VPN-Problem: Fernzugang hinter Chinesischer Mauer möglich?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
T

tomdirac

Neuer User
Mitglied seit
10 Jul 2009
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich bin seit kurzem in China und benötige einen Weg um die relativ drastische Internetzensur zu umgehen. Deshalb hatte ich in Deutschland eine FritzBox mit Fernzugang und meinen Laptop so eingerichtet, dass das gesamte internet über das VPN erreichbar ist. Der Probelauf Zuhause hat auch einwandfrei funktioniert.

In China angekommen, bekomme ich beim Anmelden folgende Fehlermeldung:

Timeout: Could not contact the remote site

und in einem Logfile auf dem Client erscheint die Meldung:

avmike: meinhost.dyndns.org: Phase 2 failed (initiator): timeout, abort.

(Diese Meldungen bekomme ich auch, wenn ich die Standard-Konfiguration benutze, die mit dem Programm Fernzugang-einrichten erzeugt wird - also nur auf das entfernte-lokale Netz zugreifen kann)

werden auf der Fritzbox ebenfalls Logfiles zur VPN-Anmeldung angelegt, falls ja, wie kann man diese auslesen? Über Hinweise oder Ideen würde ich mich freuen.


Gruß
Thomas
 
Ich bin jetzt nicht unbedingt der VPN-Spzialist, aber bei dieser Fehlermeldung würde ich erst mal probieren, ob die Box prinzipiell erreichbar ist. Versuche doch mal die Adresse anzupingen und auch sicherzustellen, daß das die aktuelle IP-Adresse der Box ist. Wenn nicht mal das funktioieren sollte, wäre ein Verbindungsaufbau illusorisch.

Ich könnte mir durchaus vorstellen, daß der Zugriff auf dynDNS-Weiterleitungen gesperrt ist. Vielleicht hat Deine Box auch nur aktuelle Probleme, sich bei Dyn-DNS korrekt anzumelden. Das liest man auch öfter mal. Es gibt also mehrere mögliche Fehlerursachen.

Gruß Telefonmännchen
 
Es kann ja auch sein, daß die chinesische Firewall gezielt VPN-Verbindungen blockt.
 
Ich würde Dir dann unter diesen Umständen zu einem SSH-Tunnel mit dynamischen Ports raten. Dazu benötigst Du aber einen SSH-Server auf der Box oder einem Rechner dahinter, der aus einem nutzbaren Port lauscht. Normales Surfen sollte über diese Verbindung gehen. Für andere Anwendungen kann ich keine Aussage treffen.

Um dises zu etablieren baust Du mit Putty (ich gehe mal von einem Win-Rechner aus) eine Verbindung zu Deiner FritzBox mit SSH-Server auf. Unter den Tunnels konfigurierst Du dann den dynamischen Port und gibst diesen dann in Deinem Browser als Proxy-Port mit der localhost-Adresse (localhost oder 127.0.01.). Um alternativ normal surfen zu können läßt sich dieser lokale Proxy schön mit dem Firefox-Addon FoxyProxy ein-und ausschalten. Das war jetzt die Ultrakurzform.

Detaillierte und bebilderte Anleitungen findet man auch im Netz. So habe ich (allerdings mit einem Linux-Netbook) meinen Traffic von den USA aus getunnelt. Hintergrund dieses Aufwandes war aber, daß ich meinen Traffic nicht unverschlüsselt über die offenen Hotel-WLANs schicken wollte.

Gruß Telefonmännchen
 
Hm... sehr seltsam

Vielen Dank für die vielen Antworten.

Situation ist nun folgende. Ich hatte alles gemäß Threat "Mini-Howto: Kompletten Internetverkehr über AVM VPN routen" eingerichtet und ich verwende DynDNS um die IP Adresse aufzulösen.

In Deutschland hat auch alles ideal geklappt - Services wie "wieistmeineip" haben nach dem Aufbau der VPN-Verbindung die IP der Fritzbox angezeigt.

In China: Beim vortgeschrittenen Aufbau der Verbindung "Phase2" tritt nach etwa 30 Sekunden ein Timeout Probelm auf (avmike: meinhost.dyndns.org: Phase 2 failed (initiator): timeout, abort.). Die IP der Fitzbox wird richtig aufgelöst und zumindest im WebInterface der Fitzbox wird auch angezeigt, dass dem Client eine lokale IP Adresse zugeordnet wurde - Zum Test habe ich am Client in der Konfig-Datei das Passwort manipuliert und auch direkt eine entsprechende Fehlermeldung deswegen bekommen.

Ohne genaueres über die Funktionsweise der chinesischen Zensur zu wissen - aber aufgrund anderer Berichte sollten VPN Verbindungen nach draussen schon möglich sein. Meine Vermutung ist, dass speziell die Art und Weise wie die Fritzbox-Fernzugang-Methode eine Verbindung herstellt aus irgendeinem Grund nicht klappt.

Welche Server-Software benutzt die Fritz-Box überhaupt - und diese evtl auch mit anderer Client-Software kompatibel? Die Diagnose- und Einstellungsmöglichkeit mit der sog. "Fernzugang-Software" sind ja seh begrenzt.


Die vorgeschlagene Möglichkeit einen SSH-Tunnel zu benutzen wäre ein Ausweg, der aber wie schon angemerkt wahrscheinlich nur für "normales Surfen" und nicht mit Anwendungen kompatibel ist.
 
Moin,

wie testest du denn Deutschland und China quasi gleichzeitig oder jettest du dauernd hin und her?

Gehst du in China immer an derselben connection online? Falls nicht, musst du natuerlich deine client conf anpassen.

Was sagt denn ipconfig/all in China?

Und an welche anwendungen dachtest du denn neben dem browser - VoIP? Auch da gaebe es moeglichkeiten, muss man aber step by step angehn.

Schoenes wochenende
Chris
 
Hallo,

das einfache IPSEC, wie AVM es verwendet, ist natürlich besonders leicht zu sperren. Viele Mobilfunkprovider machen das so, um für VPN extra Geld zu kassieren. Dazu hat IPSEC üble Probleme mit NAT.

Deine Fehlermeldungen deuten jedenfalls eindeutig darauf hin, dass es ein Verbindungsproblem ist. Ob durch NAT, einen Proxy oder eine staatliche Sperre ist nicht zu sehen.

OpenVPN hat an dieser Stelle die größte Aussicht auf Erfolg. Es nutzt SSH, dessen Datenverkehr auch von vielen SSL Proxys nicht als verdächtig klassifiziert wird. Und es hat kein Problem mit NAT Zugängen.
 
@cmmehl: Ja, ich fliege öfters hin und her - ausserdem würde das gerne für jemanden in China einrichten. Da ich momentan wieder in Deutschland bin, kann ich ipconfig /all nicht aufrufen. Was an der Internetsperre in China am meisten stört ist dass sämtliche (westlichen) Videoportale, große Blog-hoster, Suchmaschinenergebnisse, viele Internet-Foren und so ziemlich alles auch im geringsten nach 'nicht jugendfrei' aussieht sperrt oder zensiert wobei ich bei manchen Seiten wirklich nicht weiss warum die auf der Sperrliste stehen. Prinzipiell spricht wenig gegen die Lösung mit SSH-Tunnel, da ich aber ein gewisses Mistrauen gegen diese Behörde mit 40.000 Angestellten zur Überwachung habe, fühlte ich mich sicherer, wenn mein gesamter Traffic über VPN läuft, statt nur gewisse Ports.

@frank_m24: Ob IPSEC wirklich geblockt wird oder nicht kann ich nicht sagen, jedenfalls habe ich über diverse Timeout-Probleme gelesen, die von der chinesischen Firewall (auch bei anderen Anwendungen) verursacht werden. Es kann sein, dass dieses Problem mit OpenVPN nicht auftritt.
 
Ich hoffe du machst so bald wie möglich mit den dortigen Gefängnissen Bekanntschaft. Nicht als Gast, sondern als Insasse.

Leute, ihr seid zu Gast in diesen Ländern. Dann benehmt euch auch wie anständige Gäste und nützt die Gastfreundschaft nicht aus.

Akzeptiert die geltenden Regeln in der Destination oder fahrt dort ganz einfach nicht hin wenn ihr euch so schwer tut die dort geltenden Regeln zu akzeptieren.
 
das geschrei wäre dann wieder gross und evtl. eine aufgabe für den neuen aussenminister (?) westerwelle , ihn da wieder rauszuholen
 
@dogge: wuff!
(bitte nicht beantworten, sonst muesste ich mich wegen typen wie dir doch tatsaechlich noch mit der ignore funktion dieses forums vertraut machen muessen).

@tomdirac: wenn du das fuer jemanden machst, kann ja dieser jemand mal ipconfig/all ausfuehren. Dies mitzuteilen duerfte ja wohl unverdaechtig sein. Vielleicht gibt es wirklich ein NAT problem - das koennte man daran erkennen. Und dafuer gibt es dann auch einen workaround in dem genialen Mini-Howto.

No to censorship!!!
 
Halllo,

@tomdirac, vielleicht versuchst du es zuerst mal mit Shrew, ansonsten bleibt, wie frank_m24 schrieb, nur der OpenVPN auf der Box.
 
@doc456: Danke für den Hinweis auf "Shrew". War mir bislang nicht bekannt.

Vielen Dank für die die vielen hilfreichen Anregungen von den (meisten) Vorpostern - ich werde mich wieder melden sobald es Neuigkeiten gibt.

Gruß
Thomas
 
Problem gelöst mit OpenVPN binary, die auf dem USB stick der Fritzbox liegt. Das einzig kleine Problem das noch besteht ist, dass Programm automatisch zu starten.

Ich weiss, dass dazu ein Eintrag in die debug.cfg nötig ist, jedoch kann ich diese nicht editieren (ja, ich hab darüber im Forum gelesen die Methode mit cat debug.cfg > /tmp/blabla oder nvi). Die Datei scheint zu existieren ist aber leer und auch wenn ich sie überschreibe hat das keine Wirkung. Im Forum hat jemand berichtet dass ein aufspielen eines Pseudo Images das Problem für ihn gelöst hat. Woher bekomme ich das (die Webseite die hier üblicherweise dazu verlinkt ist, scheint down zu sein).

Grüße
 
Die Datei ist ursprünglich noch nicht einmal da. Du siehst nur den Platzhalter der Datei.
Also erzeuge diese erst einmal
"echo x > debug.cfg"
Danach kannst du diese herkömmlich per "nvi debug.cfg" editieren und Deine Ergänzungen hineinbringen.
 
Zuletzt bearbeitet:
Hallo,

Die debug ist immer nur ein Platzhalter, bzw nicht vorhanden.
Erzeugt wird sie mit "echo > /var/flash/debug.cfg"

Bleib beim "cat"
Code: 
cat /var/flash/debug.cfg > /var/tmp/debug.cfg
fülle sie via nvi mit deinen Anweisungen und dann mit cat zurück nach /var/flash und reboot der Box
 
Hallo ich weis ist schon ein sehr alter Beitrag. Allerdings fliege ich in 4 Wochen nach China. Geht die Fritzbox VPN inzwischen aus China. Hat da einer erfahrungen und Tipps?
 
Ich würde dir zu einem VPN-Service wie StrongVPN.com raten und dann OpenVPN verwenden. Bei StrongVPN kann man die IP-Adresse, den Port und die Verschlüsselung für den VPN-Tunnel fast beliebig einstellen. Allerdings ist StrongVPN nit kostenlos..funktioniert dafür aber in den meisten Fällen :)
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 740 (Mitglieder: 21, Gäste: 719)

Neueste Beiträge

Statistik des Forums

Themen
244,880
Beiträge
2,220,038
Mitglieder
371,605
Neuestes Mitglied
michaelwarwel
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück