VPN Verbindung zu Fritzbox VPN scheitert trotz öffentlicher IP

RudolfRenntier

Neuer User
Mitglied seit
30 Jun 2021
Beiträge
5
Punkte für Reaktionen
2
Punkte
3
Hallo,

ich hoffe ich habe ins richtige Forum gepostet, sonst bitte gerne Threat verschieben.

Ich möchte eine VPN Verbindung zu einer Fritzbox aufbauen. Nachdem ich herausgefunden habe, dass man den APN auf internet.t-d1.de ändern muss um eine öffentliche IP zu erhalten kann ich auch die Weboberfläche der Fritzbox über die https://xxxxxxyyyyyyzzzzz..myfritz.net:49927/ erreichen.
Ein ping an /xxxxxxyyyyyyzzzzz..myfritz.net scheitert aber und eine VPN Verbindung über Fritz!Fernzugang ebenfalls. Den Fernzugang habe ich bereits einige Mal mittels des Fritz!Fernzugang einrichten Assistenten gemacht und bin recht überzeugt das die Configs stimmen und es an der Erreichbarkeit der Box nach außen hin liegt.

Oder woran kann das liegen. Hat jmd. einen Ansatzpunkt für mich?
 
Zuletzt bearbeitet:
den APN auf internet.t-d1.de ändern
Der Zusammenhang ist nur schwer zu verstehen für den Leser ... es sei denn, die FRITZ!Box (!) ist diejenige, die nur über das Mobilfunknetz erreichbar ist. Ansonsten reicht es tatsächlich aus, wenn die FRITZ!Box eine öffentlich erreichbare IPv4-Adresse hat und das mobile Gerät irgendwie mit IPv4-Gegenstellen im Internet kommunizieren kann - egal, ob es selbst eine öffentliche IPv4-Adresse hat oder nur über irgendwelche Gateway-Dienste (dazu gehört dann auch ein AFTR-Gateway bei Verwendung von IPv6) andere Dienste erreichen könnte.

Wenn tatsächlich das GUI der Box (von demselben Gerät aus) abrufbar ist, dann liegt es gewiß nicht an der Erreichbarkeit der FRITZ!Box (oder vielleicht in einem von tausend Fällen), sondern doch eher an der verwendeten Konfiguration und/oder am verwendeten Client. Dazu steht in #1 aber praktisch nichts ... die Verwendung von Konfigurationsdateien, die mit "FRITZ!Fernzugang konfigurieren" erstellt wurden, läßt ja eher auf irgendein Windows-System als Client schließen und da dürfte viel eher der Hase im Pfeffer liegen. Wobei man das auch ganz leicht herausbekommen kann, indem man dasselbe einfach mal gegen eine FRITZ!Box testet, bei der andere Clients (z.B. die von irgendwelchen Tablets oder Smartphones) nachweislich funktionieren - das wäre natürlich auch ein denkbarer Test mit der eigenen FRITZ!Box. Denn wenn die dann funktionieren sollte, ist der Schluß, daß es doch am Client liegt, kaum noch von der Hand zu weisen.

PS: Ich hoffe auch, daß von diesem "Gesprächsfaden" (engl. "thread") keine wirkliche Bedrohung (engl. "threat") für Dein VPN ausgeht - aber das nur am Rande und als "Stilblüte".
 
Den Fernzugang habe ich bereits einige Mal mittels des Fritz!Fernzugang einrichten Assistenten gemacht und bin recht überzeugt das die Configs stimmen
Dann solltest du alle diese Configs löschen. Es gibt keinen "Fritz!Fernzugang einrichten Assistenten" in der Fritzbox.
 
bin recht überzeugt das die Configs stimmen
In leicht anonymisierter Form hier angehängt, könntest Du auch den Rest der hier mitlesenden gleichfalls überzeugen. Da ich mittels APN internet.t-d1.de eine dauerhafte Lan2Lan VPN-Verbindung am laufen habe und dazu einen Android-Client, muss meine config wohl überzeugender sein :D
Anderseits ist es ein Test-APN, der u.U. nicht allerortens funktioniert.
LG
 
Danke für die schnellen Antworten.

Der Zusammenhang ist nur schwer zu verstehen für den Leser
Es tut mir leid wenn ich den Zusammenhang schlecht ausgedrückt habe. Ich werde versuchen es klarer zu machen. Folgende Situation:

A) Fritz!Box 7590 mit Congstar Karte und öffentlicher (37.xxx) IP, welche ich über den "Test APN" internet.t-d1.de erhalten habe mit erreichbarer Web-Oberfläche.
B) Windows Klient mit Windows 10 + Fernzugang Software von AVM auf der ich mit der Fernzugang Assistent von AVM Config-Dateien erstellt und in die Box bzw. die Fernzugang Software eingespielt habe
Es gibt keinen "Fritz!Fernzugang einrichten Assistenten" in der Fritzbox
Der Assistent ist auch von AVM kann hier https://avm.de/service/vpn/uebersicht/ heruntergeladen werden.

Config für die Fitz!Box:
In leicht anonymisierter Form hier angehängt
Ich hoffe ich habe keine sensiblen Informationen übersehen:

Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.10.241;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.10.241;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist =
                             "permit ip 192.168.10.0 255.255.255.0 192.168.10.241 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


Config für den Klienten:
Code:
version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "xxxyyyzzz.myfritz.net";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.10.241;
                remoteip = 0.0.0.0;
                remotehostname = "xxxyyyzzz.myfritz.net";
                localid {
                        user_fqdn = "[email protected]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.10.241;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.10.0 255.255.255.0";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

muss meine config wohl überzeugender sein
Vielleicht kannst Du mich mit Deiner leicht anonymisierten Config ja auch überzeugen ? ;)
In dem Fernzugang Assistenten kann man aber auch garnicht so viele Optionen einstellen.

{
daß von diesem "Gesprächsfaden" (engl. "thread") keine wirkliche Bedrohung (engl. "threat") für Dein VPN ausgeht
...ich habe mir erlaubt, den netten typo zu beseitigen.. :rolleyes:
}
 
Für das AVM VPN Tool braucht man aber diese Konfigs. Klar geht auch in FB mit Benutzer welcher VPN Rechte hat und dann in Shrewsoft manuell nach Anleitung die Werte zusetzen, leider beides müsig.

Die FB zeigt aber die 37er IP an im Online Monitor?

Unter Sicherheit sind beiden VPN Ports als offen gelistet?

Der Win10 Rechner verwendet anderen Zugang zum Internet welcher NICHT Telekom Mobilfunk ist?
 
Die FB zeigt aber die 37er IP an im Online Monitor?
Anmerkung 2021-06-30 121134.png
[Edit Novize: Riesenbild gemäß der Forumsregeln auf Vorschau verkleinert]
Unter Sicherheit sind beiden VPN Ports als offen gelistet?

Der Win10 Rechner verwendet anderen Zugang zum Internet welcher NICHT Telekom Mobilfunk ist?
An der Frage scheitere ich leider. Wo kann ich das nach schauen, ob die Ports offen sind?

Der Win 10 Rechner verwendet einen Internet Zugang über Glasfaser, allderdings mit NICHT öffentlicher IP.
 
schön :)
aber warum klappt die Verbindung dann einfach nicht? :(
Gibt es noch einen Ansatzpunkt?

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Vielen Dank für eure Mühen! Ich habe den Fehler gefunden. Es war ein Copy-Paste Fehler in der URL und den habe ich dann natürlich bei jedem Versuch wieder mit kopiert und eingefügt.

Danke und Grüße
 
Zuletzt bearbeitet von einem Moderator:
  • Like
Reaktionen: Micha0815
:(
Und ich wollte schon auf das Netzteil tippen - das hilft ja eigentlich auch immer. :mad:
 
  • Sad
Reaktionen: sonyKatze
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.