VPN (nach außen) Probleme seit der Fritzbox

[min3z]

Hallo alle zusammen!

Hab da ein seltsamen Phänomen. Hab auch schon 2x dieselbe Fragestellung im INet gefunden aber da gab es keine Antworten drauf.

Folgendes Problem:
Ich benutzte ab und zu eine PPTP VPN Connection in das Netz meiner Firma. Seitdem ich aber die Fritzbox habe (Fon WLan 7170) kann ich die Verbindung zwar aufbauen und wild alles anpingen, kann aber keine Dienste in das Netzwerkl nutzen.
Kein RDP, kein VNC, UNC , noch netmal das popelige Web-Interface von nem Drucker oder der Firewall im Firmennetzwerk bekomm ich auf.
Pingen lässt sich das aber alles wunderbar und auch mit spitzen Antwortszeiten.

1. Fehlerbehebungsversuch:
Anderes OS benutzt. Hab Windows Vista 32bit. Hab umgebootet auf XP, selbes Problem

2. Fehlerbehebungsversuch:
Alten Router (Netgear Rangemax WPN 824) angeschlossen. Funktioniert einwandfrei.

3. Fehlerbehebungsversuch:
Meine Fritzbox liegt im Klasse C (255.255.255.0) Netz 192.168.178.x das auf der Arbeit im Klasse B Netz (255.255.0.0) 172.16.x.x
Jetzt bin ich hingegangen und ab mein Heimnetz in jegliche erdenkliche Konfiguration gesetzt. 10.10.0.1, sogar öffentliche Adressen wie 172.172.x.x

Da wir ein paar VPN Tunnel mit Routen über 192.168. laufen haben hab ich mir gedacht, das könnte hilfreich sein. (BTW hat der Netgear Router aus Versuch 2 die IP 192.168.1.1
Nun hab ich der Fritzbox dieselbe IP verpasst, gleiches Problem...
Wieder Netgear Router angeschlossen und ihm die 192.168.178.1 verpasst, ausprobiert, funktioniert!
Sprich: Es kann kein Adressproblem sein....

4. Fehlerbehebungsversuch
IPSec VPN Client benutzt. Zuerst den für unsere Firewall (Sonicwall) -> Nix...
Anderen VPN Client über eine SSL Appliance versucht -> nix...

Dazu muss man sagen, jedesmal, wenn einer der VPN Clients verbunden war, hat's mir mein ganzes Netzwerk aufm PC zerhauen. Windows stand so still, dass ich den Rechner abschießen musste. Beide Symptome unter Vista, wie auch unter XP.


Vielleicht liegt da auch der Hase im Pfeffer, wieso der Fritz Fernzugang zu mir nach Hause nicht funktioniert... Der Timed einfach aus... hatte die Box übrigens schon mittlerweile 2x auf Werksteinstellungen zurückgestellt, was einen "Zufallsfehler" ausschließen müsste.

Langsam bin ich mit meinem Latein am Ende... Das Problem ist, das übliche "Sprich mal mit Eurem Admin" würde im Selbsgespräch enden. Der Admin in der Firma bin ich :/

Ich bin für absolut jede Anregung, Hilfestellung dankbar!
min3z

 

[ThSteffens]

Hallo min3z,

evtl. liegt doch ein Adressierungsproblem vor. Die Fritzbox kann (je nach Modell) bis zu 4 Subnetze verwalten:
Lan 1, Lan 2, WLAN und USB
Evtl. liegt eins davon im IP-Adressbereich der Firma oder ist identisch mit dem Subnet, das für VPN genutzt wird.

Grüße
Thomas

 

[min3z]

Danke für die Anregung Thomas!

Hab jetzt mal nen paar Tage gefriemelt. Ich bin schon soweit, dass ich sagen kann, dass es nicht, an sich überschneidenen Netzwerken liegt.

Es liegt (anscheinend) daran, dass die Fritzbox die Anfragen nicht an das Remote Gateway schickt, sondern die IPs auf herkömmliche Weise sucht.

Also mein PC schickt die Anfrage an eine IP im VPN Netzwerk. Der Request verlässt meinen PC und weiß wo er hinsoll. Die Fritzbox fängt diesen Request ab und schickt ihn nicht Richtung VPN Gateway sondern ins lokale Netz bzw ins öffentliche Internet.
Hab schon routen konfiguriert, die scheinen die Fritzbox aber nicht zu interessieren...

