[Problem] Nach VPN-Verbindung telefonieren nicht mehr möglich
- Ersteller DreiVier
- Erstellt am
Eignentlich dich. Du hast das so dramatisch beantwortet mit den Worten: "Das Vorgehen, den gesamten Internetverkehr dauerhaft über den VPN Tunnel zu leiten, sollte dringend hinterfragt werden" , so als wäre es ein SicherheitsrisikoWen meinst du jetzt?
Muss diese VPN-Verbindung unbedingt der Router machen?
Ich nutze auch manchmal einen VPN-Tunnel, um das Geoblocking zu umgehen (z.B. um Formel1 auf ServusTV anzuschauen). Aber das mach ich dann temporär von meinem PC aus, ohne Einfluss mein restliches Netzwerk.
Ich nutze auch manchmal einen VPN-Tunnel, um das Geoblocking zu umgehen (z.B. um Formel1 auf ServusTV anzuschauen). Aber das mach ich dann temporär von meinem PC aus, ohne Einfluss mein restliches Netzwerk.
oh sorry hast DU das gar nicht geschrieben. Nichts für ungut. ;-)
Leider ist es, wie so oft in einem Forum, das das eigentliche Thema oder die Frage nicht beantworte wird und viele mit oft gut gemeinten aber dann doch oft sehr subjektiven Ratschlägen den eigentlichen Thread verfälschen. Auf das möchte ich eigentlich hinaus.
VPN ist ein eigenes Thema und die Sicherheit und die "seriösität" mancher Anbieter auch aber ob ich nun mein Surfverhalten, die DNS Suchanfragen meine ISP preisgebe oder einem VPN Anbieter mag auf den ersten Blick nicht viel Unterschied zu machen.
Ein zentraler Router für den VPN Traffic macht von daher Sinn, dass ich weiß jedes Gerät aus dem Netzwerk benutzt das VPN. Das bringt natürlich bei der Telefonie technische Probleme und auf die Beantwortung dieser Frage sollte das Augenmerk in diesem Thread liegen.
Edit:
...und ich möchte keinem hier die Kompetenz absprechen. Im Gegenteil ich finde dieses Forum hervorragend und es gibt hier eine Menge Leute mit sehr viel Fachwissen
Leider ist es, wie so oft in einem Forum, das das eigentliche Thema oder die Frage nicht beantworte wird und viele mit oft gut gemeinten aber dann doch oft sehr subjektiven Ratschlägen den eigentlichen Thread verfälschen. Auf das möchte ich eigentlich hinaus.
VPN ist ein eigenes Thema und die Sicherheit und die "seriösität" mancher Anbieter auch aber ob ich nun mein Surfverhalten, die DNS Suchanfragen meine ISP preisgebe oder einem VPN Anbieter mag auf den ersten Blick nicht viel Unterschied zu machen.
Ein zentraler Router für den VPN Traffic macht von daher Sinn, dass ich weiß jedes Gerät aus dem Netzwerk benutzt das VPN. Das bringt natürlich bei der Telefonie technische Probleme und auf die Beantwortung dieser Frage sollte das Augenmerk in diesem Thread liegen.
Edit:
...und ich möchte keinem hier die Kompetenz absprechen. Im Gegenteil ich finde dieses Forum hervorragend und es gibt hier eine Menge Leute mit sehr viel Fachwissen
Zuletzt bearbeitet:
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,541
- Punkte für Reaktionen
- 646
- Punkte
- 113
Mag sein. In diesem Fall ist es aber genau die Wurzelursache für deine Probleme. Und da es bei näherer Betrachtung wirklich nur sehr selten Sinn macht, den gesamten Internetverkehr über ein VPN zu tunneln, sollte man das hinterfragen. Denn in dem Moment, wo man das VPN zielgerichtet einsetzt, um das eigentliche Problem zu lösen, funktioniert deine Telefonie, ohne dass es an anderer Stelle Nachteile bedeutet. Deshalb haken wir nach.
Warum macht das für dich Sinn? Wenn du das VPN nicht nutzt, dann weißt du, dass jedes Gerät deinen Internetzugang benutzt. Wo ist für dich und deine Anwendungsfälle der Unterschied?
Und selbst wenn du jedes Gerät in deinem Netzwerk übers VPN leiten willst, dann geht das immer noch mit der Lösung aus #2. Dann hakst du eben einfach alle Geräte an. Das schließt die Telefonie der Box dann immer noch aus und löst dein Problem.
Ich habe das gleiche Problem und konnte hier im Thread noch keine Lösung lesen. Wenn die Wireguard-Verbindung aktiv ist, ist Festnetztelefonieren nicht möglich, egal, ob die Option "allen Verkehr über diese Verbindung leiten" ausgewählt ist oder nicht, und egal ob dort Geräte ausgewählt sind oder nicht (soweit ich sehe, betrifft das Auswählen von Geräten nur Weiterleitungen von außen ins Heimnetzwerk).
Selbst wenn die Option "allen Verkehr über diese Verbindung leiten" *nicht* ausgewählt ist, kann ich trotzdem nicht telefonieren, und bin auch nicht erreichbar.
Wie kann ich für VoIP in der Fritzbox eine Ausnahme für eine Wireguard-Verbidung erstellen? (Das steht leider auf keiner der AVM-Seiten.)
Viele Grüße, Jacob.
Selbst wenn die Option "allen Verkehr über diese Verbindung leiten" *nicht* ausgewählt ist, kann ich trotzdem nicht telefonieren, und bin auch nicht erreichbar.
Wie kann ich für VoIP in der Fritzbox eine Ausnahme für eine Wireguard-Verbidung erstellen? (Das steht leider auf keiner der AVM-Seiten.)
Viele Grüße, Jacob.
chrsto
IPPF-Promi
- Mitglied seit
- 8 Sep 2010
- Beiträge
- 4,328
- Punkte für Reaktionen
- 809
- Punkte
- 113
Gar nicht. Du kannst nur die Option "Gesamten Traffic ..." abwählen. Wenn auch das nicht funktioniert, hast du etwas falsch eingestellt.
Um das aber erkennen zu können, müsstest du deine Konfiguration in Form von Screenshots hier reinstellen.
Screenshot von der Verbindung selbst sieht so aus:
[Edit Novize: Beiträge zusammengefasst und Riesenbild zur Vorschau geschrumpft - siehe Forumsregeln]
Einmal ein- und wieder ausschalten und SIP geht. Tut mir leid, und trotzdem danke.
[Edit Novize: Beiträge zusammengefasst und Riesenbild zur Vorschau geschrumpft - siehe Forumsregeln]
Einmal ein- und wieder ausschalten und SIP geht. Tut mir leid, und trotzdem danke.
Zuletzt bearbeitet von einem Moderator:
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,392
- Punkte für Reaktionen
- 1,813
- Punkte
- 113
Danke. Stimmt, die FritzBox hat nur eine Weile gebraucht, um mir das mitzuteilen. Beim nächsten automatischen Neu-Registrieren gab es einen DNS-Fehler.
Jetzt habe ich folgendes Problem: Ich möchte ja, dass nicht alles über WG geroutet wird, insbesondere die IP von meinem VoIP-Anbieter nicht.
Ich dachte jetzt ganz naiv, also trage ich bei AllowedIPs die ein, die nicht mein Anbieter sind.
Es gibt hier diesen schönen Rechner: https://www.procustodibus.com/blog/2021/03/wireguard-allowedips-calculator/
Darauf sagt die Fritzbox beim Einrichten: "The WireGuard remote site caused a network conflict. Reason: The network of remote site (0.0.0.0/1) conflicts with the existing route (127.0.0.0/32). Click on "Close" to go to the WireGuard® overview and set up the WireGuard® connection again."
Habe ich einen Denkfehler? 0.0.0.0/1 und 127.0.0.0/32 überlappen sich doch nicht? Oder sollen sie sich überlappen?
Jetzt habe ich folgendes Problem: Ich möchte ja, dass nicht alles über WG geroutet wird, insbesondere die IP von meinem VoIP-Anbieter nicht.
Ich dachte jetzt ganz naiv, also trage ich bei AllowedIPs die ein, die nicht mein Anbieter sind.
Es gibt hier diesen schönen Rechner: https://www.procustodibus.com/blog/2021/03/wireguard-allowedips-calculator/
Darauf sagt die Fritzbox beim Einrichten: "The WireGuard remote site caused a network conflict. Reason: The network of remote site (0.0.0.0/1) conflicts with the existing route (127.0.0.0/32). Click on "Close" to go to the WireGuard® overview and set up the WireGuard® connection again."
Habe ich einen Denkfehler? 0.0.0.0/1 und 127.0.0.0/32 überlappen sich doch nicht? Oder sollen sie sich überlappen?
Also, die Frage ist: Kann ich in meiner Fritzbox ein VPN von einem VPN-Anbieter installieren, und VoIP funktioniert trotzdem irgendwie (außerhalb des VPNs)?
Darauf gab es weiter oben ein klares "Ja, solange die Option 'alles über VPN routen' nicht eingeschaltet ist".
Jetzt kam der Hinweis, dass die AllowedIPs in der Wireguard-Config nicht 0.0.0.0/0 sein sollen, sonst routet er ja doch alles.
Die Blöcke, die ich jetzt über AllowedIPs probiert habe, gehen alle nicht "network conflict".
Was mache ich jetzt? VPN über FritzBox geht doch nicht, ohne das VoIP kaputtzumachen?
Darauf gab es weiter oben ein klares "Ja, solange die Option 'alles über VPN routen' nicht eingeschaltet ist".
Jetzt kam der Hinweis, dass die AllowedIPs in der Wireguard-Config nicht 0.0.0.0/0 sein sollen, sonst routet er ja doch alles.
Die Blöcke, die ich jetzt über AllowedIPs probiert habe, gehen alle nicht "network conflict".
Was mache ich jetzt? VPN über FritzBox geht doch nicht, ohne das VoIP kaputtzumachen?
Bis jetzt funktioniert es. Das habe ich gemacht:
1. IP vom VoIP-Anbieter herausbekommen. Aufschreiben. (Die URL ist im Event-Log zu finden, IP zur URL mit ping/dig/nslookup.)
3. In die Webseite https://www.procustodibus.com/blog/2021/03/wireguard-allowedips-calculator/ unter Disallowed IPs eintragen, bei Allowed IPs 0.0.0.0/0 eintragen, "Calculate" drücken, heraus kommt eine Liste mit erlaubten IPs.
4. In der Wireguard-Config-Datei vom Provider diese unter AllowedIPs eintragen.
5. In FritzBox laden.
6. Es kommt eine Fehlermeldung: "The network of remote site (a.b.c.d/e) conflicts with the existing route (v.w.x.y/z)".
7. Die IP v.w.x.y/z aus der Fehlermeldung zur Website unter Disallowed IP hinzufügen, "Calculate" drücken, heraus kommt eine neue Liste mit erlaubten IPs.
8. (4) bis (7) solange wiederholen, bis die FritzBox keinen Konflikt mehr meldet.
9. Damit ist die Config zwar geladen, aber die grüne Lampe leuchtet nicht. Anscheinend kann die FritzBox mit sehr langen Listen nicht umgehen(?).
10. In einem Text-Editor die Liste sortieren, nach IP-Block-Größe (erst die 3er-Netze, dann die 4er, etc).
11. Unter Allowed IPs nur den ersten Block eintragen (zB 0.0.0.0/3). Datei laden. Warten. Seite neu laden. Ist die LED neben der WireGuard-Verbindung grün?
12. Wenn ja, nächsten Block dazunehmen, nocheinmal probieren.
13. Solange wiederholen, bis die LED nicht mehr grün ist, dann die vorherige Konfiguration benutzen. (Ich war faul und habe für heute aufgehört, bis jetzt deckt das VPN ca 50% aller möglicher IP-Adressen ab. Ist da ein fixes Limit? Kann man irgendwie die Logfiles in der Fritzbox sehen?)
Viele Grüße, Jacob.
1. IP vom VoIP-Anbieter herausbekommen. Aufschreiben. (Die URL ist im Event-Log zu finden, IP zur URL mit ping/dig/nslookup.)
3. In die Webseite https://www.procustodibus.com/blog/2021/03/wireguard-allowedips-calculator/ unter Disallowed IPs eintragen, bei Allowed IPs 0.0.0.0/0 eintragen, "Calculate" drücken, heraus kommt eine Liste mit erlaubten IPs.
4. In der Wireguard-Config-Datei vom Provider diese unter AllowedIPs eintragen.
5. In FritzBox laden.
6. Es kommt eine Fehlermeldung: "The network of remote site (a.b.c.d/e) conflicts with the existing route (v.w.x.y/z)".
7. Die IP v.w.x.y/z aus der Fehlermeldung zur Website unter Disallowed IP hinzufügen, "Calculate" drücken, heraus kommt eine neue Liste mit erlaubten IPs.
8. (4) bis (7) solange wiederholen, bis die FritzBox keinen Konflikt mehr meldet.
9. Damit ist die Config zwar geladen, aber die grüne Lampe leuchtet nicht. Anscheinend kann die FritzBox mit sehr langen Listen nicht umgehen(?).
10. In einem Text-Editor die Liste sortieren, nach IP-Block-Größe (erst die 3er-Netze, dann die 4er, etc).
11. Unter Allowed IPs nur den ersten Block eintragen (zB 0.0.0.0/3). Datei laden. Warten. Seite neu laden. Ist die LED neben der WireGuard-Verbindung grün?
12. Wenn ja, nächsten Block dazunehmen, nocheinmal probieren.
13. Solange wiederholen, bis die LED nicht mehr grün ist, dann die vorherige Konfiguration benutzen. (Ich war faul und habe für heute aufgehört, bis jetzt deckt das VPN ca 50% aller möglicher IP-Adressen ab. Ist da ein fixes Limit? Kann man irgendwie die Logfiles in der Fritzbox sehen?)
Viele Grüße, Jacob.
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,541
- Punkte für Reaktionen
- 646
- Punkte
- 113
Das, was du da veranstaltest, ist vollkommen sinnlos, denn beim ersten IP-Wechsel deines VoIP Anbieters funktioniert es nicht mehr. Da die VoIP Server garantiert unter mehreren Adressen verfügbar sind, die als Fallback oder im Load-Balancing genutzt werden, ist das vollkommen vergebene Liebesmüh.
Das kann auch nicht richtig funktionieren, da du da mit allen in der Fritzbox bekannten Netzen kollidierst - interne, VPN Netze und vor allem auch externe. Die vielen Ausnahmen werden tatsächlich zu einer AllowedIPs Liste führen, die nicht mehr handhabbar ist. Und bei kleinsten Änderungen in der Fritzbox - und sei es nur das Anmelden eines neuen WLAN Gerätes - ist die Liste wieder unbrauchbar und muss neu gemacht werden.
Ja, das ist ja auch das Gleiche. Die Grundlagen des IP Routings gelten auch bei Fritzbox Wireguard Verbindungen, und die müssen beachtet werden.
Doch, VPN geht problemlos mit VoIP zusammen, wenn man es so einsetzt, wie es der Sinn eines VPNs ist. Ein VPN ist ein Tunnel zwischen zwei dedizierten Subnetzen, um z.B. zwei Liegenschaften miteinander zu verbinden. Die AllowedIPs müssen einen möglichst kleinen Bereich umfassen, keinen möglichst großen. Das geht problemlos, auch mit VoIP. Die obskuren "VPN Anbieter", wie NordVPN etc, die im Grunde kein VPN, sondern einen verkappten Proxy anbieten, funktionieren damit nicht. Das wird man auch nicht vernünftig hinbekommen.
Neueste Beiträge
-
Legitimate Crypto Recovery Companies \ Reach out to CAPTAIN WEBGENESIS
- Letzte: Michellemorris
-
Kombination Glasfaser FB 7590 TConceptX321 und CPA720- Letzte: stoney
-
FRITZ!Repeater 2400 Inhaus/Labor ab 8.10
- Letzte: Pirelli1
-
[Sammlung] Fritz!Box 7690 - Release 8.xx - Zyklus 'Smart24P1FCS'
- Letzte: VielUnterwegs
-
[Frage] 7590AXv2 upgrade auf 7690er: Lohnt sich das?
- Letzte: maciboy