Android VPN verbinden mit Fritzbox
Hallo zusammen,
ich versuche eine VPN Verbindung vom Android via GSM/UMTS zur Fritte herzustellen. Das klappt aber nicht. Vielleicht kann jemand helfen?
FritzBox 7390 - Neustes FritzOS für diese Box 6.51 - keine feste Ip oder DynDNS aber ich teste ja nur und die IP wird erst heute nacht erneuert.
Die Einrichtung ist simple - Benutzer und Passwort anlegen und Haken bei VPN und Zugriff aus dem Internet
Unter dem Nexus5X Android 7.0 kann ich dann Die Daten welche mir die Fritte ausgibt eintippen und mich verbinden:
Name, Typ, Server Adresse (Öffentlche IP der Fritte, hier 80.x.x.x.x), IPSEC ID, und IPSEC Presahred Key - Dann mit meinem FritzBox Nutzer einloggen.
Android meldet : nicht erfolgreich . Keine Details zum Fehler..leider..habe schon sehr oft versucht Rechtschreibfehler auszuschließen.
Das Android ist momentan nur mit dem telefonika Mobilfunknetz via UMTS / H verbunden. Die WLAN verbindung zur Fritte habe ich natürlich ausgeschaltet.
Geht die ganze Sache überhaupt mit Mobilfunk oder muss ich mich im WLAN eines anderen Netzes befinden?
Hier Infos von AVM:
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Ich nutze an der Fritte einen normalen IP4 Anschluss also kein Dual Stack Lite.
Was ich nicht ganz verstehe:
Die VPN-Kommunikation ist nicht möglich, wenn das Android-Gerät eine IP-Adresse aus dem IP-Netzwerk der FRITZ!Box verwendet.
Es geht also nicht wenn ich im Netzwerk der Fritte bin .. ok. Oder auch wenn ich mit ner anderen Fritte im gleichen Netz sitze? hier 192.168.178.x
Über UMTS hat das Android ja aber eine andere Ip oder?
EDIT : WICHTIGE INFO: Ich kann den Haken bei Zugang auch aus dem Internet erlauben setzten, dieser wird aber nicht gespeichert..Liegt es wohl daran?
EDIT2: Der haken ist nun gesetzt, habe den Nutzer einfach nochmal angelegt, vorher den alten gelöscht. VPN geht aber immer noch nicht.
ich versuche eine VPN Verbindung vom Android via GSM/UMTS zur Fritte herzustellen. Das klappt aber nicht. Vielleicht kann jemand helfen?
FritzBox 7390 - Neustes FritzOS für diese Box 6.51 - keine feste Ip oder DynDNS aber ich teste ja nur und die IP wird erst heute nacht erneuert.
Die Einrichtung ist simple - Benutzer und Passwort anlegen und Haken bei VPN und Zugriff aus dem Internet
Unter dem Nexus5X Android 7.0 kann ich dann Die Daten welche mir die Fritte ausgibt eintippen und mich verbinden:
Name, Typ, Server Adresse (Öffentlche IP der Fritte, hier 80.x.x.x.x), IPSEC ID, und IPSEC Presahred Key - Dann mit meinem FritzBox Nutzer einloggen.
Android meldet : nicht erfolgreich . Keine Details zum Fehler..leider..habe schon sehr oft versucht Rechtschreibfehler auszuschließen.
Das Android ist momentan nur mit dem telefonika Mobilfunknetz via UMTS / H verbunden. Die WLAN verbindung zur Fritte habe ich natürlich ausgeschaltet.
Geht die ganze Sache überhaupt mit Mobilfunk oder muss ich mich im WLAN eines anderen Netzes befinden?
Hier Infos von AVM:
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Ich nutze an der Fritte einen normalen IP4 Anschluss also kein Dual Stack Lite.
Was ich nicht ganz verstehe:
Die VPN-Kommunikation ist nicht möglich, wenn das Android-Gerät eine IP-Adresse aus dem IP-Netzwerk der FRITZ!Box verwendet.
Es geht also nicht wenn ich im Netzwerk der Fritte bin .. ok. Oder auch wenn ich mit ner anderen Fritte im gleichen Netz sitze? hier 192.168.178.x
Über UMTS hat das Android ja aber eine andere Ip oder?
EDIT : WICHTIGE INFO: Ich kann den Haken bei Zugang auch aus dem Internet erlauben setzten, dieser wird aber nicht gespeichert..Liegt es wohl daran?
EDIT2: Der haken ist nun gesetzt, habe den Nutzer einfach nochmal angelegt, vorher den alten gelöscht. VPN geht aber immer noch nicht.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 319910
Url: https://administrator.de/forum/android-vpn-verbinden-mit-fritzbox-319910.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
21 Kommentare
Neuester Kommentar
Hey ho ...
Das Android ist momentan nur mit dem telefonika Mobilfunknetz via UMTS / H verbunden. Die WLAN verbindung zur Fritte habe ich natürlich ausgeschaltet.
Das WLAN hat damit rein gar nichts zu tun . Natürlich sollte man WLAN am Smartphone deaktivieren.
Ich nutze an der Fritte einen normalen IP4 Anschluss also kein Dual Stack Lite.
Gut.
Die VPN-Kommunikation ist nicht möglich, wenn das Android-Gerät eine IP-Adresse aus dem IP-Netzwerk der FRITZ!Box verwendet.
Logisch wenn du mal nachdenkst. Zwei Netze mit dem gleichen Subnetz verbinden, das geht mit der Fritte schon mal gar nicht! => Routing min jung ....
Hat der Username zufällig ein @ im Namen?
Gruß
Zitat von @garack:
FritzBox 7390 - Neustes FritzOS für diese Box 6.51 - keine feste Ip oder DynDNS aber ich teste ja nur und die IP wird erst heute nacht erneuert.
Die Einrichtung ist simple - Benutzer und Passwort anlegen und Haken bei VPN und Zugriff aus dem Internet
Nein, das Häkchen braucht es für das VPN nicht.FritzBox 7390 - Neustes FritzOS für diese Box 6.51 - keine feste Ip oder DynDNS aber ich teste ja nur und die IP wird erst heute nacht erneuert.
Die Einrichtung ist simple - Benutzer und Passwort anlegen und Haken bei VPN und Zugriff aus dem Internet
habe schon sehr oft versucht Rechtschreibfehler auszuschließen.
Oh ja, das sieht man an deinem Thread deutlich und an der Überschrift .Das Android ist momentan nur mit dem telefonika Mobilfunknetz via UMTS / H verbunden. Die WLAN verbindung zur Fritte habe ich natürlich ausgeschaltet.
Geht die ganze Sache überhaupt mit Mobilfunk oder muss ich mich im WLAN eines anderen Netzes befinden?
Das funktioniert solange der Mobilfunkanbieter IPSEC Verbindungen zulässt und die Ports (500/4500UDP) nicht gesperrt hat (Vertragsabhängig).Hier Infos von AWM:
AWM?? (Stichwort Rechtschreibung oben)Ich nutze an der Fritte einen normalen IP4 Anschluss also kein Dual Stack Lite.
Die VPN-Kommunikation ist nicht möglich, wenn das Android-Gerät eine IP-Adresse aus dem IP-Netzwerk der FRITZ!Box verwendet.
Es geht also nicht wenn ich im Netzwerk der Fritte bin .. ok. Oder auch wenn ich mit ner anderen Fritte im gleichen Netz sitze? hier 192.168.178.x
S.o. Beim Verbinden zweier Subnetze sollten diese immer unterschiedlich sein. Es gibt zwar Tricks mit NAT aber das geht mit der Fritte nicht.Über UMTS hat das Android ja aber eine andere Ip oder?
Ja, sagt aber noch lange nicht aus das der Telefonanbieter VPNs zulässt. Kontaktiere deinen Anbieter.EDIT : WICHTIGE INFO: Ich kann den Haken bei Zugang auch aus dem Internet erlauben setzten, dieser wird aber nicht gespeichert..Liegt es wohl daran?
Nein, die Einstellung hat rein garnichts mit dem VPN zu tun sondern regelt nur den Zugriff auf die Fritzbox (NAS und den Login zur Config)EDIT2: Der haken ist nun gesetzt, habe den Nutzer einfach nochmal angelegt, vorher den alten gelöscht. VPN geht aber immer noch nicht.
Wundert mich nicht.Hat der Username zufällig ein @ im Namen?
Gruß
Also hier geht das selbst mit Alditalk.
Die Fritte setzt übrigens keine für mich sichtbaren Portfreigaben wenn ich VPN aktiviere, ist wohl so korrekt das macht sie intern?
Ja, das regelt sie selbst, siehst du wenn du dir mal die ganze Config der FB exportieren lässt. Dann siehst du auch gleich deine VPN Config für deinen User im Klartext.
Eigentlich beschreibt die AVM Seite die ToDos ja umfassend:
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unte ...
Damit kommt das sofort zum Fliegen !
Es gibt aber ein wichtiges KO Kriterium:
Wenn dein Tarif ein billiger nur Surf Tarif ist kann es sein das du mit dem APN in einem Mobilnetz arbeitest was intern private RFC 1918 IP Adressen verwendet !
Der Mobilfunkprovider macht dann ein zentrales NAT ( IP Adress Translation) auf eine öffentliche IP Adresse ins Internet:
Damit ist dann jede VPN Nutzung mit IPsec technisch unmöglich.
Dieser Thread beschreibt die Problematik:
VPN über webn walk Stick IV nicht mehr möglich
Checke also bevor du dir einen Wolf suchst welche Art von IP Adresse du auf der Mobilfunkschnittstelle von deinem Provider bekommst. Das darf keine 10er, 172.16-32er oder 192.168er sein !
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unte ...
Damit kommt das sofort zum Fliegen !
Es gibt aber ein wichtiges KO Kriterium:
Wenn dein Tarif ein billiger nur Surf Tarif ist kann es sein das du mit dem APN in einem Mobilnetz arbeitest was intern private RFC 1918 IP Adressen verwendet !
Der Mobilfunkprovider macht dann ein zentrales NAT ( IP Adress Translation) auf eine öffentliche IP Adresse ins Internet:
Damit ist dann jede VPN Nutzung mit IPsec technisch unmöglich.
Dieser Thread beschreibt die Problematik:
VPN über webn walk Stick IV nicht mehr möglich
Checke also bevor du dir einen Wolf suchst welche Art von IP Adresse du auf der Mobilfunkschnittstelle von deinem Provider bekommst. Das darf keine 10er, 172.16-32er oder 192.168er sein !
Aldi Talk (Telefonica) scheint ja bei mikrotik mit VPN zu funktionieren.
Das Argument ist sinnfrei denn wie du verutlich selber weisst gibt es ja mehrer verschiedene VPN Protokolle. Es gibt welche die mit NAT umgehen können und eben welche die das nicht können.Die FritzBox kann einzig und allein nur IPsec was das nicht kann.
Der Mikrotik kann so ziemlich alles an VPNs was es gibt. Insofern ist auch die Aussage oben sinnlos wenn du nichtmal das VPN Protokoll benennst was der MT nutzt.
Bei SSL basierten Protokollen kann das durchaus klappen.
Interessant das Aldi im Telefonica Netz funkt....
http://www.utrace.de/?query=2.247.241.153
Na ja bei den Billigheimern kein Wunder.
Gut ist aber die Tatsache das das zweifelsfrei eine öffentliche IP ist und du das Problem mit den RFC 1918 IPs definitiv nicht hast !
Du solltest mal über die Paket Sniffer Funktion bei der FB checken ob dort überhaupt IPsec Pakete vom Client ankommen.
http://www.wehavemorefun.de/fritzbox/Versteckte_Features
IP Pakete mitschneiden...
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
So kannst du überhaupt erstmal prüfen on das Mobilfunknetz die IPsec Pakete überhaupt transportiert.
Viele der Billigheimer Mobilanbieter filtern in einfachen nur Surf Accounts auch zusätzlich noch alle üblichen VPN Protokolle. Klar, denn dafür wollen sie teurere Business Verträge verkaufen
Wenn an der FB eingehend kein IPsec ankommt kann das der Fall sein.
