[Gelöst] VPN-Verbindung ohne FRITZ-Nutzer nicht mehr importierbar?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

musv

Neuer User
Mitglied seit
9 Mrz 2010
Beiträge
139
Punkte für Reaktionen
2
Punkte
18
Guten Abend,

ich nutze seit vielen Jahren meine Fritzbox mit VPN. Ich hab dabei den Zugang eingerichtet für 2 andere Fritzboxen (Subnetze), 3 Rechner und 3 Smartphones/Tablets. Für die Rechner hab ich folgende VPN-Config verwendet, die auch noch immer prächtig funktioniert:

Code: 
/*
* C:\users\sm\Application Data\AVM\FRITZ!Fernzugang\blechnet_dd-dns_de\userxyz_meinedomain_de\userxyz_meinedomain_de.cfg
* Fri Oct 10 19:07:26 2014
*/

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "meinnetz.dyndns.de";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.109.81;
                remoteip = 0.0.0.0;
                remotehostname = "meinnetz.dyndns.de";
                localid {
                        user_fqdn = "[email protected]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "xxxganzgeheimxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.109.81;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.109.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.109.0 255.255.255.0";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF
Die Config benötigt keinen Fritzbox-Nutzer. Für die Sicherheit wird der Preshared-Key und die ID genutzt. Mit VPNC kann ich dann die Verbindung problemlos herstellen. Die Config hab ich damals über den Fritz-Fernzugang konfiguriert und dann in die Fritzbox importiert.

Mittlerweile hab ich eine 7590 mit FritzOS-7.12. Die VPN-Config ist noch immer aktiv. Jetzt hab ich die Configdatei hergenommen, kopiert und angepasst, um einen neuen Rechner zu konfigurieren.

Über die Oberfläche hab ich dann folgende Auswahl:
  • Fernzugang für einen Benutzer einrichten, Wählen Sie auf der folgenden Seite den gewünschten FRITZ!Box-Benutzer, öffnen Sie den Eintrag zum Bearbeiten und aktivieren Sie die Berechtigung für die VPN-Nutzung. - Will ich nicht. Ich sehe keinen Sinn darin, auf der Fritzbox Benutzer einzurichten.
  • Ihr Heimnetz mit einem anderen FRITZ!Box-Netzwerk verbinden (LAN-LAN-Kopplung) - Ist in dem Fall auch nicht das, was ich will.
  • Diese FRITZ!Box mit einem Firmen-VPN verbinden - Auch nicht das, was ich will
  • Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren - Ist wohl der letzte Rettungsanker

Jetzt hab ich meine angepasste Config von oben geladen und musste einen Code über das Telefon eingeben. Es kommt dann irgendwann mal die Meldung, dass die Konfiguration erfolgreich importiert wurde. In der Liste der Fernzugänge taucht die Verbindung aber nicht auf. Und auch beim Exportieren der gesamten Fritzbox-Config fehlt die VPN-Verbindung.

Ich hab mich dann mal daran erinnert, dass man nur 8 Zugänge anlegen konnte. Laut AVM sollte man aber mittlerweile 12 Verbindungen nutzen können. Derzeit sind 8 Verbindungen eingerichtet. Ich hab auch mal eine Verbindung gelöscht (vorher Fritzboxeinstellungen exportiert). Aber auch damit ließ sich die neue Verbindung zwar laden, wurde aber nicht angezeigt.

Dann hab ich mir mal das Tool zum Erstellen der VPN-Zugänge runtergeladen. Das Ding ist aber sehr merkwürdig geworden. Meine Configs will das Tool nicht mehr erkennen. Und wenn ich eine neue VPN-Verbindung anlegen will, kommt mit das Teil mit dem MyFRITZ-Zugang, den ich nicht will.

Mach ich was falsch, oder hat AVM die Funktionalität rausgeschmissen? Wieso funktionieren dann noch meine alten, in der Fritzbox aktiven Configs problemlos?

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Ich hab mal etwas rumexperimentiert:

Das Eintragen der xauth-Parameter in die Config bringt auch nichts - Selbes Verhalten wie vorher.

Wenn ich mich der Fritzbox beuge und eine Fritzbox-Nutzer anleg, für den VPN freigeb/aktivier und mit den Daten VPNC auf dem entfernten Rechner konfigurier, kann ich die Verbindung herstellen. Das hat aber folgende Nachteile:
  1. Ich kann die Client-VPN-IP nicht manuell konfigurieren. Der Client bekommt einfach eine von der Fritzbox zugeteilt.
  2. Auch in der Fritzbox-Oberfläche seh ich die IP des VPN-Clients nicht. Ich seh nur die öffentliche Remote-IP, die mir nichts nützt.
  3. Ich kann auch nicht den Zugriff auf Subnetze (z.B. 2 Fritzbox-VPNs - Parameter accesslist) konfigurieren.
Da der VPN-Zugang dafür gedacht ist, dass ich die Familienrechner im Fehlerfall wieder reparieren kann, ist das ganz schön unbefriedigend.
 
Zuletzt bearbeitet von einem Moderator:
Hallo musv,

ich kann das von dir bezeichnete Problem (keine Anzeige importierter Konfigurationsdateien) nicht nachvollziehen.
Ich selbst habe seit Anbeginn der Möglichkeit via F!B ein VPN aufzubauen immer mehrere VPN realisiert. Sowohl zu anderen Netzen aber auch von allen "außerhäusig" betriebenen Clients in mein Heimnetz. Und ich habe niemals einen Nutzer dafür angelegt, sondern immer eine eigene .conf erstellt und importiert. Selbstverständlich mit "fester IP", selbsterklärendem Namen der Verbindung und der Möglichkeit eines sehr einfachen und regelmäßig durchzuführenden Schlüsselwechsels durch einfachen Import einer neuen Konfiguration und Löschung der vorherigen.

Ich habe um dir zu antworten vor wenigen Minuten mal eine alte und zum Glück noch vorhandene .conf importiert und sie wird auch korrekt angezeigt. Allerdings funktioniert sie (bei mir) nicht mehr, aber nur weil in der bei mir genutzten BETA-Version des Fritz-OS einige Änderungen hinsichtlich VPN drin sind. Näheres dazu steht in diversen Beiträgen von Peter Pawn.

Ich bin allerdings schon lange vor dem "Ausfall" meiner VPN-Verbindungen aus dem o.g. Grund auf das IMHO bessere Wireguard-VPN umgestiegen (und hatte das konfigurierte AVM-VPN lediglich als Rückfall-Möglichkeit weiterhin drin behalten - bis ich irgendwann mal merkte, dass es eben nicht mehr funktioniert).

Mein WG-VPN besteht aus ggw. 5 verteilten (älteren) RaspberryPi 2, welche eine Verbindung untereinander und auch von sämtlichen "beweglichen" Rechnern der jeweiligen Nutzer zu ihrem eigenen Server sicherstellen. Jetzt bin ich Stück für Stück dabei, die RasPi auf "entfritzte" F!B 7412 umzustellen. Das OpenWRT auf der 7412 (und natürlich die RasPi) schafft nicht nur die volle Bandbreite unseres (DSL-)Uplinks sondern schaltet auch blitzschnell bei einem geänderten Internetzugang (heimisches WLAN > Mobilfunk > fremdes WLAN usw.) um. Selbst beim mobilen Telefonieren via VPN ist die Unterbrechung kaum zu hören.

Wegen der o.g. Vorteile des WG-VPN und weil noch niemand von uns verbindlich weiß, was die bald kommende neue "offizielle" Version des Fritz!OS so mitbringt, habe ich (zumindest zur Zeit) keine Lust, mich mit den notwendigen Anpassungen an die Konfiguration des AVM-VPN zu befassen.
Falls du daran Interesse hast, kann ich dir gern eine "sanitarisierte" Version meiner (nun nicht mehr funktionierenden aber importierbaren) Konfigurationsdatei per PN schicken. Bewusst per PN, weil ich nicht möchte, dass jemand diese einfach importiert und mir dann böse Postings sendet, wenn es nicht mehr funktioniert.


MfG Peter
 
Hallo Peter,

herzlichen Dank für die Antwort. Der Umstieg auf ein anderes VPN ist bei mir eher schwierig umzusetzen. Meine Eltern wohnen 400km entfernt. Und über das Fritzbox-VPN konnte ich halt sehr leicht eine Verbindung zu deren gesamten Netz herstellen. Da sind dann 3 Geräte drin. Einen Server (Raspi) haben die nicht, soll auch nicht angeschafft werden. Deswegen bin ich schon zumindest für diesen Bereich auf IKE angewiesen. Ich hatte mir auch schon mal 'ne Anleitung für die Serverinstallation rausgesucht. Aber das ist mir momentan zuviel Arbeit, um einen eigenen Server auf meiner NAS aufzusetzen.

Ach ja, bitte sende mir mal Deine Config per PN. Ich bin immer dankbar, wenn ich da ein paar neue Impulse bekomm. Herzlichen Dank schon mal dafür.

Das Interessante ist ja, dass ich meine Config problemlos importieren konnte. Die Fritzbox hat ja angezeigt: Erfolgreich importiert. Blöderweise wurde war das VPN dann doch nicht vorhanden in der Fritzbox.
 
Hallo musv,

ich schicke dir gerne mal eine meiner Config. Muss sie nur noch "sanitarisieren".

Ja, mir hat das AVM-VPN auch immer gereicht. Zumal ich mich beruflich seit 2000 sehr stark mit IPsec-VPN "der besseren Art" befasst habe. Aber nun kommt es mir eben als IT-Rentner (= viel Zeit fürs Hobby) und "VPN-Poweruser" auf mehr Durchsatz und auch mehr Sichrheit an, als das AVM-VPN bietet. Tägliches vollautomatisches Backup wechseseitig auf drei weit verteilte NAS, Telefonieren mit nur zwei Partnern in der Leitung, Nutzung der deutschen Mediatheken durch meinen Freund in Dänemark usw.

Entfernung? Die Post hat (langsam und teuer) den RasPi nach DK gebracht. Letzmalig "Fernkonfiguration" des dortigen FTTH-Routers per Telefon. Und mein Sohn (hier bin ich der Vater bzw. der Opa) wohnt auch fast 600Km von mir entfernt. Aber - JA - alle waren mit der kleinen Investition und dem für sie kleinen Aufwand einverstanden. Unabhängig davon habe ich auf den F!B einiger ... Personen das AVM-VPN aktiviert und verbinde mich dann darüber bei den üblichen "kannst du bitte mal-"Anrufen mit deren Geräten. Letzteres wird aber wohl nur so lange funktionieren, bis deren F!B ein Update bekommen.

So, du bekommst Post ...

MfG Peter
 
Ok, nach stundenlangem Probieren und Testen hab ich's gestern Nacht hinbekommen. Herzlichen Dank noch mal an Peter. Seine Config hat mich wieder auf den richtigen Pfad gebracht.

Und hier die Auflösung des Rätsels.
Die früheren Versionen des Windows-Fritzzugangs generierten die Configdateien und Verzeichnisse:
Code: 
dyndnsname_dyndns_org/fritzbox_dyndnsname_dyndns_org.cfg
dyndnsname_dyndns_org/name_domain/vpnuser_name_domain.cfg
Tja, und ich hab die vpnuser-Configdatei verwendet. Richtig wäre gewesen, die fritzbox-Datei zu nehmen. Denn da stehen sämtliche Verbindungen drin und werden auch tadellos akzeptiert.

Schade, dass die Fritzbox keine Debugging-Möglichkeit bzw. Logs ausgiebt. So ist das immer ein ziemliches Trail-and-Error-Gefummel.

Falls Bedarf an einem bei mir funktionierenden Beispiel besteht, kann ich das gern mal hier reinposten.
 
musv schrieb:
Schade, dass die Fritzbox keine Debugging-Möglichkeit bzw. Logs ausgiebt. So ist das immer ein ziemliches Trail-and-Error-Gefummel.
Zum Vergrößern anklicken....
Das stimmt ja so auch gar nicht. Es gibt einiges an Informationen zum VPN in der Support-Datei - das wird auch in vielen Threads zu VPN-Themen immer wieder betont, daß diese Protokolle für eine sinnvolle Fehlersuche quasi unumgänglich sind.
 
@musv
Danke für deine Rückantwort.
Ich habe mich nicht gewundert, dass meine Config funktioniert, den sie "tat" es ja auch bis zu dem Moment, wo ich die erste BETA der 07.19 installiert hatte. Es waren ja sogar noch meine letzten (bis auf ein paar wenige Byte reduzierte) Schlüssel drin.
Wenn dann (in den nächsten Tagen oder Wochen) die neue finale Fw heraus kommt, werde ich die Config auch anpassen, so dass sie wieder funktioniert. Ich brauche dieses VPN zwar nicht mehr, aber eine Rückfalllösung zu haben sollte das WG-VPN mal (warum auch immer) ausfallen, beruhigt ...

MfG Peter
 
Ja, du hast natürlich Recht. Die erweiterte Supportdatei ist schon seeeehr ausführlich.
 
Der Unterschied zwischen der erweiterten und der "normalen" Support-Datei liegt ausschließlich darin (zumindest bisher in den existierenden Release-Versionen), daß die erweiterte zusätzlich den Dump des TFFS enthält - und mittlerweile schützt AVM deren Erstellung auch (richtigerweise) mittels 2FA.

Für die VPN-Diagnose reicht aber die Variante ohne TFFS-Dump vollkommen aus und wenn man dann noch in der Lage ist, die passenden "sections" (für die VPN-bezogenen Punkte) aus der Datei zu extrahieren (deshalb haben diese Abschnitte ja passende "Header"), muß man auch bei Fragen an Dritte nicht zwingend "verräterische Einzelheiten" preisgeben, die man hinterher nicht einfach wieder durch neue Werte ersetzen kann.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 491 (Mitglieder: 33, Gäste: 458)

Neueste Beiträge

Statistik des Forums

Themen
244,928
Beiträge
2,221,105
Mitglieder
371,701
Neuestes Mitglied
mbip443
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück