Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

buecke

Neuer User
Mitglied seit
27 Mrz 2009
Beiträge
83
Punkte für Reaktionen
0
Punkte
6
UPDATE: Mit der Version 01.03.00 der AVM-Software "FRITZ!Box-Fernzugang einrichten" kann man direkt CFG-Dateien zum Surfen über die VPN-Verbindung erzeugen. Dazu setzt man einfach ein Häkchen bei "Alle Daten über den VPN-Tunnel senden" auf der Seite mit den IP-Einstellungen der FRITZ!Box (siehe Screenshot). Nachfolgende Anleitung ist damit überflüssig geworden...
avm.gif


*Hej!

Hier beschreibe ich meine Lösung, um über eine VPN-Verbindung zu surfen, ohne irgendetwas an der FRITZ!Box-Firmware verändern zu müssen. Dadurch kann man z.B. im Ausland Streams von einigen deutschen TV-Sendern sehen, die sonst mit dem Hinweis "in deinem Land nicht verfügbar" nicht funktionieren. Man braucht nur eine VPN-fähige FRITZ!Box sowie die kostenlose AVM-Software "FRITZ!Fernzugang" und "FRITZ!BOX-Fernzugang einrichten". In der Anleitung gehe ich von einer FRITZ!Box-Standardkonfiguration mit der FRITZ!Box-IP 192.168.178.1 im Subnet 192.168.178.0 255.255.255.0 aus.
Achtung: Alle DNS-Anfragen des Client-PCs mit FRITZ!Fernzugang laufen mit dieser Konfiguration über den Internet-Provider bzw. das LAN des Client-PCs und werden ggf. geloggt und ausgewertet! Des Weiteren kann der Provider/LAN-Administrator sehen, dass eine VPN-Verbindung zu einer (ausländischen) IP-Adresse aufgebaut wird. Man sollte dies bei der Benutzung dieser Anleitung bedenken und sich an die Gesetze des Aufenthaltslandes halten.

  1. Voraussetzung: funktionierende VPN-Konfiguration
    1. VPN gemäß der Anleitung auf der AVM-Website konfigurieren: http://www.avm.de/de/Service/Servic..._Praxis_und_Tipps/step_by_step_fernzugang.php.
    2. Funktion der Standard-VPN-Konfiguration prüfen.
  2. CFG-Datei der FRITZ!Box anpassen
    • CFG-Datei mit einem Texteditor öffnen und nach der Zeile "accesslist" suchen. Beispiel:
      Code:
      accesslist = "permit ip 192.168.178.0 255.255.255.0 [COLOR="Blue"]192.168.178.201[/COLOR] 255.255.255.255";
    • Bestehende Zeile durch folgende austauschen:
      Code:
      accesslist = "permit ip any [COLOR="Blue"]192.168.178.201[/COLOR] 255.255.255.255";
      Erläuterung: 192.168.178.201 ist die VPN-IP, die der FRITZ!Fernzugang-PC von der FRITZ!Box zugewiesen bekommt.
    • Über die FRITZ!Box-Benutzeroberfläche die alte VPN-Konfiguration löschen und die angepasste Version importieren.
    • Funktion der angepassten VPN-Konfiguration prüfen. Achtung: Es ist noch kein Zugriff auf's Internet über die VPN-Verbindung möglich, weiterhin nur auf das Subnet der FRITZ!Box.
  3. CFG-Datei des FRITZ!Fernzugang anpassen (neue, einfachere Version dank User "DerLanWan")
    • CFG-Datei mit einem Texteditor öffnen und nach der Zeile "accesslist" suchen. Beispiel:
      Code:
      accesslist = "permit ip any 192.168.178.0 255.255.255.0";
    • Bestehende Zeile durch folgende austauschen:
      Code:
      accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";


      • Wenn der PC in einem LAN hängt, muss man folgende Zeile verwenden:
        Code:
        accesslist = "deny ip any [COLOR="Red"]192.168.0.0 255.255.255.0[/COLOR]", "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
        Erläuterung: 192.168.0.0 255.255.255.0 ist das Subnet des LAN, an das der PC angeschlossen ist.
    • Im FRITZ!Fernzugang die alte VPN-Konfiguration löschen und die angepasste Version importieren.
  4. Über die VPN-Verbindung surfen

    • Nach Herstellung der VPN-Verbindung sollte man z.B. auf www.wieistmeineip.de die öffentliche IP-Adresse der FRITZ!Box angezeigt bekommen.