Zusätzlich kannst du an der Hotline nochmal nachfragen...obwohl sie da nicht immer die Wahrheit sagen denn das sind bei soclhen Anbietern auch externen Callcenter die dem nächsten Anfrufer die Strom- oder Gasrechnung erklären.
Müsste ich nicht auch über UTMS eine interne IP Adresse besitzen?
Was meinst du mit "intern" ?? Die Frage ist unklar ?? Im Mobilfunknetz hängst du als Client offen im Internet wenn du eine öffentliche IP bekommst wie oben !
Mit welcher IP du unterwegs bist kannst du immer mit http://ct.de/ip im Browser abfragen.
@aqui
Mit "mikrotik" meint er mich nicht die Hardware...
Und ja, Alditalk blockt kein IPSec, wie gesagt lüppt es hier einwandfrei.
Schalte einfach mal das Traffic-Capturing auf der FB ein dann siehst du in überhaupt Pakete deines Androiden am WAN ankommen und wenn ja woran es bei dir hapert.
Mit "mikrotik" meint er mich nicht die Hardware...
Und ja, Alditalk blockt kein IPSec, wie gesagt lüppt es hier einwandfrei.
Schalte einfach mal das Traffic-Capturing auf der FB ein dann siehst du in überhaupt Pakete deines Androiden am WAN ankommen und wenn ja woran es bei dir hapert.
Oha User und Hardware gedoppelt... Das ist aber schon eine Herausforderung an einem Freitag
Danke für die Aufklärung...hatte ich in der Tat übersehen.
Wenn der identisch ist, ist es dann in der Tat eher ein PEBKAC Problem des TO...
Traffic Capturing ist in jedem Falle der richtige Weg ertsmal.
Danke für die Aufklärung...hatte ich in der Tat übersehen.
Und ja, Alditalk blockt kein IPSec, wie gesagt lüppt es hier einwandfrei.
Solange die auf den gleichen Provider setzen.... ?!Wenn der identisch ist, ist es dann in der Tat eher ein PEBKAC Problem des TO...
Traffic Capturing ist in jedem Falle der richtige Weg ertsmal.
Hat das Smartphone via UMTS diese auch?
Nein, wozu ?Wäre ja Blödsinn und wo sollte denn auch das interne Netz sein.
Das Smartphone hängt nackig so direkt mit einer öffentlichen IP im Internet. Kein NAT keine Firewall nix.
Deshalb sind Androiden ja so ein beliebtes Angreiferziel.
Diesmal steht die Leitung
Geht doch...! dann VPN an Ip getestet und es ist die öffentliche Meines Routers...geht also 100%
Bedeutet dann aber auch das ALLES dann durch den Tunnel geht !Gut macht ja auch Sinn wenn man z.B. an einem öffentlichen Hotspot arbeitet will man ja auch alles verschlüsselt haben mit dem VPN. Sicher ist sicher...
sagt mit leider nicht viel aber da ist viel ISAKMP, PPP
Das merkt man... Netzwerker wissen das IPsec aus ISAKMP (IKE) und ESP besteht !Guckst du auch hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und hier
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
und ggf. auch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Vietnamesicher Mobilfunk Anbieter - ?? Was macht der denn da ...
Hast du öffentliche IP, hast du auch gleich Angreifer (Portscanner, Skimmer, Passwort Attacker usw.) drauf. Das passiert bei JEDEM Internet Anschluss im Sekundentakt und permanent.60% der Angreifer kommen aus dem asiatischen Raum, Rest Russland, Rumäninen usw. die üblichen Verdächtigen eben.
Aldi Talk war mal Elus
Igittt...das netz mit der bekanntlich allerschlechtesten Infrastruktur Deutschlands. Na ja...You get what you pay for... wie immer die alte Leier.das Smartphone (sollte) sich immer in das beste Netz von beiden einwählen.
Vom schlechten ins ganz schlechte.... Vielen Dank für die Hilfe!
Immer gerne wieder...!Könnte ja sein das die Mobilfunk Anbieter so was wie carrier grade NAT machen.
Klar, kann man ja aber bei dir ausschliessen, denn du hast je ein öffentliche IP Adresse und eben KEINE der privaten RFC 1918 IP Adressen.Die Thematik ist ja oben schon diskutiert worden so das dieser Einwand eigentlich überflüssig ist.
Aber davon verstehe ich wenig.
Dann macht es auch wenig bis gar keinen Sinn darüber weiter zu fachsimpeln, sorry.Ich dachte bisher Android ist relativ sicher
Traumtänzer....! Da ist das iPhone meilenweit voraus. Das ist aber immer die Crux wenn darunter ein mehr oder weniger offenes System werkelt.Sehr interessant werde mich damit und mit wireshark mal näher beschäftigen.
Das ist löblich und auch sehr empfehlenswert.
Selbst mit RFC1918 Adresse am Telefon ist hier der Aufbau des C2S VPN im Transport-Mode möglich und auch logisch sofern der Betreiber mitmacht. Das gesagte gilt nur wenn die FB am WAN-Port eine solche inne hätte!
Bei Alditalk bekommst du nämlich am Device meist eine 10.x.x.x er zugewiesen und auch damit ist es problemlos möglich.
Bei Alditalk bekommst du nämlich am Device meist eine 10.x.x.x er zugewiesen und auch damit ist es problemlos möglich.
Ich dachte bei Carrier Grade NAT bekommt man eine öffentliche IP Adresse, welche man sich mit anderen teilt.
Du bekommst eine private, nach außen hin sieht man dich jedoch logisch mit einer öffentlichen weil die private auf eine Öffentliche geNATet wird!Du hast einfach noch ein Verständnisproblem.
Ganz einfach : SRC-NAT bedeutet hier: Schreibe die Quelladresse eines Pakets um auf die öffentliche IP des Routers welcher im Internet hängt. So ist das bei dir zu Hause als auch bei den meisten Mobilfunkprovidern. Dort befindest du dich ebenfalls mit deinem Telefon in einem privaten Subnetz des Providers (mit privatem Adressebereich) welches zentral an einem Borderrouter auf eine öffentliche Adresse geNATet wird (also SRC-NAT mit Umschreiben der Quelladresse des ausghenden Pakets).
Befindet sich deine Fritte jedoch in so einem privaten Providernetz mit privaten IPs kann logischerweise keine Verbindung zustande kommen da private IPs im öffentlichen Internet logischerweise nicht geroutet werden und du keine Kontrolle des Borderrouters des Providers hast, so einfach ist das...billigste Routing-Grundlagen.
NAT = Network Address Translation = Umschreiben von Quell oder Zieladresse / Port
SRC-NAT = Ändere Quelladresse eines Paketes (genutzt um mehrere Clients hinter einer IP zu maskieren)
DST-NAT = Ändere die Zieladresse eines Paketes (einfachstes Anwendungsbeispiel: Portforwarding am Router)
Les dir einfach mal die Grundlagen von Vorne durch und nicht von Hinten
Klar "bekomme" ich eine private IP im 100 ér Bereich
100.64.0.0/10
Das ist kein "privater" Bereich nach RFC1918 ... 100.64.0.0/10
Diese sind nur 10/8 , 172.16/12 und 192.168/16
Nun dann ist ja alles grundlegende geklärt, und der Thread kann in die Ablage wandern.
Jep, ich meine keine 1918 IP ich bekomme eine private dann macht der Provider über die 100 er NAT.
Sorry aber die o.a. Aussage ist völliger Quatsch und technischer Blödsinn.- Wenn du keine RFC 1918 IP bekommst, sprich also dann eine öffentliche IP, dann muss der Provider logischerweise auch kein NAT machen !
- Bekommst du eine RFC 1918, dann (und nur dann!) muss der Provider NAT machen. Logisch, denn 1918er Netze werden im Internet nicht geroutet !
Zitat von @aqui:
- Wenn du keine RFC 1918 IP bekommst, sprich also dann eine öffentliche IP, dann muss der Provider logischerweise auch kein NAT machen !
Muß er nicht, könnte er aber trotzdem machen.
Ist mir allerdings bsher nicht untergekommen.
lks