Apr 18, 2017

25024

Fritzbox Fernzugang VPN ping nicht möglich

Hallo zusammen,

ich hab ein Problem mit der Fritte 6360 und dem FritzboxFernzugang einrichten.
Ich habe ALLES genau wie unter folgendem Artikel beschrieben eingerichtet:
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...

Leider ist es nun so, dass der VPN-Zugang laut "Fritzbox!Fernzugang" erfolgreich aufgebaut wurde.
Auch auf der Fritte unter "VPN Freigabe" wird alles "grün" angezeigt NUR KANN ICH NIX PINGEN.

Wie kann sowas sein? Ich habe zwar schon rausgefunden, dass "Fritzbox!Fernzugang" keinen separaten Netzwerkadapter mitsichbringt, aber ich muss ja wohl andere Geräte in diesem Netzwerk pingen können oder nicht? mstsc zu meinem Homeserver ist somit auch nicht möglich. Ich drehe hier noch komplett durch!

NAT ist auch in den einzelnen Config-Dateien mit "Yes" parametriert - bringt auch keine Lösung.

Was kann ich noch anders machen? Mich fuchst das schon, dass ich hier wieder fragen muss - aber ich kann ja nicht der einzige sein mit dem Problem. Wenn das VPN-Programm schon sagt "Verbindung erfolgreich hergestellt" & ich danach keinen Drucker hinzufügen, kein mstsc aufbauen, oder irgendwelche andere Dienste nutzen kann - dann ist das Scheißdreck & kein VPN-Client....

Was kann ich noch anders machen?

LG Yannosch

Please also mark the comments that contributed to the solution of the article

Content-Key: 335416

Url: https://administrator.de/contentid/335416

Printed on: April 16, 2024 at 16:04 o'clock

25 Comments

Latest comment

Hi,

was hast du bisher alles versucht anzupingen? nur "irgendwelche" Windows-Büchsen?

Wenn ja: passe hier die Firewall an. Du kommst aus einem fremden Subnetz (könntest ja also ein böser Bub sein), daher blockt per Default die Firewall alles, was sie nicht kennt; u.A. fremde Netze...

Gruß
em-pie

Hi @em-pie,

habe einen WHS2011 im Heimnetz - kann auch nicht angepingt werden.
Services wie RDP usw. sind auch nicht möglich.

Drucker können ebenfalls nicht angepingt geschweige denn gefunden oder hinzugefügt werden.

Ich frage mich was das für ein VPN sein soll, wenn selbst simpelste Dinge wie einen entfernten Drucker hinzufügen oder ein Netzlaufwerk einbinden nicht möglich sind.

mfg Yannosch

Zitat von @Yannosch:
habe einen WHS2011 im Heimnetz - kann auch nicht angepingt werden.
Services wie RDP usw. sind auch nicht möglich.

Naja, ist ja - wie oben erwähnt - alles Microsoft Windows-> MS-Firewall aktiv/ konfiguriert?

Drucker können ebenfalls nicht angepingt geschweige denn gefunden oder hinzugefügt werden.

OK. die Geräte haben keine eigene Firewall...

Ich frage mich was das für ein VPN sein soll, wenn selbst simpelste Dinge wie einen entfernten Drucker hinzufügen oder ein Netzlaufwerk einbinden nicht möglich sind.

Ich denke mal, das VPN macht das was es soll und das Problem sitzt (ganz) woanders, schlimmstenfalls im Layer 8

Was ergibt ein

tracert [Drucker-IP]

?

Bis wohin kommst du?

Nur nochmal weil wir das gefühlte 5mal am Tag hier sagen:
Wenn du Windows Endgeräte pingst verhindert das die lokale Firewall aus 2 Gründen:

1. ICMP Protokoll (Ping) ist dort ab Win 7 generell geblockt und muss erst aktiviert werden: https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
2. Du kommst, da VPN ja geroutet ist, immer mit einer fremden Absender IP am Ziel an. Die lokale Win Firewall blockt aber generell fremde IPs. Nur lokale IPs können passieren. Hier musst du also auch entsprechend deines Dienstes auf den du remote zugreifen willst die Firewall anpassen, das sie deine VPN IPs passieren lässt.

Hast du auch das beachtet ?

Zitat von @aqui:

Nur nochmal weil wir das gefühlte 5mal am Tag hier sagen:
Wenn du Windows Endgeräte pingst verhindert das die lokale Firewall aus 2 Gründen:

1. ICMP Protokoll (Ping) ist dort ab Win 7 generell geblockt und muss erst aktiviert werden: https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen

Und ein Fritz-Repeater? Hat der auch eine Firewall die angepasst werden muss?
Oder ein Samsung Drucker ?

Ich kenne mich bei weitem nicht so gut aus wie du, aber doll bin ich auch nicht.

* 2. Du kommst, da VPN ja geroutet ist, immer mit einer fremden Absender IP am Ziel an. Die lokale Win Firewall blockt aber generell fremde IPs. Nur lokale IPs können passieren. Hier musst du also auch entsprechend deines Dienstes auf den du remote zugreifen willst die Firewall anpassen, das sie deine VPN IPs passieren lässt.

Die Firewall der Firtzbox habe ich noch nicht angepasst - nein.
Aber warum wird sowas nicht im Tutorial von AVM selbst nicht angesprochen?

Ich will doch nur einen Drucker pingen - wie kann das nicht funktionieren?

@em-pie

Ein Tracert auf die Drucker-IP im Heimnetz bringt nichts außer Zeitüberschreitung. Also keine verwertbaren Informationen.

Wie ich schon gesagt habe - Fritz-Fernzugang verbindet sich ganz ohne Probleme - auch wird der VPN Benutzer als Aktiv auf der Fritte angezeigt nachdem die Verbindung mit Fritz!Fernzugang etabliert wurde, aber ich kann NIX machen... 0,0 ... bin quasie nicht vorhanden im Heimnetz.

was kann das sein?

Ich werde vermutlich einfach mal bei AVM nachfragen....

Und ein Fritz-Repeater? Hat der auch eine Firewall die angepasst werden muss?

Nein ! Ein Repeater ist ein dummes Layer 2 Device was NICHT routet also nie am IP Forwarding beteiligt ist.
So ein Teil kennt nur Hardware Mac Adressen und weiss rein gar nix von IPs. Vergessen....
Wenn der Repeater oder auch der Drucker eine Management IP Adresse haben sind das die perfekten Ping Ziele, denn die haben natürlich keinerlei Firewall, das ist richtig.

Was hier aber sehr oft vergessen wird ist solchen Geräten ein Default Gateway zu konfigurieren. Und ohne das ists dann natürlich gleich aus mit Routing und VPN Zugriff.
Ist ein Gateway konfiguriert, dann sollten diese Geräte sich immer problemlos pingen lassen.

Ich will doch nur einen Drucker pingen - wie kann das nicht funktionieren?

Wie gesagt...wenn dem Drucker das Default Gateway fehlt ists aus mit dem Pingen aus anderen IP Netzen, logisch !

Es gibt einen ganz einfachen Test: Du musst immer das lokale LAN Interface der remoten FritzBox pingen können auf das du die VPN Verbindung öffnest.
Geht das nicht, dann ist auch deine IPsec Verbindung bzw. der Tunnel gar nicht erst zustande gekommen, bzw. du hast einen Fehler in der Konfig. NAT Traversal fehlt, Subnetzmaske falsch usw. usw.
Die Tunnelverbindung an sich steht dann zwar aber es können keine Pakete geforwardet werden. Also genau wie bei dir.
Da das bei Millionen FritzBoxen fehlerfrei klappt nur bei deiner nicht kann man vermuten das es zu 98% ein solcher Konfig Fehler ist.
Aber auch das können wir natürlich auch nur raten weil du die Konfig nicht gepostet hast.

Moin,

alternativ kannst du ja mal den Shrewsoft-Client nehmen.
Welche Windows-Version hat dein Client-PC eigentlich? Dass Fritz!Fernzugang nicht unter W10 läuft weiß du?

Henning

Zitat von @aqui:

Und ein Fritz-Repeater? Hat der auch eine Firewall die angepasst werden muss?

Da der Drucker die IP Einstellungen vom DHCP bekommen hat, sollte auch hier die Gateway-Einstellung passen & ich habe womöglich doch irgendwo einen Fehler gemacht.

Ich check nochmal alles gegen und melde mich nochmal.

Ich will doch nur einen Drucker pingen - wie kann das nicht funktionieren?

Danke bis hierhin.

Musst du bei Win 10 so oder so da der AVM Client da nicht rennt.
Es sollte aber immer nur ein einziger IPsec Client installiert sein. Parallele Clients sind sehr häufig ein Grund einer Fehlfunktion.
Andere Clients also zuvor immer besser deinstallieren.

Zitat von @vossi31:

Moin,

alternativ kannst du ja mal den Shrewsoft-Client nehmen.

Wäre evtl. auch eine Möglichkeit. Aber würde es gerne mal mit Fritz!Fernzugang hinbekommen

Welche Windows-Version hat dein Client-PC eigentlich? Dass Fritz!Fernzugang nicht unter W10 läuft weiß du?

Win7 - ja weiß ich. Für Win10 gibt es allerdings eine Beta, aber ist in diesem Fall ja Wurscht

Henning

Gruß
Yannosch

Zitat von @aqui:

Musst du bei Win 10 so oder so da der AVM Client da nicht rennt.
Es sollte aber immer nur ein einziger IPsec Client installiert sein. Parallele Clients sind sehr häufig ein Grund einer Fehlfunktion.
Andere Clients also zuvor immer besser deinstallieren.

Client Rechner ist Win7.
Habe aktuell nur einen PaloAlto Global Protect Client installiert der aber über separates Interface geht.

Sollte dann trotzdem klappen ..

Ich melde mich gleich zurück

@em-pie

Ein Tracert auf die Drucker-IP im Heimnetz bringt nichts außer Zeitüberschreitung. Also keine verwertbaren Informationen.

Damit habe ich ja gerechnet, die Frage ist ja, ab WANN der Timeout kommt...
Kannst du denn die interne IP der Fritzbox anpingen/ aufrufen?

Mal so eine andere bekloppte Frage, weil ich das gerade hier lese:
In welchem IP-Segment hängt dein "entferntes" Notebook?

Ich hoffe doch, dass du keinen Adapter aktiv hast, der ebenfalls hinter einer Fritzbox/ einem 192.168.178.0/24er Netz hängt

Denn das wäre fatal, dann schickt dein entferntes Laptop nämlich die Pakete in das falsche Netz

Nachtrag:
Am besten wäre es daher, wenn du deiner FritzBox, an der die ganzen Drucker etc. angeschlossen sind, eine völlig andere IP gibst.
Denn dann kannst du dich auch von Freunden/ Bekannten aus einloggen, selbst wenn die eine Netz aus dem 192.168.178.0er Netz verwenden...

Das werde ich anpassen.

Aktuell ist der Entfernte Laptop in einem 0.1 er Netz. Also schon ein anderes.

Also, folgendes Ergebnis:

Der "entfernte Laptop" hat also eine andere IP-Adresse wie Fritte - auch das wurde im AVM Tutorial erwähnt und von mir beachtet.

Beim erstellen des VPN Users in der Anwendung "Fritz!Fernzugang einrichten" kann man ja nix verkehrt machen - daher weiß ich nicht welchesn "Konfigurationsfehler" ich gemacht haben soll. Zudem das Programm "Fritz!Fernzugang" eine erfolgreiche Verbindung meldet ....

ich peils nicht.

mfg Yannosch & danke schonmal an alle bis hierher.

Hier noch einmal die VPN-User der Fritte. Wie zu erkennen ist der Benutzer X@aol.com auch grün und wird angezeigt.

Leider keine Idee was ich falsch gemacht habe...

Hallo Yannosch

was schreibt denn ein

route print

bei aufgebauten VPN?

Sorry für das Leichenfleddern, aber ich habe das selbe Problem, wie Yannosch.

Mein Netz = lokaler Client
FritzBox mit 7.7.7.0/255.255.255.0

Entferntes Netz = Zielnetz
FritzBox mit 192.168.178.0/255.255.255.0

Die App FritzFernzugang baut vom lokalen Client die Verbindung erfolgreich zur entfernten Fritzbox auf. Auf der Weboberfläche der entfernten Fritzbox wird der Verbindungsaufbau auch angezeigt.

Allerdings erreiche ich beim Ausführen von PING (auf die IP) vom lokalen Client nur lokale Geräte (im 7.7.7.0er Netz), keine im Zielnetz. Ich versuche z.B. Android Handys, Netzlaufsprecher oder Drucker anzupingen, die sollten m.E. immer antworten.

"route print" bei aufgebauter VPN Verbindung sagt folgendes:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0          7.7.7.1         7.7.7.20     40
          7.7.7.0    255.255.255.0   Auf Verbindung          7.7.7.20    296
         7.7.7.20  255.255.255.255   Auf Verbindung          7.7.7.20    296
        7.7.7.255  255.255.255.255   Auf Verbindung          7.7.7.20    296
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung          7.7.7.20    296
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung          7.7.7.20    296
===========================================================================
Ständige Routen:
  Keine

Moin,

dann solltest du als erstes mal die IPs der 7.7.7.0/24 ändern.
der Bereich gehört augenscheinlich dem US-Amerikanischen DoD Network Information Center

https://db-ip.com/7.7.7.0

Und ist somit eine ÖFFENTLICHE, IP, außerhalb von RFC1918

Ändere das einmal und dann sehen wir weiter

Gruß
em-pie

Danke für die schnelle Rückmeldung, aber mein Router trennt das private und das öffentliche Netz doch (NAT). Die Jungs vom DoD Network Information Center und der Rest der Welt werden also nichts davon mitbekommen, dass mein Drucker auf 7.7.7.36 hört.

Oder sehe ich das falsch?

EDIT: Oder werden dann Anfragen aus meinen eigenen Netz, die z.B. an das DoD Network (7.7.7.x) gehen würden nicht zugestellt, da der Router sie für interne Anfragen hält?

Aber gut... dann wollen wir mal...

Jawohl Herr Kaleun! - IP ist umgestellt auf einen der empfohlenen IP-Ranges = 10.0.0.0

Und jetzt? Ping geht weiterhin nicht.

Was sagt denn ein Traceroute?
tracert -d 10.0.0.36 ?

Am Drucker das richtige Gateway hinterlegt?
Keine Firewall dazwischen, die die Pakete von/ für 10.0.0.0/24 filtert?

Gruß
em-pie

Drucker war nur ein Beispiel. Hier der tracert von dem lokalen Client zu einem anderen lokalen Client:

Routenverfolgung zu <Workstation.fritz.box [10.0.0.20]
über maximal 30 Hops:

  1     2 ms     2 ms     2 ms  Workstation.fritz.box [10.0.0.20]

Ablaufverfolgung beendet.

Auf dem anderen lokalen Client ist (wie beim Client der per VPN raus funken soll) "Standardgateway : 10.0.0.1" eingerichtet. Die Firewall ist - für das "Debugging" - komplett aus. Untereinander im lokalen Netz geht alles: SMB, PING, RDP usw..

Und jetzt? Ping geht weiterhin nicht.

Ist das angepingte Gerät eine Winblows Gurke ?
Wenn ja ist dir hoffentlich klar das dort ICMP (Ping) in der lokalen Winblows Firewall generell deaktiviert ist ?!
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Zumindest auf solchen Geräten musst du es explizit in der lokalen Firewall erst inbound erlauben und dann auch noch von allen Absender IPs.
Ansonsten würde, wie immer, der Abschnitt der vpncfg in deiner FritzBox .export Sicherungsdatei allen hier weiterhelfen beim Troubleshooting.
Siehe zu dem Thema auch hier.

Moin aqui,
hey em-pie,

danke für die Mühen und die Hinweise.
Ich habe das Problem gelöst bekommen.

1. Ursache für "nicht anpingbar obwohl Verbindung steht"

Problem: Gleiche IP-Ranges im Quellnetzwerk und Zielnetzwerk. Es werden auf beiden Seiten Fritzboxen als Router verwendet mit 192.168.178.x-Netz.
Lösung: Quellnetzwerk auf 10.0.0.x umgestellt.

2. Ursache für "nicht anpingbar obwohl Verbindung steht"

Problem: Brainbug bei mir aufgrund der Formulierung "deine Fritzbox". Ich habe die Software "FritzFernzugang einrichten" verwendet, um die .cfg-Dateien für den Import in die Fritzbox zu erstellen. In verschiedenen Anleitungen wird von der IP "der Fritzbox" gesprochen, ohne anzugeben ob damit das Ziel- oder Quellnetz gemeint ist. Naja, ich habe es zuerst falsch gemacht und die IP-Daten von meinem lokalen Netzwerk eingegeben.
Lösung: IP-Angaben des Zielnetzwerkes angeben.

Danach hat es gleich funktioniert.
Vielen Dank für die Hilfestellungen.

Problem: Gleiche IP-Ranges im Quellnetzwerk und Zielnetzwerk.

Wie peinlich !!
Tutorial zum VPN IP Adressdesign unbedingt lesen und vor allem verstehen !!

VPNs einrichten mit PPTP
Aber gut wenns nun klappt wie es soll !

Dann könnte @Yannosch ja nun endlich mal den Thread hier als gelöst schliessen !

How can I mark a post as solved?

German Question LAN, WAN, Wireless Networks

Hotly discussed

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani