FritzBox VPN LAN Kopplung bei LTE
Hallo.
Bisher ist es so, dass zwei Freunde sich per VPN bei mir einwählen, so tauschen wir leichter Dateien aus. Nun möchten die beiden das unabhängig von mir auch machen. Leider bekommen wir das nicht. So siehts grade aus:
Ich: FritzBox 7270 - normaler DSL Anschluss
Freund A: Hybrid Telekom Speedport - dahinter eine FritzBox 7272
Freund B: Speedport LTE 2 - dahinter auch eine FritzBox 7272.
Wie gesagt, die LAN-Kopplung von beiden zu mir funktioniert sehr gut. Nur wenn die beiden sich selber verbinden wollen klappt es nicht. Beide haben in Ihren Speedports die Ports (53, 500 und 4500) auf die FirtzBox gelegt, bzw. diese als DMZ eingerichtet. Beide nutzen den MyFritz-Dienst, welche auch verbunden ist. A hat die Server-Adresse (xxxxxxx.myfritz.net) von B eingetragen und das IP-Netz von B (192.168.10.0) . B hat es umgekehrt gemacht. Der PSK ist definitiv der gleiche. Leider verbinden sich die Geräte dennoch nur zu mir.
Jemand nen Tipp wie man hier den Fehler findet?
Danke
bws
Bisher ist es so, dass zwei Freunde sich per VPN bei mir einwählen, so tauschen wir leichter Dateien aus. Nun möchten die beiden das unabhängig von mir auch machen. Leider bekommen wir das nicht. So siehts grade aus:
Ich: FritzBox 7270 - normaler DSL Anschluss
Freund A: Hybrid Telekom Speedport - dahinter eine FritzBox 7272
Freund B: Speedport LTE 2 - dahinter auch eine FritzBox 7272.
Wie gesagt, die LAN-Kopplung von beiden zu mir funktioniert sehr gut. Nur wenn die beiden sich selber verbinden wollen klappt es nicht. Beide haben in Ihren Speedports die Ports (53, 500 und 4500) auf die FirtzBox gelegt, bzw. diese als DMZ eingerichtet. Beide nutzen den MyFritz-Dienst, welche auch verbunden ist. A hat die Server-Adresse (xxxxxxx.myfritz.net) von B eingetragen und das IP-Netz von B (192.168.10.0) . B hat es umgekehrt gemacht. Der PSK ist definitiv der gleiche. Leider verbinden sich die Geräte dennoch nur zu mir.
Jemand nen Tipp wie man hier den Fehler findet?
Danke
bws
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 275542
Url: https://administrator.de/forum/fritzbox-vpn-lan-kopplung-bei-lte-275542.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
14 Kommentare
Neuester Kommentar
Ein Problem ist vermutlich LTE.
Fast alle Provider verwenden im LTE Netz private RFC 1918 IP Adressen mit einem zentralen Provider NAT.
Damit hast du keinerlei Chancen ein Port Forwarding zu konfigurieren für IPsec basierte VPNs und gleichzeitig der Todesstoß für VPN.
Siehe auch:
VPN über webn walk Stick IV nicht mehr möglich
Du bzw. deine Kumpels sollten also zuallererst am WAN / Internet Port der FB in der Statusübersicht checken ob sie RFC 1918 IPs dort vom provider bekommen.
Ist das der Fall musst du gar nicht erst weitermachen....
Das deine Ports anbetrifft ist das auch ziemlich fehlerhaft. TCP 53 ist Unsinn, denn das ist DNS. Bei den anderen Ports benötigst du:
Letzteres fehlt bei dir vollkommen so das es dann auch niemals funktionieren kann !
Fast alle Provider verwenden im LTE Netz private RFC 1918 IP Adressen mit einem zentralen Provider NAT.
Damit hast du keinerlei Chancen ein Port Forwarding zu konfigurieren für IPsec basierte VPNs und gleichzeitig der Todesstoß für VPN.
Siehe auch:
VPN über webn walk Stick IV nicht mehr möglich
Du bzw. deine Kumpels sollten also zuallererst am WAN / Internet Port der FB in der Statusübersicht checken ob sie RFC 1918 IPs dort vom provider bekommen.
Ist das der Fall musst du gar nicht erst weitermachen....
Das deine Ports anbetrifft ist das auch ziemlich fehlerhaft. TCP 53 ist Unsinn, denn das ist DNS. Bei den anderen Ports benötigst du:
- UDP 500
- UDP 4500
- ESP Protokoll (IP Nummer 50, Achtung KEIN TCP oder UDP)
Letzteres fehlt bei dir vollkommen so das es dann auch niemals funktionieren kann !
Die Ports waren natürlich alle UDP,
ESP ist **kein TCP oder UDP sondern ein eigenes IP Protokoll mit der Nummer 50.Ohne ESP Forwarding definitiv KEIN VPN !!
Das ESP bieten die beiden Speedports nicht an,
Das ist leider ein bekanntes Übel bei den Speedport Schrottroutern Ohne ESP kein VPN !
Manchmal reicht es wenn man UDP 500 und 4500 forwardet, dann "raffen" diese billigen Schrottrouter es manchmal von selber das ESP dazumuss...aber leider nur manchmal.
Bei dem LTE2 wird dort nur IPSec angeboten, aber das ist dann nur Port 500.
Ist natürlich Unsinn, denn 4500 (Nat Traversal) und ESP (Encapsulation Security Payload) gehört zwingend dazu sonst nix IPsec...klar.Nimm dir im Zeifel immer einen Wireshark Sniffer oder nutze die Sniffing Funktion der Fritzbox:
http://www.wehavemorefun.de/fritzbox/Paketmitschnitt
https://www.youtube.com/watch?v=erHYfCAB8Ig
um zu checken das ALLE Protokollkomponenten an der FB zum VPN auch ankommen !!!
Denk mal ein bischen selber nach....
Ausgehend müssen die IPsec Packete keine NAT Firewall überwinden deshalb können die Kollegen ZU dir den Tunnel öffnen.
Andersrum müssen bei ihnen eingehende IPsec Verbindungen die NAT Firewall der Router überwinden, was logischerweise nur mit korrekten Port Forwarding Einstellungen funktioniert.
Guckst du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Rennt auch problemlos auf einer FritzBox wenn man diese Freetzt:
http://freetz.org
VPNs einrichten mit PPTP
Ausgehend müssen die IPsec Packete keine NAT Firewall überwinden deshalb können die Kollegen ZU dir den Tunnel öffnen.
Andersrum müssen bei ihnen eingehende IPsec Verbindungen die NAT Firewall der Router überwinden, was logischerweise nur mit korrekten Port Forwarding Einstellungen funktioniert.
Hab als Alternative eben noch was von OpenVPN gelesen. Ist das wirklich ne Alternative, oder rät man davon auch ab?
Nein, das wäre eigentlich das Optimum da das ein SSL basiertes VPN ist was erheblich einfach zu konfigurieren ist !Guckst du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Rennt auch problemlos auf einer FritzBox wenn man diese Freetzt:
http://freetz.org
Das mit ESP hab eich schon verstanden - ist wie früher mit GRE.
"Früher" ist natürlich laienhafter Blödsinn aber weisst du hoffentlich selber ?! GRE ist der Tunnel bzw. Tunnelprotokoll bei PPTP, ein anderes VPN Protokoll.VPNs einrichten mit PPTP
Moin,
Wie aqui schon sage, dürfte das vorwiegend daran scheitern, daß
Sinnvollste Lösung:
Irgendwo einen vserver oder einen root-serve rmieten und dort eien VPN-Server aufsetzen, so daß sich alle "Client-sites" damiot verbinden und so daten austauschen können. Damit vermeidet man NAT udn Portforwarding-Probleme.
lks
Wie aqui schon sage, dürfte das vorwiegend daran scheitern, daß
- LTE mit RFC1918-Adressen betrieben und Carrierer Grade NAT gemacht wird und
- Speedports eigentlich für die Tonne sind (Hatte heute wieder so ein Schrottteil in den Händen).
Sinnvollste Lösung:
Irgendwo einen vserver oder einen root-serve rmieten und dort eien VPN-Server aufsetzen, so daß sich alle "Client-sites" damiot verbinden und so daten austauschen können. Damit vermeidet man NAT udn Portforwarding-Probleme.
lks
Du hast aber nicht gesagt WER den VPN Tunnelaufbau initiiert !!!
Vermutlich sind das die Router deiner bekannten, DIE starten also die IPsec Session so das sie dann bei dir "incoming" ist und bei denen outgoing.
Die NAT Problematik passiert immer nur da wo die Sessions eingehen ohne einen gültigen Eintrag in der NAT Translation Tabelle !
Deinen Bekannten betreiben BEIDE einen Router Kaskade aus 2 Routern !
Siehe dazu auch hier "Alternative 2": Kopplung von 2 Routern am DSL Port
Dort muss zwingend auf den beiden vor der Fritzbox liegenden Router ein Port Forwarding der 3 Protokollports von IPsec (siehe oben) konfiguriert sein, denn sonst klappt das logischerweise nicht.
Bei diesen Router Kaskaden speziell im LTE lauern 2 tödliche VPN Fallen:
Vermutlich sind das die Router deiner bekannten, DIE starten also die IPsec Session so das sie dann bei dir "incoming" ist und bei denen outgoing.
Die NAT Problematik passiert immer nur da wo die Sessions eingehen ohne einen gültigen Eintrag in der NAT Translation Tabelle !
Deinen Bekannten betreiben BEIDE einen Router Kaskade aus 2 Routern !
Siehe dazu auch hier "Alternative 2": Kopplung von 2 Routern am DSL Port
Dort muss zwingend auf den beiden vor der Fritzbox liegenden Router ein Port Forwarding der 3 Protokollports von IPsec (siehe oben) konfiguriert sein, denn sonst klappt das logischerweise nicht.
Bei diesen Router Kaskaden speziell im LTE lauern 2 tödliche VPN Fallen:
- Provider verwendet RFC 1918 IP Adressen (private Netze) im LTE
- Falsches oder fehlendes Port Forwarding auf dem vorgeschalteten Router
- Der kaskadierte Router sollte auf seinem WAN Port (der ja am LAN Port des Ersten angeschlossen ist) wenn irgend möglich immer eine statische IP außerhalb der LAN DHCP Range des ersten Routers bekommen. Grund: Dynamik der IPs. Bekommt der WAN Port dynamisch mal einen andere IP ists aus mit dem statischen Port Forwarding ! Deshalb immer: Statische IP !
Nun ja, nach meinem Kenntnisstand wird eine IPSec Site2Site Verbindung in den Fritzboxen schon theoretisch standardmässig aufgebaut, was heisst, dass beide Seiten die Verbindung initiieren können und das auch versuchen. Das regelt ein im IPSec Protokoll festgelegter Algorithmus, der (von User Seite) nicht beeinflusst werden kann. Bei einem Site2Site VPN ist keiner der Server. Eine Fritzbox als Client nur eine Einwahl auf einen Host machen zu lassen ist meines Wissens (leider) nicht möglich. Auch die Fritzboxen loggen rudimentär die Fehler mit. Beliebt wäre in deinem Fall z.B. 0x027 "Remote Site not responding"
Welchen Fehler bekommen denn die Kollegen?
Hast Du das VPN zusammengeklickt oder eine editierte cfg-Datei auf die Boxen eingespielt? Das ist zwar komplizierter, könnte aber lohnen Anleitung auf der AVM Seite und hier im Forum.
Haben die Boxen deiner Bekannten denn verschiedene interne IP-Ranges? (Müssten Sie eigentlich, denn sonst würden die Pakete auch jetzt schon im Nirvana landen...)
Ist es denn möglich auf alle Boxen mit dem Shrew Client zu verbinden? Dieser hat nämlich eine schöne erweiterte Logging Funktion, die Gold wert ist.
D.h. mit Shrew testen, welche Verbindung geht und welche nicht. Auch da siehst Du dann, welche Box vom Speedport die Pakete evtl. nicht bekommt.
Nichtsdestotrotz hängt es wohl am Port Forwarding. Wie ich auf die Schnelle im Telekom Kundenforum recherchieren konnte, gab es eine Zeit, in der die Speedports das ESP forwarden konnten, dieses Feature wurde aus aktuellen Firmwares aber wieder entfernt. Klappe zu. Affe tot. Geschäftspolitik. Gewinnmaximierung.
Sorry. Offenbar kein FB oder IPSec Problem.
Aber es gibt FB'en die LTE können...
Gruß
Buc
Welchen Fehler bekommen denn die Kollegen?
Hast Du das VPN zusammengeklickt oder eine editierte cfg-Datei auf die Boxen eingespielt? Das ist zwar komplizierter, könnte aber lohnen Anleitung auf der AVM Seite und hier im Forum.
Haben die Boxen deiner Bekannten denn verschiedene interne IP-Ranges? (Müssten Sie eigentlich, denn sonst würden die Pakete auch jetzt schon im Nirvana landen...)
Ist es denn möglich auf alle Boxen mit dem Shrew Client zu verbinden? Dieser hat nämlich eine schöne erweiterte Logging Funktion, die Gold wert ist.
D.h. mit Shrew testen, welche Verbindung geht und welche nicht. Auch da siehst Du dann, welche Box vom Speedport die Pakete evtl. nicht bekommt.
Nichtsdestotrotz hängt es wohl am Port Forwarding. Wie ich auf die Schnelle im Telekom Kundenforum recherchieren konnte, gab es eine Zeit, in der die Speedports das ESP forwarden konnten, dieses Feature wurde aus aktuellen Firmwares aber wieder entfernt. Klappe zu. Affe tot. Geschäftspolitik. Gewinnmaximierung.
Sorry. Offenbar kein FB oder IPSec Problem.
Aber es gibt FB'en die LTE können...
Gruß
Buc