[Problem] VPN Einrichtungsproblem

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
A

AVoelp

Neuer User
Mitglied seit
23 Feb 2007
Beiträge
77
Punkte für Reaktionen
0
Punkte
6
Ich versuche gerade, mir eine VPN-Verbindung zu meiner Fritz!Box einzurichten, um auch aus nicht ausreichend gesicherten Netzwerken (z. B. Hotspot) sicher ins Internet gehen zu können. Beteiligt sind:

- Fritz!Box 7390 mit OS 06.51
- Notebook mit Windows 7 64-bit
- iPhone mit iOS 10.2

Zunächst habe ich mich bei MyFritz angemeldet, weil ich den Dienst für die feste IP-Adresse nutzen möchhte. Danach habe ich die VPN-Einstellungen der Fritz!Box, des iPhones und des Notebooks konfiguriert wie unter https://avm.de/service/vpn/tipps-tr...ritzbox-unter-apple-ios-zb-iphone-einrichten/ und https://avm.de/service/fritzbox/fri...ox-unter-Windows-einrichten-FRITZ-Fernzugang/ beschrieben. Für die Konfiguration von Box und PC habe ich das Programm "Fritz!Fernzugang einrichten" benutzt (eben wie beschrieben). Dabei habe ich auch angegeben, dass alle Internet-Zugriffe der Clients über die Fritz!Box erfolgen sollen.

Derzeit treten folgende Probleme auf:

iPhone: Die VPN-Verbindung zur Box wird aufgebaut und auch im iPhone Display und im Menu "Internet" -> "Online-Monitor" der Box angezeigt. Das iPhone kann aber nicht auf das Internet zugreifen, wenn die VPN-Verbindung aktiv ist.

Notebook: Für den Verbindungsaufbau habe ich das mit "Fritz!Fernzugang einrichten" erzeugte VPN-Profil in das Programm "Fritz!Fernzugang" importiert. Beim Versuch, damit die Verbindung aufzubauen, ist nach einer "Gedenkminute" unverrichteter Dinge Feierabend und im Log erscheint die Meldung "Der Name der gegenstelle konnte nicht aufgelöst werden".

Was tun? Habe mit VPNs bisher leider null Erfahrung ...

BTW, wenn das Ganze dann irgendwann mal funktioniert: Angenommen, ich will mit dem Notebook ins Internet gehen und dabei das iPhone als "persönlichen Hotspot" nutzen. Muss ich dann mit dem iPhone eine VPN-Verbindung herstellen, mit dem Notebook, oder auf beiden Geräten?

Gruß, Andreas
 
wenn Du zu dem PC-Problem Hilfe erwartest, wirst Du schon die vpn.cfg aus Sicherung oder supportdaten.txt (am Besten in Code-Tags einstellen und ggf. anonymisieren (key_id, key, xauth-uname/-pwd)) und die logfiles posten müssen, ansonsten wird das zum munteren Ratespiel ;-)
 
In dieser Konstellation sind Fehler des Benutzers nahezu vorprogrammiert ... der Punkt 2/6/c in der zweiten Beschreibung dürfte - gerade bei jemandem, der von sich selbst behauptet, beim Thema VPN vollkommen unerfahren zu sein - eine ziemlich hohe Hürde sen/werden.

Daher braucht es auch nicht nur die Konfiguration für die Verbindung zum PC (in der in #3 angesprochenen Support-Datei sind dann auch beide Verbindungen in der "vpn.cfg" enthalten - die vom "FRITZ!Fernzugang einrichten" erzeugte Datei für Box und PC reicht hier explizit nicht aus als Information), denn in der "Standardkonfiguration" würde der Benutzer nach der ersten Anleitung die .201 im verwendeten LAN-Segment erhalten und da das Programm beim Generieren der Einstellungen davon keine Ahnung hat, würde die Verwendung von "Werkseinstellungen der FRITZ!Box verwenden" im Punkt 2/6 der zweiten Beschreibung mit einiger Sicherheit dieselbe Adresse für die andere Verbindung noch einmal benutzen.

Das ist zwar nur eine Vermutung anhand des früheren Verhaltens von FRITZ!Box und "FRITZ!Fernzugang konfigurieren" (ich überprüfe die jetzt auch nicht selbst, man kann das ja dann in der resultierenden "vpn.cfg" der Box sehen - zu einer "kompletten" Information gehört dann neben dieser "vpn.cfg" aus den Support-Daten auch noch die Datei, die im PC importiert wurde) ... aber ich bin der Meinung, bei der Verwendung des AVM-VPN sollte man sich für einen einzigen Weg der Konfiguration entscheiden und das heißt dann am Ende, man konfiguriert entweder beide Verbindungen (und es müssen eben zwei getrennte sein, wenn man die auch mal parallel benutzen will, ansonsten sind Probleme vorprogrammiert) über das GUI der Box (braucht dann eben zwei Benutzer in der FRITZ!Box) und verwendet auf dem PC besser den "ShrewSoft VPN Client" oder man konfiguriert beide Verbindungen über das Programm "FRITZ!Fernzugang konfigurieren", wobei man dann auf dem iPhone die Verbindung trotzdem von Hand konfigurieren muß (die AVM-Anleitung entsprechend kreativ abändern), weil das iPhone die erzeugte Datei für das entfernte System natürlich nicht versteht.
 
Mir fällt gerade noch etwas auf: Beim Anlegen eines Fritz!Box Benutzers werden ja Benutzername und E-Mail-Adresse verlangt. Nun sehe ich gerade, dass in der Box nach Import der Konfigurationsdatei jetzt zwei VPN-Verbindungen konfiguriert sind - eine unter dem Benutzernamen und eine zweite unter der E-Mail-Adresse. Ist das richtig so, oder geht da gerade etwas durcheinander? Außerdem fällt mir auf, dass die Icons zum Berbeiten der VPN-Verbindungen im Menu der Box inaktiv sind, d. h. ich kann die Verbindungen zwar löschen, aber nicht bearbeiten ...
 
AVoelp schrieb:
Außerdem fällt mir auf, dass die Icons zum Berbeiten der VPN-Verbindungen im Menu der Box inaktiv sind, d. h. ich kann die Verbindungen zwar löschen, aber nicht bearbeiten ...
Zum Vergrößern anklicken....

das liegt an Configzeile "editable=" in vpn.cfg, die bei conntype_user auf "no" steht, bei conntype_lan jedoch auf "yes" gesetzt werden kann;


Code: 
##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
/*
* /var/flash/vpn.cfg
*/
vpncfg {
        connections {
                enabled = yes;
                [COLOR=#0000ff]editable = no[/COLOR];
                conn_type = conntype_user;
                name = "[COLOR=#0000ff]Max_Muster[/COLOR]";
                boxuser_id = 12;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.[COLOR=#0000ff]XXX[/COLOR].201;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "SECRET";
                        passwd = "SECRET";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.[COLOR=#0000ff]XXX[/COLOR].51;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip [COLOR=#0000ff]0.0.0.0 0.0.0.0[/COLOR] 192.168.[COLOR=#0000ff]XX[/COLOR]X.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

es macht Sinn pro "Dial-In" Device einen VPN-User anzulegen;
bzgl. der Tools zum Anlegen von VPN-User (Web-IF vs. Config-Import aus "Fritz!Fernverbindung einrichten" siehe #4
bzgl. VPN-Connection-Name ("Max_Mustermann" vs. "[email protected]"); dies ist IMHO aus VPN-Sicht nur "Kosmetik".

- - - Aktualisiert - - -

Hinweis zu VPN-Verbindungsname:
Quelle: https://www.android-user.de/sicherer-tunnel-zur-fritzbox/
weiteren VPN-Benutzer über die "FRITZ!Box-Fernzugang einrichten"-Anwendung erzeugen. Wählen Sie diesmal jedoch iPhone / iPod touch / iPad als Gerät und nicht einen PC aus. Im nächsten Schritt des Einrichtungs-Assistenten ignorieren Sie bitte den Hinweis, dass eine E-Mail-Adresse eingegeben werden muss. Android kommt mit Sonderzeichen wie eben dem @ in der Adresse nicht zurecht, geben Sie an dieser Stelle daher bitte einfach nur einen Namen, ohne weitere Sonderzeichen ein.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
... so, nachdem ich die obigen Hinweise beherzigt habe, scheint nun alles zu funktionieren - sowohl beim iPhone als auch beim Noteboot. Ganz herzlichen Dank für eure Tipps. Beim Notebook habe ich den Zugang mit "Fritz!Fernzugang" allerdings nicht hin bekommen (am Ende wurde zwar der Server gefunden, aber das Passwort nicht akzeptiert :( ). Ich habe es jetzt statt dessen mit dem ShrewSoft VPN Client gemacht und da läuft es.