Was kann ich noch tun?
min3z

 

[frank_m24]

Hallo,

Also mein PC schickt die Anfrage an eine IP im VPN Netzwerk. Der Request verlässt meinen PC und weiß wo er hinsoll. Die Fritzbox fängt diesen Request ab und schickt ihn nicht Richtung VPN Gateway sondern ins lokale Netz bzw ins öffentliche Internet.

Wie hast du das herausgefunden? Eine Fritz "fängt" einen Request nicht ab.
Es ist das dann ein Routing Problem deines PCs. Was hat das Paket in der Fritz zu suchen? Der PC sollte direkt anhand der IP-Konfiguration erkennen, dass er das Paket in den VPN Tunnel einspeisen muss und nicht zum Defaultgateway schickt. Deine Fritz kann natürlich mit dem Paket nichts anfangen, sie hat keinerlei Kenntniss über das VPN Gateway und den Tunnel dahin. Und aus einem existierenden Tunnel kann sie keine Pakete herausfiltern.
Führe bei vorhandener PPTP Verbindung mal folgende Kommandos in einem DOS Fenster aus und poste den Output hier:

ipconfig /all
route print
nslookup www.ebay.de
tracert 193.99.144.85
arp -a
ping <öffentliche Adresse deines VPN Gateways>

Viele Grüße

Frank

 

[ThSteffens]

Hallo min3z,

vergleiche mal deine Einstellungen mit der Anleitung auf meiner Homepage http://www.itk-steffens.de/vpn.html. Mit diesen Einstellungen läuft es bei mir und einem Kollegen.

Ein PPTP-Client hinter der Fritzbox hatte bei mir bis jetzt immer geklappt ohne was an der Fritzbox-Konfiguration ändern zu müssen. 2 Clients gleichzeitig zum selben Server geht nicht.

Um einen VPN-Server hinter der Fritzbox laufen zu lassen muss in der Portfreigabe GRE freigegeben werden.

Nochmal, damit ich es auch richtig verstehe:
1. VPN Verbindungsaufbau klappt (Richtig?)
2. Ping ins Zielnetz auf IP-Adresse klappt (andere UDP-Pakete gehen?)
3. HTTP ins Zielnetz auf IP-Adresse klappt nicht (klappt irgendein TCP-Protokoll?)
4. Alle Firewalls aus, auch die Desktop-Firewall der Fritzbox-Software und die Windows-Firewall?
5. Wer ist VPN-Server? Der Router des Zielnetz? Marke?

Viel Erfolg
Thomas

 

[min3z]

@frank

//edited:
Fast vergessen... Die Routen und ARP Tables sind OK. Die öffentliche IP Adresse der Firma kann ich leider nicht pingen, weil die Firewall auf PING nicht antwortet, allerdings weiß ich ja, durch den WebExchange, dass das Gateway ereichbar ist

Du hast natürlich vollkommen recht, EIGENTLICH dürfte das gar nicht passieren...

Also rausgefunden hab ich das, indem ich bei mir auf der Arbeit eine Workstation konfiguriert habe, die eine eigentlich öffentliche IP Adresse hat -> 172.172.52.61. Im Firmennetz funktioniert sie einwandfrei, routen stimmen auch, ist also im Netzwerk selber problemlos zu erreichen.

Nun klemme ich meinen im ersten Post schon erwähnten alten Netgear Router an meine Leitung und stelle die pptp verbindung her.
Wenn ich jetzt pinge oder trace, komm ich an der richtigen Maschine raus, alles wunderbar, ich komme per VNC und RDP drauf, UNC , alles kein Problem.

Jetzt bau ich die Fritzbox wieder auf und stell die pptp verbindung wieder her.
Jeder Ping und Trace ab jetzt geht in's öffentliche Internet richtung AOL. (Daher mein Schluss, dass die Fritzbox meint, sie könne mit dem Request mehr anfangen)

Die Routen auf meinem PC, dem Mac, Laptop und Macbook stimmen alle einwandfrei. Sie funktionieren auch bei anderen Kollegen (just im Moment sind 2 Leute per pptp in der Firma connected). Der einzige unterschied zu mir ist, dass die keine Fritzbox haben (ich weiß von 1x netgear und 1x linksys).

