[Problem] Kein ausgehendes VPN von einem Vodafone-Anschluss mit einer Vodafone Station

zwolle

Neuer User
Mitglied seit
12 Okt 2015
Beiträge
61
Punkte für Reaktionen
0
Punkte
6
Hallo,

ich habe wieder mal eine Herausforderung, für die ich noch keine Lösung habe.

Istzustand:
Telekom DSL 100
Fritzbox 7590, Firmware aktuell
Notebook mit funktionierendem Fritz!Fernzugang
Die Namensauflösung meines Netzes (Hostnamen) wird nicht über My!Fritz, sondern über noip.com realisiert.

Problem:
Der Fernzugang in mein Netz funktioniert von überall einwandfrei, nur von einem Vodafone-Anschluss mit einer Vodafone Station nicht.
Vermutlich liegt es am DS-light und IPv6.
Da der Anschluss nicht mir gehört habe ich auch keine Administrationsrechte.

Bei der Suche im Netz stoße ich immer wieder auf Verbindungsprobleme von außen nach innen, ich möchte aber ein VPN von innen nach außen zu meinem Fritzbox-Netz realisieren. Wie schon erwähnt prinzipiell funktioniert es.

Was habe ich schon versucht?
IPv6-Namensauflösung bei noip erfolgreich aktiviert.
IPv6 in meiner Fritzbox aktiviert.
Wird die Fritzbox neugestartet oder neu verbunden, aktualisiert sie die IPv4- und IPv6-Adresse bei noip.
IPv6 am Notebook aktiviert.

Ein ping auf meinen Hostnamen wird mit der WAN-IPv4 meiner Fritzbox beantwortet
Ein ping -6 auf meinen Hostnamen wird mit der IPv6-Adresse meiner Fritzbox beantwortet.
Auch von dem besagten Vodafone-Anschluss aus.

Der Verbindungsaufbau des Fritz!Fernzugangs zwischen Notebook (Vodafon Anschluss) und meinem Netz scheitert jedoch, weil angeblich meine Fritzbox nicht antwortet.

Hat jemand eine Idee?

Gruß Wolfgang
 
Das aktivieren von IPv6 bei noip könnten kontraproduktiv gewesen sein. VPN wird von der FritzBox zur Zeit nur via IPv4 unterstützt. Möglich, dass dein Client auf dem Notebook über IPv6 bevorzugt und dann bei der Telekom FritzBox scheitert.
Du solltest bei noip nur deine IPv4 bekannt machen und nochmal testen.
 
Die ürsprüngliche Konfiguration bei noip war nur IPv4. Auch damit funktioniert es von überall , außer von diesem Vodafone-Anschluss.
 
Ist zwar schon 2 Jahre her, aber mehr fällt mir dazu nicht ein. Kannst du das ausschließen?

 
Vielen Dank für den Hinweis. Da bin ich auch schon drauf gestoßen, gehe aber davon aus, dass sich das über den automatischen Update geregelt hat.
Aber ausschließen kann ich es natürlich nicht.
Ich war leider noch nicht vor Ort um das zu prüfen, es ist nicht mein Anschluss.
 
unterschiedliche IPs der Netze ?

Die VF Station hat glaube ich ab Werk die 192.168.100.1 ?
 
zwolle hat leider sein Netz nicht mit angegeben, wer ein VPN einrichtet dem traue ich auch zu die IP der FritzBox zu ändern.
Gab das das Tool "FRITZ!Box-Fernzugang einrichten" nicht sogar früher an das man die IP der Box ändern müsse.
 
Das Vodafonenetz 192.168.0.*.
Mein Netz 192.168.11.*, darin liegen auch meine VPN-Cients. (ab .200)
 
Die Supportdaten der FRITZ!Box enthalten auch Protokolldateien des IKE-Daemons von AVM (avmike) und wenn da ein eingehender Kontaktversuch und eine Antwort des FRITZ!OS verzeichnet wurde und es erst im weiteren Verlauf der Kommunikation zu einem Timeout kommt, dann klappt vermutlich wieder die automatische Erkennung der reduzierten MTU-Size infolge von DS-Lite nicht richtig.

Damit werden dann auch IPSec-Pakete mit NAT-T (UDP-Port 4500) zu groß gesendet und der zusätzliche Platzbedarf für die IPv6-Header (zwischen dem Vodafone-Router und dem AFTR bei Vodafone) wird durch den AVM-Treiber von FRITZ!Fernzugang nicht berücksichtigt. In der Folge werden diese Pakete im Router noch einmal in zwei zerlegt, die dann auch auf der FRITZ!Box getrennt ankommen, was vom FRITZ!OS nicht unterstützt wird.

Ich weiß nicht mehr, ob man bei der AVM-Software irgendwo die MTU-Size manuell setzen kann - aber beim Shrewsoft-VPN-Client ist das (in der passenden Konfiguration) möglich und zu diesem Thema gibt es hier (in Verbindung mit einem MTU-Problem) auch schon genug Threads (in denen das Problem dann auch gelöst werden konnte). Wenn sich also bei der AVM-Software kein "Hebel" finden läßt, hilft immer (oder nur) noch eine andere Software.

Wobei die Frage sicherlich auch ist, ob sich das bei einer 7590 noch lohnt - die nächste FRITZ!OS-Version soll ja auch IKEv2 beherrschen und dann sollte ein (aktuelles) Windows-System sich auch ohne Zusatzsoftware mit dem (IPSec-)VPN der 7590 verbinden lassen.

Selbst wenn man hier bisher - auch in den Labor-/Inhouse-Themen - noch nicht viel dazu lesen konnte, wahrscheinlich ist das so fest in den Köpfen verankert, daß es niemand (freiwillig) testet. Bei den Windows-Bordmitteln kann man die MTU-Size dann auch wieder passend beschränken - und die paar Byte, die man dann in jedem Paket "verliert" (bzw. nicht komplett ausnutzt), machen sich i.d.R. nicht so negativ bemerkbar, daß man den geringeren Wert nicht immer verwenden wollte, sondern stattdessen nur hinter diesem einen Vodafone-Anschluß (auf dem Notebook).
 
Da die Fritzbox mittlerweile WireGuard unterstützt, konnte ich das Problem damit lösen.
Mit WireGuard funktioniert es, mit dem Fritz-Fernzugriff weiterhin nicht.
Gruß zwolle
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.