.titleBar { margin-bottom: 5px!important; }

Fritzbox 7170 VPN - Client kommt nicht ans (Heim-)Netz

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von infblnpf, 24 Sep. 2008.

  1. infblnpf

    infblnpf Neuer User

    Registriert seit:
    11 Mai 2007
    Beiträge:
    25
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,
    ich mag das FritzBox VPN Programm nutzen, um von unterwegs in mein Heimnetz zu kommen. (nicht FB zu FB)

    Die Fritzbox ist eine 7170 mit Firmware 29.04.59. Modifizierungen sind keine vorhanden. Auf dem Laptop (IBM T40, WinXP SP 2).

    Entsprechend der Checkliste auf den AVM Seiten ist alles korrekt eingerichtet:
    Standard-Netz ist geändert, also nicht mehr 192.168.178.x, DynDNS Account ist eingerichtet und funktioniert (Ping, reiner Verbindungsaufbau der VPN Software), Imports sind durchgeführt.

    Das Problem ist, dass zwar die VPN Verbindung aufgebaut wird, und in der Fritzbox auch der Clientrechner angezeigt wird, leider kann ich am Client, nach anscheinend erfolgreichem Verbindungsaufbau, nicht auf mein Netzwerk zugegriffen werden (z.B. Pings, Remote Desktop, etc.).
    Um einen eventuellen Fehler zu finden, habe ich die Verbindung von drei verschiedenen Netzen aus versucht: Uni (mit VPN) - dachte mir schon, das das nicht geht, Eduroam mit 802.1X, und per UMTS.

    Die IP-Einstellungen sollten meiner Meinung nach auch richtig sein:
    FB 192.168.86.1 mit Subnet 255.255.255.0
    DHCP Bereich 192.168.86.20-200
    Laptop (als VPN-Client) 192.168.86.201

    Die Netzwerkbereiche der drei vorher genannten Netze decken sich - entsprechend der Aussage in der Doku - nicht.

    In keinem der genannten Fälle, konnte in meinem Heimnetzwerk verfahren, als wäre ich direkt drin.

    Trotz Suche im Forum und AVM Dokumentation habe ich bisher keine Lösung gefunden. Vielleicht weiß hier jemand was. Vielen Dank schonmal.
     
  2. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    das es an der Uni nicht geht ist klar. Per UMTS geht es auch meistens nicht, das wird von den Providern gesperrt. Was ist Eduroam?

    Kannst du auf die Weboberfläche der Fritzbox (VPN Server) zugreifen?
     
  3. infblnpf

    infblnpf Neuer User

    Registriert seit:
    11 Mai 2007
    Beiträge:
    25
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Servus!
    Echt? Via UMTS geht meist kein VPN?

    Eduroam ist ein Netzwerkverbund diverser Universitäten, sodass ich z.B. mit meinem Account von Uni A an Uni B ins Netz komme. Die Authentifizierung erfolgt mittels 802.1X.

    In keinem der genannten Fälle komme ich an die FritzBox-Oberfläche.

    Vielen Dank im Voraus.
     
  4. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    ja, einige Provider wollen extra Geld für VPN über UMTS, vor allem ePlus (und alle Töchter).
     
  5. infblnpf

    infblnpf Neuer User

    Registriert seit:
    11 Mai 2007
    Beiträge:
    25
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich nutze UMTS bei O2.

    Tatsache ist trotzdem, dass doch bei einem der drei (eigentlich zwei, weil nur bei 2/3 die Verbindung aufgebaut wird) verwendeten Netze der VPN Zugang prinzipiell funktionieren müsste.

    Nehmen wir einfach mal an, dass bei mind. einem der Netze das VPN (= Fernzugang) funktioniert. In welche Richtung müsste ich nach dem Fehler suchen??? Wie gesagt, die Verbindung wird ja bei zwei der drei Netze aufgebaut, dann ist aber Ende. Und in meinen Augen ist die Konfiguration eh korrekt.
     
  6. Mike42

    Mike42 Neuer User

    Registriert seit:
    22 Juni 2007
    Beiträge:
    50
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
  7. infblnpf

    infblnpf Neuer User

    Registriert seit:
    11 Mai 2007
    Beiträge:
    25
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ohne aufgebaute VPN kann ich meine Fritzbox problemlos anpingen (~50-60 ms). Bei aufgebauter VPN auch. (In beiden Fällen mit xyz.dyndns.org, nicht aber per fritz.box oder direkt mit der IP-Adresse) Bei aufgebauter VPN kann ich weder auf http://fritz.box/ noch auf https://xyz.dyndns.org/ zugreifen.


    Hier mal ein Auszug aus meiner Config-Datei:

    Code:
    policies {
                    name = "xyz.dyndns.org";
                    connect_on_channelup = no;
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    virtualip = 192.168.85.201;
                    remoteip = 0.0.0.0;
                    remotehostname = "xyz.dyndns.org";
                    localid {
                            user_fqdn = "abc";
                    }
                    mode = mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = keytype_pre_shared;
                    key = "8622B1******d8deRe2QDaa.}27e***84";
                    cert_do_server_auth = no;
                    use_nat_t = no;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                    accesslist = "permit ip any 192.168.178.0 255.255.255.0";
                    wakeupremote = no;
            }
    Kann es daran liegen, dass in der Zeile für accesslist nicht 192.168.85.0, sondern 192.168.178.0 steht? Die Datei wurde ja vom Fritzprogramm erstellt. Ich habe die Adresse mal geändert, und es damit versucht, da wurde mir aber gesagt, die Identität sei nicht bekannt. Ich bin grad nicht zu Hause, kann also dort die Config nicht ändern.
     
  8. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,613
    Zustimmungen:
    3
    Punkte für Erfolge:
    38
    Deine Config ist total fehlerhaft. Schau dir mal dir Empfehlungen aus dem AVM-VPN-Portal an oder benutze die Suche hier im Forum, da gibt es Beispiele für die Config.
     
  9. infblnpf

    infblnpf Neuer User

    Registriert seit:
    11 Mai 2007
    Beiträge:
    25
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Nach Config-Beispielen hatte ich noch nicht gesucht, danke!

    Könntest Du mir bitte einen Link zu der entsprechenden Seite bei AVM geben? Ich hab das besagte Dokument leider nicht gefunden.

    DANKE :-D
     
  10. ichego1

    ichego1 Mitglied

    Registriert seit:
    19 Dez. 2005
    Beiträge:
    707
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    config file 1 und 2

    Edit frank_m24: Bitte benutzt CODE Tags für Konfig Files. Steht zwar nicht in den Forumregeln, sieht aber besser aus. ;)
    Code:
    /*
     * C:\Dokumente und Einstellungen\Administrator.FUN\Anwendungsdaten\AVM\FRITZ!Fernzugang\kombinet_no-ip_info\fritzbox.cfg
     * Mon Sep 22 08:13:42 2008
     */
    
    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_lan;
                    name = "webtiwision.sytes.net";
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 0.0.0.0;
                    remote_virtualip = 0.0.0.0;
                    remotehostname = "webtiwision.sytes.net";
                    localid {
                            fqdn = "kombinet.no-ip.info";
                    }
                    remoteid {
                            fqdn = "webtiwision.sytes.net";
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "f4cccbd79d8a861cy.k6d013d8a0fb2d5e8";
                    cert_do_server_auth = no;
                    use_nat_t = no;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2localid {
                            ipnet {
                                    ipaddr = 192.168.178.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                    accesslist = "permit ip any 192.168.0.0 255.255.255.0";
            }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
    
    
    // EOF
    

    Und Hier die 2 te


    Code:
     C:\Dokumente und Einstellungen\Administrator.FUN\Anwendungsdaten\AVM\FRITZ!Fernzugang\web-tiwision_sytes_net\fritzbox.cfg
     * Mon Sep 22 08:13:42 2008
     */
    
    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_lan;
                    name = "kombinet.no-ip.info";
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 0.0.0.0;
                    remote_virtualip = 0.0.0.0;
                    remotehostname = "kombinet.no-ip.info";
                    localid {
                            fqdn = "webtiwision.sytes.net";
                    }
                    remoteid {
                            fqdn = "kombinet.no-ip.info";
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "f4cccbd79d8a861cy.k6d013d8a0fb2d5e8";
                    cert_do_server_auth = no;
                    use_nat_t = no;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2localid {
                            ipnet {
                                    ipaddr = 192.168.0.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                    accesslist = "permit ip any 192.168.178.0 255.255.255.0";
            }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
    
    
    // EOF
     
  11. infblnpf

    infblnpf Neuer User

    Registriert seit:
    11 Mai 2007
    Beiträge:
    25
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke!
    Kann mich leider erst wieder nächste Woche drum kümmern. :-S
     
  12. infblnpf

    infblnpf Neuer User

    Registriert seit:
    11 Mai 2007
    Beiträge:
    25
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Servus,
    habe mir die ganze Sache jetzt nochmal genauer angeschaut.

