[Problem] Fritz.Box Login per VPN

Simon.

Neuer User
Mitglied seit
24 Nov 2012
Beiträge
111
Punkte für Reaktionen
0
Punkte
16
Hallo,

ich habe an meiner Fritzbox die VPN Funktion eingerichtet und nutze diese auch gelegentlich, allerdings ohne Myfritz und co sondern ich lasse mir die IP per Pushmail mitteilen.
Das funktioniert soweit auch ganz gut, allerdings wollte ich mich vorhin mal via VPN im Webinterface unter Fritz.Box einloggen, das ging allerdings nicht mit meinem Namen und Passwort. Im Heimnetz nutze ich keine Benutzerkonten sondern nur ein Passwort.

Unter meinem Benutzerkonto habe ich Zugang aus dem Internet, Sprachnachrichten etc und VPN aktiviert, von aussen die Einstellungen ändern muss nicht sein. Auch per https ist meine Fritzbox gewollt nicht erreichbar.

Ideen? Ist das normal weil ich mir keinen Zugriff auf die Einstellungen gegeben habe oder kann ich eine Einstellung übersehen haben?

Danke :)
 
Hallo,

wenn meine VPN Verbindung steht, rufe ich mit 192.168.188.1 meine FritzBox Weboberfläche auf und kann mich direkt anmelden.
Name und Passwort brauche ich nur bei Fernwartung, dann ohne VPN.
 
Meine sitzt auf 192.168.46.100, das sollte aber eigentlich kein Problem sein.

Wenn ich in meinem Benutzer "Fritzbox Einstellungen" anhake kann ich mich auch per VPN einloggen, allerdings mit Benutzer und Passwort.

"Zugriff aus dem Internet" muss auch aktiv sein, sonst kommt keine VPN Verbindung zustande. <- den Punkt finde ich etwas seltsam, ich will ja keinen Zugriff aus dem Internet sondern nur per VPN.

Ich hätte es aber lieber so wie es im Heimnetz ist, einfach nur ein Passwort. Immerhin keine Dropdown Liste sondern ein leeres Textfeld.

Zugriff per HTTP/HTTPS ist aus.
 
Zuletzt bearbeitet:
Zugriff per HTTP/HTTPS ist aus.
Reine Neugierde ... wie macht man das denn? Extern geht HTTP ohnehin nicht und den internen HTTP-Zugriff auszuschalten, erfordert schon ziemlich heftige Eingriffe in die ar7.cfg, wo auch nur absolut falsche Einstellungen den internen HTTP-Server in die Knie zwingen können.

Ansonsten stellt offenbar Deine FRITZ!Box (deren Anonymität bzgl. Modell und Firmware-Version Dir offenbar wichtig ist) fest, daß Du Dich beim Login eben nicht hinter "dev lan" befindest und dann ist das Angebot für ein "externes Login" nur folgerichtig (und für mich auch logisch). Das ändert sich auch mal - je nach Firmware-Version - und so bleibt uns eigentlich nur noch munteres Raten übrig, ob dieses Verhalten zu erwarten und/oder zu umgehen ist.
 
Hallo,

die Anmeldung nur mit FritzBox Kennwort über VPN funktioniert.

ich habe VPN und Fernwartung aktiv.
Einen Benutzer für Fernwartung. Anmeldung mit Name und Passwort.
Einen Benutzer für Heimnetz. Anmeldung mit Passwort.

Der Zugriff über VPN ist gleich wie der Zugriff aus dem Heimnetz. Die Benutzeroberfläche der FritzBox wird, wie im Heimnetz, z.B. mit http://fritz.box aufgerufen. Auch vom fernen Rechner per VPN. Der ferne Rechner hat ja über VPN eine lokale IP und ist damit im lokalen Netz.

Wenn in der FritzBox "Anmeldung bei Zugriff aus dem Heimnetz" mit "Anmeldung mit dem FRITZ!Box-Kennwort " angewählt ist, dann muss das auch gehen.
 
Der ferne Rechner hat ja über VPN eine lokale IP und ist damit im lokalen Netz.
Wo ist das denn "festgelegt"?

Ob der entfernte Rechner tatsächlich eine lokale IP-Adresse erhält, hängt nun mal immer noch von der verwendeten VPN-Verbindung ab.

Das mag beim TE eine Verbindung mit IPSec-Transport-Mode sein, das gilt aber noch lange nicht für jedes Szenario.

Ich will das nur noch einmal festhalten für andere Leser, die das später per Internet-Suche hier finden und dann - mangels Kontext - vielleicht auf den Holzweg geschickt werden.

Und auch dann ist das immer noch versionsabhängig (jedenfalls nach dem, was ich bisher feststellen konnte), an der Stelle ändert AVM offenbar ab und an mal etwas ... wie die Box feststellt, ob ein Zugriff aus dem Internet erfolgt oder nicht, verbirgt sich - neben weiteren "boxspezifischen" Funktionen wie Lesen und Setzen von Einstellungen - in der Datei "luacgi" und läßt sich aus der jeweiligen Instanz (also der Verarbeitung der HTTP-Anfrage) über die Funktion/Eigenschaft "box.frominternet" abfragen. Wie das aber am Ende tatsächlich ermittelt wird, weiß nur AVM anhand der Quellen für "luacgi".

Dem ist mit reiner Logik auch nicht beizukommen ... es gibt gute Argumente dafür, warum ein VPN-Benutzer als "lokal" zu betrachten sein könnte und mindestens genauso gute dagegen.
 
Wo ist das denn "festgelegt"?
In den VPN-Einstellungen.
Ich denke, hier ist vom Standard-VPN der Fritzbox die Rede. Das ist das so, dass die erste VPN-Verbindung die .201, die zweite die .202 jeweils aus dem lokalen Nummernkreis (bei mir 192.168.0.x) bekommt.
Code:
vpncfg {
  connections {
...
    remote_virtualip = 192.168.0.201;
...
 
Ich denke, hier ist vom Standard-VPN der Fritzbox die Rede. Das ist das so, dass die erste VPN-Verbindung die .201, die zweite die .202 jeweils aus dem lokalen Nummernkreis (bei mir 192.168.0.x) bekommt.
Nochmal ... das gilt ausschließlich für Transport-Mode-Verbindungen und genau das habe ich auch geschrieben. Aber auch eine LAN-LAN-Verbindung ist "Standard-VPN der Fritzbox" und da erfolgt gar keine "Adresszuordnung", denn es wird schlicht kein "cfgmode" verwendet.

Wenn also jemand von einem entfernten Standort über eine VPN-Verbindung mit Tunnel-Mode die eigene FRITZ!Box daheim aufruft (das ginge über "fritz.box" in aller Regel ohnehin nicht, wenn das lokale Netz auch eine FRITZ!Box ist, aber immer noch über die IP-Adresse), dann hat er mitnichten eine IP-Adresse aus dem lokalen Netz der Zielbox ... daß es beim TE anders sein mag im Transport-Mode, habe ich ja eingeräumt.

Nun liest diesen Thread aber mit einiger Wahrscheinlichkeit nicht nur der TE und es ist garantiert nicht jedem späteren Leser sofort klar, daß die Aussage bzgl. der IP-Adresse des Absenders beim Login in die FRITZ!Box von den konkreten Umständen abhängig ist.

Mehr wollte ich nicht festhalten ... und nur nebenbei: Die .201 ist auch nicht zwingend, das ist nur die erste freie Adresse nach der normalerweise eingestellten IP-Range des DHCP-Servers. Wenn man dort etwas ändert, werden auch keinesfalls schon bestehende VPN-Verbindungsdefinitionen angepaßt ... das geht sogar so weit, daß das Anlegen neuer Verbindungen mit "cfgmode" scheitert, wenn hinter der IP-Range keine freien Adressen vorhanden sind (also wenn der DHCP-Server bis .254 vergeben darf).
 
Hi,

per HTTP hab ich natürlich Zugriff, ich meinte damit externen Zugriff bzw. Fernwartung. Also wohl nur HTTPS. ;)

Ich war der Meinung ich hätte das mal in meine Signatur geschrieben, dem war wohl nicht so, hab das mal geändert. Fritzbox 7362 SL mit dem neusten Fritz!OS (6.20).

Es handelt sich tatsächlich um die Standard VPN Funktion der Fritzbox, die sich übers Webinterface "einstellen" lässt (aktivieren wohl eher) - IPSec Xauth PSK, Zugriff per Android Smartphone.

Hab gerade mal eine Verbindung per Mobilfunknetz hergestellt:
Adresse im Internet 89.204.137.32
lokales Netz 0.0.0.0
entferntes Netz 192.168.46.201

Es wird also keine lokale IP vergeben und deswegen wird der Zugriff als extern interpretiert und die Anmeldung klappt nur mit den Benutzerdaten?
 
Wie schon geschrieben ... ob die Box die Anmeldung als "frominternet" ansieht oder nicht, entscheidet "luacgi". Anhand welcher Merkmale das erfolgt, ist unbekannt.

Bei der Anmeldung an der Box (in check_sid.lua) wird dann "box.frominternet" abgefragt und in Abhängigkeit vom Wert dieser Variablen wird die externe oder die interne Anmeldung verwendet.

Wenn Du herausfinden willst, "wie" Du bei der Box ankommst, mußt Du eben mal einen Mitschnitt auf der "Routing-Schnittstelle" machen und Dir im Wireshark ansehen, was da an Paketen gesendet wird.

Die Anzeige unter "VPN" im GUI sagt ja nicht, daß Dein Smartphone keine lokale IP-Adresse hätte ... das Smartphone ist ja das "entfernte Netz" und bei "cfgmode" ist das lokale Netz Unfug, denn da wird ja das entfernte Gerät Bestandteil des lokalen Netzes. Wenn dann könnte da höchstens etwas wie "192.168.46.0/24" stehen ... das macht es auch bei Tunnel-Mode-Verbindungen.

Und "Standard VPN Funktion der Fritzbox" ist so herrlich unpräzise (auch wenn Du es hinterher noch eingrenzt) ... da gehört doch die LAN-LAN-Kopplung zweier FRITZ!Boxen sicherlich auch dazu oder sehe ich das falsch? Die läßt sich ja auch (für "normale" Fälle) über das Webinterface einstellen. Und bei der ist dann eben alles wieder ganz anders ... ich habe mir das IPSec ja auch nicht ausgedacht.

EDIT: Ich habe gerade noch mal geschaut ... leider habe ich keine Box mit 06.20 zum Vergleich. Aber selbst das muß nicht unbedingt bei verschiedenen Modellen mit derselben Firmware-Version identisch sein ... innerhalb der Zeit, die vom Release der 06.20 für die 7490 bis zum letzten 06.20-Release für andere Boxen vergangen ist, gab es auch genug andere Änderungen (inkl. Fehlerkorrekturen) an den 06.20-Ständen.

Wenn Dir jemand erzählen will, daß es ganz bestimmt so und so funktioniert, solltest Du jedenfalls als erstes immer Modell und Firmware vergleichen, ansonsten verrennt man sich da schnell und die "absolute Gewißheit", daß es so oder so funktioniert, kannst Du für verschiedene Modelle und/oder verschiedene Firmware-Stände beruhigt knicken.
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.