Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
ich möchte mit dem Iphone ein VPN zur Fritzbox aufbauen, welches nur die lokalen Adressen über das VPN aufruft, alles andere aber nach wie vor über das Mobilfunknetz.
Nun dachte ich das geht, wenn ich einen VPN-Benutzer über "Fritz Fernzugang einrichten" erstelle und den Haken bei "Alle Daten über den VPN-Tunnel senden" NICHT setze. Damit komme ich zwar auf die lokalen Adressen, ein gleichzeitiger Internetaufruf ist aber leider nicht möglich. Kann ich das ändern?
Variante 1 (Haken nicht setzen): VPN nur für die lokalen Adressen, Internet dann nicht möglich
Variante 2 (Haken setzen): Kompletter Verkehr über VPN, Internetzugriff erfolgt dann über die entfernte FritzBox
Ich hätte allerdings gerne Variante 3: Internet ganz normal über das Endgerät und nicht die entfernte FritzBox, aber Zugriff auf die lokalen Adressen über das VPN.
Ist ja schon mal gut zu wissen, dass Variante 1 so nicht sein soll.
Leider brachte es keine Abhilfe den Netbios-Filter raus und wieder reinzunehmen. Ich habe es mit beiden Fritzboxen versucht.
In der Tat habe ich aber für beide Boxen eine 10.xxx IP-Adresse vergeben. Allerdings dachte ich dass es da keine Probleme geben dürfte, da es sich ja um einen privaten Ip-Bereich handelt. (Die ermittelte IP des Handys im Mobilfunknetz ist auch aus einem anderen Bereich.)
Kann es eventuell noch daran liegen, dass ich die VPN-Konfiguration vor Ewigkeiten erstellt habe und AVM inzwischen nachgebessert hat?
Stimmt, das mit dem im Webinterface anlegen werde ich mal testen.
Vielleicht habe ich das auch falsch verstanden, aber ich habe die Mobilfunk-IP einfach durch abschalten des Wlan und Aufruf einer der Internetseiten (Meine IP etc.) ermittelt. Da war es keine 10.er IP.
Nun habe ich es probiert mit der direkten Einrichtung über die FritzBox.
Aber dort kann ich keine Einstellung entdecken für "Alle Daten über den VPN-Tunnel" senden wie im "Fritz Fernzugang einrichten". Dies wird automatisch aktiviert.
Dies ist nicht auszuschließen, jedoch ist dazu die vpn.cfg erforderlich, um dies zu qualifizieren; hier gibt es Einstellungen wie Netzwerk-Adresse, accesslist, usw. die geprüft werden müssen; sonst ist dies nur "Kaffeesatzlesen" ;-) Bitte vpn.cfg aus Sicherung in Code-Tags einstellen und ggf. anonymisieren (key_id, key, xauth-uname/-pwd).
Ja, am Besten mal über http://fritz.box/support.lua die Support-Daten ziehen und in der resultieren Text-Datei nach "vpn.cfg" suchen.
Bei mir sieht es dort so aus:
192.168.0.x/24 ist mein internes Netz. Die erste VPN-Verbindung bekommt normalerweise die .201, die zweite .202 usw.
Vergleich mal.
Edit: Ich habe da m.W. damals auch etwas rumgedoktert. Ich meine "use_cfgmode = no;" wär wichtig gewesen und dass in der accesslist "permit ip 0.0.0.0 0.0.0.0 192.168.0.200 255.255.255.255" oder ""permit ip any 192.168.0.200 255.255.255.255" steht und nicht nur ""permit ip 192.168.0.0 255.255.255.0 192.168.0.201 255.255.255.255" damit über den Tunnel auch der Zugriff in Internet klappt.
Ich weiß, das ist nicht ganz das, was der TO sucht, aber evtl. die richtige Stelle um sowas zu konfigurieren.
Bei einer Verbindung vom iPhone zur FRITZ!Box ist das aber genau die Gegenrichtung und hier reicht es vollkommen, wenn diese VPN-Verbindung die "accesslist"-Einträge für die einzelne IP-Adresse aus dem LAN der Box enthält, die dem VPN-Client bei der Einrichtung der VPN-Verbindung für einen Benutzer zugewiesen wird.
Jeder andere Eintrag würde sogar dazu führen, daß die FRITZ!Box die Verbindung zu diesen Zielen über die VPN-Verbindung zum iPhone herstellen will und das in der Regel auch noch unabhängig davon, ob diese vom iPhone aufgebaut wurde oder nicht. Damit sind dann diese Adressen für die FRITZ!Box und sämtliche Geräte in ihrem LAN gar nicht mehr erreichbar. Das ist also genau der falsche Weg ...
Ansonsten entscheidet immer noch das iPhone, ob es Daten in den VPN-Tunnel zur FRITZ!Box schickt oder sie direkt versendet (über Mobilfunk oder WLAN, je nachdem, was gerade aktiv ist).
