[Gelöst] bekannter Bug bei VPN?

[DJB]

Habe gerade meine "neue" FRITZ!Box 4020 konfiguriert.
(hinter vorhandenem Router).
Benutzer angelegt, VPN angehakt und im Router Portweiterleitung UDP 4500 / 500 gemacht.

Dann mit iPhone VPN getestet, funktioniert...
d.h. kompletter Verkehr wird über die FritzBox geschoben...

aktuelle Einstellungen sind "Zugang für vorhandenen Router/Kabelanschluss"
Die FritzBox bekommt ihre externe IP über den WAN-Port vom Internetrouter über DHCP (Subnetz 192.168.1.x).
Selber vergibt sie für ihre Clients IP-Adressen im LAN im Bereich 192.168.178.x. Soweit so gut....


Jetzt zum Problem:
Sobald ich den IP-Adressbereich und damit auch den DHCP Bereich in der FritzBox von 192.168.178.x auf z.B. 192.168.200.x ändere, bekomme ich zwar über VPN noch eine Verbindung zur FritzBox hin, aber komme nicht mehr ins Internet.

Mir scheint es so, als wenn da mit den Routing Einstellungen was nicht passt. Kann das jemand nachvollziehen bei sich?

Ich habe auch nach der Änderung der IP/ des DHCP Bereichs mal einen neuen Benutzer angelegt und eine neue VPN-Verbindung im Client. Erfolglos.
Ich bekomme erst wieder Internet im VPN Client, wenn ich die IP-Adresse der FritzBox wieder auf 192.168.178.1 stelle...

 

[chilango79]

Erst umstellen, dann VPN konfigurieren. Auf beiden Geräten

 

[Pokemon20021]

es ist kein Bug!

Bei Netz-Umkonfiguration ist natürlich auch die vpn.cfg anzupassen

vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "My_Name";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.[B][COLOR=#0000ff]178[/COLOR][/B].201;
remoteid {
key_id = "My_Name";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "topsecret";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
use_cfgmode = no;
xauth {
valid = yes;
username = "my login";
passwd = "mypass";
}
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.[B][COLOR=#0000ff]178[/COLOR][/B].201;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 0.0.0.0 0.0.0.0 192.168.[B][COLOR=#0000ff]178[/COLOR][/B].201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

d.h. Sicherung (Export Datei) erstellen und vpn.cfg extrahieren, blau markierte Stellen anpassen und vpn.cfg wieder importieren; das war's.

 

[thtomate12]

Naja, es ist schon irgendwie ein Bug, wenn man zwei Funktionen ganz normal über die GUI nutzt, sollte man nicht einmal in den Configfile abtauchen müssen.

 

[DJB]

Danke, wollte es nur bestätigt wissen.
Weiß jemand ob AVM das schon weiß oder man es melden kann/sollte?

Als normaler User würde ich ja damit rechnen, dass die VPN Config automatisch nachgezogen wird.

Offen ist natürlich die Frage, warum ein nach der IP-Änderung angelegter Benutzer auch nicht richtig geroutet wird...

 

[Pokemon20021]

oder man es melden kann/sollte?

Ja, Bitte Ticket bei AVM hierzu eröffnen, und Ticket-Nr hier einstellen,
so dass das Problem nachvollzogen werden kann und niemand sagen kann das ist nicht bekannt.

 

[DJB]

Ticket ist erstellt. ich habe diesen Beitrag auch verlinkt, falls AVM mitliest und ihr noch Ergänzungen habt.

@Pokemon20021: Verrat mir bitte mal in welchem Menü ich die vpn.cfg importieren könnte...

 

[Pokemon20021]

@Pokemon20021: Verrat mir bitte mal in welchem Menü ich die vpn.cfg importieren könnte...

Menü >> Internet >> Freigaben >> [VPN] >> VPN-Verbindung hinzufügen.

Ticket ist erstellt.

was spricht dagegen, die Ticket-Nr. hier zu posten ?
dann können andere User sich ggf. darauf beziehen.

 

[DJB]

Ich kann es nicht mehr nachvollziehen... nach etwas Mail-Ping-Pong mit dem Support, habe ich noch mal die Firmware-Neu aufgespielt (50er) (Auslieferung war .27), Werkseinstellungen geladen und noch mal alles neu eingerichtet.
Ich weiß nicht woran es lag, aber jetzt klappt es auch unabhängig vom internen IP-Bereich.
Vielleicht lag es am Fernzugriff auf die Benutzeroberfläche über WAN, das ist das Einzige was ich bei der Neukonfig anders gemacht habe.

Na ja... ich werde es nicht rausfinden.
Danke euch trotzdem.