beebop
Goto Top

Fritz, DDNS, VPN, mal so mal so

Fritz Box 7583, DS-Lite-Tunnel, IPv6 nativ
DDNS über selfhost.de, AAAA Record
Wireguard VPN

Hallo Leute,

ich habe ein Problem mit meiner VPN-Verbindung und vielleicht kann mir jemand helfen.
Eigentlich möchte ich eine VPN-Verbindung zwischen zwei Netzwerken/NAS herstellen. Die VPN-Verbindung der Gegenstelle funktioniert einwandfrei. Bei dieser VPN-Verbindung aber habe ich ein wechselndes Verhalten. Folgendes konnte ich bisher herausfinden:

  • Fritz Box trägt einwandfrei den AAAA Record bei selfhost.de ein.
  • Fritz Box hat unter "Ereignisse" keinerlei Einträge das die Verbindung etc. verloren wurde.
  • Wireguard VPN unter Windows sagt: Der angegebene Host ist unbekannt.
  • www.wieistmeineip.de:
                    • IPv4-Adresse: grün/immer vorhanden
                    • IPv6-Adresse: mal vorhanden, mal nicht, ändert sich ca. alle 15 Minuten
                    • Test IPv4: grün/ok
                    • Test IPv6: fehlgeschlagen, ändert sich auch ca. alle 15 Minuten
                    • Test Dual Stack: grün/immer vorhanden

20240603_081003_2
20240602_234548_2

...und dann ist da noch was: Als ich vor zwei Tagen mit dem Rumprobieren anfing, hatte ich vor dem Schlafengehen beim ersten Versuch eine VPN-Verbindung ganz normal herstellen können. Ich bin dann glücklich ins Bett gegangen und seitdem hat alles Probieren nicht mehr geholfen.

Content-Key: 91882943381

Url: https://administrator.de/contentid/91882943381

Printed on: July 24, 2024 at 15:07 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Jun 03, 2024 updated at 13:00:09 (UTC)
Goto Top
Moin,

Du weißt schon, daß es vier "A"s sein sollten, also AAAA-Record?

Funktioniert es über die myfritz.net-Adresse?


lks
Member: aqui
aqui Jun 03, 2024 updated at 13:24:05 (UTC)
Goto Top
Und wie üblich fehlt die verwendete VPN Konfig von Server und Client. face-sad
Als Beispiel wie es auf einem IPv6 Responder zu lösen ist:
Merkzettel: VPN Installation mit Wireguard

15 Minuten v6 Adressen lassen ggf. auf aktive Privacy Extensions schliessen.
Member: Beebop
Beebop Jun 03, 2024 updated at 21:12:13 (UTC)
Goto Top
@Lochkartenstanzer
AAA wurde in AAAA geändert. Ich hatte noch drüber nachgedacht....
myfritz.net habe ich gerade eingerichtet und es geht nicht. Die Adresse sieht so aus: https://[lange Zahl].myfritz.net:43366
Aber auch alle anderen Adressen für direkten HTTPS-Zugriff auf die Fritz-Box gehen nicht. Also auch die https://[DDNS-Adresse]:[Port] und die https://[IPv6]:[Port]

PS: Mir ist gerade noch was eingefallen. Über das Handy ist eine DDNS-Verbindung möglich. Das werde ich aber morgen eingehender anschauen.

@aqui
Mit deinem link auf den Merkzettel habe ich morgen erstmal ne Menge zu lesen...
Member: jmueller
jmueller Jun 04, 2024 at 07:58:53 (UTC)
Goto Top
Moin,

auch wenn es durch deine Beschreibung so aussieht als könnte das nicht das Problem sein, aber...

1. hast du innerhalb der zu verbindenden Netze unterschiedliche IPs? (Gleiche funktionieren nicht)
2. dein VPN Ziel hat gerade keine aktive VPN Verbindung woandershin aufgebaut

Greets
Jürgen
Member: Beebop
Beebop Jun 06, 2024 at 08:28:16 (UTC)
Goto Top
@jmueller

Ja, beide Netze haben unterschiedliche IPs.
Nein, das andere Netz hat keine aktive VPN-Verbindung aufgebaut.

Es ist echt ein wenig seltsam, weil manches geht und anderes nicht. Ich habe deshalb eine Tabelle mit allen Kombinationen (24 Stück) erstellt und probiere sie gerade durch. Für die Test-Zugriffe von aussen auf das Netz meiner Position verwende ich mein Samrtphone. Leider hatte ich durch den Umzug meine ganzen Mobildaten verbraucht und habe nur noch 32 KB/s. In paar Tagen bekomme ich neues, dann kann ich weitermachen...
Member: aqui
aqui Jun 06, 2024 updated at 08:40:10 (UTC)
Goto Top
weil manches geht und anderes nicht.
Lokale Firewall Einstellungen geprüft? Zu mindestens bei Winblows ist das essentiell, weil generell Zugriffe aus fremden IP Netzen generell für alle Dienste geblockt werden.
verwende ich mein Samrtphone.
HE.NET Tools aus dem App Store installieren und Ping und Traceroute Checks machen. Dafür reichen bekanntlch auch 32 KB/s!
Member: aqui
aqui Jun 10, 2024 at 11:57:27 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
How can I mark a post as solved?
Member: Beebop
Beebop Jun 14, 2024 at 22:09:28 (UTC)
Goto Top
Bitte noch nicht schliessen. Hatte zeitlich ein Problem...

Lokale firewall:
Bisher habe ich nur von meinem Handy die Verbindungen zu meiner Fritzbox getestet. Ergebnis:
  • Android, myFritz (IPv6-Adresse), Wireguard: geht
  • Android, myFritz (IPv6-Adresse), IPSec: geht nicht
  • Android, DDNS (IPv6-Adresse), Android-IPSec: geht nicht

  • Ping über DDNS IPv6: geht
  • Ping über myFritz IPv6: geht
  • TraceRoute über myFritz: geht
  • Traceroute über DDNS: geht

  • Anscheinend geht Wireguard über port 53602, obwohl ich keinerlei ports freigegeben habe.
  • In der Fritz werden aber auch unter "Sicherheit" port 500, 4500 und 53602 als offen aus dem Netz angezeigt.
  • Die App "Net Analyzer" und online services im Netz finden wiederum keine offenen ports.

Mein Hauptziel ist momentan: Weshalb kann Android-IPSec keine Verbindung aufbauen?

Irgendwie scheint die Fritz zu blocken. Aber ich habe die IPSec-Einstellungen exakt eingestellt. Die IPSec-Verbindung zur "anderen" Fritz funktioniert doch auch...
Member: Lochkartenstanzer
Lochkartenstanzer Jun 15, 2024 updated at 10:02:02 (UTC)
Goto Top
Zitat von @Beebop:

  • Android, myFritz (IPv6-Adresse), IPSec: geht nicht
  • Android, DDNS (IPv6-Adresse), Android-IPSec: geht nicht

Das wird auch nicht gehen. Die Fritte macht IPSEC nur per v4

Sorry, damit verwechselt, daß Fritten-IPSEC nur v4 tunnelt.

lks
Mitglied: 13034433319
13034433319 Jun 15, 2024 updated at 07:15:18 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Das wird auch nicht gehen. Die Fritte macht IPSEC nur per v4

Oha, da bist du nicht auf aktuellem Stand ...
Freie VPN-Fahrt - Fritzbox, WireGuard und IPSec: Endlich VPN via IPv6
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/3732_Ubertrag ...

Gruß
Member: aqui
aqui Jun 15, 2024 updated at 07:28:18 (UTC)
Goto Top
Bitte noch nicht schliessen.
Das kannst aus guten Gründen auch nur DU als Threadowner SELBER! (FAQs lesen hilft wirklich!!)

Anscheinend geht Wireguard über port 53602
Anscheinend?? Das stellst DU als Admin doch ein welchen Port WG nutzen soll bzw. es ist immer in der von der FB propagierten Konfig Datei im Endpoint Parameter zu sehen!! Siehe Wireguard Tutorial

In der Fritz werden aber auch unter "Sicherheit" port 500, 4500 und 53602 als offen aus dem Netz angezeigt.
Wenn du einzig nur Wireguard VPN machst sind die ersten 2 Ports natürlich Blödsinn, denn das ist IPsec.
Und das auch noch nicht einmal vollständig bzw. richtig, face-sad denn es würde das ESP Protokoll fehlen. Entferne den Unsinn also wenn du nur WG nutzt. (Siehe zu der Thematik auch HIER!) Lesen und verstehen...! 🧐

Weshalb kann Android-IPSec keine Verbindung aufbauen?
Dann brauchst du natürlich wieder diese beiden o.a. Ports UND natürlich zusätzlich das ESP Protokoll, denn sonst fehlt dir die Hälfte bei IPsec VPNs. Das ist dein Kardinalsfehler beim Port Forwarding. (Siehe Tutorial von oben zu den Router Kaskaden)
Member: Beebop
Beebop Jun 15, 2024 at 08:30:16 (UTC)
Goto Top
Vielen Dank für eure Antworten!

Ich habe für WG kein port eingestellt. Die Liste zu Portfreigaben ist vollkommen leer.
Die Fritz hat aber anscheinend diesen port selbst freigegeben. Diese werden anscheinend angelegt, sobald ein Dienst verwendet wird:


Es fällt auch auf das die 500 und 4500 für IPSec freigegeben sind.
Port- oder Protokollfreigaben für die Fritz werden abgelehnt:


Ich muss nachher mal weiterschauen...

PS: Bilder werden leider nicht an meinen Positionen angezeigt.
bild2
bild
Member: Lochkartenstanzer
Lochkartenstanzer Jun 15, 2024 at 08:37:27 (UTC)
Goto Top
Zitat von @13034433319:

Zitat von @Lochkartenstanzer:
Das wird auch nicht gehen. Die Fritte macht IPSEC nur per v4

Oha, da bist du nicht auf aktuellem Stand ...
Freie VPN-Fahrt - Fritzbox, WireGuard und IPSec: Endlich VPN via IPv6
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/3732_Ubertrag ...


Das muß aber sehr neu sein. Leider steht da nicht dabei ab welcher Firmware-Version. Bis ca. Cor 9 Monaten ging das nämlich nicht zuverlässig, weswegen ich einige Kunden auf wireguard umgestellt hatte.

lks
Mitglied: 13034433319
13034433319 Jun 15, 2024 updated at 09:21:40 (UTC)
Goto Top
Das muß aber sehr neu sein
Seit FW 7.5 ist das mit drin.
Member: Lochkartenstanzer
Lochkartenstanzer Jun 15, 2024 at 09:59:08 (UTC)
Goto Top
Zitat von @13034433319:

Das muß aber sehr neu sein
Seit FW 7.5 ist das mit drin.

Sorry, habe das damit verwechselt, daß die Fritten per IPSEC nur v4 Ttunneln. Mea culpa.

lks
Member: aqui
aqui Jun 15, 2024 updated at 10:22:14 (UTC)
Goto Top
Es fällt auch auf das die 500 und 4500 für IPSec freigegeben sind.
Wie gesagt: Es fehlt das ESP Protokoll!! Ohne diese Komponenten kann IPsec niemals funktionieren!! Wenn du das dir oben mehrfach gepostete Tutorial gelesen hättest wüsstest du es!
fbesp.

PS: Bilder werden leider nicht an meinen Positionen angezeigt.
Auch da hilft: FAQs lesen!! 🧐
Wenn du das "+" zum Hinzufügen eines Bildes an der richtigen Stelle im Kontext klickst, dann wird das Bild auch genau DA eingefügt wo du es hinhaben möchtest!
Gewusst wie!! Lesen und verstehen hilft. face-wink
Member: Beebop
Beebop Jun 15, 2024 at 15:21:17 (UTC)
Goto Top
@aqui, vielen Dank für deine fordernden Hinweise mir die FAQs und mans durchzulesen. Jedoch sind hier ein paar Widersprüche vorhanden.

Auf der "anderen" Fritz habe ich erfolgreich eine IPSec VPN-Verbindung mit meinem Android herstellen können. Unter den Einstellungen/Portfreigaben sind nur zwei PS4 mit selbstständiger Portfreigabe eingetragen- aber keine für VPN!

bild_1

Lediglich unter Diagnose/Sicherheit/Fritz!Box-Dienste sieht man das die 500 und 4500 freigegeben sind- aber keine, ob ESP freigegeben wurde oder ist. Jetzt frage ich mich natürlich: Wie kann das gehen, obwohl ich es nicht freigegeben hatte?

bild_2

Drücke ich rechts auf "Bearbeiten", dann lande ich auf der VPN-IPSec-Seite. Dort lassen sich aber keine Portfreigaben vornehmen. Muss ich aber auch nicht, da IPSec anscheinend ohne ESP läuft.

Was passiert da im Hintergrund?
Member: aqui
aqui Jun 15, 2024 updated at 17:17:54 (UTC)
Goto Top
Die Port Freigaben benötigt man ausschliesslich auch nur dann, wenn man mit einer Router Kaskade arbeitet und den Traffic an das dahinterliegende Gerät forwarden muss.
Ohne eine Kaskade sind Port Forwardings natürlich völliger Unsinn. Im Gegenteil, sie sorgen sogar dafür das eine VPN Verbindung scheitert. Ebenso sollten noch VPN User eingerichtet sein auf einer FB. Ohne eine Kaskade ist Portforwarding also falsch und kontraproduktiv.
Nicht das du da etwas missverstehst?! face-wink

Wie man eine Androiden Gurke direkt mit einer Fritzbox verheiratet beschreibt AVM ja im Detail und wasserdicht auf seinem VPN Portal:
https://avm.de/service/vpn/ipsec-vpn-zur-fritzbox-unter-android-einricht ...
Member: aqui
aqui Jun 30, 2024 at 10:51:08 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
How can I mark a post as solved?