Keine VPN-Verbindung von Vodafone TG3442DE zu Fritzbox 7590 möglich

Guten Tag zusammen,

ich habe folgende VPN-Konfigurationsdatei von einer Fritzbox 7590:

version {
        revision = "$Revision: 1.30 $";  
        creatversion = "1.1";  
}
pwcheck {
}
datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}
targets {
        policies {
                name = "XXX.myfritz.net";  
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.178.10;
                remoteip = 0.0.0.0;
                remotehostname = "XXX.myfritz.net";  
                localid {
                        user_fqdn = "XXX@XXX.de";  
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = keytype_pre_shared;
                key = "XXX";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.178.10;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 192.168.178.0 255.255.255.0";  
                wakeupremote = no;
        }
}
policybindings {
}
// EOF

Und möchte nun von einem Vodafone TG3442DE-Router über die VPN-Anwendung "FRITZ!Fernzugang" auf das Netzwerk der Fritzbox 7590 zugreifen.

Von einer "Connect Box" (Damals noch Kabel-BW) funktioniert dies auch wunderbar, aber über den o.g. Vodafone-Router nicht.

Muss hier noch irgendwas spezielles beim Router eingestellt werden? Ich habe testweise mal die Firewall deaktiviert, dies hat aber auch nichts gebracht. Am Antivirensystem liegt es auch nicht, da ich es mit dem selben Laptop, mit dem es über die Connect Box funktioniert hat, getestet habe.
Kann es eventuell damit zusammenhängen, dass der Vodafone-Router auf IPV6 eingestellt ist und die Fritzbox auf IPV4? Bzw. muss IPV6 bei der Fritzbox zugelassen werden?

Leider sind die Fehlermeldungen der VPN-Anwendung nicht aussagekräftig, es kommt immer nur, dass die Gegenstelle nicht erreicht werden kann.

Danke vorab, eventuell hat jemand von euch schon Erfahrung damit?

Lg cramtroni

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 3409424605

Url: https://administrator.de/contentid/3409424605

Ausgedruckt am: 22.11.2024 um 02:11 Uhr

5 Kommentare

Neuester Kommentar

Muss hier noch irgendwas spezielles beim Router eingestellt werden?

Nein. Dein IPsec Initiator ist ja der PC der den FritzBox Fernzugang installiert hat, der baut also die IPsec Verbindung zur FB aktiv auf. Deshalb muss am Vodkafön Router nichts extra konfiguriert werden.

Kann es eventuell damit zusammenhängen, dass der Vodafone-Router auf IPV6 eingestellt ist und die Fritzbox auf IPV4?

Nein. Die Vodafone Seite nutzt dann vermutlich einen DS-Lite Anschluss mit Provider NAT (CGN) taucht aber mit einer IPv4 am Ziel der FritzBox auf. Da auch NAT Traversal aktiviert ist (use_nat_t = yes;) geht es also auch problemlos durch den Provider NAT Prozess bei DS-Lite.
Es ist möglich das Vodafone IPsec filtert und es nur bei Business Accounts erlaubt. Das ist aber eher unwahrscheinlich.
Um aber ganz sicher zu gehen solltest du einmal die Paket Capture Funktion der FritzBox nutzen:
https://lost-in-it.de/fritzbox-netzwerkverkehr-mitschneiden-und-auswerte ... usw.
und checken ob die VPN Pakete UDP 500 (IKE) und UDP 4500 (NAT Traversal) vom Client bei der FritzBox ankommen.
Damit kannst du dann wasserdicht an der FB klären ob diese VPN Client Pakete wirklich ankommen. Hilfreich wäre hier auch ein Auszug des FritzBox Logs gewesen wenn du per VPN zugreifst. Die FritzBox loggt sowas dediziert mit. Leider fehlt diese Info...

Die mitgeschnittenen Pakete kannst du dir im Wireshark bequem ansehen.

Alternativ löschst du den etwas hakeligen Fernzugangs Client vollständig auf dem PC und nutzt stattdessen den bewährten, kostenlosen Shrew VPN Client.
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-3272/2275_VPN-zur- ...
bzw.
https://www.shrew.net/download/vpn

Alles klar, danke dir für deine ausführlichen Informationen! Ich melde mich wieder.

Habe die Paket Capture Funktion genutzt, allerdings finde ich nur einen Eintrag von der Source zur Destination-Adresse mit der Info "Identity Protection (Main Mode)", mehr leider nicht...

1. willst die ein s2s vpn bauen oder soll sich ein anwender das vpn verbinden?
2. welches betriebssystem setzt du ein
3. welchen ip bereich setzt du bei dir zuhause ein, in der config habe ich es so rausgelesen das die fritzbox den original ip bereich nutzt (das ist das erste was ich bei jeder fritzbox ändere, so habe ich keine konflikte wenn ich mal ein vpn aufbauen will.