Fastweb - VPN con Fritz in cascata a Fastgate

Ciao a tutti

volevo condividere la mia esperienza per far funzionare la VPN del Fritz quando messo in cascata al Fastgate.

Ci è voluto un po', ma alla fine ho trovato come fare.

Intanto va seguita una qualunque guida per mettere in cascata un ruoter al Fastgate.

Il seguente passaggio lo avevo fatto inizialmente, ma poi ho scoperto che è opzionale, ovvero il tutto funziona anche senza.

------------------- Opzionale  (inizio) --------------------
Poi quando tutto funziona, nel Fastgate, nella sezione AVANZATE->CONFIGURAZIONE MANUALE PORTE bisogna aggiungere un nuovo port mapping come di seguito.



L'IP è il medesimo del DMZ, l'indirizzo delle porte da inserire è la porta che si trova nel Fritz alla sezione Diagnosi->Sicurezza, la voce è la "VPN (IPSec)".

Quella porta va messa in tutti i campi Porta esterna e Porta interna nel Fastgate.

------------------- Opzionale  (fine) --------------------

Non bisogna mai usare l'indirizzo del myfritz.net quando si definisce il tutto nel client VPN, nel mio caso Android, perché quello punta in automatico all'indirizzo esterno del Fritz, che essendo in cascata, non è il reale IP pubblico.

Bisogna usare un Dyndns che punta all'indirizzo IP pubblico, che per Fastweb è statico.
In questo caso non bisogna abilitare il Dyndns nel fritz, altrimenti lo imposterebbe con il suo indirizzo esterno, non quello pubblico, ma definirlo direttamente nel sito del Dynamic Dns (io ad esempio uso il free di Noip).

O usare direttamente l'indirizzo IP pubblico.

La procedura opzionale, invece, l'ho usata anche per aprire una porta di un servizio VOIP che non funzionava e che NON usava la porta 5060, che nel Fastgate è riservata ed in questo caso è stata necessaria.


Spero di essere utile a qualcuno.

Grande Vittorio, sicuramente parecchia gente su fastweb ti sarà grata.

messaggio cancellato

Ok, edita il primo post e aggiungi, o modifica il testo attuale, così si ritrova sempre come primo post, altrimenti se questo 3D si gonfia troppo, la gente si deve andare a cercare le modifiche.

Ciao!...scusami ma io non ho capito molto!
Potresti spiegare meglio come sei riuscito a configurare una vpn nel fritzbox?
sarei molto interessato all'arggomento

Prova a guardare qui, anche se la versione del modem e/o del firmware è diverso, la procedura dovrebbe essere simile

https://www.youtube.com/watch?v=u8aGDhxEggU&t=2s

ok grazie mille

Scusami ancora, ma tu sei abbonato ad un servizio vpn? se si quale consigli?

I servizi VPN sono diversi dal poter collegare il PC o cellulare da fuori casa sulla VPN creata dal Fritz.

In questo caso è il Fritz che fa da VPN Server.

Ah ecco! scusami avevo capito male.
Infatti mi piacerebbe sapere se era possibile configurare il mio fritzbox 4040 come router vpn....se si la procedura per farlo per caso la conosci?

Io ho un fritzbox 4040 collegato ad un router fastweb (no fastgate)
e sono in possesso di un indirizzo ip pubblico/statico rilasciatomi da fastweb.

Per configurare la VPN segui il video youtube pubblicato qualche post prima.
Poi se è in cascata, vedi il primo post.

Salve, sono nuovo del Forum (entrato giusto oggi), ho visto questo interessante argomento e vorrei predisposporre la stessa funzionalita' qui trattata per accedere al mio NAS dallo smartphone Android.
Il mio ambiente tecnologico e' leggermente diverso:
accedo alla rete Fastweb con un router adb VV2222  (FWB_4.1.0.0256), sono dotato di IP pubblico (2.238.x.x) ed ho collegato un router in cascata Fritz 4020 (07.01).
Domando: posso seguire esattamente le indicazioni riportate in  questo thread (si dice cosi' ?).
Grazie in anticipo per la eventuale risposta.
Giorgio

La configurazione in cascata è abbastanza simile per tutti gli apparati, prova a seguire la guida e facci sapere.

Grazie Danielone per il supporto.
Oggi ho configurato il tutto secondo le indicazioni sopra citate ed al termine, tramite il mio smartphone Android (7.1.1), ho cercato di connettermi con la VPN; il risultato e’ stato negativo: “Operazione non riuscita” (messaggio smartphone).
Ho verificato l’esistenza dell’indirizzo pubblico che esiste ed e’ valido, non sono per niente riuscito a capire se il NAT della porta 4500 (indicata dal Fritz come porta IPsec utilizzata) sul VV2222 e’ effettivamente aperta perche’ il sito YouGetSignal la trova chiusa; mentre Fastweb, al quale ho fatto una chiamata di assistenza, la vede aperta! Alla fine ho abilitato la DMZ sul VV2222 ma il risultato e’ stato identico.
A questo punto non saprei cosa fare: vorrei provare con un altro client, diverso dal mio telefono, per capire se il problema dipende dalla periferia o dalla rete e/o dal FritzOS, ma non saprei come procedere.
C’e’ qualche suggerimento ?
Grazie anticipate.

