Fritzbox LAN LAN VPN

[liegebeestig]

Ik zou twee Fritzboxen met elkaar willen verbinden op twee verschillende locaties.
Fritzbox A: heeft een mobiele internetverbinding
Fritzbox B: heeft een Telenet lijntje.

Ik lees bij AVM dat slechts 1 van de 2 kanten een publiek ip-adres moet hebben (namelijk fritzbox B hier). Dus dat zou goed moeten zijn.

Mijn vraag: ik heb een Myfritz adres aangemaakt (xxxx.myfritz.net) en de fritzboxen geven aan dat ze bereikbaar zijn via https://xxx.myfritz.net:2042 (dus de poort die ik zelf heb toegekend voor https in de fritzbox).

Als ik nu de VPN instel, moet ik bij "web address" https://xxx.myfritz.net opgeven of https://xx.myfritz.net:2042?

En tweede vraagje: eens de twee fritzboxen verbonden zijn, zou ik de toestellen (een camera) op fritzbox A een port forward willen geven zodat hij bereikbaar is via een webadres. Hoe doe ik dat? Intern heeft hij het adres: http://192.168.5.24/GetData.cgi.

Bedankt alvast voor tips!

[Edward Valckx]

Stel eerst de IP ranges van beide sites goed in, bijvoorbeeld site 1 = 192.168.1.1/24 en site 2 = 192.168.2.1/24

De bereikbaarheid via HTTPS heb je helemaal niet nodig voor VPN, dus die kan je terug uitschakelen.

Als je de VPN tunnel configureert, moet je in jouw geval xxx.myfritz.net ingeven (dus niet https:// enz). En op de andere site natuurlijk het MyFritz adres van de eerste site.

Door die VPN tunnel heb je in feite één groot intern netwerk. Je hebt dus helemaal geen portforwarding meer nodig om toestellen op de andere site te bereiken (want dan ga je buiten je VPN tunnel rond, en dat is natuurlijk niet de bedoeling).

[liegebeestig]

Dank je Edward, ik ga je tips ter harte nemen.

Over portforwarding: in dit geval heb ik die wel nodig, want de camera die dus deel uitmaat van het interne netwerk (via vpn) moet ook z'n beelden via een website kunnen publiceren. Die url moet ik dus hebben. Ik veronderstel dat die url dan zal zijn https://xxx.myfritz.net:2042/GetData.cgi? met xxx.myfritz.net dan wel van de eerste fritzbox, want de andere fritzbox heeft geen publiek adres. Of gooi ik hier dingen door elkaar?

[philippe_d]

Dat is helemaal correct .... zolang beide FritzBoxen een publiek IPv4 adres hebben.
Dan werkt zo'n VPN 100% betrouwbaar, en de verbinding is parmanent (van zodra er na een onderbreking terug internet is op beide sites, wordt de verbinding automatisch hersteld.
Je kan dan inderdaad een toestel op de andere site bereiken via het IP adres

Maar als één van de FritzBoxen achter een NAT zit, dan gaat het helemaal fout. Als je geluk hebt wordt de verbinding gemaakt, valt na een tijdje terug uit, wordt dan weer opgebouwd, enz .... kan tot tientallen keer per uur zijn.

• FritzBox A (NAT) tracht een VPN verbinding te maken met FritzBox B (Ipv4) > OK
  FritzBox B tracht een VPN verbinding te maken met FritzBox A (NAT) > lukt niet > tunnel wordt verbroken.

Via de Webinterface kan je niet instellen, dat het initiatief van de verbindingsopbouw alléén mag komen van FritzBox A.
Ik heb dit dus nog niet stabiel werkend gekregen.
Ook al pogingen gedaan om dit te corrigeren in de instellingen (vpn.cfg), maar tevergeefs.

En tweede vraagje: eens de twee fritzboxen verbonden zijn, zou ik de toestellen (een camera) op fritzbox A een port forward willen geven zodat hij bereikbaar is via een webadres. Hoe doe ik dat? Intern heeft hij het adres: http://192.168.5.24/GetData.cgi.

Gezien FritzBox A niet bereikbaar is van buiten (geen publiek IPv4) is het dus niet mogelijk om de camera te bereiken via een webadres.
De camera zal natuurlijk wel bereikbaar zijn vanaf FritzBox B (op dat IP adres) - voor zover de tunnel on-line is.
Maar je kan geen portforwarding instellen op FritzBox B, naar een IP adres van FritzBox A

Dank je Edward, ik ga je tips ter harte nemen.

Over portforwarding: in dit geval heb ik die wel nodig, want de camera die dus deel uitmaat van het interne netwerk (via vpn) moet ook z'n beelden via een website kunnen publiceren. Die url moet ik dus hebben. Ik veronderstel dat die url dan zal zijn https://xxx.myfritz.net:2042/GetData.cgi? met xxx.myfritz.net dan wel van de eerste fritzbox, want de andere fritzbox heeft geen publiek adres. Of gooi ik hier dingen door elkaar?

Kan je iets duidelijker zijn voor deze vraag. In de TS hadden we aangenomen:

• Fritzbox A: heeft een mobiele internetverbinding (CGNAT?)
  Fritzbox B: heeft een Telenet lijntje (publiek IPv4?)

Of gooi ik dit nu door mekaar?

[liegebeestig]

Dank je Philippe.
Fritzbox A = mobiel internet met de camera in het interne netwerk (concreet: een bouwwerf met een alarmsysteem)
Fritzbox B = telenetlijntje (waar we wonen).

Eerste probleem: VPN verbinding opbouwen: misschien kun je ervoor zorgen dat alleen Fritzbox A de verbinding initieert door daar het vinkje 'permanente verbinding houden' aan te vinken, en bij Fritzbox B uit te vinken?

Tweede probleem: de camera bereikbaar maken. Normaal kan dat niet omdat er geen publiek ip-adres is op fritzbox A achter een mobiel internet (Base - 10.xx...) Maar: daarvoor wil ik dus die VPN verbinding. Zodra die er is, behoort fritzbox A en alle aanhangsels (de camera en de domotica), tot het netwerk van Fritzbox B. En dus: als Fritzbox B een publiek adres heeft dat je tot op het interne netwerk brengt, dan zou je toch ook van buitenaf tot op het netwerk van Fritzbox A moeten raken? Ahja, want die behoren tot hetzelfde interne netwerk. Toch?

Mijn uiteindelijke doel is om op gelijk welke browser ter wereld het beeld van de camera achter Fritzbox A te kunnen opvragen.

[philippe_d]

Eerste probleem: VPN verbinding opbouwen: misschien kun je ervoor zorgen dat alleen Fritzbox A de verbinding initieert door daar het vinkje 'permanente verbinding houden' aan te vinken, en bij Fritzbox B uit te vinken?

Nee, dat lukt niet (was het maar zo eenvoudig) .

Tweede probleem: ...
... als Fritzbox B een publiek adres heeft dat je tot op het interne netwerk brengt, dan zou je toch ook van buitenaf tot op het netwerk van Fritzbox A moeten raken? Ahja, want die behoren tot hetzelfde interne netwerk. Toch?

Wat is de definitie van "hetzelfde" interne netwerk? Het blijven 2 netwerken, met 2 verschillende subnets, die via een VPN tunnel met elkaar gekoppeld worden.
Je kan via de FritzBox webinterface géén portforwarding instellen naar een IP adres buiten het eigen subnet (zelfs als dit IP adres bereikbaar is via de VPN tunnel)

Mijn uiteindelijke doel is om op gelijk welke browser ter wereld het beeld van de camera achter Fritzbox A te kunnen opvragen.

Misschien is er een alternatief (nog niet geprobeerd): een VPN opzetten via de optie "Connect this FRITZ!Box with a company's VPN". Hiermee stel je dus FritzBox B in als een VPN server, en FritzBox A als een VPN Client.

FritzBox B klaarmaken:

• * Voeg een nieuwe gebruiker toe (System > FritzBox Users > Add User)
  * Geef deze user een naam en paswoord, en toegang tot VPN
  * Noteer alle settings (Server name, Account, Password, Group name, Shared secret, ...)

FritzBox A verbinden:

• * Stel een nieuwe VPN in ( "Add New VPN connection > Connect this FRITZ!Box with a company's VPN")
  * Vul alle gegevens in van de nieuwe FritzBox B user.
  * FritzBox B zou dan een verbinding moeten maken, en een IP adres krijgen in het subnet van FritzBox B (192.168.xxx.200)

Ik heb dit nog nooit getest, maar als het zou werken zal FritzBox A een WAN IP adres krijgen van FritzBox B, en dus - mits de nodige portforwardings - bereikbaar zijn vanuit FritzBox B.
Van buiten zou FritzBox A dus bereikbaar moeten zijn via het publiek adres van FritzBox B (mits een portforwarding naar IP 192.168.xxx.200) ?

[liegebeestig]

Dat ga ik volgende keer eens uitproberen als ik bij fritzbox A ben. Dank je wel alvast om mee te denken.

[ITnetadmin]

Als je op fritzbox B een opening maakt voor een of ander remote protocol, dan kan je proberen om vanop de A site een PC over te nemen die op de B site staat, om van daarop in B in te loggen. Zo kan je vanop de A site in beide fritzboxen accessen, dat maakt het testen iets eenvoudiger.

[liegebeestig]

Goeie tip om woensdag te testen Merci. In principe kan ik van overal op de interface van fritzbox B.

[philippe_d]

Misschien is er een alternatief (nog niet geprobeerd): een VPN opzetten via de optie "Connect this FRITZ!Box with a company's VPN". Hiermee stel je dus FritzBox B in als een VPN server, en FritzBox A als een VPN Client.

Dit alternatief staat zelfs beschreven als een how-to op de AVM website.
In principe moet het dus toch lukken!

[liegebeestig]

Philippe, nog niet kunnen proberen (pas woensdag), maar eens de Fritzbox A (met mobiel internet en camera) te vinden is via extern via portforwarding naar de hele fritzbox, hoe raak ik dan specifiek tot bij de camera van buitenaf?

[philippe_d]

Ik heb wat zitten testen ...

• FritzBox A via de Client-Server optie verbonden met FritzBox B (volgens bovenstaande instructies) > GELUKT: FritzBox A heeft het adres 192.168.178.201 gekregen
• Vanuit FritzBox B op de webinterface geraakt van FritzBox A (https://192.168.178.201:499 en via http://192.168.178.201) > GELUKT .
• Vanaf FritzBox B geprobeerd op een device te geraken van FritzBox A (http://192.168.178.201:xxxx) > MISLUKT (nochtans staat poort xxxx in FritzBox A geforward naar het device).
• Vanaf extern via FritzBox B geprobeerd op de webinterface te geraken van FritzBox A (https://fritzboxB.myfritz.net:9499) > MISLUKT
  Het is niet mogelijk om in FritzBox B een poort (vb 9499) te forwarden naar het IP van FritzBox B (screenshot).
• Vanaf extern via FritzBox B NIET geprobeerd op een device te geraken van FritzBox A (gezien het bovenstaande)

Voorlopige Conclusie:

1. Een Client-Server VPN opzetten tussen 2 Fritzboxen werkt perfect, de Server Fritz moet een publiek IPv4 hebben, de Client Fritz mag achter NAT zitten.
2. Via deze verbinding geraak je vanuit de Client Fritz op alle devices van de Server Fritz, omgekeerd niet.
3. Via deze verbinding geraak je vanuit de Server Fritz op de web interface van de Client Fritz.
4. Via deze verbinding geraak je niet van extern (via de Server) naar de Client Fritz (noch webinterface, noch een device)

Dus geen oplossing voor jouw probleem .

[liegebeestig]

Verdorie en super bedankt om het te testen. Ik vreesde er al voor omdat op de avm-pagina jouw conclusie 2 al vermeld stond. Nu kan ik nog niet aan die camera van buitenaf. We denken verder na.

[ITnetadmin]

Dan zal je toch met een site to site moeten werken vrees ik.
Sommige routers kunnen instellen welke van de twee (of beide) de vpn initieert, ik weet niet of de fritzbox dat kan.

Andere denkpiste:
Vanop site A kan je altijd de VPN initieren naar site B.

Een mogelijkheid om vanp site B een connectie naar site A op te starten is dat je een of ander toestel (bv raspberry) een connectie laat maken naar site B (als de fritzbox dat niet kan), zodat je er altijd inkan om dan zo remote de A fritzbox de vpn te laten opzetten.
Bv de link hieronder, een instruction manual om via reverse SSH een RDP link te openen (op windows in dit geval); misschien een piste om via raspberry te proberen.
https://blog.netspi.com/how-to-access-r ... sh-tunnel/

Dat gezegd, als fritz het niet kan, kan je altijd een VPN site to site vanop andere toestellen overwegen.

[philippe_d]

Dan zal je toch met een site to site moeten werken vrees ik.
Sommige routers kunnen instellen welke van de twee (of beide) de vpn initieert, ik weet niet of de fritzbox dat kan.

Zo'n site to site (LAN-LAN) koppeling tussen 2 Fritzboxen werkt perfect, en is zeer stabiel (er loopt hier al >3 jaar zo'n VPN tussen 2 FritzBoxen).

Initiatief van zo'n LAN-LAN VPN gaat uit van beide kanten, en dat is nu net het probleem:

• - als FritzBox A achter een NAT zit, word deze door FritzBox B net gevonden, en de reeds opgebouwde verbinding wordt afgebroken.
  - FritzBox B probeert de verbinding opnieuw op te bouwen, wat lukt, maar na een tijdje gaat de link terug down.

En zo gaat het de hele tijd, soms één uur up, soms 10* per uur up/down

Oplossing (beschreven op een Duits Forum) is een ingreep in de configuratie (ar7.cfg, vpn.cfg), waardoor het initiatief van de verbinding alleen van FritzBox A komt (en FritzBox B wel de inkomende VPN acceptreert).

Eens we dat voor mekaar krijgen, en de LAN-LAN oplossing werkt, is ons probleem opgelost

Ikzelf heb hetzelfde probleem:

• - verbinding tussen FritzBox thuis en FritzBox Gent (achter Telenet modem-only) > 100% OK (is al 3 jaar "up").
  - verbinding tussen FritzBox thuis en FritzBox Spanje (die achter een wifibaleares router staat) > problemen.
  - verbinding tussen FritzBox thuis en FritzBox achter een Proximus Hotspot > problemen.

Maar gezien het in mijn geval alleen gaat om toegang tot de management interfaces van de remote Boxes, kan ik probleem 2 en 3 oplossen met de hierboven beschreven Client-LAN oplossing

[liegebeestig]

Ik zou wel eens in die config bestanden willen duiken. Heb je de link naar de Duitse fora waarover je spreekt? Of werkt dat eigenlijk ook niet super?

[philippe_d]

Ik heb verschillende pogingen gedaan op de config zelf aan te passen.
Telkens was het gevolg dat de hele VPN om soep was, en dat ik de reserve kopie van mijn config er terug mocht uploaden.

[EDIT]
Er betsaan hier zovele topics over op het Duitse IP Phoe Forum, ik zie door de bomen het bos niet meer.
Misschien deze eens helemaal doorlezen: http://www.ip-phone-forum.de/showthread ... ost2067520

Als ik het zou mogen resumeren komt het erop neer:
Je moet verhinderen dat de BoX achter een publiek IPv4 het initiatief neemt voor de verbinding.

1. het tikje "verbinding continu houden" op de Box met publiek IPv4 uitvinken
2. In de VPN configuratie van FritzBox B de waarde voor "remotehostname" annuleren
3. In de VPN configuratie van FritzBox B de waarde voor "keepalive_ip" annuleren

Code: Selecteer alles

remotehostname = "";
keepalive_ip = 0.0.0.0;

Dit zou een stabiele LAN-LAN verbinding moeten geven, voor de situaties waar één van de locaties geen publiek IPv4 hebben
Maar of dat jouw probleem oplost, zou ik betwijfelen, gezien je op FritzBox B geen portfworwarding kan instellen naar een camera op FritzBox A.

[ITnetadmin]

Waarom zouden ze een reeds gelegde link afbreken? Dt lijkt me slecht programmeerwerk.

Nuja, blijft dat je mss met een raspberry ofzo gewoon een eigen site link kan opzetten, en de fritzboxen negeren?

[liegebeestig]

ITnetadmin, kun je dat een beetje beter uitleggen? Hoe begin ik daaraan? Ik ben een beetje thuis in de interface van netwerktoestellen, maar daar houdt het op.

[ITnetadmin]

Oei, ja, ik ga er van uit dat de meeste posters hier er wel iets van kennen.

Je *kan* altijd een site to site VPN opzetten vanop andere toestellen op het netwerk, dat hoeft niet altijd de router te zijn.
Als de routers niet kunnen wat je wil, zijn je opties beperkt tot 1) andere routers zoeken, 2) een omweg vinden om het probleem op te lossen, of 3) andere toestellen plaatsen die de site-to-site opzetten die wel kunnen wat je zoekt.

In dit geval is dat een toestel op site A dat een site to site VPN opzet met site B, terwijl site B gewoon passief ontvanger speelt voor de tunnel. Dat toestel kan bv een raspberry pi zijn; ik noem dit als vb omdat een raspberry vrij goedkoop is, en oa een volledige linux kan draaien, naast nog andere OSen.

[liegebeestig]

Bij mij is de client vpn nu ook up en running. Ik kan vanop de fritzbox B op de webinterface van fritzbox A als ik de poort mee in de url vermeld.

Zou er niks te regelen zijn met DMZ om de camera achter À te bereiken?

Edit: getest door te forwarden naar het adres dat fritzbox À krijgt op het interne netwerk van B (192.168.2.201) maar als je daarnaar een portforwarding wil doen zegt hij dat dit buiten het bereik van het interne netwerk ligt. Kun je dit KU nergens forceren?

[liegebeestig]

Ik merk overigens wel dat de client verbinding bijvoorbeeld na een nacht inactiviteit niet meer actief is. Toch staat het vinkje in fritzbox À aan om de verbinding te behouden. Nadien plots weer wel.

EDIT: foutmelding op fritzbox B waarom verbinding verbroken werd terwijl ik probeerde op te raken vanop fritzbox B:
VPN connection to fritzboxA has been cleared. Cause: 9 Dead Peer Detection

Ik heb toch de indruk dat avm nog wat werk heeft met vpn op de fritzbox.

[philippe_d]

Ik kan vanop de fritzbox B op de webinterface van fritzbox A als ik de poort mee in de url vermeld.

Dat is zelfs niet nodig, je kan gewoon per http (http://192.168.2.201)

getest door te forwarden naar het adres dat fritzbox À krijgt op het interne netwerk van B (192.168.2.201) maar als je daarnaar een portforwarding wil doen zegt hij dat dit buiten het bereik van het interne netwerk ligt.

Inderdaad, zoals ik al meldde (zie screenshot vorige bladzijde).
Via de web interface lukt het niet, misschien manueel aanpassen in de config?
Stel via de webinterface een port-forwarding in naar een ander IP (192.168.2.xx) en wijzig dan de xx in de export file?

k merk overigens wel dat de client verbinding bijvoorbeeld na een nacht inactiviteit niet meer actief is. Toch staat het vinkje in fritzbox À aan om de verbinding te behouden. Nadien plots weer wel.

Bij mij loopt dat zeer stabiel .... zolang FritzBox A een internetverbinding heeft.

Zou er niks te regelen zijn met DMZ om de camera achter À te bereiken?

Er is geen probleem om portforwarding/DMZ in te stellen op FritzBox A ... maar ze werken niet op pogingen die binnenkomen via de VPN

Conclusie

• - Je zal toch de LAN-LAN verbinding nodig hebben, we moeten dit proberen in gang te krijgen
  - Op de een of andere manier ervoor zorgen dat de verbindingsopbouw alleen vanuit A komt, en dat B de verbinding niet verbreekt.

We komen er nog ...

[ITnetadmin]

Zou het kunnen dat fritzbox B de link dropt omdat hij geen communicatie van A krijgt? Uiteraard kan hij A zelf niet pingen vanwege die NAT die in de weg staat.

[liegebeestig]

Itnetadmin: dat zou kunnen. B zegt: dead peer connection. Maar na een tijdje is er weer verbinding en lukt het dan wel weer. Het kan wel zijn dat de toestellen achter À de fritzbox dan even wakker gemaakt hebben ofzo.