Damit ist also die Aufgabenstellung des TE (#1, erster Satz) gar kein Problem der FRITZ!Box und die Checkbox im Programm zum Einrichten einer VPN-Verbindung hat nur dann eine Auswirkung, wenn man die vom Programm erzeugte Client-Konfiguration irgendwo verwendet. Da genau das aber nicht geht (nur das Programm "FRITZ!Fernzugang" versteht diese Konfigurationsdateien), braucht es das Programm "FRITZ!Fernzugang einrichten" in diesem Kontext gar nicht.
Ob man auf dem iPhone inzwischen mit entsprechenden Policies das Routing von Daten über eine (IPSec-, aka "Cisco"-)VPN-Verbindung konfigurieren kann (nicht mit L2TP/IPSec verwechseln), weiß ich nicht ... aber das ist auch eher eine Frage für ein Apple-Forum als für das IPPF - zumindest hat es eben nichts mit der FRITZ!Box zu tun.
Das im Titel des Threads genannte "FRITZ!Fernzugang" ist eben nur ein VPN-Client von AVM für Windows-Systeme, wobei der auch nur < Windows 10 funktioniert und etwas "gewöhnungsbedürftig" (nämlich als Filter auf allen Interfaces anstelle eines eigenen virtuellen Tunnel-Interfaces, wie z.B. beim Shrew-Soft Client) implementiert ist. Damit stellt sich die Frage im Zusammenspiel iOS (iPhone) und FRITZ!Box gar nicht, ob man dieses Programm verwenden kann und damit ist auch die Frage nach der Konfiguration obsolet.
Hallo PeterPan, zu deinem zweiten Absatz möchte ich noch was sagen:
Vergiss bitte nicht, dass die accesslist keine Routing-Tabelle, sondern nur eine Permission-Tabelle ist. Meine VPN-Konfiguration stammt noch aus Zeiten wo es nur das Programm FRITZ!Fernzugang als Assistent zur Erstellung einer Konfigurationsdatei gab, die man dann in die Fritzbox einspielen konnte. Inzwischen geht das ja recht elegant über die WEB-Oberfläche, indem man einfach einen neuen Benutzer anlegt. Mit der von FRITZ!Fernzugang erzeugten Konfi hatte ich damals das Problem, dass es accesslist "permit ip 192.168.0.0 255.255.255.0 192.168.0.201 255.255.255.255" erzeugte, womit ich zwar in mein LAN, aber nicht mehr ins Internet kam, wenn der VPN-Tunnel stand. Bei dem bei Android eingebauten VPN-Client geh dann wohl der gesamte Verkehr über den Tunnel. Erst nach Umstellung auf "permit ip any 192.168.0.200 255.255.255.255" bzw. "permit ip 0.0.0.0 0.0.0.0 192.168.0.200 255.255.255.255" ging es dann, weiß aber nicht mehr, wieso ich das gemacht habe (vermutlich ergoogelt). Die alten Dateien habe ich noch, deshalb sehe ich, was ich geändert habe.
Wie dem auch auch sei. Ich habe eben über die WEB-Oberfläche nochmal einen neuen, weiteren Benutzer erstellt und mir dessen Konfiguration angesehen. Sie ist genau wie meine, also mit "permit ip 0.0.0.0 0.0.0.0 192.168.0.200 255.255.255.255" was wohl any entspricht.
Aber jetzt habe ich vom eigentlichen Thema abgelenkt. Du hast schon Recht, es dürfte einzig und allein Sache des VPN-Clients sein, ob der ganze Verkehr oder nur ein Teil davon über den Tunnel geht, sobald er steht.
@gmaier: ;-)
Die "accesslist" ist am Ende sogar die Definition eines "Filters" ... jedes Paket, das die Bedingungen bei einem "permit"-Eintrag erfüllt, wird ausgesondert, verschlüsselt und damit über den Tunnel verschickt (bei "deny" bzw. "reject" wird dann wohl direkt die Suche nach einem Match beendet und das Paket über "dev dsl" gesendet). Damit legt dieser Filter fest, wohin ein Paket geht ... das "Filtern" bedeutet in diesem Falle also nicht, daß da irgendwelcher Verkehr komplett blockiert wird (er landet am Ende immer auf einem der Interfaces), es wird nur entschieden, welche Transformationen ein Paket durchlaufen soll, bevor es auf den Weg zum Empfänger geht.