Prova a collegarti in VPN mentre sei connesso in wi-fi nella rete domestica, se funziona, il problema è all'esterno.
Quando si mettono in cascata i fritz box configurati come client IP se non ricordo male, disattivano il firewall, quindi devi nattare l'ip del 4020 sul "fastgate", ma solo per la porta interessata, non tutto il router, altrimenti risulterai esposto completamente su internet dato anche l'ip pubblico/statico.

Ho provato in tutti i modi:
_ connettendomi alla rete wifi del VV2222 (che non uso mai) ed impostando su Android l'indirizzo "internet" del Fritz (192.168.1.1) che quello della porta collegata alla LAN del VV222,
_ connettendomi alla rete wifi del Fritz (la mia rete abituale) ed impostando su Android l'indirizzo del Fritz in rete locale (192.168.2.1),
risultato sempre "operazione non riuscita".
Comincio ad avere qualche dubbio sul mio Android, c'e' qualche ulteriore suggerimento ? Per esempio non posso usare un vecchio notebook Linux come client VPN collegato in ethernet brutale sulla LAN ? E se si, con quale software ?
In ogni caso riporto di seguito il natting impostato sul VV2222
Traffico proveniente da: qualsiasi host PTM
Porta esterna : TCP 4500
Porta interna : stessa porta
Host locale : fritz (192.168.1.1)
Stato : abilitato
Un grazie a chi mi aiuta...

Buongiorno a tutti.
Ho letto nel WE un po' di tutto sul problema VPN con Fastgate di Fastweb e in cascata un fritz.box (3940 con l'ultimo firmware 7.01).

Qualcuno che è riuscito a far funzionare questa accoppiata, per favore abbia la pazienza di leggere cosa ho fatto io e correggermi, dato che non funziona la VPN.

• Sul fastgate ho spento il wi-fi, ho spento il DHCP, ho lasciato il suo IP di default (192.168.1.254) e ho abilitato il DMZ che punta su un IP privato lato WAN del fritz.box (192.168.1.253)
  

• Ho collegato con una patch la porta ethernet marcata WAN del Fastgate alla porta LAN1 del Fritz
  

• Ho settato il fritz come router dopo un modem e la sua porta internet è settata con l'IP 192.168.1.253. Facendo così la porta DSL risulta disabilitata.
  

• Ho settato la rete interna domestica del Fritz sulla subnet 192.168.2.0/24
  

Tutti i client della LAN domestica funzionano benissimo, sia connessi via cavo, che via wi-fi.


Sul Fritz ho creato un Utente con proprietà di accesso remoto e di accesso VPN e se visualizzo le caratteristiche della configurazione Android e iOs, mi dà i vari parametri e passkey da settare sul client, nel mio caso Android. Naturalmente sostituisco nel campo "indirizzo server" del client VPN di Android l'IP pubblico statico associato alla mia utenza Fastweb (2.233.8x.xx).

Tento la connessione, dalle proprietà delle connessioni VPN del Fritz vedo l'Ip pubblico della connessione tentata dallo smartphone Android ma la connessione non va mai a buon fine.

Avete qualcosa da suggerirmi o come è fatto il setup del vostro Fastgate e Fritz.box in cui la VPN da remoto funziona?

Grazie!

@Bramax

Come primo messaggio è richiesta la presentazione nell'apposita sezione !!!

Faccio subito!

Facendo un portscan con nmap sul mio IP pubblico statico di FW, risulta aperta solo la porta 8888 per il servizio http e trova chiusa la porta 113 per il servizio ident. Tutte le altre porte non rispondono.
Il fritz.box è configurato come router e non come client IP.

P.S.: fatto.

giorgios ha scritto:Ho provato in tutti i modi:
_ connettendomi alla rete wifi del VV2222 (che non uso mai) ed impostando su Android l'indirizzo "internet" del Fritz (192.168.1.1) che quello della porta collegata alla LAN del VV222,
_ connettendomi alla rete wifi del Fritz (la mia rete abituale) ed impostando su Android l'indirizzo del Fritz in rete locale (192.168.2.1),
risultato sempre "operazione non riuscita".
Comincio ad avere qualche dubbio sul mio Android, c'e' qualche ulteriore suggerimento ? Per esempio non posso usare un vecchio notebook Linux  come client VPN collegato in ethernet brutale sulla LAN ? E se si, con quale software ?
In ogni caso riporto di seguito il natting impostato sul VV2222
Traffico proveniente da: qualsiasi host PTM
Porta esterna : TCP 4500
Porta interna : stessa porta
Host locale : fritz (192.168.1.1)
Stato : abilitato
Un grazie a chi mi aiuta...

Puoi usare OpenVpn sia da windows che da linux, funziona molto bene, ma è strano che non riesci a configurare il tutto grazie alla guida di VITTORIOB.

