18
Fritz, DDNS, VPN, mal so mal so
Fritz Box 7583, DS-Lite-Tunnel, IPv6 nativ
DDNS über selfhost.de, AAAA Record
Wireguard VPN
Hallo Leute,
ich habe ein Problem mit meiner VPN-Verbindung und vielleicht kann mir jemand helfen.
Eigentlich möchte ich eine VPN-Verbindung zwischen zwei Netzwerken/NAS herstellen. Die VPN-Verbindung der Gegenstelle funktioniert einwandfrei. Bei dieser VPN-Verbindung aber habe ich ein wechselndes Verhalten. Folgendes konnte ich bisher herausfinden:
...und dann ist da noch was: Als ich vor zwei Tagen mit dem Rumprobieren anfing, hatte ich vor dem Schlafengehen beim ersten Versuch eine VPN-Verbindung ganz normal herstellen können. Ich bin dann glücklich ins Bett gegangen und seitdem hat alles Probieren nicht mehr geholfen.
DDNS über selfhost.de, AAAA Record
Wireguard VPN
Hallo Leute,
ich habe ein Problem mit meiner VPN-Verbindung und vielleicht kann mir jemand helfen.
Eigentlich möchte ich eine VPN-Verbindung zwischen zwei Netzwerken/NAS herstellen. Die VPN-Verbindung der Gegenstelle funktioniert einwandfrei. Bei dieser VPN-Verbindung aber habe ich ein wechselndes Verhalten. Folgendes konnte ich bisher herausfinden:
- Fritz Box trägt einwandfrei den AAAA Record bei selfhost.de ein.
- Fritz Box hat unter "Ereignisse" keinerlei Einträge das die Verbindung etc. verloren wurde.
- Wireguard VPN unter Windows sagt: Der angegebene Host ist unbekannt.
- www.wieistmeineip.de:
- IPv4-Adresse: grün/immer vorhanden
- IPv6-Adresse: mal vorhanden, mal nicht, ändert sich ca. alle 15 Minuten
- Test IPv4: grün/ok
- Test IPv6: fehlgeschlagen, ändert sich auch ca. alle 15 Minuten
- Test Dual Stack: grün/immer vorhanden
...und dann ist da noch was: Als ich vor zwei Tagen mit dem Rumprobieren anfing, hatte ich vor dem Schlafengehen beim ersten Versuch eine VPN-Verbindung ganz normal herstellen können. Ich bin dann glücklich ins Bett gegangen und seitdem hat alles Probieren nicht mehr geholfen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 91882943381
Url: https://administrator.de/contentid/91882943381
Printed on: June 20, 2024 at 12:06 o'clock
18 Comments
Latest comment
Moin,
Du weißt schon, daß es vier "A"s sein sollten, also AAAA-Record?
Funktioniert es über die myfritz.net-Adresse?
lks
Du weißt schon, daß es vier "A"s sein sollten, also AAAA-Record?
Funktioniert es über die myfritz.net-Adresse?
lks
Und wie üblich fehlt die verwendete VPN Konfig von Server und Client. 
Als Beispiel wie es auf einem IPv6 Responder zu lösen ist:
Merkzettel: VPN Installation mit Wireguard
15 Minuten v6 Adressen lassen ggf. auf aktive Privacy Extensions schliessen.
Als Beispiel wie es auf einem IPv6 Responder zu lösen ist:
Merkzettel: VPN Installation mit Wireguard
15 Minuten v6 Adressen lassen ggf. auf aktive Privacy Extensions schliessen.
@Lochkartenstanzer
AAA wurde in AAAA geändert. Ich hatte noch drüber nachgedacht....
myfritz.net habe ich gerade eingerichtet und es geht nicht. Die Adresse sieht so aus: https://[lange Zahl].myfritz.net:43366
Aber auch alle anderen Adressen für direkten HTTPS-Zugriff auf die Fritz-Box gehen nicht. Also auch die https://[DDNS-Adresse]:[Port] und die https://[IPv6]:[Port]
PS: Mir ist gerade noch was eingefallen. Über das Handy ist eine DDNS-Verbindung möglich. Das werde ich aber morgen eingehender anschauen.
@aqui
Mit deinem link auf den Merkzettel habe ich morgen erstmal ne Menge zu lesen...
AAA wurde in AAAA geändert. Ich hatte noch drüber nachgedacht....
myfritz.net habe ich gerade eingerichtet und es geht nicht. Die Adresse sieht so aus: https://[lange Zahl].myfritz.net:43366
Aber auch alle anderen Adressen für direkten HTTPS-Zugriff auf die Fritz-Box gehen nicht. Also auch die https://[DDNS-Adresse]:[Port] und die https://[IPv6]:[Port]
PS: Mir ist gerade noch was eingefallen. Über das Handy ist eine DDNS-Verbindung möglich. Das werde ich aber morgen eingehender anschauen.
@aqui
Mit deinem link auf den Merkzettel habe ich morgen erstmal ne Menge zu lesen...
Moin,
auch wenn es durch deine Beschreibung so aussieht als könnte das nicht das Problem sein, aber...
1. hast du innerhalb der zu verbindenden Netze unterschiedliche IPs? (Gleiche funktionieren nicht)
2. dein VPN Ziel hat gerade keine aktive VPN Verbindung woandershin aufgebaut
Greets
Jürgen
auch wenn es durch deine Beschreibung so aussieht als könnte das nicht das Problem sein, aber...
1. hast du innerhalb der zu verbindenden Netze unterschiedliche IPs? (Gleiche funktionieren nicht)
2. dein VPN Ziel hat gerade keine aktive VPN Verbindung woandershin aufgebaut
Greets
Jürgen
@jmueller
Ja, beide Netze haben unterschiedliche IPs.
Nein, das andere Netz hat keine aktive VPN-Verbindung aufgebaut.
Es ist echt ein wenig seltsam, weil manches geht und anderes nicht. Ich habe deshalb eine Tabelle mit allen Kombinationen (24 Stück) erstellt und probiere sie gerade durch. Für die Test-Zugriffe von aussen auf das Netz meiner Position verwende ich mein Samrtphone. Leider hatte ich durch den Umzug meine ganzen Mobildaten verbraucht und habe nur noch 32 KB/s. In paar Tagen bekomme ich neues, dann kann ich weitermachen...
Ja, beide Netze haben unterschiedliche IPs.
Nein, das andere Netz hat keine aktive VPN-Verbindung aufgebaut.
Es ist echt ein wenig seltsam, weil manches geht und anderes nicht. Ich habe deshalb eine Tabelle mit allen Kombinationen (24 Stück) erstellt und probiere sie gerade durch. Für die Test-Zugriffe von aussen auf das Netz meiner Position verwende ich mein Samrtphone. Leider hatte ich durch den Umzug meine ganzen Mobildaten verbraucht und habe nur noch 32 KB/s. In paar Tagen bekomme ich neues, dann kann ich weitermachen...
weil manches geht und anderes nicht.
Lokale Firewall Einstellungen geprüft? Zu mindestens bei Winblows ist das essentiell, weil generell Zugriffe aus fremden IP Netzen generell für alle Dienste geblockt werden.verwende ich mein Samrtphone.
HE.NET Tools aus dem App Store installieren und Ping und Traceroute Checks machen. Dafür reichen bekanntlch auch 32 KB/s!
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
How can I mark a post as solved?
How can I mark a post as solved?
Bitte noch nicht schliessen. Hatte zeitlich ein Problem...
Lokale firewall:
Bisher habe ich nur von meinem Handy die Verbindungen zu meiner Fritzbox getestet. Ergebnis:
Mein Hauptziel ist momentan: Weshalb kann Android-IPSec keine Verbindung aufbauen?
Irgendwie scheint die Fritz zu blocken. Aber ich habe die IPSec-Einstellungen exakt eingestellt. Die IPSec-Verbindung zur "anderen" Fritz funktioniert doch auch...
Lokale firewall:
Bisher habe ich nur von meinem Handy die Verbindungen zu meiner Fritzbox getestet. Ergebnis:
- Android, myFritz (IPv6-Adresse), Wireguard: geht
- Android, myFritz (IPv6-Adresse), IPSec: geht nicht
- Android, DDNS (IPv6-Adresse), Android-IPSec: geht nicht
- Ping über DDNS IPv6: geht
- Ping über myFritz IPv6: geht
- TraceRoute über myFritz: geht
- Traceroute über DDNS: geht
- Anscheinend geht Wireguard über port 53602, obwohl ich keinerlei ports freigegeben habe.
- In der Fritz werden aber auch unter "Sicherheit" port 500, 4500 und 53602 als offen aus dem Netz angezeigt.
- Die App "Net Analyzer" und online services im Netz finden wiederum keine offenen ports.
Mein Hauptziel ist momentan: Weshalb kann Android-IPSec keine Verbindung aufbauen?
Irgendwie scheint die Fritz zu blocken. Aber ich habe die IPSec-Einstellungen exakt eingestellt. Die IPSec-Verbindung zur "anderen" Fritz funktioniert doch auch...
Zitat von @Beebop:
- Android, myFritz (IPv6-Adresse), IPSec: geht nicht
- Android, DDNS (IPv6-Adresse), Android-IPSec: geht nicht
Sorry, damit verwechselt, daß Fritten-IPSEC nur v4 tunnelt.
lks
Oha, da bist du nicht auf aktuellem Stand ...
Freie VPN-Fahrt - Fritzbox, WireGuard und IPSec: Endlich VPN via IPv6
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/3732_Ubertrag ...
Gruß
1Bitte noch nicht schliessen.
Das kannst aus guten Gründen auch nur DU als Threadowner SELBER! (FAQs lesen hilft wirklich!!)Anscheinend geht Wireguard über port 53602
Anscheinend?? Das stellst DU als Admin doch ein welchen Port WG nutzen soll bzw. es ist immer in der von der FB propagierten Konfig Datei im Endpoint Parameter zu sehen!! Siehe Wireguard TutorialIn der Fritz werden aber auch unter "Sicherheit" port 500, 4500 und 53602 als offen aus dem Netz angezeigt.
Wenn du einzig nur Wireguard VPN machst sind die ersten 2 Ports natürlich Blödsinn, denn das ist IPsec.Und das auch noch nicht einmal vollständig bzw. richtig,
denn es würde das ESP Protokoll fehlen. Entferne den Unsinn also wenn du nur WG nutzt. (Siehe zu der Thematik auch HIER!) Lesen und verstehen...! 🧐Weshalb kann Android-IPSec keine Verbindung aufbauen?
Dann brauchst du natürlich wieder diese beiden o.a. Ports UND natürlich zusätzlich das ESP Protokoll, denn sonst fehlt dir die Hälfte bei IPsec VPNs. Das ist dein Kardinalsfehler beim Port Forwarding. (Siehe Tutorial von oben zu den Router Kaskaden)
Vielen Dank für eure Antworten!
Ich habe für WG kein port eingestellt. Die Liste zu Portfreigaben ist vollkommen leer.
Die Fritz hat aber anscheinend diesen port selbst freigegeben. Diese werden anscheinend angelegt, sobald ein Dienst verwendet wird:
Es fällt auch auf das die 500 und 4500 für IPSec freigegeben sind.
Port- oder Protokollfreigaben für die Fritz werden abgelehnt:
Ich muss nachher mal weiterschauen...
PS: Bilder werden leider nicht an meinen Positionen angezeigt.
Ich habe für WG kein port eingestellt. Die Liste zu Portfreigaben ist vollkommen leer.
Die Fritz hat aber anscheinend diesen port selbst freigegeben. Diese werden anscheinend angelegt, sobald ein Dienst verwendet wird:
Es fällt auch auf das die 500 und 4500 für IPSec freigegeben sind.
Port- oder Protokollfreigaben für die Fritz werden abgelehnt:
Ich muss nachher mal weiterschauen...
PS: Bilder werden leider nicht an meinen Positionen angezeigt.
Zitat von @hempel:
Oha, da bist du nicht auf aktuellem Stand ...
Freie VPN-Fahrt - Fritzbox, WireGuard und IPSec: Endlich VPN via IPv6
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/3732_Ubertrag ...
Oha, da bist du nicht auf aktuellem Stand ...
Freie VPN-Fahrt - Fritzbox, WireGuard und IPSec: Endlich VPN via IPv6
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/3732_Ubertrag ...
Das muß aber sehr neu sein. Leider steht da nicht dabei ab welcher Firmware-Version. Bis ca. Cor 9 Monaten ging das nämlich nicht zuverlässig, weswegen ich einige Kunden auf wireguard umgestellt hatte.
lks
Das muß aber sehr neu sein
Seit FW 7.5 ist das mit drin.1Sorry, habe das damit verwechselt, daß die Fritten per IPSEC nur v4 Ttunneln. Mea culpa.
lks
Es fällt auch auf das die 500 und 4500 für IPSec freigegeben sind.
