.titleBar { margin-bottom: 5px!important; }

FB7170 und VPN, die hundertste

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von jheusler, 15 Dez. 2008.

  1. jheusler

    jheusler Neuer User

    Registriert seit:
    15 Dez. 2008
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    45481 Mülheim an der Ruhr
    Hallo, liebe Forenleser. Bin ganz neu hier und versuche mal, mich nicht allzu unbeliebt zu machen ;-)
    Ich habe die Foren mit der SuFu durchstöbert, aber nicht die Antworten auf meine Fragen gefunden, die ich suchte.
    Drum entschuldigt, falls das hier schon iwo beantwortet wurde. Mea culpa.

    Vorhaben:
    Einwahl von "draußen" in ein bestehendes Netzwerk hinter FB7170
    Ziel: Nutzen einer Applikation, welche Netzwerklizenzen benutzt.
    Problem:
    VPN da und doch nicht ;-) siehe unten

    Vorhandenes Netzwerk mit FB 7170 und Adressraum 192.168.178.x
    FB hat die .1 (werkseinstellung)
    Die anderen Rechner werden per DHCP mit IP versorgt. Alle "internen" Rechner können auf das Netzwerk zugreifen wie es sein sollte ;-)


    In der FB wurde DNS eingerichtet (dyndns.org) und es ist ein Account vorhanden. Die FB teilt ihre Adresse korrekt mit und ein ping von beliebigem Rechner außerhalb des Netzwerkes auf die xxx.dyndns.org funktioniert. Dies schließe ich als Fehler also schon mal aus. Ich gehe also davon aus, daß die Fritzbox korrekt eingerichtet ist.
    Mit Fritz!Fernzugang einrichten habe ich zwei Konfigs erstellt, von denen ich eine in die Fritzbox eingelesen habe und dort in der GUI auch den Fernclient sehen kann als eingetragen mit Adresse etc.

    Mit Fritz!Fernzugang auf dem entfernten PC habe ich die zweite Konfig eingelesen und kann dort auch per Telefonhörer eine Verbindung aufbauen.
    Der zweite Rechner hängt für den INET-Zugang ebenfalls hinter einer FB, aber im anderen Adressraum (192.168.10.x)

    Wenn ich nun auf dem entfernten PC eine Verbindung aufbaue, steht dort, daß die Verbindung aktiv ist und auf der Fritz im eigenen Netz sehe ich in der GUI ebenfalls, daß dieser entfernte PC verbunden ist (mit seiner INET-IP und der lokal vergebenen IP). Die Fritz vergibt "ihm" eine IP (192.168.178.201) und bestätigt mit einem grünen Symbol, daß er verbunden sei.

    Ein Ping auf die INET-IP des entfernten PC funktioniert. Auf seine lokale (x.201) allerdings nicht.
    Auch vom entfernten PC aus funktioniert ein Ping nur auf die INET-IP der Fritz (identisch mit der xxx.dyndns.org-adresse ;-)
    Die Fritz selber kann mit 192.168.178.1 vom entfernten PC nicht erreicht werden, obwohl die bestehende VPN-Verbindung ja von beiden Seiten als aktiv bestätigt wird.
    Ein "ipconfig /all" zeigt auf dem entfernten PC auch nur seine eigene interne IP an (192.168.10.x)

    Entfernter PC: Windows 2000 per LAN an eine Fritz angeschlossen. Symantec Internetschutz installiert, der bei Verbindungsaufbau auch einmal nachfragt, ob er die Verbindung zulassen soll (91.x.x.x.:4500 UDP), was mit JA bestätigt wird. Also sollte Symantec nicht mehr blocken. -> VPN besteht ja angeblich auch laut Anzeige von Fritz!Fernzugang und Fritz-GUI hier.

    zunächst mal die Frage:
    Sollte der externe PC nicht auch zusätzlich eine weitere IP bekommen, die dem Adressraum hier entspricht ? Also 192.168.178.x zusätzlich zu seiner bestehenden 192.168.10.x ???

    Es wurde keine "weitere" Verbindung aufgebaut, wie unter Netzwerk-Verbindungen-Neue Verbindung... etc., wo man ja auch VPN eingeben kann über Microsoft(?)-Bordmittel.

    Reicht diese Art der Verbindung aus ? Oder wo könnte das Problem liegen ?
    Firewall wie gesagt sollte das Problem nicht sein.
    Laut googlen und Forensuche muß ich auch in der FB hier nichts weiter einstellen, also keine zusätzlichen Portfreigaben oder ähnliches ?
    Den Schritten im AVM-Portal bin ich ausgiebig gefolgt.
    Die beiden IP-Adressräume der Fritzen stimmen NICHT überein usw. usw.