Viele Grüße
buecke
 
Zuletzt bearbeitet:
Hallo buecke,

Prima, vielen Dank für die Nachricht. Ein sehr effektvoller Einstand ins Forum (und damit ein herzliches Willkommen ;)).

Ich frage mich nur gerade, wie wir das ein wenig präsenter machen, da die Frage doch sehr oft gestellt wird. Hier sammeln wir bereits viele Hinweise in Bezug aufs AVM VPN, z.B. auch die Konfiguration für UMTS. Ein "Wichtiger" Thread in dem Bereich wäre nicht schlecht. Trenne ich jetzt deinen Beitrag ab, oder kannst du dort eine Art Mini-Howto machen?
 
@frank_m24, hatte ich gestern auch gelesen, wäre auch ne Möglichkeit z.B. in den Emiraten, etc. :)

Wenn er sich nicht meldet, dann trenn es doch heraus. Ist wohl das Einfachste.
 
Hallo,

so, jetzt ist es ein "wichtiger Thread" im AVM-Software Bereich. ;)
 
Ich habe mich sehr ueber diese anleitung gefreut und es gleich ausprobiert. Testscenario ist ein rechner in einem andern land, zu dem ich mit teamviewer verbunden bin. Mit der normalen VPN-verbindung von AVM klappt es immer.

Hier bekam ich eine verbindung, solange ich nur aenderungen in der FB vornahm, allerdings nicht fuer den kompletten internet-verkehr wie gewuenscht. Aber sobald ich die oben beschriebenen aenderungen in der .cfg-Datei für den FritzFernzugang vornahm, bekam ich keine verbindung mehr - der versuch endet nach geraumer zeit mit der fehlermeldung: "Could not resolve the name of the remote site".

Ich habe die aenderungen in dieser config mal so gelassen wie geschrieben, mal angepasst an meine IP-umgebung ("deny ip any 84.158.0.0 255.255.0.0"). Leider hat alles nichts gebracht. Gelegentlich wird beim verbindungsversuch der internetverkehr unterbrochen, was fuer eine teamviewer-session eher ungesund ist - aber vermutlich muss das so sein wenn kuenftig aller internet-verkehr ueber die FB geleitet werden sollte.

Also irgendetwas an dieser zeile verhindert den erfolg:
Code:
accesslist = "deny ip any 192.168.0.0 255.255.255.0", "deny ip any 82.83.0.0 255.255.0.0", "permit ip any any";
Hat es schon jemand erfolgreich mit den o/a settings geschafft?

Buenas noches
Chris
 
Zuletzt bearbeitet:
Aber sobald ich die oben beschriebenen aenderungen in der .cfg-Datei für den FritzFernzugang vornahm, bekam ich keine verbindung mehr - der versuch endet nach geraumer zeit mit der fehlermeldung: "Could not resolve the name of the remote site".

Das klingt danach, dass deine DNS-Auflösung nicht mehr funktioniert. Sprichst du die FRITZ!Box über eine DynDNS-Domain an? Wie ist der entfernte Rechner mit dem FRITZ!Fernzugang ans Internet angebunden? Direkt oder über ein LAN? Schau doch mal über "ipconfig /all" nach, welche IP dein DNS-Server hat.

mal angepasst an meine IP-umgebung ("deny ip any 84.158.0.0 255.255.0.0").
Die FRITZ!Box hängt in diesem Subnetz, richtig? Die Angabe muss unbedingt mit in die Config, sonst geht es nicht.

Viele Grüße
buecke
 
Hallo buecke,

danke fuer deine antwort!

> Sprichst du die FRITZ!Box über eine DynDNS-Domain an?