Wie gesagt: Es fehlt das ESP Protokoll!! Ohne diese Komponenten kann IPsec niemals funktionieren!! Wenn du das dir oben mehrfach gepostete Tutorial gelesen hättest wüsstest du es!
PS: Bilder werden leider nicht an meinen Positionen angezeigt.
Auch da hilft: FAQs lesen!! 🧐Wenn du das "+" zum Hinzufügen eines Bildes an der richtigen Stelle im Kontext klickst, dann wird das Bild auch genau DA eingefügt wo du es hinhaben möchtest!
Gewusst wie!! Lesen und verstehen hilft.
@aqui, vielen Dank für deine fordernden Hinweise mir die FAQs und mans durchzulesen. Jedoch sind hier ein paar Widersprüche vorhanden.
Auf der "anderen" Fritz habe ich erfolgreich eine IPSec VPN-Verbindung mit meinem Android herstellen können. Unter den Einstellungen/Portfreigaben sind nur zwei PS4 mit selbstständiger Portfreigabe eingetragen- aber keine für VPN!
Lediglich unter Diagnose/Sicherheit/Fritz!Box-Dienste sieht man das die 500 und 4500 freigegeben sind- aber keine, ob ESP freigegeben wurde oder ist. Jetzt frage ich mich natürlich: Wie kann das gehen, obwohl ich es nicht freigegeben hatte?
Drücke ich rechts auf "Bearbeiten", dann lande ich auf der VPN-IPSec-Seite. Dort lassen sich aber keine Portfreigaben vornehmen. Muss ich aber auch nicht, da IPSec anscheinend ohne ESP läuft.
Was passiert da im Hintergrund?
Auf der "anderen" Fritz habe ich erfolgreich eine IPSec VPN-Verbindung mit meinem Android herstellen können. Unter den Einstellungen/Portfreigaben sind nur zwei PS4 mit selbstständiger Portfreigabe eingetragen- aber keine für VPN!
Lediglich unter Diagnose/Sicherheit/Fritz!Box-Dienste sieht man das die 500 und 4500 freigegeben sind- aber keine, ob ESP freigegeben wurde oder ist. Jetzt frage ich mich natürlich: Wie kann das gehen, obwohl ich es nicht freigegeben hatte?
Drücke ich rechts auf "Bearbeiten", dann lande ich auf der VPN-IPSec-Seite. Dort lassen sich aber keine Portfreigaben vornehmen. Muss ich aber auch nicht, da IPSec anscheinend ohne ESP läuft.
Was passiert da im Hintergrund?
Die Port Freigaben benötigt man ausschliesslich auch nur dann, wenn man mit einer Router Kaskade arbeitet und den Traffic an das dahinterliegende Gerät forwarden muss.
Ohne eine Kaskade sind Port Forwardings natürlich völliger Unsinn. Im Gegenteil, sie sorgen sogar dafür das eine VPN Verbindung scheitert. Ebenso sollten noch VPN User eingerichtet sein auf einer FB. Ohne eine Kaskade ist Portforwarding also falsch und kontraproduktiv.
Nicht das du da etwas missverstehst?!
Wie man eine Androiden Gurke direkt mit einer Fritzbox verheiratet beschreibt AVM ja im Detail und wasserdicht auf seinem VPN Portal:
https://avm.de/service/vpn/ipsec-vpn-zur-fritzbox-unter-android-einricht ...
Ohne eine Kaskade sind Port Forwardings natürlich völliger Unsinn. Im Gegenteil, sie sorgen sogar dafür das eine VPN Verbindung scheitert. Ebenso sollten noch VPN User eingerichtet sein auf einer FB. Ohne eine Kaskade ist Portforwarding also falsch und kontraproduktiv.
Nicht das du da etwas missverstehst?!
Wie man eine Androiden Gurke direkt mit einer Fritzbox verheiratet beschreibt AVM ja im Detail und wasserdicht auf seinem VPN Portal:
https://avm.de/service/vpn/ipsec-vpn-zur-fritzbox-unter-android-einricht ...