    Mit lieben Grüßen und voller Hoffnung auf kompetentere Ideen

    Jörg Heusler
     
  2. jheusler

    jheusler Neuer User

    Registriert seit:
    15 Dez. 2008
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    45481 Mülheim an der Ruhr
    zu hülf

    ob mein text wohl zu lang war ? oder keiner eine idee ?
    wenn gewünscht, kürze ich den auch ;-)

    mal ganz lieb nach oben gesetzt, ob jemand vllt, ne idee hat *nerv*

    sorry for inconvenience
     
  3. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,677
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Hallo,

    lies mal hier, aber Ausführen könntest du das Prog nur mittels VNC oder Remote Desktop, gell! ;)

    PS: Willkommen im Forum! :)

    PSS: "Schieben" ist laut Forenregeln erst nach 24h erlaubt! Denk dran! ;)
     
  4. jheusler

    jheusler Neuer User

    Registriert seit:
    15 Dez. 2008
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    45481 Mülheim an der Ruhr
    #4 jheusler, 15 Dez. 2008
    Zuletzt bearbeitet: 15 Dez. 2008
    Danke für die freundliche Aufnahme

    Hallo, Doc456.
    Danke für die freundlichen Aufnahme und den (hoffentlich) lieb gemeinten Hinweis ;-)
    Werde versuchen, mich den Regeln des Boards entsprechend zu verhalten.

    Bin mal Deinem Link gefolgt.
    Mittels Remote oder VNC wäre eine Verbindung sicherlich hinzubekommen, wobei ich befürchte, daß die Konfiguration dann etwas komplizierter werden würde, da ich auf einen bestimmten Rechner zugreifen muß, der hinter der Box hängt. Aber dann auch nur die Verbindung per Remote.

    Das Ziel ist eigentlich, den entfernten Rechner korrekt ins Netzwerk einzubinden, da eine Netz-Applikation dahinterhängt.
    Das heißt, ich benötige eigentlich auf dem entfernten Rechner eine korrekte IP, die meinem Adressraum hier entspricht, denke ich mal so ;-)

    Mein Adressraum hier ist ja 192.168.178.x.
    Der des entfernten PC lautet anders (in dem Fall 192.168.10.x, was aber egal sein dürfte (?))
    Meine Fritz erzählt mir ja, der entfernte Rechner sei verbunden und habe auch eine IP (192.168.178.0/24), bzw. 192.168.178.201
    Auf dem entfernten Rechner bringt aber ein Ping nur einen Schuß ins Leere, d.h. ziel nicht erreichbar.
    Die 192.168.178.x wird von dort nicht erkannt, obwohl auch die dort laufende Software Fritz!Fernzugang sagt, es bestehe eine Verbindung.
    Das mit dem use_nat = yes habe ich schon ausprobiert, nachdem ich in einem anderen Bericht darauf gestoßen war. Sogar schon vor meinem ersten Post. Ich habe ja brav die SuFu benutzt ;-) ;-) :D

    Die Software, um die es hier geht (weshalb ich das VPN brauche) wird auf jedem einzelnen Rechner lokal installiert. Der Zugriff auf die Lizenz zum Starten hängt an einem HAPS-Dongle (www.aladdin.de), der voraussetzt, daß die Rechner, die sich eine Lizenz holen, im gleichen IP-Adressraum sind.
    Also starte ich entsprechend die Software auf dem entfernten Rechner und dieser holt sich quasi nur die "Lizenz" vom Server hier ab.
    Sprich, die Software wird "dort" gestartet, nicht "hier" ;-)



    Was kann ich tun ? Braucht ihr mehr Informationen ?
    Oder ein hübsches Bildchen mit den Infos drauf ?

    Liebe Grüße
    Jörg
     
  5. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,677
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Schau dir in der Fernwartung die jeweiligen cfg-Files in Bezug auf die IP-Adressen an.

    Jedoch wage ich zu Bezweifeln, das es überhaupt mit dem Dongel funktioniert, denn z.B. bei der DATEV wird der AVM-Access-Server für dein Szenario genutzt und das wird schon seinen Sinn haben.
    Ich denke nicht, das die Lizenz bei der Fernwartung-VPN durchgereicht werden wird.
     
  6. birnenkind

    birnenkind Mitglied

    Registriert seit:
    28 Apr. 2007
    Beiträge:
    222
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
  7. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    dass man die 178er Netze nicht verwenden soll gilt nur für LAN-LAN Verbindungen. Bei Client-LAN Verbindungen ist es egal.

    Ich vermute ein Problem mit einer Firewall, entweder auf dem entfernten PC oder im LAN des VPN Servers. Port 4500 UDP ist ja nur NAT-T und damit nur für einen Teil des Verbindungsaufbaus zuständig. Da fehlt mindestens noch Port 500 UDP für IKE und zusätzlich das Protokoll ESP für die Datenübertragung. Andere berichten davon, dass man die Dienste und Programme des AVM Fernzuganges komplett freigeben muss in den Firewalls.
     
  8. jheusler

    jheusler Neuer User

    Registriert seit:
    15 Dez. 2008
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    45481 Mülheim an der Ruhr
    portfreigaben für vpn

    @frank
    Öhem, Ja, ok.
    Die Portfreigabe werde ich mal prüfen.
    Also 500 hinzufügen. Wobei ich bisher davon ausgegangen bin, wenn Fritz in the box schon VPN anbietet und man es aktiviert, daß es dann auch alle Ports freischaltet, die für die AVM-eigene Software (Fritz!Fernzugang) nötig sind. *grübel*
    Bitte was ist IKE ?
    Und Protokoll ESP sagt mir bisher auch noch nichts. Darf ich davon ausgehen, daß die Fritz das Protokoll selber kennt ? Oder ist das sooooo Standard, daß sie es auf jeden Fall hat ? Neue Protokolle werde ich meiner Fritz kaum beibringen können, befürchte ich :noidea:

    @birnenkind
    danke für die info. siehe frank's beitrag ;)

    @doc
    laut unserem software-lieferanten geht es auf jeden fall mit dem dongle, wenn das VPN funzt. Sie praktizieren es selber auch inhouse, können bisher aber leider auch net helfen. Und laut Dongle-Hersteller muß es auch funktionieren mit dem Dongle.

    Aber vorrangig bekomme ich nicht mal die Fritz angepingt vom entfernten PC.
    Die VPN steht laut Box-GUI UND Fritz!Fernzugang !!!
    *grübel*

    Könnte es möglicherweise an den Einstellungen im dyndns.org liegen ?
    Vielleicht dort irgendwo eine Firewall, die bestimmte Ports sperrt oder sonstiges ? Dachte bisher, die dyndns.org gibt nur die nummer bekannt und leitet filterfrei weiter ?
    Könnte das ein Ansatz sein ?
    *grübel*

    Pings sowohl auf xxx.dyndns.org als auch direkt auf die Teleclown-IP funktionieren. Nur der Ping auf das "lokale" 192.168.178.x-Netz net.

    :noidea: :noidea: :noidea:

    Liebe Grüße,
    Jörg, der gleich aus Verzweiflung mit dem Fön baden geht ;)
     
  9. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,677
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Hallo,

    nun zu IPSec (mit IKE/ESP) guckst du hier und ja, die Box kennt IPSec und nein, bei dyndns wird nur die IP geroutet, sonst nix.

    Der Fehler muß bei dir ( wie Frank schon gesagt hat ) im Netz liegen.
    Und nochmal, lass den Parameter in allen cfg's der Fernwartung auf

    use_nat = yes

    stehen, bzw. kontrolliere die Config's darauf hin.

    BtW, du scheinst ja die Aufgabe ja noch nicht lange inne zu haben...
     
  10. jheusler

    jheusler Neuer User

    Registriert seit:
    15 Dez. 2008
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    45481 Mülheim an der Ruhr
    VPN und IKE

    @doc
    Danke erstmal.
    Ich lasse die Anspielung auf die Dauer meines Jobs mal unter den Tisch fallen ;)

    Die Einstellungen nat = yes werde ich schön brav so lassen, jawoll ;)

    OK. Das mit IPSec war mir bekannt, nur die Abkürzung für den Key Exchange IKE nicht. Mache den Job noch nicht so lange *lach*

    OK. Back to subject:
    In den Eigenschaften der Netzwerkverbindung (Windows 2000/XP) unter TCP/IP-Protokoll - Erweitert - Optionen - IPSec
    steht bisher "IPSEC nicht verwenden"
    Kann es damit zu tun haben ?
    Ich gehe mal davon aus, daß, wenn VPN über Fritz IPSec voraussetzt, daß ich dann dort ein "IP-Sicherheitsrichtlinie verwenden" einstellen muß ?
    Liege ich da richtig ?
    Wenn ja:
    a) Client (nur Antwort)
    b) Server (Sicherheit anfordern)
    c) Sicherer Server (Sicherheit erforderlich)

    Liege ich da grundsätzlich erstmal richtig, daß ich das aktivieren muß ?
    Oder nicht ? Dann muß das Prob nämlich woanders liegen.

    Liebe Grüße vom immer noch suchenden Jörg
     
  11. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,677
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Nein, denn dann müßtest du einen internen Zertifikat-Server laufen haben, lass das mit dem IPSec auf dem IP-Protokoll!

    Schau lieber bei den Desktop's nach den Firewall-Einstellungen, lass dort die Ports 4500/500 (TCP/UDP) und ESP zu, bzw. gib am Besten alle Dienste

    AVM Fritz!Fernzugang Cert Service
    AVM Fritz!Fernzugang Client
    AVM Fritz!Fernzugang IKE Service

    frei.