Hier trotzdem noch ein paar abschließende Fragen:


  • Kann man den ShrewSoft Client so einstellen, dass er sich das Passwort für die VPN-Verbindung merkt?
  • Wie kann ich verifizieren, dass der gesamte Internet-Datenverkehr tatsächlich über die VPN-Verbindung läuft und nicht über die lokale Verbindung?
  • Beim ShrewSoft Client kann man ja im Rahmen der Konfiguration einstellen, ob der Internet-Datenverkehr über die VPN-Verbindung laufen soll, oder lokal. In der AVM-Anleitung für das iPhone habe ich darüber nichts gefunden. Läuft der Datenverkehr bei iOS-Geräten dann ohnehin immer über das VPN?

Liebe Grüße und einen schönen Sonntag allerseits,
Andreas
 
Ich stelle meine Frage mal hier rein. Ich habe seid kurzem die 7580 und möchte gerne den VPN-Zugang nutzen um mit meinem iPhone auf die FritzBox zuzugreifen. Bei der vorherigen 7490 klappte das Problemlos aber jetzt klappt das irgendwie nicht. Ich nutze die MyFritz-Funktion und diese ist auch aktiv aber eine VPN-Verbindung geht nicht. Ich habe auch einen neuen Provider und wenn ich das richtig verstehe habe ich dadurch 2 öffentliche IP-Adressen (Double-NAT?), kann es daran liegen?
 
Also ich kenne mich nicht so richtig damit aus leider. Die öffentliche IP Adresse die mir in der FritzBox angezeigt wird, ist aber nicht die die mir angezeigt wird wenn ich auf so Seiten gehe wie http://www.meine-aktuelle-ip.de/ oder ähnliche.
 
Eine DS-Lite Internet Anbindung (ohne funktionierendes PCP) verhindert leider einen Zugriff auf lokale Ressourcen per IPv4 Protokoll, d.h. das wird mit VPN-Dial-In nichts, es sei denn Dein Provider und dein Router bieten PCP oder Deine VPN-Einwahl-Software und dein Roadwarrier-VPN-Client können mit IPv6 umgeben. Bisher funktioniert dies m.W. jedoch mit Fritzbox noch nicht.
 
Also wie gesagt, das sagt mir leider alles nichts. Ich kann eine Internet-Verbindung nur mit IPv4 aufbauen oder IPv4 + IPv6. Wenn ich den Haken bei IPv6 nutzen weglasse, wird die Verbindung ja über IPv4 aufgebaut.
 
Hast Du eine WAN-IPv4 aus dem Bereich 192.0.0.0/29 mit 192.0.0.1 als GW, bzw. steht in FritzBox-Übersichtsseite etwas von AFTR-Gateway ?dann wird es nicht funktionieren.
 
Dann hast wohl CGN und damit bist du per Ipv4 von außen nicht erreichbar, also kein VPN, FTP oder andere Server. Wenn nur kostenpflichtig ggf. über feste-ip.net oder fragst beim Anbieter ob der IPv4 wieder öffentliche IP zuweisen kann.
 
Ok danke. Dann werde ich heute mal beim Provider nachfragen. Evtl. bekomme ich da ja, gegen Aufpreis natürlich, eine feste IP. Ist das von Vorteil oder hat man dann nur Nachteile weil man schneller gehackt werden kann oder sonst was?
 
Es reicht öffentliche IPv4 IP, muss nicht fest sein, gibt es teils eh nur in teuren Business Verträgen.

Nachteil bei fester IP bist für Werbung besser Verfolgbar. ;)
 
... als TS käme ich gerne nochmal auf #7 zurück - kann mir dazu eventuell jemand was sagen? ;)

Liebe Grüße, Andreas
 
Ob Traffic über deine Leitung siehst, kannst auf beliebiger "Wie ist meine IP" Webseite sehen, ob der Anbieter passt bzw. die IP zu der die in der FB hast.
 
Ich habe gerade mit meinem Anbieter gesprochen und man kann angeblich nichts machen, eine feste IP gibt es auch nicht.

Man hat mir viel erzählt wovon ich nur die Hälfte verstanden habe ehrlich gesagt aber es soll wohl daran liegen das man IPv6 nutzt und mein Mobilfunk-Anbieter (O2), mit dem ich dann die VPN-Verbindung aufbaue, unterstützt aber wohl nur IPv4 und dann komme ich nicht durch. Einzig die Telekom würde IPv6 im Mobilfunk-Bereich nutzen.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 593 (Mitglieder: 5, Gäste: 588)

Neueste Beiträge

Statistik des Forums

Themen
244,840
Beiträge
2,219,265
Mitglieder
371,543
Neuestes Mitglied
Brainbanger
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück