我遇到了以下问题:我有两所房子。在两所房子中,我都通过路由器连接到互联网。现在,我需要将所有 (!) 流量从 A 家的网络隧道传输到 B 家的家庭网络路由器,以便所有到接收第三方服务器的流量看起来都来自 B 家的网络。
在 B 栋房子里,我有一个拨号宽带连接,其 IPv4 和 IPv6 地址每天都会变化。路由器是 FritzBox 7590(https://en.avm.de/products/fritzbox/fritzbox-7590/),它允许我设置一个完全符合我需求的 VPN 端点。制造商 AVM 还提供了类似 dyndns 的端点,这样abcdef.myfritz.net即使实际 IP 地址发生变化,此 VPN 端点也始终可用。
现在,房子 A 中有一个不同的路由器(“主路由器”),我几乎没有任何配置权。出于性能原因,我不希望所有流量都通过隧道传输到房子 B。因此,我在房子 A 中设置了第二个路由器(FritzBox 7530),它创建了一个 WiFi 网络并使用“主”路由器作为其通往互联网的网关。房子 A 中的主路由器有一个 IPv4 地址,但没有 IPv6。
没有任何 VPN 配置都可以正常工作。如“终端设备连接到路由器 7530 的 WiFi,然后主路由器提供对互联网的访问”。
我的计划如下:A 家中的 7530 路由器“通过”主路由器与 B 家中的 7590 路由器建立 VPN 连接。由于 7530 也创建了 WiFi 网络,因此登录第二个 WiFi 网络的所有设备都将隐式使用 VPN 连接到 B 家,而使用“主路由器”WiFi 网络的所有设备根本没有隧道。
总而言之,它看起来应该是这样的:
现在,我已经使用 IPSec 将 B 号房子中的路由器配置为 VPN 端点(服务器)。使用我的凭据,我可以毫无问题地使用此 VPN。无论如何,这仅测试在终端设备(此处:Macbook Pro)上创建 VPN 连接,然后连接到“主路由器”的 WiFi,VPN 隧道直通 B 号房子。
现在,作为计划的最后一步,我需要对路由器 7530 进行相应配置(即使用 IPSec)。问题就出在这里:
制造商甚至描述了它的配置:https://en.avm.de/service/knowledge-base/dok/FRITZ-Box-7530/5_Setting-up-an-IPSec-VPN-between-two-FRITZ-Box-networks/
这是 VPN(IPSec)的配置页面:
。无论我输入什么,连接都无法建立。我不知道如何正确调试该问题。日志并没有真正起到帮助作用,因为它们仅说明:
VPN error: VPN2BLN, IKE-Error 0x202D
错误在哪里(根据网络)IKE error 0x202D: dns: timeout
杂项:
- 两款路由器(7590 和 7530)均运行最新固件 7.57
- 主路由器网络是192.168.1.0
- 7590家庭网络是192.168.2.0
- 7530家庭网络是192.168.3.0
- 房屋 A 中的“主路由器”无法配置。它为连接的设备(包括 7530)提供互联网访问。
- 房屋A和B中的网络都没有固定的IP地址
- 该固件还支持设置 WireGuard VPN 连接。OpenVPN 等显然不受支持
因此,我的问题是:
- 如何按预期建立连接?
- 该计划是否存在缺陷?(即“如何使其变得更好?”)
- 如何确保没有流量从房屋 A “泄漏” 到互联网(例如当 VPN 连接由于某种原因失败时)?
感谢您阅读这么多:)
编辑:解决问题的尝试/经验教训:
- 按照以下说明设置连接时https://en.avm.de/service/knowledge-base/dok/FRITZ-Box-7590/3331_Connecting-the-FRITZ-Box-with-a-company-s-VPN-IPSec/,连接到路由器 7530 的终端设备完全无法访问互联网(例如 DNS、HTTP、ICMP 等均无法工作)。对 B 家网络中的设备执行 Ping 操作也失败。删除路由器 7530 中的 VPN 连接后,设备可以再次访问互联网。