqdn = "remote.public.fqdn";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "abcdefghijklmnopqrstuvqxyz";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.3.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
Zum Vergrößern anklicken....
Exposed schalte ich natürlich wieder ab wenn es läuft. Hatte zunächst nur die Ports aufgemacht und dann irgendwann Exposed eingeschalten um das als Fehler ausschließen zu können.

LOCAL ID und REMOTE ID habe ich auf NAME umgestellt. Also keine IPs. Gibt TP Link so vor.


norKoeri schrieb:
Welchen DSL-Anbieter nutzt Du in welchem Land? Du müsstet nämlich wegen der fehlenden IPv6-Unterstützung von Cable zu DSL verbinden. Dort brauchst eine öffentliche IPv4-Adresse. Die muss nicht statisch sein, dynamisch reicht. Brauchst dann aber eben noch einen Dynamic-DNS-Dienst.

Und warum hast Du das noch? Falls Du kein DSL-Modem auf die Schnelle holen kannst – langfristigt solltest Du, die bekommst Du gebraucht bereits kostenlos –, würde ich auf der FRITZ!Box unsinnige PPPoE-Daten hinterlegen und PPPoE-Passthrough nutzen. Hast Du die Telekom Deutschland als Internet-Anbieter musst Du noch Easy Login abschalten.

An jenen Anschlüssen? Aus reiner Neugierde: Warum das nicht?
Zum Vergrößern anklicken....
Ich nutze Vodafone für Kabel. Die DSL-Leitungen sind von 1&1 und O2. Öffentliche IPv4-Adressen sind überall vorhanden. Teils statisch, teils dynamisch.

Wie funktioniert das mit dem PPPoE-Passthrough?

Ja an jenen Anschlüssen. Nicht an allen, nur an einem mal getestet. Die Omada-Geräte bieten Site by Site nur über IPSec an. Wenn sich das auch über OpenVPN lösen lässt hätte ich damit auch kein Problem. Da brauche ich aber Hilfestellung. Wie man vielleicht merkt bin ich nicht vom Fach, nehme die Aufgabe aber sportlich.

Danke und Grüße
Christian
 
Creddy schrieb:
Ich nutze Vodafone für Kabel. Die DSL-Leitungen sind von 1&1 und O2. Öffentliche IPv4-Adressen sind überall vorhanden. Teils statisch, teils dynamisch.
Zum Vergrößern anklicken....
Bitte male uns auf, welcher Internet-Anschluss mit welchem verbunden werden sol. Bei 1&1, steht dort etwas von „DS-Lite-Tunnel“ unter „Internet → Online-Monitor“ in der FRITZ!Box? Bei O₂ ganz sicher DSL und kein Cable?
Creddy schrieb:
Teils statisch
Zum Vergrößern anklicken....
Ungewöhnlich. Welcher Internet-Anschluss hat eine statische IP-Adresse, wie lautet der Tarifname bzw. wie (durch welche Tarif-Option) hast Du das bekommen?
Creddy schrieb:
PPPoE-Passthrough
Zum Vergrößern anklicken....
Wenn der andere Internet-Anschluss der mit 1&1 ist, hast Du es noch einfacher, denn 1&1 erlaubt die Mehrfach-Einwahl. Du müsstest nur in der FRITZ!Box bei PPPoE Passthrough den Haken setzen. Und dann im ER605 statt DHCP zu nutzen, auf PPPoE wechseln. VLAN-Tagging dann bitte nicht machen, das macht schon die FRITZ!Box.
 
Ich muss meine ursprüngliche Aussage, dass an jedem Standort 2 Leitungen vorhanden sind, etwas schärfen. Aktuell sind am Hauptstandort 2 Anschlüsse vorhanden und am zweiten Standort aktuell noch 1 Anschluss. Der zweite Anschluss wird aber nun bestellt und steht dort in Kürze bereit. Aktuell sieht es wie folgt aus.

Standort 1
  • Hauptleitung ist Vodafone Kabel mit statischer IP.
  • Backupleitung ist DSL von 1&1 mit dynamischer IP.

Standort 2
  • Hauptleitung ist O2 DSL mit dynamischer IP.
  • Backupleitung steht noch nicht bereit.

Bei den großen Vodafone-Tarifen ist die statische IP mit drin. Kostet keinen Aufpreis.

Bei O2 bekommst du bei den Privatkunden-Tarifen eine dynamische IP. Bei den Business-Tarifen gibt es feste IP auf Wunsch. Habe heute diesbezüglich mit O2 gesprochen. Ich werde den Tarif auf einen Businesstarif umstellen. Bis dahin muss es mit Dyn-DNS gehen.

Bei 1&1 habe ich mich noch nicht so tief mit der Sache befasst da es "nur" die Backupleitung ist. Steht also noch aus. Das mit dem PPPoE ist ein super Tipp! Das probiere ich aus.

Zurück zu meinem eigentlichen Problem: Ich habe nochmal etwas mit den Omada-Routern rumgespielt und mich mal an Wireguard probiert. Wie es scheint ist auch ein Site-to-Site mit Wireguard über Omada möglich. Die Verbindung hat auf anhieb geklappt. Nur scheinen nicht alle Geräte erreichbar zu sein. Die Router und auch Drucker lassen sich aus dem jeweiligen anderen Netz pingen. PCs und eine NAS lassen sich nicht pingen. Wie kann das sein?
 
Creddy schrieb:
Bei den großen Vodafone-Tarifen ist die statische IP mit drin. Kostet keinen Aufpreis.
Zum Vergrößern anklicken....
Wenn Du (mindestens) eine statische IPv4-Adresse hast, dann ist alles gut, dann ist das Dein Einwahlknoten. Die anderen brauchen dann keine statische IP-Adresse, dynamisch reicht, muss nicht einmal öffentlich sein.
Creddy schrieb:
PCs und eine NAS lassen sich nicht pingen. Wie kann das sein?
Zum Vergrößern anklicken....
Hast Du ausschließlich nur Ping probiert? Ab Werk antwortet Windows nicht auf Ping, aber das kann man ändern …
 
So wie ich das sehe funktioniert Wireguard nur mit statischen Adressen. Ich kann beim Erstellen der Schnittstelle keine DynDNS hinterlegen. Auf die schnelle habe ich hierfür keine Lösung gefunden.

Ich habe nicht nur Ping probiert, sondern auch versucht die Oberfläche der NAS über den Browser aufzurufen. Leider ohne Erfolg. Ich denke hier werde ich die NAS konfigurieren müssen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

K
site to site vpn blockiert auf einer seite
Antworten
1
Aufrufe
629
Mojo1987
M
D
TP Link Omada und VLAN Fritzbox
Antworten
9
Aufrufe
1.041
riversource
R
Z
Fritzboxen Site to Site mit Unifi weiternutzen
Antworten
9
Aufrufe
417
Z!mTst3rN
Z
haeuslebauer
TP-Link Omada Router Config
2
Antworten
29
Aufrufe
2.294
haeuslebauer
haeuslebauer
Don-DCH
Site-to-Site VPN sicher einrichten UniFi IP SEC
Antworten
7
Aufrufe
1.925
patrick888
patrick888
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz