VPN zu Fritzbox halten mit Dauerping - Skript gesucht

[Raijin]

Für Site2Site Tunnel über mehrere Standorte sollte man dann aber doch eine prof. Lösung a la Sophos UTM mit Sophos RED an den Außenstellen o.ä. nutzen, auch wenns mehr kostet.

Dem schließe ich mich an. Sowohl Fritz-VPN als auch NAS-VPNs sind in der Regel nur für den simplen Fernzugriff gedacht, nicht jedoch für komplexe Standortverbindungen, gerade bei mehr als 2 Standorten. Es geht damit zwar auch, aber was zB Routing, NAT, Firewall, etc. angeht, haben solche Geräte natürlich nur rudimentäre Funktionen zu bieten. Sophos, pfSense und Co oder auch EdgeRouter (zB ER-X @ 45€), MikroTik sind für Standortverbindungen deutlich besser geeignet, da sie u.a. für solche Szenarien konzipiert sind.
So schwierig sind sie auch nicht einzurichten, da selbst semiprofessionelle Geräte dieser Art in der Regel Wizards, etc. beinhalten, die mit überschaubarem Aufwand eine fertige Konfiguration erstellen können.

 

[Hardrockner]

Naja, egal. Es ist müßig, darüber zu diskutieren, da es im vorliegenden Fall ja eh nicht um eine Firma geht, oder?

Ja, doch, wie geschrieben, betreibe ich eine kleine 3-Mann-Firma. Auch wenn die Diskussion etwas vom Ursprungsthema abdriftete, so freue ich mich dennoch, dadurch Anregungen bekommen zu haben, was alternativ möglich ist.

 

[Hardrockner]

Hmm, seit heute gegen 10 Uhr hatte ich 13 VPN-Abbrüche mit der Ursache "Dead Pear Detection". Die Fritzbox stellte die VPN-Verbindung in keinem dieser Fälle sofort, sondern erst viel später wieder her, was ich teilweise auch deutlich bemerkte, weil ich warten musste. Die VPN-Verbindung wurde hingegen unmittelbar nach Trennungen aufgrund IP-Wechsels oder nach Trennung der Internetverbindung wieder hergestellt.

Jetzt muss ich jedoch mal fragen, welche IP ich eigentlich mit keepalive_ip eintragen muss? Mein VPN-Client hat ja 3 verschiedene IPs

1. Die lokale IP, die mein TP-Link.Router hier vergibt,
2. Die lokale IP, die der Client im VPN hat,
3. Die öffentliche IP, die der Client im Internet hat.

 

[corvus]

Also soweit ich weiß nimmt man als Keepalive-IP die IP Adresse eines ständig anpingbaren Rechners im Remotenetz, in deinem Fall zB die der NAS.

 

[Raijin]

Eine kurze google-Suche ergab, dass dies wohl eine ständig erreichbare IP Adresse im Netzwerk jenseits des VPNs sein soll - sprich: ein Server, o.ä.

*edit
Mist! @corvus war schneller

 

[Hardrockner]

Also ... keepalive funktioniert bei mir nicht dauerhaft zwischen FritzFernzugang und Fritzbox, egal, welche IP ich bei keepalive verwende. Die VPN-Verbindung bleibt nach Erstaufbau schon mal 15 Stunden, aber irgendwann kommt doch ein Dead Peer Detection, der sich dann in kürzeren Abständen wiederholt. Bei LAN-LAN-Kopplung hingegen funktioniert keepalive. Deshalb wohl bietet die Fritzbox-Konfiguration bei LAN-LAN-Kopplung das auch ganz offiziell als anhakbare Option an.

Also befolgte ich ryan_blackdragos Empfehlungen aus dem Posting #2. Das Umwandeln der bat in eine exe-Datei klappte bei mir zwar nicht mit der Version 3.0.10.0 des Programms Bat To Exe Converter, weil ich die Option für unsichtbare Anwendungen nicht fand, aber der gleichnamige Online-Converter erledigte das prima.

Nun hab ich eine stabile VPN-Verbindung.
Die Anregungen für professionelle Hard- & Software setzte ich auf meine ToDo-List. Allerdings, solange die Fritzbox das prima hinbekommt und ich keine gravierenden Sicherheitschwächen erkenne, scheue ich den zeitlichen und finanziellen Aufwand für Profi-Lösungen. Mehrfach redundante Backups meiner Daten an physisch weit entfernten Orten sollten mich zumindest vor Datenverlust in meiner unprofessionellen Netzwerkarchitektur bewahren.