Su android ovviamente utilizzi la MyFritzApp giusto ???
E collegato via wi-fi non funziona ???

Bramax ha scritto:Buongiorno a tutti.
Ho letto nel WE un po' di tutto sul problema VPN con Fastgate di Fastweb e in cascata un fritz.box (3940 con l'ultimo firmware 7.01).

Qualcuno che è riuscito a far funzionare questa accoppiata, per favore abbia la pazienza di leggere cosa ho fatto io e correggermi, dato che non funziona la VPN.

• Sul fastgate ho spento il wi-fi, ho spento il DHCP, ho lasciato il suo IP di default (192.168.1.254) e ho abilitato il DMZ che punta su un IP privato lato WAN del fritz.box (192.168.1.253)
  

• Ho collegato con una patch la porta ethernet marcata WAN del Fastgate alla porta LAN1 del Fritz
  

• Ho settato il fritz come router dopo un modem e la sua porta internet è settata con l'IP 192.168.1.253. Facendo così la porta DSL risulta disabilitata.
  

• Ho settato la rete interna domestica del Fritz sulla subnet 192.168.2.0/24
  

Tutti i client della LAN domestica funzionano benissimo, sia connessi via cavo, che via wi-fi.


Sul Fritz ho creato un Utente con proprietà di accesso remoto e di accesso VPN e se visualizzo le caratteristiche della configurazione Android e iOs, mi dà i vari parametri e passkey da settare sul client, nel mio caso Android. Naturalmente sostituisco nel campo "indirizzo server" del client VPN di Android l'IP pubblico statico associato alla mia utenza Fastweb (2.233.8x.xx).

Tento la connessione, dalle proprietà delle connessioni VPN del Fritz vedo l'Ip pubblico della connessione tentata dallo smartphone Android ma la connessione non va mai a buon fine.

Avete qualcosa da suggerirmi o come è fatto il setup del vostro Fastgate e Fritz.box in cui la VPN da remoto funziona?

Grazie!

Evita di collegare le due porte WAN, non so come si comporta il fastgate in questo modo.
Poi una volta mi ricordo che qualcuno aveva trovato un sistema collegando DUE CAVI di rete tra i due router.
Ovvero, se non ricordo male, WAN to LAN e LAN to WAN, tra i due router.

giorgios ha scritto:
In ogni caso riporto di seguito il natting impostato sul VV2222
Traffico proveniente da: qualsiasi host PTM
Porta esterna : TCP 4500
Porta interna : stessa porta
Host locale : fritz (192.168.1.1)
Stato : abilitato
Un grazie a chi mi aiuta...

Da quello che scrivi sembrerebbe che tu abbia configurato il fritz come router e non come client IP e che il firewall di fritz non lasci passare la porta 4500.
Come avrai letto io ho un problema simile al tuo, ma uso un Fastgate settato per passare tutto il traffico che arriva dal IP pubblico, sul IP di internet configurato sul fritz. Nel nostro caso di fritz in cascata, l'IP internet del fritz è in realtà un IP privato non ruotabile della stessa subnet delle porte LAN del modem/router di front-end (il primo dispositivo di rete che è connesso alla WAN pubblica).

Farò delle prove ad aprire manualmente sul firewall del Fritz varie porte e poi vedere se da remoto e con nmap le vedo aperte.
Se le vedo aperte vuol dire che è il firewall di Fritz che blocca tutto, altrimenti vuol dire che c'è qualcosa che non va nella configurazione di Fastgate.
Teniamoci aggiornati.

DANIELONE ha scritto:

Evita di collegare le due porte WAN, non so come si comporta il fastgate in questo modo.
Poi una volta mi ricordo che qualcuno aveva trovato un sistema collegando  DUE CAVI  di rete tra i due router.
Ovvero, se non ricordo male,  WAN to LAN e LAN to WAN, tra i due router.

Grazie del suggerimento.
Proverò come prima cosa a collegare una delle porte LAN del Fastgate alla porta LAN1 del Fritz, che mi pare di capire è vista come una porta WAN, se lo configuri come router.

Poi proverò anche altre connessioni, stile scimmia.

Guarda, non ho tempo che a lavoro mi stanno ammazzando, ma se cerchi qui nel forum, ne abbiamo parlato di questa cosa.
Cmq si, la  porta LAN1 nei fritz box è la porta WAN, quindi collega questa porta (ad esempio) alla porta LAN4  del fastgate, poi prendi la  LAN2 del Fritz e collegala alla porta WAN del fastgate.
Ricordo anche a Giorgios che quando un fritz box viene configurato come CLIENT IP viene disattivato il suo FIREWALL, altrimenti resta attivo.

Grazie, ma ho risolto.
Il patch adesso collega la porta ethernet LAN1 sul Fritz con la porta 1 sul Fastgate e al primo colpo è partito tutto.
Sul Fastgate la porta WAN è contrassegnata come porta ethernet 4.
Test fatto con client Android di un Galaxy S7 aggiornato.
Mi rimane trovare le configurazioni per il client VPN di Windows 10, al massimo uso i client VPN proprietari di AVM.