Fritzbox 7170 VPN - Client kommt nicht ans (Heim-)Netz

[infblnpf]

Hallo,
ich mag das FritzBox VPN Programm nutzen, um von unterwegs in mein Heimnetz zu kommen. (nicht FB zu FB)

Die Fritzbox ist eine 7170 mit Firmware 29.04.59. Modifizierungen sind keine vorhanden. Auf dem Laptop (IBM T40, WinXP SP 2).

Entsprechend der Checkliste auf den AVM Seiten ist alles korrekt eingerichtet:
Standard-Netz ist geändert, also nicht mehr 192.168.178.x, DynDNS Account ist eingerichtet und funktioniert (Ping, reiner Verbindungsaufbau der VPN Software), Imports sind durchgeführt.

Das Problem ist, dass zwar die VPN Verbindung aufgebaut wird, und in der Fritzbox auch der Clientrechner angezeigt wird, leider kann ich am Client, nach anscheinend erfolgreichem Verbindungsaufbau, nicht auf mein Netzwerk zugegriffen werden (z.B. Pings, Remote Desktop, etc.).
Um einen eventuellen Fehler zu finden, habe ich die Verbindung von drei verschiedenen Netzen aus versucht: Uni (mit VPN) - dachte mir schon, das das nicht geht, Eduroam mit 802.1X, und per UMTS.

Die IP-Einstellungen sollten meiner Meinung nach auch richtig sein:
FB 192.168.86.1 mit Subnet 255.255.255.0
DHCP Bereich 192.168.86.20-200
Laptop (als VPN-Client) 192.168.86.201

Die Netzwerkbereiche der drei vorher genannten Netze decken sich - entsprechend der Aussage in der Doku - nicht.

In keinem der genannten Fälle, konnte in meinem Heimnetzwerk verfahren, als wäre ich direkt drin.

Trotz Suche im Forum und AVM Dokumentation habe ich bisher keine Lösung gefunden. Vielleicht weiß hier jemand was. Vielen Dank schonmal.

 

[frank_m24]

Hallo,

das es an der Uni nicht geht ist klar. Per UMTS geht es auch meistens nicht, das wird von den Providern gesperrt. Was ist Eduroam?

Kannst du auf die Weboberfläche der Fritzbox (VPN Server) zugreifen?

 

[infblnpf]

Servus!
Echt? Via UMTS geht meist kein VPN?

Eduroam ist ein Netzwerkverbund diverser Universitäten, sodass ich z.B. mit meinem Account von Uni A an Uni B ins Netz komme. Die Authentifizierung erfolgt mittels 802.1X.

In keinem der genannten Fälle komme ich an die FritzBox-Oberfläche.

Vielen Dank im Voraus.

 

[frank_m24]

Hallo,

ja, einige Provider wollen extra Geld für VPN über UMTS, vor allem ePlus (und alle Töchter).

 

[infblnpf]

Ich nutze UMTS bei O2.

Tatsache ist trotzdem, dass doch bei einem der drei (eigentlich zwei, weil nur bei 2/3 die Verbindung aufgebaut wird) verwendeten Netze der VPN Zugang prinzipiell funktionieren müsste.

Nehmen wir einfach mal an, dass bei mind. einem der Netze das VPN (= Fernzugang) funktioniert. In welche Richtung müsste ich nach dem Fehler suchen??? Wie gesagt, die Verbindung wird ja bei zwei der drei Netze aufgebaut, dann ist aber Ende. Und in meinen Augen ist die Konfiguration eh korrekt.

 

[Mike42]

Was ergibt denn ein Ping auf deine DynDNS-Adresse?
Und mit dem Zugriff auf die FB-Oberfläche... hast du da http://fritz.box/ versucht, oder https://deine.DynDNS-Adresse.de/?

 

[infblnpf]

Ohne aufgebaute VPN kann ich meine Fritzbox problemlos anpingen (~50-60 ms). Bei aufgebauter VPN auch. (In beiden Fällen mit xyz.dyndns.org, nicht aber per fritz.box oder direkt mit der IP-Adresse) Bei aufgebauter VPN kann ich weder auf http://fritz.box/ noch auf https://xyz.dyndns.org/ zugreifen.


Hier mal ein Auszug aus meiner Config-Datei:

policies {
                name = "xyz.dyndns.org";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.85.201;
                remoteip = 0.0.0.0;
                remotehostname = "xyz.dyndns.org";
                localid {
                        user_fqdn = "abc";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "8622B1******d8deRe2QDaa.}27e***84";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0";
                wakeupremote = no;
        }

Kann es daran liegen, dass in der Zeile für accesslist nicht 192.168.85.0, sondern 192.168.178.0 steht? Die Datei wurde ja vom Fritzprogramm erstellt. Ich habe die Adresse mal geändert, und es damit versucht, da wurde mir aber gesagt, die Identität sei nicht bekannt. Ich bin grad nicht zu Hause, kann also dort die Config nicht ändern.

 

[sf3978]

Deine Config ist total fehlerhaft. Schau dir mal dir Empfehlungen aus dem AVM-VPN-Portal an oder benutze die Suche hier im Forum, da gibt es Beispiele für die Config.

 

[infblnpf]

Nach Config-Beispielen hatte ich noch nicht gesucht, danke!

Könntest Du mir bitte einen Link zu der entsprechenden Seite bei AVM geben? Ich hab das besagte Dokument leider nicht gefunden.

DANKE :-D

 

[ichego1]

config file 1 und 2

Edit frank_m24: Bitte benutzt CODE Tags für Konfig Files. Steht zwar nicht in den Forumregeln, sieht aber besser aus.

