7590 und VPN

H

HappyGilmore

Guest
Habe in meinem Urlaub ein Problem festgestellt und möchte erfahren ob es ein grundsätzliches Problem ist oder ein Konfigurationsfehler.
Zum Problem.
Ich reise gern und viel. Jetzt ist mir folgendes aufgefallen. Ich war in Spanien und habe mich mit meinem Smartphone im Netz von Moviestar registriert. Dann habe ich die MyFritz-App gestartet und wollte eine VPN Verbindung zu meiner Fritzbox 7590 aufbauen. Die Verbindung wurde auch erfolgreich aufgebaut. Jetzt das große Aber. Ich hatte keinen Zugriff auf meine Kameras, mein NAS und auch nicht auf die Fritzbox selber.
Gut dachte ich. Habe ja noch manuell ein VPN-Profil für mein Smartphone eingerichtet. Also in den Einstellungen von Android 11 eine VPN-Verbindung aufgebaut. Diese wurde erfolgreich hergstellt. Im Chrome-Browser die IP der Fritzbox eingegeben. Verbindung fehlgeschlagen. Weder die Fritzbox, noch die Kameras oder das NAS sind erreichbar. Eine Verbindung über die direkte Eingabe der MyFritz-Adresse ging auch nicht. Das Gleiche im Netz von Orange.
Jetzt behaupte ich das es nicht an meiner Konfiguration der Fritzbox, des Smartphones oder der VPN-Verbindungen liegt. Warum?
Mein vergangenener Urlaub in Österreich (Netz Magenta). Keine Probleme. Fritzbox, NAS, Kameras erreichbar, ja sogar telefonieren über FritzFon möglich.
Urlaub in Ägypten (Netz Orange oder Ethisalat). Keine Probleme. Urlaub in Dubai (Netz Ethisalat). Keine Probleme. Urlaub in Australien (Netz Telstra). Keine Probleme. In jedem Land hat die Verbindung einwandfrei funktioniert.
Nur eben in Spanien nicht. Wieder Zuhause angekommen konnte ich im Ereignisprotokoll die erfolgreich aufgebauten VPN-Verbindungen sehen.
Wie sind eure Erfahrungen mit VPN-Verbindungen aus dem spanischen Mobilfunknetz?
 
Vielleicht sperren die benöigte Ports?
Ging es nachher wieder von selbst nachdem du aus Spanien raus warst (also noch bevor du zuhause die Logs angesehen oder Neustart vollzogen hast)?
 
Vielleicht sperren die benöigte Ports?
Sicherlich nicht, da LAN2LAN -zumindest aus meiner "Kanarensicht"- funktioniert. Zudem wäre sicherlich ein Aufschrei durch die Foren geschwappt, falls Movistar exklusiv VPN-Ports für DE-Urlauber sperrte.
Ich tippe eher auf ein Config-Problem, was sich auf FB-Benutzer-Ebene eingeschlichen hat.
Gerade wenn die MyFritz-APP und MyFritz als DynDNS-Service ins Spiel kommen, bin ich skeptisch ob
Jetzt behaupte ich das es nicht an meiner Konfiguration der Fritzbox, des Smartphones oder der VPN-Verbindungen liegt.
so vollumfänglich zutrifft ;)
Für eine Unterstützung ist es ja eigentlich selbstredend Usus, den sinnvoll anonymisierten VPN-Abschnitt einer Export-datei in Code-Tags anzufügen und den FW-Stand der 7590/MyFritz-APP-Ver. mit anzugeben.

Wenn ich allerdings
Diese wurde erfolgreich hergstellt
lese, verdichtet sich bei mir der Verdacht, dass der eingerichtete VPN-User -u.a. auch die "APP"- nicht ausreichend Zugriffsrechte besitzt und die config selbst OK ist.
LG
 
Mein aktueller Stand bei der aktuellen MyFritz-App 2.17.2 und dessen VPN-Verbindung:
  1. Die App richtet zwei App-User ein: MyFRITZ!App (Google Pixel ..) und FRITZ!App Smart Home (Google Pixel ..)
  2. Die Anmeldungen der App MyFRITZ!App (Google Pixel ..) und ... am FRITZ!Box FTP-Dienst von IP-Adresse ... werden im Log angezeigt.
  3. Bug?: Der VPN-Status wird zu keinem Zeitpunkt grün.
  4. Bug?: Dieses "VPN" kann bei mir weder von Chrome, von VLC noch von der Tasmota-App mitgenutzt werden (mehr habe ich nicht getestet), um auf die Fritzbox oder angeschlossene Geräte zu gelangen!
Die MyFritz-Verbindung hat bei der Telekom überhaupt erst funktioniert mit der (bekannten) Umstellung des APN auf internet.telekom anstatt internet.v6.telekom und APN-Protokoll IPv4 anstatt IPv4/IPv6.
 
