Zugriff auf FritzBox VPN/IPSec mit Shrew Soft über DSLite funktioniert nicht

DanielMM25

Neuer User
Mitglied seit
21 Jan 2021
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
Moin Moin Forums Mitglieder,

ich habe seit einigen Wochen ein sehr anstrengendes Problem und bin mit mittlerweile mit meinen Ideen am Ende.

Hier meine Situation:

1 x FritzBox 7530 mit der Software 7.2, 1 x aktive VPN die mit einem MyFritz Konto verknüft ist, besitzt eine öffentliche IPv4 Adresse, internes Netz: 192.168.20.0 255.255.255.0

1 x FritzBox 6591 Cable mit Software 7.13, mit einer öffentlichen IPv6 Adresse und DSLite, internes Netz: 192.168.30.0 255.255.255.0

1 x Windows 10 Rechner mit der aktuellsten Shrew Soft Version im Netz der FritzBox 6591

Auf dem Windows Rechner: Ich habe die Shrew Soft Software mit allen Zugangsdaten die nötig waren um die VPN Verbindung zu etablieren konfiguriert und ein paar extras konfiguriert wie die MTU auf 1200 runter zu stellen, NAT-T auf "forced-rfc" und die DH Group in der Phase 1 auf Group 2 einzustellen da ein Forums Mitglied (@PeterPawn ) das in diesem Thread (https://www.ip-phone-forum.de/threads/fritz-vpn-über-shrew-funktioniert-nicht.308165/) vorgeschlagen hat und es bei ihm funktioniert hat.

Nach dem ich die Verbindung gestartet hatte und meine Zugangsdaten eingetragen habe wurde die Verbindung "established" jedoch erreichte keiner meiner Pings die andere FritzBox 192.168.20.1, mit dem ipconfig Befehl konnte ich sehen das ich die Richtige VPN Adresse erhalten habe 192.168.20.201, in der Shrew Soft Software erhalte ich nach jedem Ping einen weiteren Fail in der Network Überischt.

Ich habe das Shrew Soft Programm dann auch mit den Default Setting von der AVM Seite konfiguriert aber das hatte auch nicht funktioniert.

Ich habe dann meinen Rechner der über eine IPv4 Adresse verfügt die Shrew Soft VPN Software installiert und mit den "default" AWM Setting laufen lassen und alles hatte reibunglos funktioniert, auch über das Mobilfunk Netz und meinem Andriod Smartphone konnte ich auf das Netz und die Geräte zugreifen.

Hat jemand eine Idee wo dran das liegen könnte? Ich schätze das es etwas mit dem DSLite zu tun hat aber sicher bin ich mir nicht.

Ich hatte zuvor eine Lan zu Lan Koppelung mit denn beiden Fritzboxen versucht was auch ein paar Tage funktionierte jedoch dann immer wieder abgebrochen ist, mit dem Fritzbox Fehler IKE Server disconnected und das die FritzBox 7530 keine AFTR Adresse besitzt, deshalb habe ich das erstmal pausiert und die oben beschriebene Methode versucht die garnicht funktioniert hat.

Ich selbst hab leider keine weiteren Lösungsansätze aber vielleicht ist hier jemand in der Community der mir bei diesem Problem helfen könnte, ggf. @PeterPawn ? Deinen Thread fand ich gut erklärt und es scheint so als ob du viel Erfahrung hast.

Im voraus schon mal vielen Dank für das durchlesen des Threads und die Hilfe :)

Liebe Grüße

Daniel
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,636
Punkte für Reaktionen
1,192
Punkte
113
Viele Zahlen (IP-Adressen) und Erklärungen - ich verstehe aber nicht einmal genau, wer da nun von wo nach wo zugreifen soll (jedenfalls nicht so, daß ich mir sicher wäre, was da erreicht werden soll).

Geht es um eine LAN-LAN-Kopplung zwischen den beiden FRITZ!Boxen, sollte das auch funktionieren - solange die 7530 eine öffentliche IPv4-Adresse hat (einer der beiden Peers braucht eine). Wie es geht, das AVM-VPN auch mit einem Peer zu betreiben, der über IPv4 nicht selbst erreichbar ist (für eingehende Verbindungen), ist hier mehrfach beschrieben im Board (m.W. immer noch "am sichersten", auch wenn AVM da geändert/verbessert haben will) - alles irgendwo mit "Initiator + Responder", "DS-Lite + VPN", etc. zu finden, wenn man sucht (ggf. nicht nur mit der boardeigenen Suche, sondern einer Suchmaschine mit Fixierung auf die Site hier).

Was der PC hier zu suchen hat in dem Konglomerat und ob der nur "zur Kontrolle" verwendet wurde oder nicht, verstehe ich anhand von #1 jedenfalls nicht ... falls es tatsächlich (wie es im Titel steht) geplant sein sollte, da mit dem PC direkt auf eine FRITZ!Box an einem DS-Lite-Anschluß zuzugreifen, ist das natürlich weiterhin zum Scheitern verurteilt, solange AVM kein IPv6 als Transport-Protokoll für ESP verwenden kann und der Provider keine PCP-Kette unterstützt, die ggf. tatsächlich auch bei IPv4 eingehende Verbindungen über den AFTR (und nein, das ist immer noch nicht "für den Arsch", sondern ein Address Family Transition Router) ermöglichen könnte.

Meines Wissens hat das aber bisher in D immer noch kein Provider funktionsfähig am Start, so daß sich die PCP-Nutzung im FRITZ!OS bisher üblicherweise auf kaskadierte FRITZ!Boxen im Router-Modus beschränkt.

Oder kürzer: Das Anliegen aus dem Thread-Titel funktioniert (mit FRITZ!OS) gar nicht - wenn ich anderswo von "dann klappt's auch mit DS-Lite" geschrieben habe, ging es dabei darum, daß der PC mit dem VPN-Client sich selbst im (W)LAN einer Box befindet, die auch nur mit DS-Lite ans Internet angebunden ist ... da dann die Verpackung der VPN-Pakete in IPv6 zusätzlichen Platz im Paket benötigt, klappt die automatische Aushandlung der MTU hier häufig nicht und eine zusätzliche Zerlegung (Fragmentierung) der Pakete ist für eine VPN-Verbindung (ohne zusätzliche Vorkehrungen, die hier fehlen bei AVM) üblicherweise ein schneller und schmerzloser Tod.

Was man hier (wenn die 7530 als Relay zur Verfügung steht) tatsächlich machen könnte, wäre eine LAN-LAN-Kopplung mit der 6591 als Initiator (zur 7530), wo sich dann der PC ebenfalls mit der 7530 verbindet und die Pakete vom PC für das LAN der 6591 über die LAN-LAN-Kopplung ihren Weg nehmen.

Aber auch das ist (ausführlich) hier beschrieben und mittlerweile auch (in unterschiedlichen Konfigurationen) bei AVM in der Knowledge-Base nachzulesen. Nur wird man (in so ziemlich allen Fällen, jedenfalls wenn man das stabil hinbekommen will) hier mit dem Editor im GUI nichts anfangen können (nicht mal für die LAN-LAN-Kopplung mit expliziter "Rollenzuweisung" für den Initiator und den Responder würde ich mich auf die automatischen Konfigurationen verlassen) und muß daher die notwendigen Konfigurationen mit der Hand erstellen.

Aber selbst das wäre hier nur wenig kompliziert, da der PC ja eine Adresse aus dem LAN der 7530 hätte und somit gar kein "drittes Netz" (für die 6591) ins Spiel kommt - da KÖNNTE in der 6591 sogar die automatische Konfiguration funktionieren, während aber die 7530 für die LAN-LAN-Verbindung in jedem Falle eine Konfiguration ohne "remotehostname" erhalten sollte - das reduziert nach meiner Erfahrung die Probleme (auch nach den angekündigten Änderungen durch AVM in den neueren Versionen) deutlich.

Ansonsten bleibt noch das Modifizieren der Firmware und die Verwendung einer VPN-Software, die auch mit IPv6 als Transportprotokoll umgehen kann.