/*
 * C:\Dokumente und Einstellungen\Administrator.FUN\Anwendungsdaten\AVM\FRITZ!Fernzugang\kombinet_no-ip_info\fritzbox.cfg
 * Mon Sep 22 08:13:42 2008
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "webtiwision.sytes.net";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "webtiwision.sytes.net";
                localid {
                        fqdn = "kombinet.no-ip.info";
                }
                remoteid {
                        fqdn = "webtiwision.sytes.net";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "f4cccbd79d8a861cy.k6d013d8a0fb2d5e8";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Und Hier die 2 te

 C:\Dokumente und Einstellungen\Administrator.FUN\Anwendungsdaten\AVM\FRITZ!Fernzugang\web-tiwision_sytes_net\fritzbox.cfg
 * Mon Sep 22 08:13:42 2008
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "kombinet.no-ip.info";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "kombinet.no-ip.info";
                localid {
                        fqdn = "webtiwision.sytes.net";
                }
                remoteid {
                        fqdn = "kombinet.no-ip.info";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "f4cccbd79d8a861cy.k6d013d8a0fb2d5e8";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

 

[infblnpf]

Danke!
Kann mich leider erst wieder nächste Woche drum kümmern. :-S

 

[infblnpf]

Servus,
habe mir die ganze Sache jetzt nochmal genauer angeschaut.

@ichego1:
Sicherlich ähneln sich die Einstellungen, ich möchte aber einen Client im Internet mit meiner FB verbinden und nicht zwei FB miteinander. (conn_type = conntype_lan vs. conn_type = conntype_user)


@sf3978: Die Beispiele auf der AVM Seite sowohl hier im Forum sehen alle aus wie meine oder beziehen sich auf die Verbindung FB-FB.

Deine Config ist total fehlerhaft.

Sollte es nicht an der UMTS oder Uni-Verbindung liegen, dass keine Verbindung zustande kommt, ist die Config sicher der erste Ansatz. Da ich aber den Fehler nicht sehe, frage ich hier.



Ansonsten habe ich die Config nochmal neu erzeugt. Unter permit ip steht jetzt im dritten Block der IP Adressen der richtige Wert. Trotzdem hat sich an dem Problem nichts geändert:
- Verbindungsaufbau möglich
- Nach Verbindungsaufbau keine pings oder Zugriffe irgendeiner Art im lokalen Netz möglich.

Im übrigen befindet sich der Client definitiv in einem anderen IP-Bereich.

Vielen Dank!

 

[infblnpf]

[Gelöst] Fritzbox 7170 VPN - Client kommt nicht ans (Heim-)Netz

Das Problem (bei UMTS) war, dass die zugewiesene IP Adresse eine private war. Das setzen von

use_nat_t = yes;

löste das Problem.

 

[geniongroup]

VPN Verbindung auf das Heimnetzwerk klappt bei mir. Wie komme ich nun über die Fritzbox mit dem VPN Clienten ins Internet, sprich ich habe vom Hotspot einen VPN-Tunnel zur Fritzbox aufgebaut und dann will von der Fritzbox weiter ins Internet. Geht das überhaupt?

 

[birnenkind]

Mit dem Fritzbox eigenen VPN geht das nicht, mit openvpn funktionierts.

Was habt ihr alle denn vor? Abmahnungen vom Arbeitgeber einfangen?


gruessle

 

[geniongroup]

Für mich ist die wichtigste Anwendung von einem Hotspot über das VPN und Fritzbox ins Internet zu gehen, um an den meist offenen Hotsports nicht belauscht zu werden.

Schade, dass es mit bordeigenen Mitteln noch nicht geht. Hier wäre es wünschenswert, wenn AVM dies implementieren würde.

 

[birnenkind]

Hoi,

dies zu implementieren macht eigentlcih im professionellen Bereich keinen Sinn. Loesungen von anderen Herstellern bieten meist solch eine Funktion nicht......aber vielleicht denkt avm drueber nach.....

gruessle a.

 

[Verpeiler]

Für mich ist die wichtigste Anwendung von einem Hotspot über das VPN und Fritzbox ins Internet zu gehen, um an den meist offenen Hotsports nicht belauscht zu werden.

Das kann man doch wie folgt bewerkstelligen:

• Du installierst dir auf einem PC zuhause einen Proxy-Server
• installierst die aktuelle Labor Firmware (wegen WOL)

Nach diesen Massnahmen kannst du den besagten Rechner über die VPN-Verbindung via Webinterface der FBox starten und den Zugang über den Proxy des Rechners vornehmen. Dazu musst du im Vorfeld natürlich in deinem Browser/Internetanwendungen noch den entsprechenden Proxy eintragen.

 

[birnenkind]

Hoi,

mit freetz kann man auch einen proxy auf die Fritzbox klatschen, dazu noch nen ssh server auf die fritzbox und man kann sich per ssh tunnel zu fritz connecten und dann gehts von dort aus weiter mitm dem proxy. Vorteil: man braucht keine zusaetzliche Hardware oder Stromfresser wie der PC, Nachteil: man muss die die fritzbox confen, was nich jedermanns sache ist.

Wie Verpeiler schon sagte, man kann auch per VPN ins Heimnetzwerk, jedoch wuerde ich von dort aus (wenn sowieso ein PC an ist) einfach per RemoteDesktop von Windows mit dem PC zuhause surfen.....

Wenn die Sache vom Netzwerkadmin jedoch nicht abgesegnet wurde, riskiert man eine Abmahnung....

gruss a.