Zuletzt bearbeitet:
Ich habe das gerade mal mit derselben
aktuellen MyFritz-App 2.17.2
probiert mit einem Xiaomi POCO F2 PRO (Android 11) mittels 1und1-D2-Netz.
Die APP selbst baut kein VPN auf. (Mit der alten Version 2.15.x) soll das noch gehen.
Die APP schafft es zwar über die MyFritz-Adresse eine Verbindung herzustellen, nur ist das ein Fernzugriff, der das Heimnetz und somit LAN/WLAN-Clients aussperrt und nur GUI, SMART-Home-Devices und FB-NAS (intern+USB) freigibt.

Richtet man/frau eine korrekte VPN-Verbindung ein und aktiviert diese, hat man vollen Zugriff -auch auf das Heimnetz-

Ich kann daher Meldungen wie z.B. diese nicht teilen. Btw. sollte man auch im Hinterkopf behalten, dass Browser ggfs. mit der GUI-IP und fehlendem Zertifikat meckern bzw. die Verbindung als unsicher ansehen und ablehnen.

LG und ein spanisches Mobilfunkproblem würde ich eher ausschliessen.
 
Zuletzt bearbeitet:
nur ist das ein Fernzugriff
Und warum wird dieser Zugang nach dem Aktivieren von "ZUGRIFF AUS DEM INTERNET" unter "VPN-Verbindungen zur FRITZ!Box" angezeigt und befindet sich im Abschnitt "vpncfg"? Das passt nicht wirklich zu einem HTTPS-Fernzugriff.
 
"nicht grün" hatte ich bereits erwähnt. Und dass beim Heimnetz-Zugriff der MyFritz-App kein VPN-Schlüssel-Symbol auf meinem Smartphone erscheint, lässt tatsächlich auch was anderes als VPN vermuten. Zumindest kann man davon ausgehen, dass AVM nicht den Standard-VPN-Client von Android benutzt.
Prinzipiell ist es aber auch nicht die Aufgabe der AVM-App ein allgemein nutzbares VPN zu bauen, solange Android 11 noch VPN-Protokolle mit Leichengeruch unterstützt.
 
Moinsen


Die MyFRITZ! APP 2 kann ich persönlich nicht mehr für VPN empfehlen.
Das mag damit zusammenhängen, dass Smartfons/Tablets Heutzutage die mit 4G/LTE SIM und aktivierten erweiterten LTE (VoLTE) und VoWiFi auch VPN nutzen und dadurch eine gegenseitige Störung auftreten kann.
Auf so einen Gerät nutz ich daher das eingebaute VPN des Smartfons/Tablets.
Und wer dann zufällig noch die MyFRITZ! App öffnet, der sieht dann...
Screenshot vom SmartfonScreenshot_20210927-183208.png
 
  • Like
Reaktionen: Micha0815
Mh, es ist eher AVM, die ein altes VPN-Protokoll verwenden.
Das fängt schon damit an, daß unbedingt eine öffentliche IPv4-Adresse vorhanden sein muß - die meisten dt. Provider vergeben eine solche Adresse - wenn überhaupt - nur gegen Aufpreis, da der IPv4-Pool praktisch "aufgebraucht" ist.
Wäre schön, wenn VPN auch mit IPv6 gehen würde ...
 
@Grisu_ In heimischen Gefilden angekommen hat die Verbindung und der Zugriff auf meine Heimnetzkomponenten über das Mobilfunknetz wieder funktioniert. Sowohl über die MyFritzApp als auch über das manuell angelegte VPN-Profil.

@Micha0815 Ich kann deinen Einwand nachvollziehen. Aber wie erklärst du dir, das es das Problem nicht nur mit der Verbindung über Moviestar gibt sondern auch über Orange?
Oder warum habe ich keine Probleme wenn ich mit der gleichen Konfiguration aus Ägypten, Australien oder wie zuletzt auch Österreich keine Probleme habe? Ich konnte auf meine Kameras zugreifen, auf mein NAS und auch die Anmeldung der FritzFon App und die Telefonie darüber haben problemlos funktioniert. An der Hardware hat sich nichts geändert. Einzig die Firmwarestände der Fritzbox die aktuell bei 7.28 liegt. Und warum funktioniert alles wenn ich wieder im deutschen Mobilfunknetz bin?
Nun gut. In nächster Zeit befinde ich mich nicht mehr in Spanien und so sollte es für mich auch kein Problem mehr sein.
[Edit Novize: Gelöschten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]
 
Zuletzt bearbeitet von einem Moderator:
Alles vor Spanien ist in der Vergangenheit mit vermutlich ständig anderen MyFritz-App-Versionen.
Die hatte mal ein VPN für alle/alles gemacht, dann gar keines mehr und jetzt nur noch ein exklusives.