    @ichego1:
    Sicherlich ähneln sich die Einstellungen, ich möchte aber einen Client im Internet mit meiner FB verbinden und nicht zwei FB miteinander. (conn_type = conntype_lan vs. conn_type = conntype_user)


    @sf3978: Die Beispiele auf der AVM Seite sowohl hier im Forum sehen alle aus wie meine oder beziehen sich auf die Verbindung FB-FB.

    Sollte es nicht an der UMTS oder Uni-Verbindung liegen, dass keine Verbindung zustande kommt, ist die Config sicher der erste Ansatz. Da ich aber den Fehler nicht sehe, frage ich hier.



    Ansonsten habe ich die Config nochmal neu erzeugt. Unter permit ip steht jetzt im dritten Block der IP Adressen der richtige Wert. Trotzdem hat sich an dem Problem nichts geändert:
    - Verbindungsaufbau möglich
    - Nach Verbindungsaufbau keine pings oder Zugriffe irgendeiner Art im lokalen Netz möglich.

    Im übrigen befindet sich der Client definitiv in einem anderen IP-Bereich.

    Vielen Dank!
     
  13. infblnpf

    infblnpf Neuer User

    Registriert seit:
    11 Mai 2007
    Beiträge:
    25
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    [Gelöst] Fritzbox 7170 VPN - Client kommt nicht ans (Heim-)Netz

    Das Problem (bei UMTS) war, dass die zugewiesene IP Adresse eine private war. Das setzen von
    Code:
    use_nat_t = yes;
    löste das Problem.
     
  14. geniongroup

    geniongroup Neuer User

    Registriert seit:
    20 Jan. 2005
    Beiträge:
    155
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    VPN Verbindung auf das Heimnetzwerk klappt bei mir. Wie komme ich nun über die Fritzbox mit dem VPN Clienten ins Internet, sprich ich habe vom Hotspot einen VPN-Tunnel zur Fritzbox aufgebaut und dann will von der Fritzbox weiter ins Internet. Geht das überhaupt?
     
  15. birnenkind

    birnenkind Mitglied

    Registriert seit:
    28 Apr. 2007
    Beiträge:
    222
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Mit dem Fritzbox eigenen VPN geht das nicht, mit openvpn funktionierts.

    Was habt ihr alle denn vor? Abmahnungen vom Arbeitgeber einfangen?


    gruessle
     
  16. geniongroup

    geniongroup Neuer User

    Registriert seit:
    20 Jan. 2005
    Beiträge:
    155
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Für mich ist die wichtigste Anwendung von einem Hotspot über das VPN und Fritzbox ins Internet zu gehen, um an den meist offenen Hotsports nicht belauscht zu werden.

    Schade, dass es mit bordeigenen Mitteln noch nicht geht. Hier wäre es wünschenswert, wenn AVM dies implementieren würde.
     
  17. birnenkind

    birnenkind Mitglied

    Registriert seit:
    28 Apr. 2007
    Beiträge:
    222
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hoi,

    dies zu implementieren macht eigentlcih im professionellen Bereich keinen Sinn. Loesungen von anderen Herstellern bieten meist solch eine Funktion nicht......aber vielleicht denkt avm drueber nach.....

    gruessle a.
     
  18. Verpeiler

    Verpeiler Mitglied

    Registriert seit:
    20 Okt. 2004
    Beiträge:
    359
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das kann man doch wie folgt bewerkstelligen:
    • Du installierst dir auf einem PC zuhause einen Proxy-Server
    • installierst die aktuelle Labor Firmware (wegen WOL)
    Nach diesen Massnahmen kannst du den besagten Rechner über die VPN-Verbindung via Webinterface der FBox starten und den Zugang über den Proxy des Rechners vornehmen. Dazu musst du im Vorfeld natürlich in deinem Browser/Internetanwendungen noch den entsprechenden Proxy eintragen.
     
  19. birnenkind

    birnenkind Mitglied

    Registriert seit:
    28 Apr. 2007
    Beiträge:
    222
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hoi,

    mit freetz kann man auch einen proxy auf die Fritzbox klatschen, dazu noch nen ssh server auf die fritzbox und man kann sich per ssh tunnel zu fritz connecten und dann gehts von dort aus weiter mitm dem proxy. Vorteil: man braucht keine zusaetzliche Hardware oder Stromfresser wie der PC, Nachteil: man muss die die fritzbox confen, was nich jedermanns sache ist.

    Wie Verpeiler schon sagte, man kann auch per VPN ins Heimnetzwerk, jedoch wuerde ich von dort aus (wenn sowieso ein PC an ist) einfach per RemoteDesktop von Windows mit dem PC zuhause surfen.....

    Wenn die Sache vom Netzwerkadmin jedoch nicht abgesegnet wurde, riskiert man eine Abmahnung....

    gruss a.