Will man vom VPN-Client über die FRITZ!Box auf das Internet zugreifen, geht es auch nur um den "Rückweg" der Pakete und dann braucht es tatsächlich noch eine Regel, die Pakete von einer beliebigen Quelle (die beiden Anweisungen sollten identisch sein, "any" ist nur eine Kiurzform für "0.0.0.0 0.0.0.0") zum VPN-Client "aussortiert" und sie stattdessen in den Tunnel steckt. Da das im FRITZ!OS an dieser Stelle keine echte Firewall ist, kann die FRITZ!Box auch nicht steuern, was über eine VPN-Verbindung "hereinkommt" bzw. sie kann an dieser Stelle keinen eingehenden Verkehr blockieren - was über UDP dann auch wieder Angriffsmöglichkeiten eröffnet, deshalb sollte ein VPN-Client immer vertrauenswürdig sein, denn man kann den Zugriff vom Client auf lokale Adressen nicht verhindern, das scheitert höchstens bei TCP am 3-Wege-Handshake.
In der FRITZ!Box wird auch tatsächlich bei einer solchen VPN-Verbindung vom Typ "conntype_user" ein Routing-Eintrag zu dieser (Client-)IP-Adresse (deine ".200" kann nebenbei bemerkt gefährlich sein, wenn der DHCP-Server die Standardeinstellung von .20 bis .200 verwendet) über "dev dsl" angelegt, denn das VPN "hängt" nur am WAN-Interface der FRITZ!Box. Wichtig ist eben das Filtern von Paketen "von einer beliebigen Quelle", weil Antworten "aus dem Internet" an den VPN-Client dann von allen möglichen Adressen kommen können. Die Routing-Einträge für diese einzelnen Client-Adressen kann man sich dann auch in den Support-Daten ansehen, diese existieren aber nur für VPN-Verbindungen vom erwähnten Typ, nicht für LAN-LAN-Kopplungen.
Aber das ändert tatsächlich alles nichts daran, daß der TE hier an der falschen Stelle sucht ... die FRITZ!Box ist nur für den Rückweg zuständig. Alles, was über die VPN-Verbindung hereinkommt, wird von ihr brav ins Routing gesteckt und landet dann in Abhängigkeit von der Zieladresse entweder im WAN oder im LAN. Der GUI-Assistent für VPN-Verbindungen konfiguriert jedoch für eine solche Verbindung einen Filter mit "any" (bzw. mit "0.0.0.0 0.0.0.0") als Quelle (für den Rückweg) und damit kann dann bei aufgebauter VPN-Verbindung ein solcher Client auch über die FRITZ!Box auf das Internet zugreifen, wenn er die entsprechenden Daten über den Tunnel zur Box sendet. Schubst er die Daten jedoch gleich über eines seiner lokalen Interfaces ins Internet, kann die FRITZ!Box auch nichts dagegen machen ... sie hat keinerlei Einfluß darauf, wie sich ein VPN-Peer verhält.
Sehr schön erklärt - wie immer - vielen Dank.
Weißt du auch, was es mit diesem "use_cfgmode" auf sich hat? Ich hab grad gesehen, ich musste das damals für Android auch von yes auf no ändern, sonst kam keine VPN-Verbindung zustande. Bei IOS ging es auch mit yes. Ob das inzwischen auch noch so ist, weiß ich nicht.
den cfgmode (https://tools.ietf.org/html/draft-dukes-ike-mode-cfg-02) schaltet natürlich "use_cfgmode=yes;" in der VPN-Konfiguration frei ... der ist aber eigentlich bei einer Host-LAN-Verbindung (conntype_user) immer an.
Bei use_cfgmode=yes wird die Konfiguration der (privaten) IP-Adressen nicht vorher festgelegt, sondern erst im Rahmen des Tunnelaufbaus. Das wird bei LAN-LAN-Kopplung eigentlich fast nie verwendet und dient in erster Linie zum Anbinden von "Roadwarriors" an ihr Firmennetz. Am ehesten kann man diesen Modus mit der IP-Adressvergabe durch einen DHCP-Server vergleichen, nur eben für VPN-Clients (conn_type = conntype_user).
@gmeyer:
Hast Du dann die IP-Settings im Android manuell definiert, statt automatisch von FritzBox beziehen ?
Welche Android-Version war das ? welche FB/FW Config ?
Wie sieht es mit local_virtualip-Parameter aus, hast Du den auch geändert ? z.B. auf "0.0.0.0" ?
Resultierende Config mit Accesslist ohne "Split-Tunnel" ?
Danke für die Info. Ich bezog mich auf die Konfi aus #12. Aber das ist ewig her. Ich weiß nicht mehr, was ich alles probiert hatte, nachdem es Anfang nur mit IOS aber nicht mit Andriod klappen wollte.
Ich hätte allerdings gerne Variante 3: Internet ganz normal über das Endgerät und nicht die entfernte FritzBox, aber Zugriff auf die lokalen Adressen über das VPN.
Diese Entscheidung trifft nicht die Fritzbox, sondern das mobile Endgerät.
Die Fritzbox kann das gar nicht entscheiden, wer mal überlegt.
Bei meinem Android benutze ich VPNCilla und dort kann man das konfigurieren.
Über "Force Default Route"
Ich brauche das, wenn ein Gerät als Hotspot fungiert.
