[Gelöst] VPN FritzFernzugang geht nicht mehr nach Routerwechsel

wglan

Neuer User
Mitglied seit
18 Feb 2010
Beiträge
26
Punkte für Reaktionen
1
Punkte
3
Hallo,
ich habe für einen Freund auf seinem Laptop an meinem Router eine Fritz VPN Fernverbindung eingerichtet: der Client ist ein Win10-PC an meiner Fritzbox 7590 mit Telekom DSL50, das Ziel der VPN-Verbindung ist ebenfalls eine Fritzbox 7590. Sie funktioniert problemlos, was für mich bedeutet, dass die Konfiguration auf beiden Seiten korrekt ist.

Anschließend hängten wir seinen Laptop an seinen Router. Der VPN Aufbau schlug fehl mit der Meldung "Zeitüberschreitung, die Gegenstelle konnte nicht erreicht werden." Sein Router ist eine Fritzbox 6591 an einem Kabelanschluss. Die IP-Adresse der Fritzbox 6591 war wie bei mir daheim aus dem 192.168.178.xxx Subnetz. Das Ziel hat in beiden Fällen das Subnetz 192.168.0.xxx.

An der Konfiguration des Fernzugangs kann es m.E. nicht liegen, da die Verbindung im 1. Fall ja funktioniert und Client-PC und Ziel-Fritzbox in beiden Fällen nicht verändert wurden. Und wenn ich die MyFirtz!Adresse über den Edge aufrufe, komme ich in beiden Fällen auf die Oberfläche der Ziel-Fritz-Box.

Woran könnte es liegen? Wie komme ich dem Fehler auf die Spur. Danke im Voraus für dienliche Hinweise.

MfG
wglan
 
Zuletzt bearbeitet:
Nur damit das richtig verstanden wird: Freund will mit *seinem* Laptop über *seinen* Router (6591) an *Deine* Fritzbox (7590) verbinden?

Kann der VPN-Client zu Deiner *öffentlichen* IP connecten? Das muss er - die lokalen Subnetze (192.168.x.x bzw. 192.178.x.x) werden von den Routern abgeblockt.
Die über VPN verbundenen Clients bekommen normalerweise "lokale" Adressen aus dem Ziel-Subnetz (die man übrigens eingrenzen kann). Gibt es dieselben Adressen schon im lokalen Netz, in dem sich das Client-Gerät aufhält, kommt es zu Adresskonflikten.

Nach dem VPN-Protokoll will ich in der Annahme, daß hier "WireGuard" zum Einsatz kommt, eigentlich nicht fragen. Oder ist hier noch das alte AVM-Protokoll im Spiel?
 
Nein, dann habe ich es wohl nicht klar genug beschrieben.

Der Freund will sich mit einer Fritzbox 7590 verbinden, die am Ort X steht.

Zur Vorbereitung und zum Test habe ich seinen Laptop bei mir daheim eingerichtet, um über meine Fritzbox 7590 sich mit der Fritzbox 7590 am Ort X zu verbinden. Und das ging auch sofort. Dazu musste ich an meiner Fritzbox auch gar nichts ändern. (Die cfg-Dateien wurden auf seinem Laptop und der Fritzbox am Ort X importiert.

Anschließend schloss ich seinen Laptop an seine 6531 Fritzbox (Kabel) bei ihm daheim an. Dort bekam ich dann die Fehlermeldung. Der Unterschied liegt darin, dass die Verbindung von seinem Laptop zur Fritzbox am Ort C jetzt über die FB 6531 (Kabel) läuft. Ich hoffe, das damit geklärt zu haben.

Die Einrichtung des Fritz!Fernzugangs erfolgte, wie bei AVM beschreiben. Siehe https://avm.de/service/vpn/praxis-t...box-unter-windows-einrichten-fritzfernzugang/ Welches Protokoll dabei zum Einsatz kommt, weiß ich nicht.

Der iP-Adresskonflikt existiert nicht - wie oben bereits beschrieben.

Danke für die rasche Antwort.
 
Ich verstehe nicht, was das mit meinem Problem zu tun hat. Der Fernzugang aus meinem lokalen Netz 192.168.178.xxx zur Ziel-FB mit dem lokalen Netz 192.168.0.xxx funktioniert einwandfrei.
 
Mit deinem Problem hat das nichts zu tun.
Das liegt eher an deiner Anleitung:

Voraussetzungen / Einschränkungen​

Eine "Fritzbox 6531 (Kabel)" gibt es auch nicht.
 
Zuletzt bearbeitet:
Falls Ort C, was an einem Kabelanschluss eher wahrscheinlich ist, nicht über eine öffentliche IPv4 verfügt, geht das wohl nur über Wiregard und IPv6.
Bei den cfg`s gilt es die myfritz-Adressen anzupassen, falls selbige als dyndns verwandt werden und "getauscht" werden.
LG
 
Da ein Bild wohl mehr als 1000 Worte wert ist, versuche ich, mein Problem mit der folgenden Skizze zu erklären:
VPN Fernzugang.jpg
[Edit Novize: Riesenbild gemäß der Forumsregeln auf Vorschau verkleinert]
Der FritzFernzugang vom Laptop A zur FB am Ort X läuft. Die FB7590 hat eine öffentliche Adresse, sonst würde die Verbindung auch nicht funktionieren.
Wenn ich den gleichen Laptop bei meinem Freund an die FB6591 (Kabel) anschließe bekomme ich den Fehler "Zeitüberschreitung, die Gegenstelle konnte nicht erreicht werden."
Das hatte ich versucht, am Anfang zu erklären, aber offensichtlich mit wenig Erfolg.
Danke für Eure Unterstützung. Vielleicht hat ja noch jemand eine Idee, wie ich dem Fehler auf die Schliche kommen kann.
Gruß, wglan
 
Zuletzt bearbeitet von einem Moderator:
Wie oft soll denn noch geschrieben werden, dass der Kabelanschluss wohl keine IPv4-Adresse hat?
 
Sorry, ich dachte, ich hätte das jetzt geklärt. Die Ziel-Fritzbox ist an einem Telekom DSL Anschluss und hat kein Kabel, aber dafür eine öffentliche IPV4 Adresse. Deshalb hilft mir deine Aussage nicht weiter.
Die Frage lautet: Weshalb bekommt Laptop A an der 6591 beim Aufbau des Fernzugangs mit der FB7590 am Ort C die Fehlermeldung, währen die Verbindung von Laptop A an der FB7590 mit der FB7590 am Ort C funktioniert.
 
Wie oft soll denn noch geschrieben werden, dass der Kabelanschluss wohl keine IPv4-Adresse hat?
In dem Fall dürfte es eigentlich egal sein. Sobald die FB 7590 am Ort X eine öffentliche IPv4 hat.
Es sieht so aus als die die gleiche Konfig in beiden FB 7590 und 6591 reingeschrieben haben.
Mindestens die beide locale Netze dürfen nicht gleich 192.168.178.0 heißen oder darf nur eine FB 7590 bzw. 6591 die VPN zur FB7590 am Ort X aufbauen
 
Zuletzt bearbeitet:
Es sieht so aus als die gleiche Konfig in beiden FB 7590 und 6591 reingeschrieben haben.
Von der einen Fritzbox 7590 funktioniert aber die VPN-Verbindung zur anderen Fritzbox 7590 am neuen Ort C, bisher Ort X.
Es dürfte eigentlich egal sein, wenn der Kabelanschluss nur DS Lite ist und der Laptop A eine IPv6-Adresse von der Fritzbox 6591 zugewiesen bekommt. Aber in diesem Fall scheint der VPN-Verbindungsaufbau aus irgendeinem Grund trotzdem nicht zu funktionieren. In den Supportdaten der Fritzbox steht die Ursache bestimmt drin.
 
Zuletzt bearbeitet:
...
Die Frage lautet: Weshalb bekommt Laptop A an der 6591 beim Aufbau des Fernzugangs mit der FB7590 am Ort C die Fehlermeldung, währen die Verbindung von Laptop A an der FB7590 mit der FB7590 am Ort C funktioniert.
Dieses Verhalten würde man z.B. auch beobachten, wenn an der 6591 selbst ein VPN eingerichtet wäre, oder die Ports 500 und 4500 aus anderen Gründen belegt sind, z.B. für einen exposed host.
 
Zuletzt bearbeitet:
Aber in diesem Fall scheint der VPN-Verbindungsaufbau aus irgendeinem Grund trotzdem nicht zu funktionieren.
Wenn die FB 7590 (daheim) mit interne IP 192.168.178.1 eine VPN zur FB7590 (X) aufgebaut hat und die weiter besteht und dann versucht die FB6591 (Freund) mit der gleicher internet IP 192.168.178.1 auch eine VPN zur FB7590(X) aufzubauen es kommt zur Fehlermeldung. Zugewiesene IPv6 für Laptop wird keine Rolle spielen, LAN-LAN Kopplung. DieFB 6591 sollte mindestens eine interne IP zB 192.168.177.1 haben und eigene dyndns. Dann klappt's.
Oder die Verbindung FB 7590(daheim) zur FB 7590(X) vorher trennen
 
@ Kunterbunger: Wo finde ich die Supportdaten der FB6591? Ich suche ja etwas, was mir einen Hinweis auf das Problem gibt.

@ martinbee: Ich kann mir nicht vorstellen, dass an der relativ neu eingerichteten 6591 bereits ein VPN eingerichtet ist. Aber ich werde morgen danach schauen, ob ich zu den genannten Ports etwas finde. Dann will ich einen neuen Test machen.

@pa-jt: Nein, beim Aufbau beim Freund war die alte Verbindung bereits abgebaut.

Zumindest konnte ich mein Problem jetzt rüberbringen. Sorry, dass es so lange gedauert hat und aus dem Ort C in der Grafik ein Ort X wurde. (So etwas nennt man schlampige Arbeit!)
 
Wenn die FB 7590 (daheim) mit interne IP 192.168.178.1 eine VPN zur FB7590 (X) aufgebaut hat und die weiter besteht und dann versucht die FB6591 (Freund) mit der gleicher internet IP 192.168.178.1 auch eine VPN zur FB7590(X) aufzubauen
Das ist eine andere Baustelle, weil:
der Client ist ein Win10-PC an meiner Fritzbox
nicht die Fritz baut das VPN auf sondern es wird nur vom Läppi aus zur Fritz an Ort x aufgebaut
 
nicht die Fritz baut das VPN auf sondern es wird nur vom Läppi aus zur Fritz an Ort x aufgebaut
eigentlich das gleiche: eine VPN von DS-Lite zur echten IP4. So komme ich von meinem Smartfon über VPN an FB mit einer öffentlichen IP4 zur meiner FB (DS-Lite)
 
eigentlich das gleiche: eine VPN von DS-Lite zur echten IP4
Ne, nicht das gleiche, denn oben schriebst Du von Routingproblemen durch die gleiche IP der "Client"-Fritzboxen.
Ich kann mit meinem Smartphone aus auch von jeglichem Internet aus auf meine Fritz zugreifen, unabhängig von der jeweilig zugewiesenen IP-Adresse. Auch, wenn ich einen WLAN-Router bei mir habe und mich vagabundierend immer von woanders aus einwähle (LTE, Kundennetze etc), dabei immer die selbe IP-Adresse am Smartphone bekomme.
Ich vermutet eher, dass da bestimmte Protokolle o.ä. nicht sauber von der 2. Fritz weitergeleitet werden, wie Micha0815 schon schrieb..
Dazu ist aber wichtig, was für ein Problem initiiert das VPN, welches VPN-Protokoll wird verwendet und ggf. in der 2. Fritz geblockt o.ä...
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.