Einseitiges VPN (DSlite->IPv4), bei FritzOS 7.27 Problem bemerkt

fibco

Mitglied
Mitglied seit
5 Jun 2004
Beiträge
288
Punkte für Reaktionen
4
Punkte
18
Hallo,
wollte gerade für eine Urlaubs-Fritz!Box fertig machen (Haus einhüten im Sauerland) und dazu (nicht wissend wie die Lage vor Ort genau ist) eine neue Fritz!Box 7490 erst mal von 6.60 auf 7.27 gebracht. Idee war, ein einseitiges VPN zur Fritz!Box 7590 (7.27, feste IP) zu Hause aufzubauen. Dazu:
  1. in der 7590 (=zu Hause) eine andere bereits bestehende und in dem Moment funktioniert habende(!) einseitige VPN-Konfiguration per Haken entfernen deaktiviert
  2. in 7490 und 7590 per Weboberfläche die neue Konfig (einseitig, wie eingangs geschildert; 'vpn halten' auf der Urlaubsbox aktiviert) angelegt, m.E.n. richtig angelegt
    -> Tunnel kommt nicht zu Stande , keine der Boxen zeigt etwas zu dem Tunnel im Ereignisprotokoll an :-(
  3. die neue VPN-Konfig per Haken entfernen deaktiviert und die andere zuvor funktionierende VPN-Konfig (vgl. 1.) wieder angehakt
    -> auch der zuvor funktionierende einseitig VPN-Tunnel kommt nicht mehr zu Stande :-((

    ==>> offenbar gar keine einseitigen VPN-Tunnel jetzt mehr möglich

Nun ratlos. Während ich dies schreibe, fällt mir ein, dass es mal das Phänomen gab, dass man erst unter Internet>Filter>Listen>Globale Fintereinstellungen erst was ein- und wieder ausschalten musste, damit VPN funktioniert. Gesagt, getan - ohne positives Ergebnis. Irgendwie scheint es auch, als ob per Weboberfläche nur die Eingabe(!) einer einseitigen VPN-Konfiguaration (mit leerer entfernter IP bzw 0.0.0.0) (mehr) möglich ist. An sich muss mich mich dringend um die umfangsreiche Reisevorbereitungen mit Pflegebett & Co kümmern und möchte nicht mehr viel Zeit mit dieser VPN-Sache der Fritz!Box verlieren. (für: 'mach es doch per .cfg-Dateien' fehlt mir leider jetzt die Zeit)

** Ergänzung 10.07.21, 14:37 Uhr **
Hatte ja nicht damit gerechnet, dass es nötig wäre bei einem simplen temporären 'Haken entfernen' an einer VPN-Konfiguration vorher ein Sicherung der kompletten FritzBox-Konfiguration anzulegen. Zum Glück hatte ich noch eine von vor zwei Monaten. Dabei zeigte sich:
  • beim Zurückspielen nach eigener Auswahl wurde die bis heute morgen funktionierene einseitige per Weboberfläche angelegte VPN-Konfig nicht zur Übernahme angeboten.
  • beim Zurückspielen der gesamten Konfiguration war die bewusste Konfig wieder da und dieser VPN-Tunnel steht wieder. Hurra!!
Nun offenbar klar, dass das Ziel per Weboberfläche im Moment nicht so einfach und unkompliziert zu erreichen ist wie ehedem. Schade, dass es zwischen 'einfach wie Fritz' und (wie ich höre) 'einwandfrei wie bei Lancom' nicht noch schlicht 'einfach und einwandfrei' (von AVM) gibt.


Hat jemand sachdienliche Hinweise zu der Sache hier mit dem einseitigen VPN, bitte?
Und mal generell einen Tipp, wo es wohl 'einfach und einwandfrei' gäbe, .... ?
 
Zuletzt bearbeitet:
Wie testest du die VPN Verbindung denn? Beide Boxen am gleichen Anschluss zu Betreiben wird vermutlich nicht funktionieren.
 
Ne, so blöde, bin ich nicht. Hab' zu Hause z.Z. noch Zugriff auf zwei unabhängige Anschlüsse.
 