In Spanien würde es genügen, dass dein Smartphone beim Roaming(?) IPv6 only macht und schon ist es vorbei mit dem IPv4-only-VPN von AVM.
Aber dass dieselbe App-Version mal zugreifen kann und Browser etc. nicht und danach beides doch, ist extrem schwierig bis gar nicht erklärbar.
 
@HappyGilmore
Vielleicht hast du unbewusst fail2ban installiert mit dem ip Bereich aus spanien?
 
Zähle ich
Aber wie erklärst du dir, das es das Problem nicht nur mit der Verbindung über Moviestar gibt sondern auch über Orange?
und
als auch über das manuell angelegte VPN-Profil.
zusammen, liegt es m.M. nach an dem Roaming-Verhalten Deines DE-Providers und nicht an den native Mobilfunknetzen in Spanien. Mit einer lokalen PrePaid-SIM hättest Du mutmasslich kein Problem gehabt.

@Docmarten. der imho von Malle nach DE eine konstante LAN2LAN-VPN mittels LTE-Stick+7590 unterhält neben vielen n.n. Sommer-Touris, hätten diese ansonsten längst Alarm geschlagen.

Sogesehen solltest Du vorab Deinen DE-Mobilfunkanbieter kontaktieren und das Phänomen hinterfragen.

Gerade im heimischen Kundenmenue oder auch Android, lässt sich ggfs. Telefonie und Data separat roamen.
Da ich mit der 3G-Abschaltung in ES und 5G-Aufrüstung nicht auf dem Laufenden bin, könnten vertragliche Restriktionen bzgl Speed+LTE/3G da im Roaming etwas verwürfelt haben.

Hattest Du @HappyGilmore denn neben VPN auch mit "normalem Internet" im Movistar- und Orangenetz Probleme ... ggfs. Fallback auf 2G/EDGE?

LG
 
Vielleicht hast du unbewusst fail2ban installiert mit dem ip Bereich aus spanien?
Was habe ich installiert???
Hattest Du @HappyGilmore denn neben VPN auch mit "normalem Internet" im Movistar- und Orangenetz Probleme ... ggfs. Fallback auf 2G/EDGE?
Nein. Immer Vollauschlag LTE.

Ist jetzt auch nicht mehr so tragisch. Primär ging es mir um die Kameras. Habe, was ich bis hier noch unterschlagen mit der App des Kameraherstellers Zugriff auf die Kamerabilder gehabt. Dort wird die Verbindung aber ja auch anders hergestellt.
Nun gut. So schnell bin ich jetzt auch nicht mehr in Spanien denn mein nächster Urlaub geht nach Down Under.
[Edit Novize: Gelöschten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]
 
Zuletzt bearbeitet von einem Moderator:
...wenn über das Mobil Netz auf das VPN zugegriffen wird, ist der Fehler sehr wahrscheinlich
IPV4 vs IPV6. Ich habe auch folgende Konfiguration: FB 7590 mit VPN (egal mit welcher VPN App oder Handy z.B. Wireguard).

Habe ich z.B. im t-mobile Netz den ipv6 APN im Handy aktiv stellt das VPN eine Verbindung her, es laufen aber keine Daten, genau wie beim Problem hier von HappyGilmore. Stelle ich den APN aber auf ipv4 um funktioniert alles 1a.

Das selbe Spiel auch im EU Roaming in den Niederlanden, es gibt als Standard eine ipv6 und damit läuft das VPN
nicht, nach umstellen auf ipv4 APN im Handy geht´s.

Im Ausland kann es aber sein, das Dienste wie Sprachtelefonie nur mit ipv6 laufen (VOLTE)

für t-mobile Netz hier hier die APN:
 
Erfolgt von einer IPv6-Adresse aus ein Zugriff auf eine (öffentliche) IPv4-Adresse einer FRITZ!Box, MUSS ja irgendein Service zum Umsetzen der Adressierung involviert sein - üblicherweise ein AFTR-Server (Address Family Transition Router) beim jeweiligen Provider, der zur IPv6-Adresse gehört. Da hierbei zusätzliche Daten dem zu übertragenden Inhalt hinzugefügt werden (müssen), dürfen solche Pakete nicht bis zum letzten verfügbaren Byte gefüllt werden, da durch den zusätzlichen "Tunnel" die MTU-Size (Maximum Transmission Unit) geringer ist. Sind die Pakete zu groß, müss(t)en sie noch einmal zusätzlich fragmentiert werden (also in zwei "Portionen" übertragen werden) und das funktioniert bei VPN-Paketen nicht, denn deren Integrität wird zusätzlich gesichert, so daß sie auf dem Weg zum Empfänger nicht verändert werden DÜRFEN. Ein Verbindungsaufbau (IPSec Phase 1 und ggf. sogar noch Phase 2) ist dabei dann immer noch möglich (wie hier beobachtet), wenn dabei keine Pakete verwendet werden, welche die (reduzierte) MTU-Size bereits überschreiten.

In diesem Falle hilft meistens (weil der Mechanismus der "PMTU discovery" für VPN-Verbindungen eher selten gut funktioniert, die Gründe dafür sind vielfältig), wenn der verwendete Client explizit die Einstellung der MTU-Size erlaubt - selbst wenn sich diese Einstellung auf den Netzwerkadapter des OS und damit ggf. auf alle gesendeten Pakete auswirken sollte und nicht nur auf VPN-Traffic.

AVM schafft es zwar, im FRITZ!OS die MTU-Werte entsprechend zu verringern, wenn die passenden Internet-Einstellungen vorhanden sind (z.B. hier "besprochen": https://www.ip-phone-forum.de/threa...richtung-ds-lite-standort.310971/post-2440676) und die Box selbst "weiß", daß sie an einem Anschluß hängt, wo IPv4-Adressen nur über einen AFTR-Service erreichbar sind ... aber für die "Gegenrichtung" gibt es da keine (saubere) Möglichkeit der Erkennung.

Das Einzige, was AVM da per se machen könnte (meinetwegen auch nur über einen zusätzlichen Parameter beim Konfigurieren einer Verbindung), wäre es, wenn man generell im VPN die tatsächlich bei der Übertragung mögliche Größe der Datenpakete nicht ausreizt und (innerhalb der VPN-Verbindung) für alle Pakete, die einen Schwellwert überschreiten, IMMER eine entsprechende ICMP-Message an den Absender (durch den (VPN-)Tunnel, also auch in jedem Falle per IPv4) schickt, die diesen dann veranlassen sollte (zumindest für IP-Pakete) die MTU entsprechend herunter zu schrauben. Da solche ICMP-Pakete auch klein genug sind, um mit zusätzlicher Kapselung noch den Absender zu erreichen, verlöre man auf diesem Weg zwar etwas vom möglichen Datendurchsatz, dafür funktioniert die VPN-Verbindung dann aber auch wieder ... und da diese ICMP-Pakete dann auch selbst wieder verschlüsselt wären, sollten sie auch die Router auf dem Weg problemlos passieren können, die solche ICMP-Pakete ansonsten auch gerne mal unter den Teppich kehren.

Solche MTU-Probleme lassen sich i.d.R. auch mit dem ping-Kommando eines OS verifizieren, wenn dieses Optionen für die Festlegung der Paketgröße und die Verwendung des don't fragment-Flags bereithält - denn bei MTU-Problemen sind üblicherweise nur die Verbindungen nicht möglich, welche die max. mögliche Paketgröße auch tatsächlich ausreizen (z.B. HTTP oder RDP), während andere (ICMP, Terminal-Programme, etc.) durchaus funktionieren können, solange sie die (verschobene) Grenze bei der Paketgröße nicht überschreiten.

Jedenfalls ist die MTU-Size eines der bekanntesten (und am schwersten "allgemeingültig" zu lösenden) Probleme im Zusammenhang mit VPN-Verbindungen ... und das gilt auch nicht nur für das von AVM verwendete IPSec-Protokoll mit IKEv1. Alleine die Suche mit "MTU+VPN" bei Google liefert über 2 Mio. Ergebnisse - und die häufigsten "Lösungen" schlagen dann auch vor, die MTU-Size auf der Server-Seite(!) passend einzustellen. Nur funktioniert das bei FRITZ!Boxen am (vollwertigen) IPv4-Anschluß eben nicht, weil AVM dafür keinen Parameter vorgesehen hat. Zwar könnte man das auch noch auf den jeweiligen Servern im Heimnetz einstellen, deren Dienste man per VPN nutzen will ... nur wenn dieser Dienst auch noch auf der Box liegt (z.B. das GUI bzw. TR-064 mit einer AVM-App), dann bringt auch diese Option nichts.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,295
Beiträge
2,249,591
Mitglieder
373,893
Neuestes Mitglied
Kukkatto
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.