Jump to content

Kein VPN zu Fritzbox aus einem bestimmten Netzwerk heraus


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich verbinde mich zu verschiedenen Fritzboxen a) per Fritzbox VPN-Client und B) mit dem IPhone (IPSec). Das klappte bisher immer problemlos (egal ob 2G, 3G, LTE oder verschiedene WLAN-Netze).

 

Nun versuche ich das gleiche aus einem großen Netzwerk heraus und habe damit Probleme: die VPN-Verbindung lässt sich in allen Fällen herstellen. Danach ist aber keine der Adressen im Zielnetz erreichbar (auch kein Ping). Wenn ich am IPhone einen Netzwerkscan bei aktiver VPN-Verbindung mache, bringt er mir auch nicht wie sonst üblich die Frage, ob ich das WLAN oder das VPN scannen will, sondern scannt direkt das WLAN. Wenn ich in die Einstellungen gehe, sehe ich, dass eine private IP des VPN-Netzwerkes wie gewünscht zugewiesen wurde.

 

Woran kann das liegen? Ich hatte soetwas noch nie. Entweder VPN geht garnicht durch (z.B. wegen Portsperrungen) - oder die Verbindung kann hergestellt werden und dann komme ich aber auch auf die IP-Adressen im Zielnetz. Oder liegt hier ein Adresskonflikt vor? (WLAN-IP: 134.xx.xxx.xxx / VPN-IP der Fritzbox: 192.168.110.XXX). Oder ein NAT-Problem? PPTP zu einem Windows-Server funktioniert übrigens.

 

Danke für Eure Einschätzungen!

bearbeitet von Canni
Link zu diesem Kommentar

hmmm wie meinst? Die öffentliche IP? Das ist eine dynamische, die ist auch nicht identisch.

 

Meine DHCP-IP im (fremden) WLAN (von dem aus ich die Probleme habe, über VPN auf mein Heimnetzwerk zuzugreifen): 134.xx.xxx.xxx (Subnet: 255.255.240.0)

 

Meine via VPN zugeteilte IP: 192.168.110.XXX (Subnet: 255.255.255.0)

 

IP-Adresse vom Zielrouter: dynamisch, dürfte aber einerlei sein, da das Problem so bei zwei Routern nachgestellt werden kann (1 x Vodafone- und 1 x Telekom-DSL-Anschluss).

 

Oder liegt das Problem darin, dass ich im "Problem-WLAN" eine öffentliche IP-Adresse zugeteilt bekomme?

 

Vielen Dank für Eure Mühe!

Link zu diesem Kommentar

hmmm wie meinst? Die öffentliche IP? Das ist eine dynamische, die ist auch nicht identisch.

 

Meine DHCP-IP im (fremden) WLAN (von dem aus ich die Probleme habe, über VPN auf mein Heimnetzwerk zuzugreifen): 134.xx.xxx.xxx (Subnet: 255.255.240.0)

 

Meine via VPN zugeteilte IP: 192.168.110.XXX (Subnet: 255.255.255.0)

 

IP-Adresse vom Zielrouter: dynamisch, dürfte aber einerlei sein, da das Problem so bei zwei Routern nachgestellt werden kann (1 x Vodafone- und 1 x Telekom-DSL-Anschluss).

Du hast auf beiden Seiten eine öffentliche IP und eine private. Einmal ist es 192.168.110.xxx, wie lautet das private Segment auf der anderen Seite?

bearbeitet von Sunny61
Link zu diesem Kommentar

Wie geschrieben, in meinem privaten Netzwerk ist das Segment 192.168.110.XXX - und im "Problem-WLAN" ist öffentliche IP = private IP - das meinte ich oben mit fehlendem NAT.

 

Die 134.xx.xxx.xxx ist dort meine WLAN-IP (internes Netz) und gleichzeitig die öffentliche IP (herauszufinden z.B. über www.wieistmeineip.de). Hier meinte ich ja, ob dies das Problem für die Fritzbox sein kann?

Link zu diesem Kommentar

Hallo Daniel, hallo zusammen,

 

sorry, dass es etwas gedauert hat.

 

Vorweg: ich konnte das Problem unter Verwendung des Shrew Soft VPN-Client eingrenzen bzw. beheben, eine Lösung für das IPhone (die mir sehr wichtig ist) steht noch aus, ich hoffe, ihr könnt mir helfen.

 

Das Problem hat wohl in der Tat etwas mit NAT zu tun.

 

Wenn ich im Shrew Soft VPN-Client unter "NAT Traversal" die Standardeinstellung ("enabled") belasse, tritt das bekannte Problem auf (Verbindung wird hergestellt, aber im Zielnetz wird nichts erreicht / nichts ist anpingbar).

 

Wenn ich umstelle auf "force-rfc", dann funktioniert alles wunderbar!

 

Die Netzwerkadministratoren des Netzwerkes, in dem ich die Probleme habe, haben mir erneut bestätigt, dass a) kein NAT Anwendung findet (d.h. interne IP = öffentliche IP ... man habe genügend öffentliche IP-Adressen) und b) keine Sperren für IPSec o.ä. vorhanden sind (was sich ja mit meiner Erfahrung bestätigt).

 

Nachfolgend "route print" (wie gewünscht) im WLAN, aber ohne aktive VPN-Verbindung:

===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 22 fb 28 ba 8a ...... Intel(R) WiFi Link 5100 AGN - Paketplaner-Minipo
rt
0x3 ...00 21 70 f4 49 8c ...... Intel(R) 82567LM Gigabit Network Connection - Pa
ketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0    134.93.95.254   134.93.92.104       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      134.93.80.0    255.255.240.0    134.93.92.104   134.93.92.104       20
    134.93.92.104  255.255.255.255        127.0.0.1       127.0.0.1       20
   134.93.255.255  255.255.255.255    134.93.92.104   134.93.92.104       20
      169.254.0.0      255.255.0.0    134.93.92.104   134.93.92.104       20
        224.0.0.0        240.0.0.0    134.93.92.104   134.93.92.104       20
  255.255.255.255  255.255.255.255    134.93.92.104               3       1
  255.255.255.255  255.255.255.255    134.93.92.104   134.93.92.104       1
Standardgateway:     134.93.95.254
===========================================================================
Ständige Routen:
  Keine

Nun "route print" im WLAN, bei aktivem VPN und Einstellung "NAT Traversal" im Shrew Soft VPN-Client auf "enable":

===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 22 fb 28 ba 8a ...... Intel(R) WiFi Link 5100 AGN - Paketplaner-Minipo
rt
0x3 ...00 21 70 f4 49 8c ...... Intel(R) 82567LM Gigabit Network Connection - Pa
ketplaner-Miniport
0x20005 ...aa aa aa 29 4c 00 ...... Shrew Soft Virtual Adapter - Paketplaner-Min
iport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0    134.93.95.254   134.93.92.104       120
          0.0.0.0          0.0.0.0  192.168.100.201  192.168.100.201      1
      92.74.192.2  255.255.255.255    134.93.95.254   134.93.92.104       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      134.93.80.0    255.255.240.0    134.93.92.104   134.93.92.104       20
    134.93.92.104  255.255.255.255        127.0.0.1       127.0.0.1       20
   134.93.255.255  255.255.255.255    134.93.92.104   134.93.92.104       20
      169.254.0.0      255.255.0.0    134.93.92.104   134.93.92.104       20
    192.168.100.0    255.255.255.0  192.168.100.201  192.168.100.201      30
  192.168.100.201  255.255.255.255        127.0.0.1       127.0.0.1       30
  192.168.100.255  255.255.255.255  192.168.100.201  192.168.100.201      30
        224.0.0.0        240.0.0.0    134.93.92.104   134.93.92.104       20
        224.0.0.0        240.0.0.0  192.168.100.201  192.168.100.201      30
  255.255.255.255  255.255.255.255    134.93.92.104   134.93.92.104       1
  255.255.255.255  255.255.255.255  192.168.100.201               3       1
  255.255.255.255  255.255.255.255  192.168.100.201  192.168.100.201      1
Standardgateway:   192.168.100.201
===========================================================================
Ständige Routen:
  Keine

Jetzt "route print" im WLAN, bei aktivem VPN und Einstellung "NAT Traversal" im Shrew Soft VPN-Client auf "force-rfc":

===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 22 fb 28 ba 8a ...... Intel(R) WiFi Link 5100 AGN - Paketplaner-Minipo
rt
0x3 ...00 21 70 f4 49 8c ...... Intel(R) 82567LM Gigabit Network Connection - Pa
ketplaner-Miniport
0x30005 ...aa aa aa b0 09 00 ...... Shrew Soft Virtual Adapter - Paketplaner-Min
iport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0    134.93.95.254   134.93.92.104       120
          0.0.0.0          0.0.0.0  192.168.100.201  192.168.100.201      1
      92.74.192.2  255.255.255.255    134.93.95.254   134.93.92.104       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      134.93.80.0    255.255.240.0    134.93.92.104   134.93.92.104       20
    134.93.92.104  255.255.255.255        127.0.0.1       127.0.0.1       20
   134.93.255.255  255.255.255.255    134.93.92.104   134.93.92.104       20
      169.254.0.0      255.255.0.0    134.93.92.104   134.93.92.104       20
    192.168.100.0    255.255.255.0  192.168.100.201  192.168.100.201      30
  192.168.100.201  255.255.255.255        127.0.0.1       127.0.0.1       30
  192.168.100.255  255.255.255.255  192.168.100.201  192.168.100.201      30
        224.0.0.0        240.0.0.0    134.93.92.104   134.93.92.104       20
        224.0.0.0        240.0.0.0  192.168.100.201  192.168.100.201      30
  255.255.255.255  255.255.255.255    134.93.92.104   134.93.92.104       1
  255.255.255.255  255.255.255.255  192.168.100.201               3       1
  255.255.255.255  255.255.255.255  192.168.100.201  192.168.100.201      1
Standardgateway:   192.168.100.201
===========================================================================
Ständige Routen:
  Keine

Wie kann ich den VPN-Clienten am IPhone dazu bringen, sich ebenso zu verhalten? Meines Wissens nach kann man VPN-Verbindungen am IPhone ja auch vom PC aus (per Config-Datei) konfigurieren, ggf. gibt es da einen äquivalenten Parameter?

Link zu diesem Kommentar

Hi,

 

der Admin der Fritzboxen sollte noch mal überlegen, was er Dir sagt. Die FB kann nur NAT und natürlich muss man NAT-T machen.

Warum der Default-Wert nicht passt, kann ich Dir auch nicht sagen. Vielleicht hat der Admin an der VPN-Konfig rumgespielt. "Force-RFC" bewirkt, dass die RFC-Version von NAT-T verwendet wird.

Oder es liegt an der verwendeten Firmware-Version: http://rays-blog.de/2013/11/28/127/windows-7-mittels-shrew-soft-vpn-client-per-vpn-mit-fritzbox-7390-fritzos-6-verbinden/

Wenn das IPhone nicht geht: Bitte den Admin, eine neue Config zu erzeugen, die nicht angetastet wird. Am Besten direkt in der GUI der FB (geht bei neueren Firmwares). Für ein IPhone wird eine andere Konfiguration benötigt.

 

Bei IOS vielleicht mal hier lesen:  http://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unter-apple-ios-zb-iphone-einrichten/ Bei Android würde ich VPNCilla nehmen.

bearbeitet von zahni
Link zu diesem Kommentar

Hallo Zahni,

 

danke für Deine Hilfe, aber ich glaube wir reden aneinander vorbei :-)

 

Die Fritzbox (es sind insg. 3 verschiedene an 3 verschiedenen Anschlüssen) ist in "meinem" Netzwerk. Da bin sozusagen ich der Admin. Rumgespielt wurde nichts an den VPN-Verbindungen, habe die auch schon neu angelegt. Die Fritzboxen sind per myfritz erreichbar, sie bekommen vom Provider (Vodafone oder Telekom) jeweils eine dynamische öffentliche IP-Adresse.

 

Das Problem tritt aus dem fremden WLAN heraus auf, wenn ich von dort aus mich per IPhone IPSec zu einer meiner drei Fritzboxen verbinden will. Im fremden WLAN bekomme ich eine öffentliche IP-Adresse, es wird dort kein NAT betrieben (ja, habe ich sonst auch noch nie gesehen, aber die haben wohl genug öffentliche IP-Ranges). Kann es wirklich sein, dass damit die Fritzbox nicht klarkommt? Wie können wir das Problem lösen? Ist mir wirklich sehr wichtig. (Im Shrew Soft VPN-Client genügt die Änderung oben genannter Einstellung, aber eine vergleichbare Einstellung im IPhone-IPSec-Client ist mir unbekannt)?!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...