Ich habe neulich auch ein einseitiges VPN eingerichtet, und zwar genau nach dieser Anleitung:
Das funktioniert, wenn man den Punkt 11 beachtet und den Haken nur bei der richtigen Fritzbox setzt, und zwar NUR bei der die keine öffentliche IP bekommt. Den Haken erst mal setzen und dann wieder wegnehmen führt zu unerwünschtem Verhalten.
Selbiges Problem gibt es seit einigen Firmwareversionen bei der Sip-Konfiguration, wenn man da einmal was in ein Feld geschrieben hat, das eigentlich leer bleiben soll (z.B. in das Feld Proxy-Server), bekommt man das nicht wieder weg bzw. nur, indem man die exportierte Konfig bearbeitet.
 
Die Anleitungs mag zu was Funktionierendem führen, beschäftigt sich aber nicht mit der Eingangs geschilderten Konstellation (die zuvor konfiguriertbar und funktionierend) war. Dass der Tunnel von der Box ohne öffentliche IP aus zu der Box mit selbiger aufgebaut wird und von Ersterer 'gehalten' wird, hab' ich natürlich berücksichtigt.
 
Zuletzt bearbeitet:
Falls es zeitlich noch reicht, wirf mal einen Blick auf die kopierfähigen Vorlagen hier bzw. dem folgend dort. Vergleiche diese mal mit dem Abschnitt in einer aktuellen *export-Datei, wo es ggfs. Unterschiede gibt. Aus der Erinnerung gab es mal Probleme mit dem Zusatz "editable=yes", was ein Sitftsymbol im GUI anzeigt. Ansonsten läuft das Vorlagenpärchen hier bis dato anstandslos auf 7490 und 7590 mit aktueller FW 7.27.
Falls Du Fernzugriff hast und 2FA vorsichtshalber ausgeschaltet ist, solltest Du das auchnoch aus der Ferne einspielen können mit der entsprechenden Sorgfalt vorab.
LG und guten Urlaub ;)
 
Falls es zeitlich noch reicht, wirf mal einen Blick auf die kopierfähigen Vorlagen [...] solltest Du das auchnoch aus der Ferne einspielen können mit der entsprechenden Sorgfalt vorab.
Das war ganz toll, dass Du mir die beiden URLs zum Pudels Kern :) durchgegeben hast. Dank!!

Allerdings mach' ich jetzt aus der Ferne nach der gemachten Erfahrung möglichst nix an der VPN-Konfig mehr. Die Fritz LAN-LAN-Kopplung per VPN wäre schon nett gewesen, für das essentielle reicht es im Moment schlicht vom Laptop aus 'ne VPN-Verbindung zur Fritzbox zu Hause aufzubauen.

Das nächste Problem im Urlaubskontext jetzt besteht drin, dass ich mit der dieser VPN-Verbindung (Laptop->FritzBox zu Hause) nun nicht ein eine andere zu Hause eingerichtete VPN-Verbindung komme (DSliteBox woanders->FritzBox zu Hause). So wie ich es sehe, lässt sich dies mit den Routing-Einstellungen der FritzBox (zu Hause, 7590, fw 07.27) nicht hinbekommen. Richtig?
Gern würd' mich mich täuschen ;-)

Am besten ich mach' zu dieser Frage ein separates Posting auf, hier zu finden.
 
Zuletzt bearbeitet:
[*]in der 7590 (=zu Hause) eine andere bereits bestehende und in dem Moment funktioniert habende(!) einseitige VPN-Konfiguration per Haken entfernen deaktiviert
Mal abseits der restlichen Thematik: Wozu macht man das? Es gibt überhaupt keinen Grund, eine vorhandene VPN-Einrichtung zu deaktivieren.
 
Das Deaktivieren entstand dadurch, dass die Weboberfläche es in der beschriebenen Ausgangssituation - offenbar fehlerbehaftet - nicht zuließ, einen 'einseitigen' VPN-Tunnel anzulegen. Dies war mit Freilassen der Eintragung der entfernten IP (bzw. 0.0.0.0) auf der 'nicht Halten'-Seite ja zuletzt möglich (natürlich den Halten-Haken nur am anderen Ende nicht vergessen). Beim Versuch, die Konfiguration abzuspeichern, kam die - hier nicht sinnvolle - Meldung, dass 'die' IP-Adresse bereits in Verwendung sei. Daher aus der damaligen Situation der Ansatz, eine solcherart eingerichtete andere Konfiguration eines anderes Tunnels zu deaktivieren. Was ja dann zeigte, dass eben gar nichts mehr einseitiges einrichtbar / aktivierbar war.

Dass Stichwort klassisches Konfigurationskuddelmuddel (kkk) kenne ich wohl. Allerdings brauche ich die sinnlose Zeitvernichtung, immer mal wieder etwas neu anzulegen, nicht! Durch das Posting von Peter Pawn im anderen Thread weiss ich nun, dass ich wohl im Grunde meines Herzens einen funktionierenden, performanten, einfachen und bezahlbaren VPN-Konzentrator will, der (auch) mit Fritz!Boxen zurecht kommt.
(hab' dazu einen neuen Thread aufgemacht)
 
Zuletzt bearbeitet:
Soeben habe ich ein einseitig initiertes LAN2LAN-VPN erstellt und es lief auf Anhieb ohne jegliches Problem.
(7590 7.27 hinter LTE-Router und 7490 7.27 an VDSL, eigene DynDNS-Adressen)

Meine zusätzliche Maßnahme ist - wie immer - die Einrichtung eines VPN-internen IP-Telefons, natürlich in der richtigen Richtung.
Das sorgt für das Halten bzw. den Restart des VPNs in der richtigen Richtung und zwar rechtzeitiger als die ICMP-Pakete vom "VPN-Verbindung dauerhaft halten"-Schalter. Diese kommen anscheinend regelmäßig so zu spät, dass sich ein Verbindungsversuch von der Public-IP-Box da reinmogeln kann und das ganze VPN u.U. für den restlichen Tag blockiert.

Die Verbindungsversuche von der Public-IP-Box aus zu verhindern, indem ich die entfernte IP leer lasse oder 0.0.0.0 setze, hatte ich mir vor langer Zeit abgewöhnt, da dies wie bei dir zuletzt gar nicht mehr funktionierte.
 
Bezweifele nicht, dass dies aus Werkseinstellungen heraus funktioniert. Aber das Leben besteht nicht nur aus Jungfräulichkeit :)
Wie oben: Brauche die sinnlose Zeitvernichtung, immer mal wieder mal etwas komplett frisch anzulegen, nicht!
 
Zeitvernichtung:
Dein #1 hat wahrscheinlich 3x so lange gedauert wie meine letzte VPN-Einrichtung.
 
Bestehende umfangreiche Abhängigkeiten und kurzfristig 'ne Ergänzung vor dem Urlaub ... das hast Du in Deinem Urteil berücksichtigt?
 
Sorry, aber ist da nicht - zumindest nach meinem Verständnis - irgendwas von Grund auf falsch konfiguriert? Normalerweise beeinflussen sich VPN nicht gegenseitig. Ich weiß auch ehrlich gesagt nicht, was so toll daran ist, ein VPN "einseitig" einzurichten. Aber vielleicht bin ich einfach ein zu kleines Licht, um das zu verstehen.
 
VPN "einseitig" oder ein VPN definiert von der Seite ohne public IPv4 aus zu starten, benötigt man ganz einfach zum Funktionieren des VPNs in Scenarien mit CGN, DSlite oder hinter Zwangs-Routern.
 
  • Like
Reaktionen: Dirk11
Aha. Ich bin bisher davon ausgegangen, dass das unwichtig sei, weil das via myfritz.net nicht von Bedeutung sei. Aber ich habe auch keine DSLite-Standorte.
 
MyFritz kann zwar die MyFritzDynDNS-IPv6-Adresse aktualisieren, doch das hat nur beim HTTPS-Zugriff per IPv6 irgendeinen Nutzen.
Das prinzipiell veraltete IPsec/IKEv1-VPN in der AVM-Fassung macht aber kein IPv6 und wird auch nur noch von einer handvoll Nicht-AVM-Gegenstellen und noch weniger Clients unterstützt.
 
  • Like
Reaktionen: Dirk11
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.