Ja.

> Wie ist der entfernte Rechner mit dem FRITZ!Fernzugang ans Internet angebunden? Direkt oder über ein LAN?

Ueber ein LAN, und ipconfig/all gibt mir die router IP fuer die DNS aus:
Code:
IP Address. . . . . . . . . . . . : 192.168.55.8
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.55.1
        DHCP Server . . . . . . . . . . . : 192.168.55.1
        DNS Servers . . . . . . . . . . . : 192.168.55.1
Ich habe ja auch den verdacht mit dem DNS, da die error message ja lautet, dass der entfernte name nicht aufgeloest werden kann - aber wie das beheben?

> Die FRITZ!Box hängt in diesem Subnetz, richtig?
Ja, ich bekomme immer IPs die mit 84.158. beginnen

> Die Angabe muss unbedingt mit in die Config, sonst geht es nicht.
Hatte ich drin, ging aber trotzdem nicht.

Viele Gruesse
Chris
 
Hej Chris,

dann müsste die access-Zeile in der config für deinen FRITZ!Fernzugang wie folgt lauten:
Code:
accesslist = "deny ip any 192.168.55.0 255.255.255.0", "deny ip any 84.158.0.0 255.255.0.0", "permit ip any any";

Bin gespannt, ob es damit funktioniert...

Viele Grüße
buecke
 
JA !!! :D:D:D

Es verbindet, und whatismyip zeigt die IP der FB an. Super!

Weitere tests spaeter.

Riesen dankeschoen!
Chris
 
Der vollstaendigkeit halber und fuer andere beduerftige hier noch ein hinweis, wie das ganze funktioniert bei einer direkten einwahl (also ohne router):

Der befehl ipconfig/all liefert die IPs der DNS-server, zwei normalerweise.

Dann lautet der befehl fuer die .cfg datei so:
accesslist = "deny ip any 123.456.789.111 255.255.255.255", "deny ip any 123.456.789.222 255.255.255.255", "deny ip any 987.654.0.0 255.255.0.0", "permit ip any any";
wobei 123.456.789.111 und 123.456.789.222 die beiden DNS-server IPs sind und 987.654.0.0 das angepasste netz der Fritzbox.

Herzlichen dank an buecke fuer seine hilfe hierbei - bitte verbessere es, wenn ich da was falsch verstanden haben sollte!

Chris
 
Zuletzt bearbeitet:
Herzlichen dank an buecke fuer seine hilfe hierbei - bitte verbessere es, wenn ich da was falsch verstanden haben sollte!

Stimmt exakt so. Ich habe das HowTo inzwischen entsprechend ergänzt.

Viele Grüße
buecke
 
Zuletzt bearbeitet:
shrew

Hallo !
Da bei mir die verbindung mit dem Client von AVM nicht funktioniert und ich mit shrew arbeite, würde mich mal interessieren wie ich das mit Shrew hinbekomme. Bisher hatte ich leider keinen Erfolg. Hat vielleicht einer nen Tip für mich wie ich die änderungen eintrage?
 
Da bei mir die verbindung mit dem Client von AVM nicht funktioniert und ich mit shrew arbeite, würde mich mal interessieren wie ich das mit Shrew hinbekomme.

Hast du denn mit Shrew eine funktionierende VPN-Verbindung ohne die Anpassungen, sprich kannst du mit der Standard-Konfiguration per VPN auf deine FRITZ!Box zugreifen? Warum funktioniert der AVM-Client nicht bei dir?

Viele Grüße
buecke
 
Ja, mit shrew bekomme ich eine funktionierende VPN verbindung hin, um auf das interne Netzwerk zu kommen von aussen. Selbst wenn ich die änderungen an der Fritzbox.cfg vornehme ist die verbindung da.
Beim AVM client bekomme ich nur die meldung: "Zeitüberschreitung: Gegenstelle kann nicht erreicht werden" Und das egal wie ich die Verbindung (Provider DSL /Einwahl DFÜ) herstelle.Also hab ich die Connection mit Shrew aufgebaut.
Das klappt ja auch. Nur das surfen, wie hier im thread beschrieben will net klappen. Denke ich mach einen simplen Denk fehler....
Blocke, wie beschrieben die DNS Server bei Policy, und das Subnet vom dem Provider bei der FB. Aber trotzdem klappt es net richtig. Hänge mal ne Grafik an um das zu verdeutlichen...

Die ersten beiden einträge sind die DNS Server, der 3. eintrag ist das Subnet von der FB , und der 4. eintrag ist damit ich ins Netz der FB komme. Wenn ich den 4. Eintrag rausnehme komme ich nicht mehr in das "Interne Netz"
 

Anhänge

  • shrewkonfig.JPG
    shrewkonfig.JPG
    32 KB · Aufrufe: 538
Blocke, wie beschrieben die DNS Server bei Policy, und das Subnet vom dem Provider bei der FB. Aber trotzdem klappt es net richtig. Hänge mal ne Grafik an um das zu verdeutlichen...

Die ersten beiden einträge sind die DNS Server, der 3. eintrag ist das Subnet von der FB , und der 4. eintrag ist damit ich ins Netz der FB komme.

Hej diving!

Der 3. Eintrag (Subnet FRITZ!Box) sieht falsch aus. Du hast da 82.83.0.0 / 255.255.255.255 und erlaubst damit nur eine IP. Offenbar geht deine FRITZ!Box auch über Arcor ins Netz und du müsstest daher 82.83.0.0 / 255.255.0.0 angeben, damit alle IPs erfasst sind.

Viele Grüße
buecke
 
Hallo !
Ne, das wahr es leider nicht gewesen.. Hat keinen erfolg gebracht, denke das ist noch ein überbleibsel aus meinen unentlichen Versuchen gewesen... Habe mich strikt nach anleitung bei den ersten versuchen gehalten, und als das net funktionierte mal ein bischen rumprobiert...

Ich vermute es liegt vielleicht an den eintrag "PERMIT IP ANY ANY"
Wie trag ich den denn vernünftig ein ? Oder ist der mit dem letzten eintrag bei mir schon erschlagen...?
 
Ich vermute es liegt vielleicht an den eintrag "PERMIT IP ANY ANY"
Wie trag ich den denn vernünftig ein ? Oder ist der mit dem letzten eintrag bei mir schon erschlagen...?

Stimmt, der "permit ip any any"-Eintrag fehlt völlig, hab ich ganz übersehen. Wie man den bei Shrew einrichtet, weiß ich leider nicht. Funktioniert vielleicht 0.0.0.0 / 0.0.0.0? Ansonsten kannst du z.B. mit include 212.19.62.76 / 255.255.255.255 (wieistmeineip.de) testen, ob es generell funktionieren würde.

Viele Grüße
buecke
 
Zuletzt bearbeitet:
Also die eintragung 0.0.0.0/0.0.0.0 nimmt shrew nicht an. (Fehlermeldung :invalid Mask) Wenn ich die Ip direkt eingebe komme ich gar nicht erst auf die Seite(www.wieistmeineip.de):confused:

Mach ich irgendwas falsch?

Gruß

diving
 
Weiß jemand wie der Client Teil der Config mit dem NCP Secure Entry Client umgesetzt werden kann? 0.0.0.0 nimmt er auch nicht an. :-\

Ich betreibe den Client in einem LAN.

MfG
 
Also die eintragung 0.0.0.0/0.0.0.0 nimmt shrew nicht an. (Fehlermeldung :invalid Mask) Wenn ich die Ip direkt eingebe komme ich gar nicht erst auf die Seite(www.wieistmeineip.de):confused:

Also wenn du 212.19.62.76 / 255.255.255.255 als include bei Shrew eingibst, die VPN-Verbindung steht und du dann im Browser www.wieistmeineip.de aufrufst, sollte die Website die IP der FRITZ!Box anzeigen.

Wie man den "permit ip any any"-Eintrag in Shrew hinbekommt, weiß ich leider auch nicht. Da gibt's sicher andere Experten?

Viele Grüße
buecke
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.