.titleBar { margin-bottom: 5px!important; }

Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

Dieses Thema im Forum "AVM-Software" wurde erstellt von buecke, 27 März 2009.

  1. buecke

    buecke Neuer User

    Registriert seit:
    27 März 2009
    Beiträge:
    83
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    #1 buecke, 27 März 2009
    Zuletzt bearbeitet: 1 Apr. 2012
    UPDATE: Mit der Version 01.03.00 der AVM-Software "FRITZ!Box-Fernzugang einrichten" kann man direkt CFG-Dateien zum Surfen über die VPN-Verbindung erzeugen. Dazu setzt man einfach ein Häkchen bei "Alle Daten über den VPN-Tunnel senden" auf der Seite mit den IP-Einstellungen der FRITZ!Box (siehe Screenshot). Nachfolgende Anleitung ist damit überflüssig geworden...
    avm.gif

    [HR]*[/HR]
    Hej!

    Hier beschreibe ich meine Lösung, um über eine VPN-Verbindung zu surfen, ohne irgendetwas an der FRITZ!Box-Firmware verändern zu müssen. Dadurch kann man z.B. im Ausland Streams von einigen deutschen TV-Sendern sehen, die sonst mit dem Hinweis "in deinem Land nicht verfügbar" nicht funktionieren. Man braucht nur eine VPN-fähige FRITZ!Box sowie die kostenlose AVM-Software "FRITZ!Fernzugang" und "FRITZ!BOX-Fernzugang einrichten". In der Anleitung gehe ich von einer FRITZ!Box-Standardkonfiguration mit der FRITZ!Box-IP 192.168.178.1 im Subnet 192.168.178.0 255.255.255.0 aus.
    Achtung: Alle DNS-Anfragen des Client-PCs mit FRITZ!Fernzugang laufen mit dieser Konfiguration über den Internet-Provider bzw. das LAN des Client-PCs und werden ggf. geloggt und ausgewertet! Des Weiteren kann der Provider/LAN-Administrator sehen, dass eine VPN-Verbindung zu einer (ausländischen) IP-Adresse aufgebaut wird. Man sollte dies bei der Benutzung dieser Anleitung bedenken und sich an die Gesetze des Aufenthaltslandes halten.

    1. Voraussetzung: funktionierende VPN-Konfiguration
      1. VPN gemäß der Anleitung auf der AVM-Website konfigurieren: http://www.avm.de/de/Service/Servic..._Praxis_und_Tipps/step_by_step_fernzugang.php.
      2. Funktion der Standard-VPN-Konfiguration prüfen.
    2. CFG-Datei der FRITZ!Box anpassen
      • CFG-Datei mit einem Texteditor öffnen und nach der Zeile "accesslist" suchen. Beispiel:
        Code:
        accesslist = "permit ip 192.168.178.0 255.255.255.0 [COLOR="Blue"]192.168.178.201[/COLOR] 255.255.255.255";
        
      • Bestehende Zeile durch folgende austauschen:
        Code:
        accesslist = "permit ip any [COLOR="Blue"]192.168.178.201[/COLOR] 255.255.255.255";
        
        Erläuterung: 192.168.178.201 ist die VPN-IP, die der FRITZ!Fernzugang-PC von der FRITZ!Box zugewiesen bekommt.
      • Über die FRITZ!Box-Benutzeroberfläche die alte VPN-Konfiguration löschen und die angepasste Version importieren.
      • Funktion der angepassten VPN-Konfiguration prüfen. Achtung: Es ist noch kein Zugriff auf's Internet über die VPN-Verbindung möglich, weiterhin nur auf das Subnet der FRITZ!Box.
    3. CFG-Datei des FRITZ!Fernzugang anpassen (neue, einfachere Version dank User "DerLanWan")
      • CFG-Datei mit einem Texteditor öffnen und nach der Zeile "accesslist" suchen. Beispiel:
        Code:
        accesslist = "permit ip any 192.168.178.0 255.255.255.0";
        
      • Bestehende Zeile durch folgende austauschen:
        Code:
        accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
        


        • Wenn der PC in einem LAN hängt, muss man folgende Zeile verwenden:
          Code:
          accesslist = "deny ip any [COLOR="Red"]192.168.0.0 255.255.255.0[/COLOR]", "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
          
          Erläuterung: 192.168.0.0 255.255.255.0 ist das Subnet des LAN, an das der PC angeschlossen ist.
      • Im FRITZ!Fernzugang die alte VPN-Konfiguration löschen und die angepasste Version importieren.
    4. Über die VPN-Verbindung surfen

      • Nach Herstellung der VPN-Verbindung sollte man z.B. auf www.wieistmeineip.de die öffentliche IP-Adresse der FRITZ!Box angezeigt bekommen.

    Viele Grüße
    buecke
     
  2. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo buecke,

    Prima, vielen Dank für die Nachricht. Ein sehr effektvoller Einstand ins Forum (und damit ein herzliches Willkommen ;)).

    Ich frage mich nur gerade, wie wir das ein wenig präsenter machen, da die Frage doch sehr oft gestellt wird. Hier sammeln wir bereits viele Hinweise in Bezug aufs AVM VPN, z.B. auch die Konfiguration für UMTS. Ein "Wichtiger" Thread in dem Bereich wäre nicht schlecht. Trenne ich jetzt deinen Beitrag ab, oder kannst du dort eine Art Mini-Howto machen?
     
  3. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    3
    Punkte für Erfolge:
    38
    @frank_m24, hatte ich gestern auch gelesen, wäre auch ne Möglichkeit z.B. in den Emiraten, etc. :)

    Wenn er sich nicht meldet, dann trenn es doch heraus. Ist wohl das Einfachste.
     
  4. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    so, jetzt ist es ein "wichtiger Thread" im AVM-Software Bereich. ;)
     
  5. cmmehl

    cmmehl Aktives Mitglied

    Registriert seit:
    15 Juni 2004
    Beiträge:
    812
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    kleinschreiber
    Ort:
    Derzeit im Irak
    #5 cmmehl, 28 März 2009
    Zuletzt bearbeitet: 29 März 2009
    Ich habe mich sehr ueber diese anleitung gefreut und es gleich ausprobiert. Testscenario ist ein rechner in einem andern land, zu dem ich mit teamviewer verbunden bin. Mit der normalen VPN-verbindung von AVM klappt es immer.

    Hier bekam ich eine verbindung, solange ich nur aenderungen in der FB vornahm, allerdings nicht fuer den kompletten internet-verkehr wie gewuenscht. Aber sobald ich die oben beschriebenen aenderungen in der .cfg-Datei für den FritzFernzugang vornahm, bekam ich keine verbindung mehr - der versuch endet nach geraumer zeit mit der fehlermeldung: "Could not resolve the name of the remote site".

    Ich habe die aenderungen in dieser config mal so gelassen wie geschrieben, mal angepasst an meine IP-umgebung ("deny ip any 84.158.0.0 255.255.0.0"). Leider hat alles nichts gebracht. Gelegentlich wird beim verbindungsversuch der internetverkehr unterbrochen, was fuer eine teamviewer-session eher ungesund ist - aber vermutlich muss das so sein wenn kuenftig aller internet-verkehr ueber die FB geleitet werden sollte.

    Also irgendetwas an dieser zeile verhindert den erfolg:
    Code:
    accesslist = "deny ip any 192.168.0.0 255.255.255.0", "deny ip any 82.83.0.0 255.255.0.0", "permit ip any any";
    Hat es schon jemand erfolgreich mit den o/a settings geschafft?

    Buenas noches
    Chris
     
  6. buecke

    buecke Neuer User

    Registriert seit:
    27 März 2009
    Beiträge:
    83
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Das klingt danach, dass deine DNS-Auflösung nicht mehr funktioniert. Sprichst du die FRITZ!Box über eine DynDNS-Domain an? Wie ist der entfernte Rechner mit dem FRITZ!Fernzugang ans Internet angebunden? Direkt oder über ein LAN? Schau doch mal über "ipconfig /all" nach, welche IP dein DNS-Server hat.

    Die FRITZ!Box hängt in diesem Subnetz, richtig? Die Angabe muss unbedingt mit in die Config, sonst geht es nicht.

    Viele Grüße
    buecke
     
  7. cmmehl

    cmmehl Aktives Mitglied

    Registriert seit:
    15 Juni 2004
    Beiträge:
    812
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    kleinschreiber
    Ort:
    Derzeit im Irak
    Hallo buecke,

    danke fuer deine antwort!

    > Sprichst du die FRITZ!Box über eine DynDNS-Domain an?

    Ja.

    > Wie ist der entfernte Rechner mit dem FRITZ!Fernzugang ans Internet angebunden? Direkt oder über ein LAN?

    Ueber ein LAN, und ipconfig/all gibt mir die router IP fuer die DNS aus:
    Code:
    IP Address. . . . . . . . . . . . : 192.168.55.8
            Subnet Mask . . . . . . . . . . . : 255.255.255.0
            Default Gateway . . . . . . . . . : 192.168.55.1
            DHCP Server . . . . . . . . . . . : 192.168.55.1
            DNS Servers . . . . . . . . . . . : 192.168.55.1
    Ich habe ja auch den verdacht mit dem DNS, da die error message ja lautet, dass der entfernte name nicht aufgeloest werden kann - aber wie das beheben?

    > Die FRITZ!Box hängt in diesem Subnetz, richtig?
    Ja, ich bekomme immer IPs die mit 84.158. beginnen

    > Die Angabe muss unbedingt mit in die Config, sonst geht es nicht.
    Hatte ich drin, ging aber trotzdem nicht.

    Viele Gruesse
    Chris
     
  8. buecke

    buecke Neuer User

    Registriert seit:
    27 März 2009
    Beiträge:
    83
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Hej Chris,

    dann müsste die access-Zeile in der config für deinen FRITZ!Fernzugang wie folgt lauten:
    Code:
    accesslist = "deny ip any 192.168.55.0 255.255.255.0", "deny ip any 84.158.0.0 255.255.0.0", "permit ip any any";
    Bin gespannt, ob es damit funktioniert...

    Viele Grüße
    buecke
     
  9. cmmehl

    cmmehl Aktives Mitglied

    Registriert seit:
    15 Juni 2004
    Beiträge:
    812
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    kleinschreiber
    Ort:
    Derzeit im Irak
    JA !!! :D:D:D

    Es verbindet, und whatismyip zeigt die IP der FB an. Super!

    Weitere tests spaeter.

    Riesen dankeschoen!
    Chris
     
  10. cmmehl

    cmmehl Aktives Mitglied

    Registriert seit:
    15 Juni 2004
    Beiträge:
    812
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    kleinschreiber
    Ort:
    Derzeit im Irak
    #10 cmmehl, 29 März 2009
    Zuletzt bearbeitet: 29 März 2009
    Der vollstaendigkeit halber und fuer andere beduerftige hier noch ein hinweis, wie das ganze funktioniert bei einer direkten einwahl (also ohne router):

    Der befehl ipconfig/all liefert die IPs der DNS-server, zwei normalerweise.

    Dann lautet der befehl fuer die .cfg datei so:
    accesslist = "deny ip any 123.456.789.111 255.255.255.255", "deny ip any 123.456.789.222 255.255.255.255", "deny ip any 987.654.0.0 255.255.0.0", "permit ip any any";
    wobei 123.456.789.111 und 123.456.789.222 die beiden DNS-server IPs sind und 987.654.0.0 das angepasste netz der Fritzbox.

    Herzlichen dank an buecke fuer seine hilfe hierbei - bitte verbessere es, wenn ich da was falsch verstanden haben sollte!

    Chris
     
  11. buecke

    buecke Neuer User

    Registriert seit:
    27 März 2009
    Beiträge:
    83
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    #11 buecke, 29 März 2009
    Zuletzt bearbeitet: 1 Apr. 2009
    Stimmt exakt so. Ich habe das HowTo inzwischen entsprechend ergänzt.

    Viele Grüße
    buecke
     
  12. diving

    diving Neuer User

    Registriert seit:
    20 Dez. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    shrew

    Hallo !
    Da bei mir die verbindung mit dem Client von AVM nicht funktioniert und ich mit shrew arbeite, würde mich mal interessieren wie ich das mit Shrew hinbekomme. Bisher hatte ich leider keinen Erfolg. Hat vielleicht einer nen Tip für mich wie ich die änderungen eintrage?
     
  13. buecke

    buecke Neuer User

    Registriert seit:
    27 März 2009
    Beiträge:
    83
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Hast du denn mit Shrew eine funktionierende VPN-Verbindung ohne die Anpassungen, sprich kannst du mit der Standard-Konfiguration per VPN auf deine FRITZ!Box zugreifen? Warum funktioniert der AVM-Client nicht bei dir?

    Viele Grüße
    buecke
     
  14. diving

    diving Neuer User

    Registriert seit:
    20 Dez. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ja, mit shrew bekomme ich eine funktionierende VPN verbindung hin, um auf das interne Netzwerk zu kommen von aussen. Selbst wenn ich die änderungen an der Fritzbox.cfg vornehme ist die verbindung da.
    Beim AVM client bekomme ich nur die meldung: "Zeitüberschreitung: Gegenstelle kann nicht erreicht werden" Und das egal wie ich die Verbindung (Provider DSL /Einwahl DFÜ) herstelle.Also hab ich die Connection mit Shrew aufgebaut.
    Das klappt ja auch. Nur das surfen, wie hier im thread beschrieben will net klappen. Denke ich mach einen simplen Denk fehler....
    Blocke, wie beschrieben die DNS Server bei Policy, und das Subnet vom dem Provider bei der FB. Aber trotzdem klappt es net richtig. Hänge mal ne Grafik an um das zu verdeutlichen...

    Die ersten beiden einträge sind die DNS Server, der 3. eintrag ist das Subnet von der FB , und der 4. eintrag ist damit ich ins Netz der FB komme. Wenn ich den 4. Eintrag rausnehme komme ich nicht mehr in das "Interne Netz"
     

    Anhänge:

  15. buecke

    buecke Neuer User

    Registriert seit:
    27 März 2009
    Beiträge:
    83
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Hej diving!

    Der 3. Eintrag (Subnet FRITZ!Box) sieht falsch aus. Du hast da 82.83.0.0 / 255.255.255.255 und erlaubst damit nur eine IP. Offenbar geht deine FRITZ!Box auch über Arcor ins Netz und du müsstest daher 82.83.0.0 / 255.255.0.0 angeben, damit alle IPs erfasst sind.

    Viele Grüße
    buecke
     
  16. diving

    diving Neuer User

    Registriert seit:
    20 Dez. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo !
    Ne, das wahr es leider nicht gewesen.. Hat keinen erfolg gebracht, denke das ist noch ein überbleibsel aus meinen unentlichen Versuchen gewesen... Habe mich strikt nach anleitung bei den ersten versuchen gehalten, und als das net funktionierte mal ein bischen rumprobiert...

    Ich vermute es liegt vielleicht an den eintrag "PERMIT IP ANY ANY"
    Wie trag ich den denn vernünftig ein ? Oder ist der mit dem letzten eintrag bei mir schon erschlagen...?
     
  17. buecke

    buecke Neuer User

    Registriert seit:
    27 März 2009
    Beiträge:
    83
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    #17 buecke, 14 Apr. 2009
    Zuletzt bearbeitet: 14 Apr. 2009
    Stimmt, der "permit ip any any"-Eintrag fehlt völlig, hab ich ganz übersehen. Wie man den bei Shrew einrichtet, weiß ich leider nicht. Funktioniert vielleicht 0.0.0.0 / 0.0.0.0? Ansonsten kannst du z.B. mit include 212.19.62.76 / 255.255.255.255 (wieistmeineip.de) testen, ob es generell funktionieren würde.

    Viele Grüße
    buecke
     
  18. diving

    diving Neuer User

    Registriert seit:
    20 Dez. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also die eintragung 0.0.0.0/0.0.0.0 nimmt shrew nicht an. (Fehlermeldung :invalid Mask) Wenn ich die Ip direkt eingebe komme ich gar nicht erst auf die Seite(www.wieistmeineip.de):confused:

    Mach ich irgendwas falsch?

    Gruß

    diving
     
  19. hiddenbit

    hiddenbit Neuer User

    Registriert seit:
    16 Jan. 2008
    Beiträge:
    67
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Weiß jemand wie der Client Teil der Config mit dem NCP Secure Entry Client umgesetzt werden kann? 0.0.0.0 nimmt er auch nicht an. :-\

    Ich betreibe den Client in einem LAN.

    MfG
     
  20. buecke

    buecke Neuer User

    Registriert seit:
    27 März 2009
    Beiträge:
    83
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Also wenn du 212.19.62.76 / 255.255.255.255 als include bei Shrew eingibst, die VPN-Verbindung steht und du dann im Browser www.wieistmeineip.de aufrufst, sollte die Website die IP der FRITZ!Box anzeigen.

    Wie man den "permit ip any any"-Eintrag in Shrew hinbekommt, weiß ich leider auch nicht. Da gibt's sicher andere Experten?

    Viele Grüße
    buecke