Frage zu Fritz Box VPN. VPN ist aufgebaut - normaler Ping geht - Ping mit -l 32000 hat timeout - kein Broweserzugriff auf die FritzBox

Marcus68

Neuer User
Mitglied seit
11 Apr 2021
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

nach mehrstündiger erfolgloser Suche, traue ich mich jetzt doch mein Problem hier zu schildern :) . Mit der freundlichen Bitte um Ideen ...

Für unseren Sportverein wollen wir die Heizung per Fernwartung ein- und ausschalten. Das funktioniert im lokalen Netz ohne Probleme - ein einfacher IP-Zugriff von einem Client auf das Gerät. Ich habe daher laut Anleitung die VPN Verbindung zur FRITZ!Box 6591 Cable (lgi) aufgebaut. Das bestätigt mir die Systemmeldung der Fritzbox auch:
Anmeldung des Benutzers [Benutzername] an der FRITZ!Box Benutzeroberfläche von IP-Adresse [IP-Adresse].
Natürlich mit meinem Benutzernamen und meiner IPv6 Adresse.

Von meinem Windows 10 PC kann ich erfolgreich einen Ping auf die 192.168.10.1 absetzen - das gleiche geht auch für das QNAP NAS mit der 192.168.10.21. Meine virtuelle IP ist 192.168.10.203 (außerhalb des DHCP-Bereichs) Sieht also alles gut aus.
Beim Zugriff mit dem Browser auf 192.168.10.1 kommt lange Zeit keine Antwort.
Ein Ping mit etwas "Last" also mit der Option -l 32000 (Paket Size 32.000) erhält einen Timeout - mit 16.000 geht es nich durch (willkürlich gewählte Werte).

Hat dazu jemand eine Idee?
Gerne stelle ich auch Konfigurationsdateien ein, falls das hilft. Der generelle Aufbau funktioniert jedoch und wird auch erfolgreich in der Fritz Box registriert wird - nur "Last" scheint keine durchzugehen.

Vielen Dank vorab für jede mögliche Hilfe!:rolleyes:
Marcus
 
Zuletzt bearbeitet:
Danke Dir, habe den Schreibfehler korrigiert. Natürlich versuche ich die FritzBox auf 192.168.10.1 zu erreichen und nicht auf 0.1 ...

Konfigurationsdateien siehe unten: .

FritzBox CFG:
Code:
/*
* [Dateiname]
* Sun Apr 11 09:26:45 2021
*/

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "ma[MEINE_EMAIL]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.10.203;
                remoteid {
                        user_fqdn = "[MEINE_EMAIL]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "[GEHEIMER_KEY]";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.10.203;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist =
                             "permit ip 192.168.10.0 255.255.255.0 192.168.10.203 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

und Konfig lokal:
Code:
/*
* [Dateinname]
* Sun Apr 11 09:26:45 2021
*/

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "[Name der FirtzBox]";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.10.203;
                remoteip = 0.0.0.0;
                remotehostname = "[MeineFritzBoxÖffname]";
                localid {
                        user_fqdn = "[Meine_EMAIL]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "[GEHEIMER_KEY]";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.10.203;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.10.0 255.255.255.0";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

Im Namen unseres Vorsitzenden der hoffentlich nicht mehr in Halle fahren muss um die Heizung anzuschalten schon mal vorab vielen Dank, dass Du Dir das anschaust :)
 
Zuletzt bearbeitet:
Hast du nicht auch eine FB bei dir zu Hause?
Da geht das IMO einfacher zu machen.
 
Danke für Deine Antwort.

Ich habe eine FB zu Hause, es geht aber darum dies für unseren 73-jährigen Vereinsvorstand einzurichten. Es wäre halt besser wenn die Verbindung von seinem PC / Laptop aus funktioniert. Daher will ich es erst mal von meinem laptop aus schaffen, sollte ja "eigentlich" nicht so schwer sein, oder doch?
 
