11
Fritzbox 7490 VPN von Win11 Zeitüberschreitung
Hallo,
nach länger Suche und diversen Anläufen bitte ich hier um Unterstützung:
eigentlich eine einfache Anforderung: einen Windows 11 Client per VPN mit einem entfernten Netz zu verbinden
Client:
Windows 11 22H2
Fritz Fernzugang
Konfig erstellt mit Fritz Fernzugang einrichten
verbunden über lokale FB, lokale IP 192.168.178.39
Zugang über o2 Kabel mit DS-lite
Ziel-Fritzbox:
7490, Version 7.29, aktuell
VPN mit der Konfig von Fritz Fernzugang erstellen eingerichtet
lokales Netz 10.0.0.0
VPN Client IP 10.0.0.249 (anderweitig nicht in Benutzung)
öffentliche IP 89.244.X.X (via 1&1)
myFritz Account ist aktiv, xxx.myfritz.net vorhanden
Erstellung der Konfig nach Anleitung von AVM, Einlesen in die 7490 und in Fritz Fernzugang ohne Fehler
die remote FB pingt vom Client per xxx.myfritz.net -> Namensauflösung am Client funktioniert also
ich bin per remote user vom Client auf der FB angemeldet -> remote FB ist aktiv
Problem:
Fritz Fernzugang meldet nach 30s Zeitüberschreitung: Die Gegenstelle konnte nicht erreicht werden
Firewall (Defender) hatte ich testweise aus, keine Änderung
testweise hatte ich auch schon alle Konfigs aus FB und Fritz Fernzugang gelöscht und neu erstellt, kein Erfolg
Könnte es am DS-lite des Client-Zugangs liegen? Wenn ja - was wäre zu tun?
Schönen Gruss,
Stefan
nach länger Suche und diversen Anläufen bitte ich hier um Unterstützung:
eigentlich eine einfache Anforderung: einen Windows 11 Client per VPN mit einem entfernten Netz zu verbinden
Client:
Windows 11 22H2
Fritz Fernzugang
Konfig erstellt mit Fritz Fernzugang einrichten
verbunden über lokale FB, lokale IP 192.168.178.39
Zugang über o2 Kabel mit DS-lite
Ziel-Fritzbox:
7490, Version 7.29, aktuell
VPN mit der Konfig von Fritz Fernzugang erstellen eingerichtet
lokales Netz 10.0.0.0
VPN Client IP 10.0.0.249 (anderweitig nicht in Benutzung)
öffentliche IP 89.244.X.X (via 1&1)
myFritz Account ist aktiv, xxx.myfritz.net vorhanden
Erstellung der Konfig nach Anleitung von AVM, Einlesen in die 7490 und in Fritz Fernzugang ohne Fehler
die remote FB pingt vom Client per xxx.myfritz.net -> Namensauflösung am Client funktioniert also
ich bin per remote user vom Client auf der FB angemeldet -> remote FB ist aktiv
Problem:
Fritz Fernzugang meldet nach 30s Zeitüberschreitung: Die Gegenstelle konnte nicht erreicht werden
Firewall (Defender) hatte ich testweise aus, keine Änderung
testweise hatte ich auch schon alle Konfigs aus FB und Fritz Fernzugang gelöscht und neu erstellt, kein Erfolg
Könnte es am DS-lite des Client-Zugangs liegen? Wenn ja - was wäre zu tun?
Schönen Gruss,
Stefan
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4585528539
Url: https://administrator.de/forum/fritzbox-7490-vpn-von-win11-zeitueberschreitung-4585528539.html
Ausgedruckt am: 23.04.2025 um 02:04 Uhr
11 Kommentare
Neuester Kommentar
Update: ich habe den Client jetzt mal kurz per mobilem Hotspot verbunden - da funktioniert das VPN einwandfrei, ich sehe mein remote-Netz, scheint alles erreichbar zu sein (muss noch etwas an der Namensauflösung für das remote-Netz basteln, das bekomme ich aber hin)
Bleibt die Frage: warum funktioniert das VPN nicht, wenn der Client über einen DS-lite Zugang arbeitet?
Bleibt die Frage: warum funktioniert das VPN nicht, wenn der Client über einen DS-lite Zugang arbeitet?
Moin
... weil es nicht funktioniert... :
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-6360/1306_Sind-VPN ...
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/1611_Was-ist- ...
Gruß
... weil es nicht funktioniert... :
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-6360/1306_Sind-VPN ...
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/1611_Was-ist- ...
Gruß
1
Hm - AVM schreibt aber im ersten verlinkten Artikel:
Mit FRITZ!Fernzugang, einem Smartphone oder anderen VPN-Programmen können Sie an einem DS-Lite-Internetzugang VPN-Verbindungen zu einer FRITZ!Box herstellen, die unter einer öffentlichen IPv4-Adresse erreichbar ist.
Genau das ist ja die oben beschriebene Situation: ich habe am Client Internet via DS-lite und versuche, eine VPN-Verbindung zu einer FB herzustellen, die eine öffentliche IPv4 Adresse hat.
Nur eingehende VPNs auf eine FB, die nur DS-lite hat, wären lt AVM nicht möglich
Mit FRITZ!Fernzugang, einem Smartphone oder anderen VPN-Programmen können Sie an einem DS-Lite-Internetzugang VPN-Verbindungen zu einer FRITZ!Box herstellen, die unter einer öffentlichen IPv4-Adresse erreichbar ist.
Genau das ist ja die oben beschriebene Situation: ich habe am Client Internet via DS-lite und versuche, eine VPN-Verbindung zu einer FB herzustellen, die eine öffentliche IPv4 Adresse hat.
Nur eingehende VPNs auf eine FB, die nur DS-lite hat, wären lt AVM nicht möglich
Fritz VPN Client, wüürrg das geht früher oder später eh schief da die Grütze den Windows VPN Protokoll-Stack vermurkst.... Stichwort NAT-T
https://www.tldevtech.com/how-to-fix-l2tp-ipsec-vpn-does-wont-connect-in ...
https://www.tldevtech.com/how-to-fix-l2tp-ipsec-vpn-does-wont-connect-in ...
zu einer FB herzustellen, die eine öffentliche IPv4 Adresse hat.
Wie prüfst du das?Ist das die WAN IP die du direkt im Dashboard des Fritzbox GUIs siehst oder ist das was dir eine externe Webseite wie wieistmeineip.de anzeigt?
Normal hat ein DS-Lite Anschluss prinzipbedingt KEINE öffentliche IP, sprich im Dashboard der FB solltest du dann auch keine öffentliche IP sehen sondern eine RFC1918 IP.
Das was du über z.B. wieistmeineip.de siehst ist immer nur die öffentliche IP des zentralen CGN Gateway beim Provider und NICHT die IP der FritzBox an deren WAN Port.
Mit DS-Lite Anschlüssen sind generell remote IPv4 Zugriffe, egal ob VPN oder Port Forwarding, technisch nicht möglich, weil du das Provider seitige CGN Gateway nicht überwinden kannst !
Bei DS-Lite geht das nur mit IPv6 oder wenn du einen Business Anschluss mit einer öffentlichen v4 hast.
Öh Jungs ihr solltet den Beitrag des TO nochmal gründlich lesen ... ihr dreht das beide in die falsche Richtung. die Seite des DS-Lite Anschlusses wird hier nur ausgehend genutzt, nicht eingehend ...
1
danke ukulele - genau so ist es. Wie schon geschrieben - ich kann ja mit dem Browser über die DDNS myFritz Adresse direkt auf die Box zugreifen (https Zugang), auch vom DS-lite Client aus. Nur der VPN Aufbau läuft in timeout. Ein Teil der Anfrage kommt wohl an, weil in der VPN Übersicht nach dem Versuch des Verbindungsaufbaus unter "Adresse im Internet" sogar eine externe IP auftaucht (2.x.x.x - ist schon wieder weg), allerdings geht der Status nie auf grün wenn ich aus dem DS-lite Netz komme.
Und eine Supportanfrage bei AVM hat übrigens ausser Textbausteinen mit Verweis auf nicht so recht passende Artikel auch nichts gebracht
Und eine Supportanfrage bei AVM hat übrigens ausser Textbausteinen mit Verweis auf nicht so recht passende Artikel auch nichts gebracht
Zitat von @sms0203:
Bleibt die Frage: warum funktioniert das VPN nicht, wenn der Client über einen DS-lite Zugang arbeitet?
Bleibt die Frage: warum funktioniert das VPN nicht, wenn der Client über einen DS-lite Zugang arbeitet?
Das liegt nicht per se an DS-Lite, sondern am verkorksten Netz von O2. Das sieht man daran, daß Du ja mit dem nobilem Hotspot die Verbibdung bekommst und Handynetze haben selten etwas anderes als DS-Lite.
Je nachdem, was deren NAT-Device macht, kann es gehen, muß aber nicht.
Wenn jeweils auf der Fritte und auf den Client mitsniffdt, siehst Du, warum das timeout kommt.
lks
ich kann ja mit dem Browser über die DDNS myFritz Adresse direkt auf die Box zugreifen
Ok, Kollege @4400667902 hat Recht. Im Eifer des Gefechts übersehen das der Client an einem DS-Lite Anschluss hängt, NICHT aber die FB die eine öffentliche v4 IP hat. Sorry....Wenn die HTTPS Verbindung klappt ist per se IP technisch erstmal alles in Ordnung wenn man mal davon absieht das es fahrlässig ist das Konfig GUI des Routers offen im Internet zu exponieren. Sowas sollte man besser lassen...
Das lässt dann nur den Schluss zu das O2 dann IPsec am Anschluss filtert. Das ist an einfachen Consumer Anschlüssen bei den Billigprovidern nicht unüblich weil man das nur den Business Kunden bietet.
Der u.a. Link wird wenig helfen denn er bezieht sich nur auf die Windows Onboard Clients und einen MS Update Fehler. Siehe dazu auch hier:
L2TP-IPSec Problem nach CU2022-01 (KB5009543)
Der Fernzugang wie auch der Shrew Client bringen aber einen eigenen IPsec Stack mit für den das nicht gilt.
Ggf. sollte der TO also nochmal ein Setup mut dem kostenfreien Shrew Client machen:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-3272/2275_VPN-zur- ...
https://www.shrew.net/download/vpn
Der funktioniert bekanntlich deutlich besser und stabiler. (Fernzugang unbedingt vorher löschen, es darf keine 2 externen Clients geben!)
Sollte das auch scheitern kann man nur von einem IPsec Filter auch Providerseite ausgehen.
Aqui du hast es noch immer nicht gecheckt ... 🙃 Lies doch alle Beiträge noch mal ganz in Ruhe.
Nur nochmal für den TO falls er den Link übersehen hat
https://www.tldevtech.com/how-to-fix-l2tp-ipsec-vpn-does-wont-connect-in ...
was geht sind outbound (VPN) Verbindungen
Genau darum geht es doch sie ganze Zeit, die DSLite Seite ist nur Outbound beteiligt, der Responder hat ne fixe öffentliche IP.Nur nochmal für den TO falls er den Link übersehen hat
https://www.tldevtech.com/how-to-fix-l2tp-ipsec-vpn-does-wont-connect-in ...
den key AssumeUDPEncapsulationContextOnSendRule (Wert 2) in Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent habe ich angelegt (und rebootet) wie in dem von ukulele verlinkten Artikel angegeben
Ändert leider nichts an dem timeout beim Verbindungsaufbau unter Windows
Was ich noch versucht habe: mit der Android myFritz App einen Zugang eingerichtet. Der funktioniert einwandfrei auch wenn sich das Smartphone im WLAN des DS-lite Anschlusses befindet
(Tipp für Adguard User: das Heimnetz, hier 10.0.0.0/24 in den erweiterten Einstellung von Adguard aus der Filterung rausnehmen, sonst verheddern sich myFritz VPN und Adguard VPN)
Testweise hatte ich an der Ziel-FB IPv6 aktiviert, das ist wieder aus (IPv6 macht Probleme, wenn ich von zu Hause vom dienstlichen Rechner VPN zum Arbeitgeber aufbaue). Das macht auch keinen Unterschied.
Jetzt habe ich also einen Android Client, der VPN aufbauen kann und einen Win11 Client, der das aus dem gleichen Netz nicht kann. In beiden Fällen mit den von AVM empfohlenen Apps und Konfigurationen. Aus meiner Sicht ist damit der Provider o2 raus aus dem blame game..
Die Alternative mit dem Shrewsoft Client habe ich auch versucht (wie in https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/2275_VPN-zur- ... beschrieben), endet mit negotiation timeout. Shared secret aus dem Fritz Fernzugang Client cfg, alternativ über eine eigene VPN-Konfig, die ich mit "Fernzugang für einen Benutzer" angelegt hatte.
AVM hält sich zurück und verweist darauf, dass Fernzugang für Win11 nicht freigegeben ist, aber das ist noch nicht mal für Win10 der Fall ("Windows 10 wird von dem VPN Client nicht offiziell unterstützt. Unserer Erfahrung nach kann der VPN Client aber auch unter Windows 10 genutzt werden." - aus dem o.g. Dokument)
Ändert leider nichts an dem timeout beim Verbindungsaufbau unter Windows
Was ich noch versucht habe: mit der Android myFritz App einen Zugang eingerichtet. Der funktioniert einwandfrei auch wenn sich das Smartphone im WLAN des DS-lite Anschlusses befindet
(Tipp für Adguard User: das Heimnetz, hier 10.0.0.0/24 in den erweiterten Einstellung von Adguard aus der Filterung rausnehmen, sonst verheddern sich myFritz VPN und Adguard VPN)
Testweise hatte ich an der Ziel-FB IPv6 aktiviert, das ist wieder aus (IPv6 macht Probleme, wenn ich von zu Hause vom dienstlichen Rechner VPN zum Arbeitgeber aufbaue). Das macht auch keinen Unterschied.
Jetzt habe ich also einen Android Client, der VPN aufbauen kann und einen Win11 Client, der das aus dem gleichen Netz nicht kann. In beiden Fällen mit den von AVM empfohlenen Apps und Konfigurationen. Aus meiner Sicht ist damit der Provider o2 raus aus dem blame game..
Die Alternative mit dem Shrewsoft Client habe ich auch versucht (wie in https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/2275_VPN-zur- ... beschrieben), endet mit negotiation timeout. Shared secret aus dem Fritz Fernzugang Client cfg, alternativ über eine eigene VPN-Konfig, die ich mit "Fernzugang für einen Benutzer" angelegt hatte.
AVM hält sich zurück und verweist darauf, dass Fernzugang für Win11 nicht freigegeben ist, aber das ist noch nicht mal für Win10 der Fall ("Windows 10 wird von dem VPN Client nicht offiziell unterstützt. Unserer Erfahrung nach kann der VPN Client aber auch unter Windows 10 genutzt werden." - aus dem o.g. Dokument)
