Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

buecke

Neuer User
Mitglied seit
27 Mrz 2009
Beiträge
83
Punkte für Reaktionen
0
Punkte
6
UPDATE: Mit der Version 01.03.00 der AVM-Software "FRITZ!Box-Fernzugang einrichten" kann man direkt CFG-Dateien zum Surfen über die VPN-Verbindung erzeugen. Dazu setzt man einfach ein Häkchen bei "Alle Daten über den VPN-Tunnel senden" auf der Seite mit den IP-Einstellungen der FRITZ!Box (siehe Screenshot). Nachfolgende Anleitung ist damit überflüssig geworden...
avm.gif

[HR]*[/HR]
Hej!

Hier beschreibe ich meine Lösung, um über eine VPN-Verbindung zu surfen, ohne irgendetwas an der FRITZ!Box-Firmware verändern zu müssen. Dadurch kann man z.B. im Ausland Streams von einigen deutschen TV-Sendern sehen, die sonst mit dem Hinweis "in deinem Land nicht verfügbar" nicht funktionieren. Man braucht nur eine VPN-fähige FRITZ!Box sowie die kostenlose AVM-Software "FRITZ!Fernzugang" und "FRITZ!BOX-Fernzugang einrichten". In der Anleitung gehe ich von einer FRITZ!Box-Standardkonfiguration mit der FRITZ!Box-IP 192.168.178.1 im Subnet 192.168.178.0 255.255.255.0 aus.
Achtung: Alle DNS-Anfragen des Client-PCs mit FRITZ!Fernzugang laufen mit dieser Konfiguration über den Internet-Provider bzw. das LAN des Client-PCs und werden ggf. geloggt und ausgewertet! Des Weiteren kann der Provider/LAN-Administrator sehen, dass eine VPN-Verbindung zu einer (ausländischen) IP-Adresse aufgebaut wird. Man sollte dies bei der Benutzung dieser Anleitung bedenken und sich an die Gesetze des Aufenthaltslandes halten.

  1. Voraussetzung: funktionierende VPN-Konfiguration
    1. VPN gemäß der Anleitung auf der AVM-Website konfigurieren: http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_und_Tipps/step_by_step_fernzugang.php.
    2. Funktion der Standard-VPN-Konfiguration prüfen.
  2. CFG-Datei der FRITZ!Box anpassen
    • CFG-Datei mit einem Texteditor öffnen und nach der Zeile "accesslist" suchen. Beispiel:
      Code:
      accesslist = "permit ip 192.168.178.0 255.255.255.0 [COLOR="Blue"]192.168.178.201[/COLOR] 255.255.255.255";
    • Bestehende Zeile durch folgende austauschen:
      Code:
      accesslist = "permit ip any [COLOR="Blue"]192.168.178.201[/COLOR] 255.255.255.255";
      Erläuterung: 192.168.178.201 ist die VPN-IP, die der FRITZ!Fernzugang-PC von der FRITZ!Box zugewiesen bekommt.
    • Über die FRITZ!Box-Benutzeroberfläche die alte VPN-Konfiguration löschen und die angepasste Version importieren.
    • Funktion der angepassten VPN-Konfiguration prüfen. Achtung: Es ist noch kein Zugriff auf's Internet über die VPN-Verbindung möglich, weiterhin nur auf das Subnet der FRITZ!Box.
  3. CFG-Datei des FRITZ!Fernzugang anpassen (neue, einfachere Version dank User "DerLanWan")
    • CFG-Datei mit einem Texteditor öffnen und nach der Zeile "accesslist" suchen. Beispiel:
      Code:
      accesslist = "permit ip any 192.168.178.0 255.255.255.0";
    • Bestehende Zeile durch folgende austauschen:
      Code:
      accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";


      • Wenn der PC in einem LAN hängt, muss man folgende Zeile verwenden:
        Code:
        accesslist = "deny ip any [COLOR="Red"]192.168.0.0 255.255.255.0[/COLOR]", "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
        Erläuterung: 192.168.0.0 255.255.255.0 ist das Subnet des LAN, an das der PC angeschlossen ist.
    • Im FRITZ!Fernzugang die alte VPN-Konfiguration löschen und die angepasste Version importieren.
  4. Über die VPN-Verbindung surfen

    • Nach Herstellung der VPN-Verbindung sollte man z.B. auf www.wieistmeineip.de die öffentliche IP-Adresse der FRITZ!Box angezeigt bekommen.

Viele Grüße
buecke
 
Zuletzt bearbeitet:

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,571
Punkte für Reaktionen
1
Punkte
38
Hallo buecke,

Prima, vielen Dank für die Nachricht. Ein sehr effektvoller Einstand ins Forum (und damit ein herzliches Willkommen ;)).

Ich frage mich nur gerade, wie wir das ein wenig präsenter machen, da die Frage doch sehr oft gestellt wird. Hier sammeln wir bereits viele Hinweise in Bezug aufs AVM VPN, z.B. auch die Konfiguration für UMTS. Ein "Wichtiger" Thread in dem Bereich wäre nicht schlecht. Trenne ich jetzt deinen Beitrag ab, oder kannst du dort eine Art Mini-Howto machen?
 

doc456

IPPF-Urgestein
Mitglied seit
27 Apr 2006
Beiträge
15,683
Punkte für Reaktionen
5
Punkte
38
@frank_m24, hatte ich gestern auch gelesen, wäre auch ne Möglichkeit z.B. in den Emiraten, etc. :)

Wenn er sich nicht meldet, dann trenn es doch heraus. Ist wohl das Einfachste.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,571
Punkte für Reaktionen
1
Punkte
38
Hallo,

so, jetzt ist es ein "wichtiger Thread" im AVM-Software Bereich. ;)
 

cmmehl

Aktives Mitglied
Mitglied seit
15 Jun 2004
Beiträge
812
Punkte für Reaktionen
0
Punkte
0
Ich habe mich sehr ueber diese anleitung gefreut und es gleich ausprobiert. Testscenario ist ein rechner in einem andern land, zu dem ich mit teamviewer verbunden bin. Mit der normalen VPN-verbindung von AVM klappt es immer.

Hier bekam ich eine verbindung, solange ich nur aenderungen in der FB vornahm, allerdings nicht fuer den kompletten internet-verkehr wie gewuenscht. Aber sobald ich die oben beschriebenen aenderungen in der .cfg-Datei für den FritzFernzugang vornahm, bekam ich keine verbindung mehr - der versuch endet nach geraumer zeit mit der fehlermeldung: "Could not resolve the name of the remote site".

Ich habe die aenderungen in dieser config mal so gelassen wie geschrieben, mal angepasst an meine IP-umgebung ("deny ip any 84.158.0.0 255.255.0.0"). Leider hat alles nichts gebracht. Gelegentlich wird beim verbindungsversuch der internetverkehr unterbrochen, was fuer eine teamviewer-session eher ungesund ist - aber vermutlich muss das so sein wenn kuenftig aller internet-verkehr ueber die FB geleitet werden sollte.

Also irgendetwas an dieser zeile verhindert den erfolg:
Code:
accesslist = "deny ip any 192.168.0.0 255.255.255.0", "deny ip any 82.83.0.0 255.255.0.0", "permit ip any any";
Hat es schon jemand erfolgreich mit den o/a settings geschafft?

Buenas noches
Chris
 
Zuletzt bearbeitet:

buecke

Neuer User
Mitglied seit
27 Mrz 2009
Beiträge
83
Punkte für Reaktionen
0
Punkte
6
Aber sobald ich die oben beschriebenen aenderungen in der .cfg-Datei für den FritzFernzugang vornahm, bekam ich keine verbindung mehr - der versuch endet nach geraumer zeit mit der fehlermeldung: "Could not resolve the name of the remote site".
Das klingt danach, dass deine DNS-Auflösung nicht mehr funktioniert. Sprichst du die FRITZ!Box über eine DynDNS-Domain an? Wie ist der entfernte Rechner mit dem FRITZ!Fernzugang ans Internet angebunden? Direkt oder über ein LAN? Schau doch mal über "ipconfig /all" nach, welche IP dein DNS-Server hat.

mal angepasst an meine IP-umgebung ("deny ip any 84.158.0.0 255.255.0.0").
Die FRITZ!Box hängt in diesem Subnetz, richtig? Die Angabe muss unbedingt mit in die Config, sonst geht es nicht.

Viele Grüße
buecke
 

cmmehl

Aktives Mitglied
Mitglied seit
15 Jun 2004
Beiträge
812
Punkte für Reaktionen
0
Punkte
0
Hallo buecke,

danke fuer deine antwort!

> Sprichst du die FRITZ!Box über eine DynDNS-Domain an?

Ja.

> Wie ist der entfernte Rechner mit dem FRITZ!Fernzugang ans Internet angebunden? Direkt oder über ein LAN?

Ueber ein LAN, und ipconfig/all gibt mir die router IP fuer die DNS aus:
Code:
IP Address. . . . . . . . . . . . : 192.168.55.8
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.55.1
        DHCP Server . . . . . . . . . . . : 192.168.55.1
        DNS Servers . . . . . . . . . . . : 192.168.55.1
Ich habe ja auch den verdacht mit dem DNS, da die error message ja lautet, dass der entfernte name nicht aufgeloest werden kann - aber wie das beheben?

> Die FRITZ!Box hängt in diesem Subnetz, richtig?
Ja, ich bekomme immer IPs die mit 84.158. beginnen

> Die Angabe muss unbedingt mit in die Config, sonst geht es nicht.
Hatte ich drin, ging aber trotzdem nicht.

Viele Gruesse
Chris
 

buecke

Neuer User
Mitglied seit
27 Mrz 2009
Beiträge
83
Punkte für Reaktionen
0
Punkte
6
Hej Chris,

dann müsste die access-Zeile in der config für deinen FRITZ!Fernzugang wie folgt lauten:
Code:
accesslist = "deny ip any 192.168.55.0 255.255.255.0", "deny ip any 84.158.0.0 255.255.0.0", "permit ip any any";
Bin gespannt, ob es damit funktioniert...

Viele Grüße
buecke
 

cmmehl

Aktives Mitglied
Mitglied seit
15 Jun 2004
Beiträge
812
Punkte für Reaktionen
0
Punkte
0
JA !!! :D:D:D

Es verbindet, und whatismyip zeigt die IP der FB an. Super!

Weitere tests spaeter.

Riesen dankeschoen!
Chris
 

cmmehl

Aktives Mitglied
Mitglied seit
15 Jun 2004
Beiträge
812
Punkte für Reaktionen
0
Punkte
0
Der vollstaendigkeit halber und fuer andere beduerftige hier noch ein hinweis, wie das ganze funktioniert bei einer direkten einwahl (also ohne router):

Der befehl ipconfig/all liefert die IPs der DNS-server, zwei normalerweise.

Dann lautet der befehl fuer die .cfg datei so:
accesslist = "deny ip any 123.456.789.111 255.255.255.255", "deny ip any 123.456.789.222 255.255.255.255", "deny ip any 987.654.0.0 255.255.0.0", "permit ip any any";
wobei 123.456.789.111 und 123.456.789.222 die beiden DNS-server IPs sind und 987.654.0.0 das angepasste netz der Fritzbox.

Herzlichen dank an buecke fuer seine hilfe hierbei - bitte verbessere es, wenn ich da was falsch verstanden haben sollte!

Chris
 
Zuletzt bearbeitet:

buecke

Neuer User
Mitglied seit
27 Mrz 2009
Beiträge
83
Punkte für Reaktionen
0
Punkte
6
Herzlichen dank an buecke fuer seine hilfe hierbei - bitte verbessere es, wenn ich da was falsch verstanden haben sollte!
Stimmt exakt so. Ich habe das HowTo inzwischen entsprechend ergänzt.

Viele Grüße
buecke
 
Zuletzt bearbeitet:

diving

Neuer User
Mitglied seit
20 Dez 2006
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
shrew

Hallo !
Da bei mir die verbindung mit dem Client von AVM nicht funktioniert und ich mit shrew arbeite, würde mich mal interessieren wie ich das mit Shrew hinbekomme. Bisher hatte ich leider keinen Erfolg. Hat vielleicht einer nen Tip für mich wie ich die änderungen eintrage?
 

buecke

Neuer User
Mitglied seit
27 Mrz 2009
Beiträge
83
Punkte für Reaktionen
0
Punkte
6
Da bei mir die verbindung mit dem Client von AVM nicht funktioniert und ich mit shrew arbeite, würde mich mal interessieren wie ich das mit Shrew hinbekomme.
Hast du denn mit Shrew eine funktionierende VPN-Verbindung ohne die Anpassungen, sprich kannst du mit der Standard-Konfiguration per VPN auf deine FRITZ!Box zugreifen? Warum funktioniert der AVM-Client nicht bei dir?

Viele Grüße
buecke
 

diving

Neuer User
Mitglied seit
20 Dez 2006
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Ja, mit shrew bekomme ich eine funktionierende VPN verbindung hin, um auf das interne Netzwerk zu kommen von aussen. Selbst wenn ich die änderungen an der Fritzbox.cfg vornehme ist die verbindung da.
Beim AVM client bekomme ich nur die meldung: "Zeitüberschreitung: Gegenstelle kann nicht erreicht werden" Und das egal wie ich die Verbindung (Provider DSL /Einwahl DFÜ) herstelle.Also hab ich die Connection mit Shrew aufgebaut.
Das klappt ja auch. Nur das surfen, wie hier im thread beschrieben will net klappen. Denke ich mach einen simplen Denk fehler....
Blocke, wie beschrieben die DNS Server bei Policy, und das Subnet vom dem Provider bei der FB. Aber trotzdem klappt es net richtig. Hänge mal ne Grafik an um das zu verdeutlichen...

Die ersten beiden einträge sind die DNS Server, der 3. eintrag ist das Subnet von der FB , und der 4. eintrag ist damit ich ins Netz der FB komme. Wenn ich den 4. Eintrag rausnehme komme ich nicht mehr in das "Interne Netz"
 

Anhänge

buecke

Neuer User
Mitglied seit
27 Mrz 2009
Beiträge
83
Punkte für Reaktionen
0
Punkte
6
Blocke, wie beschrieben die DNS Server bei Policy, und das Subnet vom dem Provider bei der FB. Aber trotzdem klappt es net richtig. Hänge mal ne Grafik an um das zu verdeutlichen...

Die ersten beiden einträge sind die DNS Server, der 3. eintrag ist das Subnet von der FB , und der 4. eintrag ist damit ich ins Netz der FB komme.
Hej diving!

Der 3. Eintrag (Subnet FRITZ!Box) sieht falsch aus. Du hast da 82.83.0.0 / 255.255.255.255 und erlaubst damit nur eine IP. Offenbar geht deine FRITZ!Box auch über Arcor ins Netz und du müsstest daher 82.83.0.0 / 255.255.0.0 angeben, damit alle IPs erfasst sind.

Viele Grüße
buecke
 

diving

Neuer User
Mitglied seit
20 Dez 2006
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo !
Ne, das wahr es leider nicht gewesen.. Hat keinen erfolg gebracht, denke das ist noch ein überbleibsel aus meinen unentlichen Versuchen gewesen... Habe mich strikt nach anleitung bei den ersten versuchen gehalten, und als das net funktionierte mal ein bischen rumprobiert...

Ich vermute es liegt vielleicht an den eintrag "PERMIT IP ANY ANY"
Wie trag ich den denn vernünftig ein ? Oder ist der mit dem letzten eintrag bei mir schon erschlagen...?
 

buecke

Neuer User
Mitglied seit
27 Mrz 2009
Beiträge
83
Punkte für Reaktionen
0
Punkte
6
Ich vermute es liegt vielleicht an den eintrag "PERMIT IP ANY ANY"
Wie trag ich den denn vernünftig ein ? Oder ist der mit dem letzten eintrag bei mir schon erschlagen...?
Stimmt, der "permit ip any any"-Eintrag fehlt völlig, hab ich ganz übersehen. Wie man den bei Shrew einrichtet, weiß ich leider nicht. Funktioniert vielleicht 0.0.0.0 / 0.0.0.0? Ansonsten kannst du z.B. mit include 212.19.62.76 / 255.255.255.255 (wieistmeineip.de) testen, ob es generell funktionieren würde.

Viele Grüße
buecke
 
Zuletzt bearbeitet:

diving

Neuer User
Mitglied seit
20 Dez 2006
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Also die eintragung 0.0.0.0/0.0.0.0 nimmt shrew nicht an. (Fehlermeldung :invalid Mask) Wenn ich die Ip direkt eingebe komme ich gar nicht erst auf die Seite(www.wieistmeineip.de):confused:

Mach ich irgendwas falsch?

Gruß

diving
 

hiddenbit

Neuer User
Mitglied seit
16 Jan 2008
Beiträge
67
Punkte für Reaktionen
0
Punkte
0
Weiß jemand wie der Client Teil der Config mit dem NCP Secure Entry Client umgesetzt werden kann? 0.0.0.0 nimmt er auch nicht an. :-\

Ich betreibe den Client in einem LAN.

MfG
 

buecke

Neuer User
Mitglied seit
27 Mrz 2009
Beiträge
83
Punkte für Reaktionen
0
Punkte
6
Also die eintragung 0.0.0.0/0.0.0.0 nimmt shrew nicht an. (Fehlermeldung :invalid Mask) Wenn ich die Ip direkt eingebe komme ich gar nicht erst auf die Seite(www.wieistmeineip.de):confused:
Also wenn du 212.19.62.76 / 255.255.255.255 als include bei Shrew eingibst, die VPN-Verbindung steht und du dann im Browser www.wieistmeineip.de aufrufst, sollte die Website die IP der FRITZ!Box anzeigen.

Wie man den "permit ip any any"-Eintrag in Shrew hinbekommt, weiß ich leider auch nicht. Da gibt's sicher andere Experten?

Viele Grüße
buecke