In #3 steht noch der Myfritz Hostname der FB, sollte entfernt werden.

Von da aus wo der Zugriff probiert wird, wird dort ein anderer IP Adressbereich (Subnet) verwendet? Also z.B. 192.168.178.0

Blockiert evt. auf dem Lappy ne extra Internet Security?
 
Ich habe daher laut Anleitung die VPN Verbindung zur FRITZ!Box 6591 Cable (lgi) aufgebaut. Das bestätigt mir die Systemmeldung der Fritzbox auch:
Anmeldung des Benutzers [Benutzername] an der FRITZ!Box Benutzeroberfläche von IP-Adresse [IP-Adresse].
Das VPN hat allerdings mit dieser Meldung gar nichts zu tun ... dafür gibt es eine, die (verkürzt) lautet: "VPN-Verbindung zu ... wurde erfolgreich hergestellt." - die zitierte Nachricht zeigt eine erfolgreiche Anmeldung an der FRITZ!Box - und zwar an deren GUI, so wie es in der Meldung steht.

DAS paßt ja nun wieder nicht zur Feststellung, daß mit dem Browser kein Zugriff auf die Box möglich sei - es sei denn, die ist gar nicht die 192.168.10.1. Wer oder was greift da also auf das GUI der Box zu? Die VPN-Verbindung ist es nicht ... höchstens noch eine der Apps von AVM, wobei die eigentlich auch eine andere Anmeldung protokollieren sollten.

Das Problem liegt also wohl eher am verwendeten Browser (und ggf. auch an dessen Alter bzw. am Alter des ganzen PC) ... wobei ich hier schon fast wieder die Vermutung habe, daß da ein einziger VPN-Account für mehr als einen Client verwendet wird?

Der ICMP-Test mit "Last" ist jedenfalls Quatsch (in meinen Augen bzw. nach meinem Kenntnisstand, der aber auch "erweiterbar" wäre, wenn das jemand anders erfolgreich(!) demonstriert) ... der VPN-Tunnel hat eine MTU und die darf nicht überschritten werden, höchstens bei TCP, wo die höheren Schichten sich um die Reintegration fragmentierter Daten kümmern.

Wenn da tatsächlich jemand/irgendetwas zuvor die ICMP-Daten schon fragmentiert und aus den 32.000 Byte dann round about 25 Pakete macht (mal mit einer MTU von 1.400 überschlagen) ... schön. Nur muß die ja dann auch jemand am anderen Ende wieder zusammensetzen (und dafür dann tatsächlich auch erst mal alle Fragmente "einsammeln" - was ja auch "empfangen" und "in einem Buffer zusammensetzen" bedeuten würde) und ich wäre sehr verblüfft, wenn das FRITZ!OS das tatsächlich machen sollte.

Denn dann fiele mir doch gleich wieder ein neuer Test für eine potentielle DoS-Attacke ein - einfach schön viele solcher "unvollständigen" Übertragungen starten und warten, bis der Router keine Ressourcen mehr hat.
 
Danke Euch.
Habe den Namen aus #3 entfernt.

Danke auch für den Hinweis mit der Meldung. Ich habe über das Internet auf die GUI zugegriffen und daher die falsche Meldung kopiert. Die richtige lautet in der Tat

VPN-Verbindung zu [Gegenstelle] wurde erfolgreich hergestellt.​

Das mit dem Lasttest nehme ich gerne an. Es war nur mein Versuch "weiter" zu testen. Wie gesagt, der Ping funktioniert, die Verbindung in Firefox wird aber nicht aufgebaut. Ein Test mit EDGE war ebenfalls nicht erfolgreich.

Ich habe meinen DELL Precision 5520 Laptop frisch aufgesetzt, habe Windows 10 drauf und Avira, sonst nichts. Denke also nicht, dass eine lokale Security hier eine Rolle spielt (ich baue den VPN Tunnel ja auf und empfange keinen).

Hat noch jemand eine Idee?
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.