@thomas

Richtig, so siehts z.Zt. aus.
Allerdings hat sich etwas getan. Nach updaten auf die stable fritz firmware, ist mir jetzt HTTP ins Zielnetz möglich (keine Ahnung warum, da es nach aufspielen der Labor VPN Firmware auch noch geht). Das funktioniert übrigens nur unter XP, nicht unter Vista...

Also siehts bei mir jetzt so aus:
1. VPN Verbindungsaufbau klappt
2. Ping ins Zielnetz auf IP-Adresse klappt
3. HTTP ins Zielnetz auf IP-Adresse klappt (wieder)
4. Jeglicher anderer Dienst wie RDP oder UNC Connected zwar, kommt aber nicht zu mir zurück...
5. Keine Firewall im System (außer natürlich die vom Firmennetz, die forwarded aber korrekt auf die VPN Maschine)
6. VPN Server ist ein Windows 2003 Server hinter der Firmenfirewall (läuft schon seit über 2 Jahren Tadellos)

Jo... Ich blicks langsam echt nicht mehr...

Vielen Dank für Eure Hilfe und schönen Sonntag noch!
min3z

 

[ThSteffens]

@min3z:
Verschlüssele die VPN-Verbindung dann kann die Fritzbox mit den Daten garantiert nichts anfangen. Ist aber wohl sowieso verschlüsselt, oder?

Lege die Port-Forwarding-Regel GRE an.

Schneide den Netzwerkverkehr mit der Fritzbox mit http://fritz.box/cgi-bin/webcm?getpage=../html/capture.html

Vielleicht könnte es an der MTU liegen???

 

[Telefonmännchen]

Mal ne blöde Frage, hast Du eine Portfreigabe für GRE bei Deiner Fritz eingerichtet? Meine Desktopfirewall hatte beim ersten Verbindungsaufbau auch um eine Freigabe einer eingehenden GRE-Kommunikation nachgefragt. Also kommuniziert das auch rückwärts.

Da ich temporär VPN-Verbindungen zwischen zwei PCs mit XP benutze, habe ich auf beiden Boxen die jeweiligen Portforwardings GRE und 1723 auf die jeweiligen internen IPs eingerichtet und kann damit VPN vorwärts und rückwärts benutzen. Ich kann VNC, http und (zumindest in eine Richtung, andersrum habe ich es noch nicht probiert) auch eine Laufwerksfreigabe (Format: \\vpn.ip\Freigabename) nutzen. Weitergehende Netzwerkkommunikationen gehen nicht, da beide Rechner den Fritz-Standard-Adressraum nutzen. Da ich nur jeweils einen Rechner auf der anderen Seite zu administrieren habe und ich sie gegenseitig mit ihren VPN-Adressen ansprechen kann, reicht mir dieser Zustand aus. Vielleicht ist die evtl. fehlende GRE-Freigabe die Lösung.

Gruß Telefonmännchen

 

[frank_m24]

Hallo,

Aber wie passt das:

Meine Fritzbox liegt im Klasse C (255.255.255.0) Netz 192.168.178.x das auf der Arbeit im Klasse B Netz (255.255.0.0) 172.16.x.x

zusammen mit dieser Aussage:

Also rausgefunden hab ich das, indem ich bei mir auf der Arbeit eine Workstation konfiguriert habe, die eine eigentlich öffentliche IP Adresse hat -> 172.172.52.61. Im Firmennetz funktioniert sie einwandfrei, routen stimmen auch, ist also im Netzwerk selber problemlos zu erreichen.

Warum hat die Workstation eine öffentliche IP in einem privaten Netz? Das ist doch absolut kontraproduktiv. Wo sind die Routen dafür konfiguriert? Nur bei dir im Firmennetz oder auch bei dir zu Haus auf dem PC? Du benötigst nämlich eine Host-Route für diesen Fall auf deinem Windows PC.
Diese öffentliche IP ist mehr als gefährlich und als Test für die VPN Verbindung absolut unbrauchbar. Damit hast du alles nur noch schlimmer gemacht. Ich vermute folgendes: Dein lokaler PC weiß eben nicht, dass er die öffentliche IP 172.172.52.61 hinter dem VPN Tunnel suchen muss (er vermutet dort nur 172.16.x.x) und leitet die Pakete folglich an die Box und sie landen bei AOL oder wo auch immer. Daraus kannst du nicht den Schluss ziehen, dass die Box deine VPN Pakete abfängt. Das geht nur, wenn du Rechner im Zielsubnetz erreichen willst.

Leitest du eigentlich das Standardgateway über die VPN Verbindung? Bekommt dein PC eine ordentliche Client IP? Stimmen die Nameserver Einträge? Kannst du die anderen VPN Clients erreichen?
Ich frage deshalb, weil ich mir vor allem beim Nameserver Setup noch etliche Dinge vorstellen kann, die schief gehen können. All das könnte man problemlos sehen, wenn du die Befehle ausgeführt hättest, die ich dir angegeben habe. Leider scheinst du ja absolut davon überzeigt zu sein, dass das unnötig ist.

Viele Grüße

Frank

 

[min3z]

Hui, doch noch reger Betrieb am Sonntag

@ Thomas
THX werd ich probieren

@Telefonmännchen
Jupp, hatte das zwischendurch mal gemacht (hab ich öfters gelesen in den letzten Tagen), gab aber kein Erfolg. Hab auch UDP auf 500 geforwarded.

@frank
lol janz ruhisch. Ist nicht so, dass ich es für unnötig halte, bin heute nur nicht zuhause, kann es also nicht tun. Aber ich gelobe es nachzureichen

Du hattest es wahrscheinlich nicht wirklich verstanden. Die Maschine mit der öffentlichen IP habe ich nur zum Test eingerichtet damit ich ein Ergebnis für die Traceroute bekomme und sehe, wo sich der verkehr hinschleicht.
Egal, wo er die bspw 172.16.55.30 sucht, sollte er den Request in's lokale Netz leiten, bekomm ich keine Antwort. Mit der 172.172.52.61 habe ich aber endlich gesehen, wo er diese IP sucht, nämlich im Internet, owbohl er die IP im VPN Tunnel suchen muss (wie er es ordnungsgemäß bei der Netgear konfiguration macht).

Und vor allem, wieso ist das bitte gefährlich? Das System auf der Arbeit ist so konfiguriert, dass ein Request auf diese IP niemals in's Internet geht sondern immer auf diese Maschine.

Und nein, ich muss nicht extra eine Host Route auf meinem Windows PC dafür anlegen, das sollte alles automatisch geschehen.
Sobald ich meinen Netgear Router wieder anschließe ist doch alles wunderbar und ich bekomme Antwort von exakt der Maschine, OHNE eine route einzurichten... Habe eben mit den 2 Kollegen telefoniert, die während meines Tests connected waren und habe sie gebeten per RDP mal auf die Workstation zu connecten und die wissen 100%ig noch net mal wie man Host Route schreibt.

Alles in allem, sehe ich das Problem nicht in meinem PC sondern in der Fritzbox. Es hat ja alles 3 Jahre wunderbar mit 3 verschiedenen Routern funktioniert, bis ich die Fritzbox angeschlossen habe. Das wäre ja so, als würde der Tankwart mir sagen, ich müsse mir nen neuen Tank reinbauen, nur weil ich 'n neues Navi hab

min3z

 

[frank_m24]

Hallo,

Du hattest es wahrscheinlich nicht wirklich verstanden. Die Maschine mit der öffentlichen IP habe ich nur zum Test eingerichtet damit ich ein Ergebnis für die Traceroute bekomme und sehe, wo sich der verkehr hinschleicht.

Und genau das meinte ich: Der Test ist absolut sinnfrei für eine VPN Verbindung, weil er eine öffentliche IP immer immer im Internet und nie über die VPN Verbindung suchen wird. Es sei denn, dass Standardgateway wird über die VPN Verbindung geleitet.

Egal, wo er die bspw 172.16.55.30 sucht, sollte er den Request in's lokale Netz leiten, bekomm ich keine Antwort.

Warum sollte er das tun? Er hat doch dein Defaultgateway und wird die IP also im Internet suchen. Es sei denn, das Standardgateway ... (das hatten wir schon).

Mit der 172.172.52.61 habe ich aber endlich gesehen, wo er diese IP sucht, nämlich im Internet, owbohl er die IP im VPN Tunnel suchen muss (wie er es ordnungsgemäß bei der Netgear konfiguration macht).

Warum muss er sie im VPN suchen? Woher weiß er das? (siehe Standardgateway)

Und vor allem, wieso ist das bitte gefährlich? Das System auf der Arbeit ist so konfiguriert, dass ein Request auf diese IP niemals in's Internet geht sondern immer auf diese Maschine.

Und was passiert, wenn du genau diese IP im Internet erreichen musst? Des weiteren spielen viele NAT Router nicht mit beim Routing von öffentlichen IP-Adressen im lokalen Netz (das Problem ist dann der Rückweg von deiner Workstation zu dir). Und nicht zuletzt siedelst du einen Host außerhalb eines existierenden Subnetzes an. Sowas gibt meistens Routing Kuddel Muddel.

Und nein, ich muss nicht extra eine Host Route auf meinem Windows PC dafür anlegen, das sollte alles automatisch geschehen.

Falsch! Das geht eben nicht automatisch. Eine Route wird nur ins Zielsubnetz des VPNs automatisch angelegt (also 172.16.x.x). Deine öffentliche IP ist aber außerhalb dieses Subnetzes und wird folglich auf den Defaultgateway gesucht, also im Internet - es sei denn, du richtest eine Hostroute auf diese IP bei dir auf dem PC ein, die auf den VPN Tunnel zeigt. (Oder das Standardgateway).

Sobald ich meinen Netgear Router wieder anschließe ist doch alles wunderbar und ich bekomme Antwort von exakt der Maschine, OHNE eine route einzurichten...

Deshalb meine Frage, ob du das Standardgateway über die VPN Verbindung leitest. Das ist die einzige logische Erklärung dafür.

Alles in allem, sehe ich das Problem nicht in meinem PC sondern in der Fritzbox.

Davon bin ich noch nicht überzeugt. Nicht selten kommt es vor, dass Konfigurationswechsel (wie hier Austauch des Routers, oder auch ein Firmwareupdate irgendwo oder was auch immer) einen Fehler an anderer Stelle aufdeckt. Ich bin mir ziemlich sicher, dass das auch hier der Fall ist. Vielleicht doch eine Softwarefirewall irgendwo, ein UPNP Problem, falsche Metriken auf den Routen, Nameserver-Setup usw. Die Möglichkeiten sind vielfältig.

Des weiteren bin ich davon überzeigt, dass die Erreichbarkeit der öffentlichen IP in deinem VPN nichts mit dem ursprünglichen Problem zu tun hat, wo ja keine TCP Daten über den Tunnel wollten. Du schreibst jetzt, dass HTTP mittlerweile wieder geht. Wie sieht es mit anderen Diensten aus, vor allem mit ICMP und UDP Paketen?
Übrigens brauche ich keine Portweiterleitung in meiner Fritz einrichten, um einen PPTP Client hinter der Box benutzen. Die Konfiguration is übrigens ähnlich: Zu Haus 192.168.178.0/24 und in der Firma 172.16.0.0/21. Ist kein Problem.

Viele Grüße

Frank

 

[gibson]

Das VPN muss nicht nur ein Zielsubnetz routen

Falsch! Das geht eben nicht automatisch. Eine Route wird nur ins Zielsubnetz des VPNs automatisch angelegt (also 172.16.x.x). Deine öffentliche IP ist aber außerhalb dieses Subnetzes und wird folglich auf den Defaultgateway gesucht, also im Internet - es sei denn, du richtest eine Hostroute auf diese IP bei dir auf dem PC ein, die auf den VPN Tunnel zeigt. (Oder das Standardgateway).

Mein Arbeitgeber hat mehrere VPN-Lösungen, aber bei der "Standard"-Lösung wird eine Einstellung verwendet, wo quasi alles durch das VPN-Gateway geleitet wird - außer privater IP-Bereiche. So kann ich meine heimischen LAN-Rechner direkt ansprechen, und die Firmenrechner durchs VPN (die Firma routet nichts bei sich heraus). Die anderen Routen sind "dicht".

Nur so zu den Möglichkeiten. Bei min3z issses wohl anders.

Gruß,
gibso