8
1und1 FritzBox VPN nicht möglich
Hallo ihr,
ich bin gerade frisch dem Forum beigetreten. Somit ist dies mein erster Eintrag in diesem Forum, seht es mir bitte nach, sollte etwas falsch angelegt sein o.ä.
FritzBox Benutzer ist eingerichtet und hat die Berechtigung einen VPN aufzubauen.
MyFritz ist ebenfalls eingerichtet und kann auch über die MyFritz Seite auf die FritzBox zugreifen.
Ebenso habe ich eine öffentliche IPv4 Adresse - KEIN DS-Lite Anschluss (IPv6 Funktion extra deaktiviert).
(Im Anhang dazu ein Screenshot (#1.png))
Kommen wir zum Problem:
Grundsätzlich kann ich über mein Huawei P20 Pro im Mobilnetz (AldiTalk) per eingerichteten VPN auf die FritzBox zugreifen, ebenso von jedem Rechner aus über MyFritz.
Einen VPN-Zugang kann ich allerdings nicht herstellen, wenn:
a) ich in egal welchem WLAN-Netz eingeloggt bin und dann den VPN-Zugang aktivieren will (getestet über mehrere WLAN-Netze // Deutsch Glasfaser (DS-Lite) _ Telekom (feste IPv4) _ UnityMedia (DS-Lite)).
b) ich über die MyFritz2 APP über mein Huawei P20 Pro im Mobilnetz (AldiTalk) eine Heimnetzwerkverbindung aufbauen will, das allerdings zuvor im Heimnetz eingerichtet habe.
c) eine FritzBox LAN-zu-LAN Kopplung hergestellt werden soll, die bricht mit dem Fehlercode "IKE-Error 0x2027" ab.
Im Anhang werde ich noch ein paar weitere Screenshots anhängen.
Ich wäre über eine Antwort mit möglichen Tipps sehr dankbar!
Werde auch diesen Thread entsprechend ständig aktualisieren und auf dem Laufenden halten.
Vielen Dank!
Viele Grüße
Pascal
ich bin gerade frisch dem Forum beigetreten. Somit ist dies mein erster Eintrag in diesem Forum, seht es mir bitte nach, sollte etwas falsch angelegt sein o.ä.
FritzBox Benutzer ist eingerichtet und hat die Berechtigung einen VPN aufzubauen.
MyFritz ist ebenfalls eingerichtet und kann auch über die MyFritz Seite auf die FritzBox zugreifen.
Ebenso habe ich eine öffentliche IPv4 Adresse - KEIN DS-Lite Anschluss (IPv6 Funktion extra deaktiviert).
(Im Anhang dazu ein Screenshot (#1.png))
Kommen wir zum Problem:
Grundsätzlich kann ich über mein Huawei P20 Pro im Mobilnetz (AldiTalk) per eingerichteten VPN auf die FritzBox zugreifen, ebenso von jedem Rechner aus über MyFritz.
Einen VPN-Zugang kann ich allerdings nicht herstellen, wenn:
a) ich in egal welchem WLAN-Netz eingeloggt bin und dann den VPN-Zugang aktivieren will (getestet über mehrere WLAN-Netze // Deutsch Glasfaser (DS-Lite) _ Telekom (feste IPv4) _ UnityMedia (DS-Lite)).
b) ich über die MyFritz2 APP über mein Huawei P20 Pro im Mobilnetz (AldiTalk) eine Heimnetzwerkverbindung aufbauen will, das allerdings zuvor im Heimnetz eingerichtet habe.
c) eine FritzBox LAN-zu-LAN Kopplung hergestellt werden soll, die bricht mit dem Fehlercode "IKE-Error 0x2027" ab.
Im Anhang werde ich noch ein paar weitere Screenshots anhängen.
Ich wäre über eine Antwort mit möglichen Tipps sehr dankbar!
Werde auch diesen Thread entsprechend ständig aktualisieren und auf dem Laufenden halten.
Vielen Dank!
Viele Grüße
Pascal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 444843
Url: https://administrator.de/contentid/444843
Printed on: April 25, 2024 at 14:04 o'clock
8 Comments
Latest comment
hi
nur weil du das deaktivierst, heist das noch lange nicht das dir dein provider deshalb auch eine eigene ipv4 gibt.
Der NATted dich dann trotzdem fröhlich weiter, was den Aufbau einer VPN unmöglich macht.
IKE-Error 0x2027 ist ein Timeout. Klingt also ebenso danach.
Wenn du also bei 1&1 keine Option für ne eigene feste IPv4 gebucht oder dich sonst wie mit denen abgesprochen hast, wird das wohl daran liegen, das du trotz deaktiviertem DSLite immernoch nur einen DSLite bekommst
nur weil du das deaktivierst, heist das noch lange nicht das dir dein provider deshalb auch eine eigene ipv4 gibt.
Der NATted dich dann trotzdem fröhlich weiter, was den Aufbau einer VPN unmöglich macht.
IKE-Error 0x2027 ist ein Timeout. Klingt also ebenso danach.
Wenn du also bei 1&1 keine Option für ne eigene feste IPv4 gebucht oder dich sonst wie mit denen abgesprochen hast, wird das wohl daran liegen, das du trotz deaktiviertem DSLite immernoch nur einen DSLite bekommst
@SeaStorm: Die IP-Adresse, die der Box laut Screenshot zugewiesen wurde, sieht aber nicht nach Carrier-NAT aus.
Aber das lässt sich ja leicht herausfinden, indem man auf Seiten wie http://whatismyip.akamai.com/ die angezeigte IP-Adresse mit der vergleicht, welche die Box bekommen hat. Wenn die identisch ist, spricht das gegen Carrier-NAT.
Aber das lässt sich ja leicht herausfinden, indem man auf Seiten wie http://whatismyip.akamai.com/ die angezeigte IP-Adresse mit der vergleicht, welche die Box bekommen hat. Wenn die identisch ist, spricht das gegen Carrier-NAT.
Hi,
ist in dem Fall sogar kein CGN, die IP kommt vom Pool der Telekom -> Vorleistungsprodukt ohne CGN und komplett über Vorleistertechnik und -Zugang.
ist in dem Fall sogar kein CGN, die IP kommt vom Pool der Telekom -> Vorleistungsprodukt ohne CGN und komplett über Vorleistertechnik und -Zugang.
IKE Timeout zeigt aber das der Server nicht erreichbar ist. Vermutlich hat der TO das VPN ohne NAT Traversal Option eingerichtet ?!
Das wäre bei den DS-Lite (CGN) WLANs dann tödlich, denn ohne NAT Traversal kommt dort kein Client zum Ziel.
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Möglich auch das AldiTalk in seinen Billigaccounts UDP500 und/oder ESP filtert und so ein IPsec VPN unmöglich macht. Das ist eine gängige Taktik im solche Kunden auf teurere Business Accounts zu zwingen.
Ohne die Konfig der FB zu kennen oder die Vertragsdetails des Mobilfunk Accounts drehen wir uns hier eh im Kreis und können auch nur wild raten...
Hilfreich wäre auch mal mit der Packet Sniffer Option der FB überhaupt erstmal zu checken ob dort am WAN Port IPsec Pakete (ESP, UDP500 und 4500) überhaupt ankommen oder ob die vorher schon im Providernetz auf der Strecke bleiben.
https://www.it-techblog.de/fritzbox-und-wireshark-wlan-router-von-avm-mo ...
https://www.schnatterente.net/technik/fritzbox-traffic-aufzeichnen
usw.
Anderes KO Kriterium wäre natürlich wenn man ein falsches IP Adressdesign hat: VPNs einrichten mit PPTP
Das AVM Allerweltsnetz .178.0 /24 und auch die Gastnetz IP .179.0 /24 sollte man also besser NICHT nehmen fürs lokale Heim LAN.
Das wäre bei den DS-Lite (CGN) WLANs dann tödlich, denn ohne NAT Traversal kommt dort kein Client zum Ziel.
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Möglich auch das AldiTalk in seinen Billigaccounts UDP500 und/oder ESP filtert und so ein IPsec VPN unmöglich macht. Das ist eine gängige Taktik im solche Kunden auf teurere Business Accounts zu zwingen.
Ohne die Konfig der FB zu kennen oder die Vertragsdetails des Mobilfunk Accounts drehen wir uns hier eh im Kreis und können auch nur wild raten...
Hilfreich wäre auch mal mit der Packet Sniffer Option der FB überhaupt erstmal zu checken ob dort am WAN Port IPsec Pakete (ESP, UDP500 und 4500) überhaupt ankommen oder ob die vorher schon im Providernetz auf der Strecke bleiben.
https://www.it-techblog.de/fritzbox-und-wireshark-wlan-router-von-avm-mo ...
https://www.schnatterente.net/technik/fritzbox-traffic-aufzeichnen
usw.
Anderes KO Kriterium wäre natürlich wenn man ein falsches IP Adressdesign hat: VPNs einrichten mit PPTP
Das AVM Allerweltsnetz .178.0 /24 und auch die Gastnetz IP .179.0 /24 sollte man also besser NICHT nehmen fürs lokale Heim LAN.
Natürlich geht auch bei 1&1 Fritz vpn. Bei mir zumindest läuft es tadelos mit einer 7490. Ich kann vpn von beliebigen WLAN auch auf Grand Canaria nutzen. Auch T-Mobile geht. Divese WLANs in Hannover (Appel-Store, http Hotspots, Kaufland, Rewe, DM) gehen auch, ebenso die Telekom Hotspots auch die TelekomFon Hotspots. Bei Verwendung der Telekom App muss man natürlich die dortige VPN abwählen. Habe überhaupt erst 1 WLAN gefunden, wo es nicht geht (Bertermann Bäcker).
Hast Du denn die ip der Fritte geändert? Sonst wird es an anderen Fritzen nicht funktionieren, da alle Fritzen die selbe haben 192.168.178.1. Da muss bei 178 was anderes rein. Null oder eins sollte man auch meiden, weil das ja auch häufig verwendet wird.
Bei Verwendung von MyfritzApp2 ist ja ein Schalter für "Heinmetzverbindung nur bei WLAN" vorhanden. Sicher stellen, das der richtig steht.
Bei MyfritzApp2 läuft auch nicht alles durch den Tunnel. Den Geoblock kann man damit nicht umgehen. Google Suchanfragen landen dann bei google.es auf GC. Da muss man die Androiden händisch konfiguriren.
Für Linux habe ich vpne (Cisco Client) nachinstalliert.
Das DS-Lite Anschlüsse und Kabel-TV Provider nicht gehen sollte klar sein, weil die ipv6 Adressen nutzen.
Hast Du denn die ip der Fritte geändert? Sonst wird es an anderen Fritzen nicht funktionieren, da alle Fritzen die selbe haben 192.168.178.1. Da muss bei 178 was anderes rein. Null oder eins sollte man auch meiden, weil das ja auch häufig verwendet wird.
Bei Verwendung von MyfritzApp2 ist ja ein Schalter für "Heinmetzverbindung nur bei WLAN" vorhanden. Sicher stellen, das der richtig steht.
Bei MyfritzApp2 läuft auch nicht alles durch den Tunnel. Den Geoblock kann man damit nicht umgehen. Google Suchanfragen landen dann bei google.es auf GC. Da muss man die Androiden händisch konfiguriren.
Für Linux habe ich vpne (Cisco Client) nachinstalliert.
Das DS-Lite Anschlüsse und Kabel-TV Provider nicht gehen sollte klar sein, weil die ipv6 Adressen nutzen.
Was aber natürlich nicht per se am IPv6 liegt sondern am damit verbundenen DS-Lite bzw. CGN (NAT) dieser Provider.
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
@all: Ersteinmal vielen Dank für die schnellen Antworten!
Nun konnte ich einmal auf alle Nachrichten soweit eingehen und habe meinen Senf dazu gegeben.
Grundsätzlich funktioniert folgendes IMMER:
P20 Pro Mobilfunk - Netz -> VPN (über Android eingerichtet; keine 3.party App) -> Fritz.Box
@SeaStorm
IPv6 nun aktiviert. Siehe Screenshot, kein DS-Lite
Ein VPN Verbindung ist mir ja aus dem öffentlichen Mobilfunk Netzwerk möglich, alles andere nur leider nicht.
@LordGurke
Habe mir meine IP (29.04. 20:11) mit der Seite anzeigen lassen.
Die ist identisch (siehe Screenshot). Allerdings ist diese nach einem Reconnect (Zwangstrennung) nicht mehr identisch. Sobald eine manelle Trennung erfolgte und die IP identisch ist, erhalten wir in der FB folgenden Fehler-code: IKE-Error 0x2005.
@shadynet
Was bedeutet "Vorleistungsprodukt"? Und worfür steht die Abkürzung "CGN"?
@aqui
Wie soll ich dir die Konfig der FB genau zukommen lassen?
@hildefeuer
Die IP der FB habe ich geändert. Die ist nicht mehr der Stock IP Adresse (192.168.178.1 geändert zu: 192.168.249.1)
Nun konnte ich einmal auf alle Nachrichten soweit eingehen und habe meinen Senf dazu gegeben.
Grundsätzlich funktioniert folgendes IMMER:
P20 Pro Mobilfunk - Netz -> VPN (über Android eingerichtet; keine 3.party App) -> Fritz.Box
@SeaStorm
IPv6 nun aktiviert. Siehe Screenshot, kein DS-Lite
Ein VPN Verbindung ist mir ja aus dem öffentlichen Mobilfunk Netzwerk möglich, alles andere nur leider nicht.
@LordGurke
Habe mir meine IP (29.04. 20:11) mit der Seite anzeigen lassen.
Die ist identisch (siehe Screenshot). Allerdings ist diese nach einem Reconnect (Zwangstrennung) nicht mehr identisch. Sobald eine manelle Trennung erfolgte und die IP identisch ist, erhalten wir in der FB folgenden Fehler-code: IKE-Error 0x2005.
@shadynet
Was bedeutet "Vorleistungsprodukt"? Und worfür steht die Abkürzung "CGN"?
@aqui
Wie soll ich dir die Konfig der FB genau zukommen lassen?
@hildefeuer
Die IP der FB habe ich geändert. Die ist nicht mehr der Stock IP Adresse (192.168.178.1 geändert zu: 192.168.249.1)
Anbei ein Link zum Schnittstellen Mitschnitt für die Ankommende DSL Leitung.
https://drive.google.com/file/d/1rKYtUQBpIWlZybIAYbRNftOWG4q7tZjW/view?u ...
https://drive.google.com/file/d/1rKYtUQBpIWlZybIAYbRNftOWG4q7tZjW/view?u ...
