137340
27.09.2018, aktualisiert um 21:34:29 Uhr
2093
13
0
Merkwürdig: VPN-Zugriff Iphone auf Gateway möglich, mit Mac nicht
Hallo liebe Fachleute, ich hoffe, ich bin hier in der richtigen Foren-Kategorie - ich bin der Ursache eines merkwürdigen Phänomens auf der Spur (oder evtl. ist es gar nicht so merkwürdig, ich habe nur in Brett vor dem Kopf?)
Folgende Konfiguration des Netzwerkes: DSL --> Fritzbox 7490AusgangLAN1-->Vigor2926EingangWAN-->Vigor fungiert als VPN-Router, an ihm alle Netzwerkgeräte angeschlossen.
Vigor ist in der FB der exposed host, FB sozusagen zum reinen DSL-Modem degradiert. VPN erfolgt zum Vigor via Remote-Dial-in-User, L2TP über IpSec aus meinem (entfernten) Heimnetz.
FB: Bereich 192.168.178.0
Vigor: Bereich 192.168.1.0
Wenn ich vom/via Iphone eine VPN-Verbindung zum Vigor herstelle, kann ich problemlos mit der Gateway-IP (192.168.178.1) der Fritzbox deren GUI aufrufen.
Wenn ich dasselbe mit dem Mac daneben mache, kann ich nicht auf die FB-GUI zugreifen. Obwohl im IPhone und im Mac die Einstellungen komplett identisch sind.
Was läuft hier falsch - oder besser gesagt: Beim Mac anders?
Und: Wenn ich eine LAN-LAN-Kopplung der beiden Netzwerke mache, also nicht Remote-Dial-In, kann ich weder vom Mac - und jetzt neu: Auch nicht mehr vom Iphone auf die Fritzbox zugreifen. Der Zugriff auf die FB klappt also nur per Iphone und dortiger manueller Remote-VPN.
Danke Euch!
Folgende Konfiguration des Netzwerkes: DSL --> Fritzbox 7490AusgangLAN1-->Vigor2926EingangWAN-->Vigor fungiert als VPN-Router, an ihm alle Netzwerkgeräte angeschlossen.
Vigor ist in der FB der exposed host, FB sozusagen zum reinen DSL-Modem degradiert. VPN erfolgt zum Vigor via Remote-Dial-in-User, L2TP über IpSec aus meinem (entfernten) Heimnetz.
FB: Bereich 192.168.178.0
Vigor: Bereich 192.168.1.0
Wenn ich vom/via Iphone eine VPN-Verbindung zum Vigor herstelle, kann ich problemlos mit der Gateway-IP (192.168.178.1) der Fritzbox deren GUI aufrufen.
Wenn ich dasselbe mit dem Mac daneben mache, kann ich nicht auf die FB-GUI zugreifen. Obwohl im IPhone und im Mac die Einstellungen komplett identisch sind.
Was läuft hier falsch - oder besser gesagt: Beim Mac anders?
Und: Wenn ich eine LAN-LAN-Kopplung der beiden Netzwerke mache, also nicht Remote-Dial-In, kann ich weder vom Mac - und jetzt neu: Auch nicht mehr vom Iphone auf die Fritzbox zugreifen. Der Zugriff auf die FB klappt also nur per Iphone und dortiger manueller Remote-VPN.
Danke Euch!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 387804
Url: https://administrator.de/contentid/387804
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
ist der Mac verkabelt oder per WLAN unterwegs?
Grüße
lcer
ist der Mac verkabelt oder per WLAN unterwegs?
Grüße
lcer
Sowohl Iphone als auch Mac per Wlan. Im Iphone - wenn ich ein VPN zum Vigor-Router herstelle, zeigt er mir die Fritzbox an. Im Mac nicht.
Was ich ohnehin merkwürdig finde - dürfte ich mit einem VPN-Tunnel überhaupt die Fritzbox angezeigt bekommen, ich bin doch im VPN-Netzwerk des Routers, und damit in einem anderem Netzwerk als die FB-DSL-Modem-Box?
Der Hintergrund des ganzen Unterfangens ist folgender: Die Fritzbox fungiert als DSL-Modem und als Telefonzentrale. Sonst soll sie nix machen. Alles weitere übernimmt der Vigor. Ich möchte aus Sicherheitsgründen gerne den https-Zugriff aus dem Internet auf die Fritzbox komplett abschalten - sondern am Mac nur noch per VPN auf sie zugreifen, für den Zugriff auf die Telefonfunktionen. Bisher muss ich den https-Zugriff aus dem Internet offen halten, um von unterwegs bsp. die Anrufliste anzusehen.
Problem: VPN-Zugriff via VigorRouter und Mac auf die FB klappt nicht. Eine separate VPN nur zur FB klappt auch nicht, dann streikt der Vigor...
Was ich ohnehin merkwürdig finde - dürfte ich mit einem VPN-Tunnel überhaupt die Fritzbox angezeigt bekommen, ich bin doch im VPN-Netzwerk des Routers, und damit in einem anderem Netzwerk als die FB-DSL-Modem-Box?
Der Hintergrund des ganzen Unterfangens ist folgender: Die Fritzbox fungiert als DSL-Modem und als Telefonzentrale. Sonst soll sie nix machen. Alles weitere übernimmt der Vigor. Ich möchte aus Sicherheitsgründen gerne den https-Zugriff aus dem Internet auf die Fritzbox komplett abschalten - sondern am Mac nur noch per VPN auf sie zugreifen, für den Zugriff auf die Telefonfunktionen. Bisher muss ich den https-Zugriff aus dem Internet offen halten, um von unterwegs bsp. die Anrufliste anzusehen.
Problem: VPN-Zugriff via VigorRouter und Mac auf die FB klappt nicht. Eine separate VPN nur zur FB klappt auch nicht, dann streikt der Vigor...
Vigor fungiert als VPN-Router, an ihm alle Netzwerkgeräte angeschlossen.
Eigentlich irgendwie sinnfrei eine Router Kaskade zu betreiben obwohl die FritzBox selber ein VPN Router ist...aber egal. Warum einfach machen wenn es umständlich auch geht..?!FB sozusagen zum reinen DSL-Modem degradiert.
Das ist Blödsinn und supportet die FB schon lange nicht mehr in der Frimware.Wir gehen also mal davon aus das das unrichtig ist und die FB eben NICHT als nur Modem arbeitet sondern als Router Kaskade mit doppeltem NAT wie hier beschrieben:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Zum Thema "nur Router" findest du alle Infos hier.
Das solltest du also technisch nochmal ganz genau klären bevor wir hier weitermachen und in Details gehen.
Danke erstmal für Deine Rückmeldung. Auch wenn ich den scharfen Ton nicht ganz verstehe. Deine Links hatte ich tatsächlich bereits studiert.
Also sinnfrei ist das ganze sicher nicht - die FB ist mit mehreren VPN-Tunneln schlicht überfordert. Daher ein Extra-VPN-Router.
Ich hatte auch geschrieben: "Sozusagen zum Modem degradiert:" Mir ist schon klar, dass ein reiner Bridge-Betrieb nicht geht (bzw. nur in früheren Firmware-Versionen). Der Vigor ist als Exposed Host in der FB angelegt. Selbstverständlich handelt es sich um eine Routerkaskade. Wobei der Vigor den DHCP-Betrieb, VPN, etc. übernimmt.
Wie auch immer ist meine eigentliche Frage nicht beantwortet: Wie kommt es, dass ich per Iphone und als Remote-Client über den Vigor auf die FB-GUI komme - beim Mac mit den identischen Einstellungen im selben Heim-Netzwerk nicht?
Möglicherweise löst sich das Ganze, wenn ich statt LAN(FB) --> WAN(Vigor)- Kopplung (so wie es jetzt ist) eine LAN-LAN-Kopplung mache?
Spricht etwas in diesem Fall dagegen, wenn die FB weiterhin nicht DHCP betreibt, sondern das der Vigor übernimmt (weil da schon diverse Gefixte IPs zu den angehangenen Computern angelegt sind). An die FB wird nichts weiter angeschlossen, auch keine WLAN-Funktionen.
Danke für Deine/Eure Infos!
Also sinnfrei ist das ganze sicher nicht - die FB ist mit mehreren VPN-Tunneln schlicht überfordert. Daher ein Extra-VPN-Router.
Ich hatte auch geschrieben: "Sozusagen zum Modem degradiert:" Mir ist schon klar, dass ein reiner Bridge-Betrieb nicht geht (bzw. nur in früheren Firmware-Versionen). Der Vigor ist als Exposed Host in der FB angelegt. Selbstverständlich handelt es sich um eine Routerkaskade. Wobei der Vigor den DHCP-Betrieb, VPN, etc. übernimmt.
Wie auch immer ist meine eigentliche Frage nicht beantwortet: Wie kommt es, dass ich per Iphone und als Remote-Client über den Vigor auf die FB-GUI komme - beim Mac mit den identischen Einstellungen im selben Heim-Netzwerk nicht?
Möglicherweise löst sich das Ganze, wenn ich statt LAN(FB) --> WAN(Vigor)- Kopplung (so wie es jetzt ist) eine LAN-LAN-Kopplung mache?
Spricht etwas in diesem Fall dagegen, wenn die FB weiterhin nicht DHCP betreibt, sondern das der Vigor übernimmt (weil da schon diverse Gefixte IPs zu den angehangenen Computern angelegt sind). An die FB wird nichts weiter angeschlossen, auch keine WLAN-Funktionen.
Danke für Deine/Eure Infos!
Nun, das geht schon, wie von dir angedacht. Ich habe diese "Exposed Host" Konfiguration mehrfach im Einsatz und das NAT-ed stabil.
Heisst: du brauchst FB LAN: 192.168.179.1 . Router dahinter (Exposed Host)192.168. 179.2. WAN Adresse des 2. Routers (Vigor) 192.168.179.2
LAN des Vigor 192.168.189.0 /24
VPN auf Vigor konfigurieren. Einwahl über öffentliche IP. Arbeiten.
Wenn das nicht klappt, musst du deine Einwahl mitloggen. Was sagt der Vigor bei der gescheiterten Einwahl? Was ist die Fehlermeldung des Clients?
Meist ist das mehr als "geht nicht"
Den aqui musst du so nehmen... In 99% der Fälle klappt das wie beschrieben, wenn man seine Anleitungen abarbeitet... Und in dem verbliebenen 1% hilft er dir, das Problem zu lösen...
Du hast da irgend einen Klops drin, den du finden musst.
VG
Buc
Heisst: du brauchst FB LAN: 192.168.179.1 . Router dahinter (Exposed Host)192.168. 179.2. WAN Adresse des 2. Routers (Vigor) 192.168.179.2
LAN des Vigor 192.168.189.0 /24
VPN auf Vigor konfigurieren. Einwahl über öffentliche IP. Arbeiten.
Wenn das nicht klappt, musst du deine Einwahl mitloggen. Was sagt der Vigor bei der gescheiterten Einwahl? Was ist die Fehlermeldung des Clients?
Meist ist das mehr als "geht nicht"
Den aqui musst du so nehmen... In 99% der Fälle klappt das wie beschrieben, wenn man seine Anleitungen abarbeitet... Und in dem verbliebenen 1% hilft er dir, das Problem zu lösen...
Du hast da irgend einen Klops drin, den du finden musst.
VG
Buc
Den aqui musst du so nehmen...
Danke für die Blumen... 
Also nochmal danke für die Rückmeldungen!
Vielleicht gibt es ein Missverständnis. Die VPN-Verbindung zum entfernten Vigor-Netzwerk klappt und steht. Das ist schonmal gut. Was eben nicht klappt: Der Zugriff via VPN auf das Gateway/auf die Fritzbox.
Was geht:
a) wenn ich mich physisch mit Lan-Kabel in den Vigor einstöpsel - komme ich auf die FB
b) wenn ich in meinem Heimnetz mit dem Iphone eine Client-Remote-VPN-Verbindung mit dem Vigor aufmache, komme ich auf die FB
was nicht geht:
a) wenn ich in meinem Heimnetz mit dem Mac eine Client-Remote-VPN-Verbindung mit dem Vigor aufmache - keine FB
b) wenn ich zwischen dem Vigor (Heimnetz) und dem Vigor (Remote-Netz) eine Lan-Lan-Verbindung aufmache - keine FB.
Es sei noch dazu gesagt, dass ich die Client-Remote-VPN-Verbindungen mit den Mac bzw. Iphone-Bordmitteln erstelle, also keine Drittanbieter-Client-Software.
Was ich bisher nur sehen konnte: Im Mac lässt sich unter Verbindungen der Status (grüne Balken) ablesen: Für gesendete und für empfangene Pakete. Bei der VPN-Verbindung im Client-Modus zum entfernten Vigor habe ich im Mac empfangene und gesendete Pakete, wenn ich irgendeine IP-Adresse im Netzwerk aufrufe. Aber: Nichts, wenn ich die FB-IP aufrufe.
Als würde meine vom Mac ausgehende Anfrage gar nicht mein eigenes Heim-Netzwerk verlassen?
Nun habe ich einmal folgendes ausprobiert: Iphone auf LTE gestellt - VPN zum entfernten Vigor - ich komme auf die FB (wie zu erwarten). Dann habe ich den Mac mit dem Iphone als persönlicher Hotspot gekoppelt. Heisst ja, dass alle Verbindungen vom/zum Mac durch das Iphone ins Handynetz gehen: Und siehe da: Trotz stehender VPN im Iphone kein Zugriff auf den Vigor möglich. Also kann es nur irgendwas mit dem Mac zu tun haben, oder sehe ich das falsch?
Benutzen Iphone und Mac evtl unterschiedliche IpSec-Spielarten?
NEU: Ich habe die Lösung gefunden: Genau hier liegt der Unterschied zwischen Iphone und Mac:
Beim Iphone war die ganze Zeit der Schiebeschalter auf grün: "Ganzer Verkehr senden". D.h., die Anfrage zur Fritzbox ging zum Vigor. Mache ich den Schalter aus, komme ich nicht mehr auf die FB. Dann wird ein Split-Tunneling. Der Mac scheint das standardmässig als Remote-Client mit seiner VPN-Bordmittelverbindung genau so (Split-Tunneling) zu betreiben. Nun muss ich mal schauen, ob ich das irgendwo beim Mac abstellen kann, wenn ich auf die FB will.
Ja, und jetzt habe ich im Mac-Menü tatsächlich unter "weitere Optionen" gefunden: Gesamten Verkehr über VPN senden. Das war die Lösung. Jetzt komme ich mit dem Mac tatsächlich auf die FB.
Und es zeigt sich mal wieder: Des Rätsels Lösung liegt so häufig sehr nah. Danke an Euch!
Vielleicht gibt es ein Missverständnis. Die VPN-Verbindung zum entfernten Vigor-Netzwerk klappt und steht. Das ist schonmal gut. Was eben nicht klappt: Der Zugriff via VPN auf das Gateway/auf die Fritzbox.
Was geht:
a) wenn ich mich physisch mit Lan-Kabel in den Vigor einstöpsel - komme ich auf die FB
b) wenn ich in meinem Heimnetz mit dem Iphone eine Client-Remote-VPN-Verbindung mit dem Vigor aufmache, komme ich auf die FB
was nicht geht:
a) wenn ich in meinem Heimnetz mit dem Mac eine Client-Remote-VPN-Verbindung mit dem Vigor aufmache - keine FB
b) wenn ich zwischen dem Vigor (Heimnetz) und dem Vigor (Remote-Netz) eine Lan-Lan-Verbindung aufmache - keine FB.
Es sei noch dazu gesagt, dass ich die Client-Remote-VPN-Verbindungen mit den Mac bzw. Iphone-Bordmitteln erstelle, also keine Drittanbieter-Client-Software.
Was ich bisher nur sehen konnte: Im Mac lässt sich unter Verbindungen der Status (grüne Balken) ablesen: Für gesendete und für empfangene Pakete. Bei der VPN-Verbindung im Client-Modus zum entfernten Vigor habe ich im Mac empfangene und gesendete Pakete, wenn ich irgendeine IP-Adresse im Netzwerk aufrufe. Aber: Nichts, wenn ich die FB-IP aufrufe.
Als würde meine vom Mac ausgehende Anfrage gar nicht mein eigenes Heim-Netzwerk verlassen?
Nun habe ich einmal folgendes ausprobiert: Iphone auf LTE gestellt - VPN zum entfernten Vigor - ich komme auf die FB (wie zu erwarten). Dann habe ich den Mac mit dem Iphone als persönlicher Hotspot gekoppelt. Heisst ja, dass alle Verbindungen vom/zum Mac durch das Iphone ins Handynetz gehen: Und siehe da: Trotz stehender VPN im Iphone kein Zugriff auf den Vigor möglich. Also kann es nur irgendwas mit dem Mac zu tun haben, oder sehe ich das falsch?
Benutzen Iphone und Mac evtl unterschiedliche IpSec-Spielarten?
NEU: Ich habe die Lösung gefunden: Genau hier liegt der Unterschied zwischen Iphone und Mac:
Beim Iphone war die ganze Zeit der Schiebeschalter auf grün: "Ganzer Verkehr senden". D.h., die Anfrage zur Fritzbox ging zum Vigor. Mache ich den Schalter aus, komme ich nicht mehr auf die FB. Dann wird ein Split-Tunneling. Der Mac scheint das standardmässig als Remote-Client mit seiner VPN-Bordmittelverbindung genau so (Split-Tunneling) zu betreiben. Nun muss ich mal schauen, ob ich das irgendwo beim Mac abstellen kann, wenn ich auf die FB will.
Ja, und jetzt habe ich im Mac-Menü tatsächlich unter "weitere Optionen" gefunden: Gesamten Verkehr über VPN senden. Das war die Lösung. Jetzt komme ich mit dem Mac tatsächlich auf die FB.
Und es zeigt sich mal wieder: Des Rätsels Lösung liegt so häufig sehr nah. Danke an Euch!
Es hätte auch gereicht nur noch zusätzlich das IP Netz des Koppelnetzes zw. Vigor und FB in den Tunnel zu routen.
Auch dann wäre die FB erreichbar gewesen. Traceroute ist hier immer der beste Freund
Nachteil ist jetzt das sich sämtlicher Traffic in den VPN Tunnel quälen muss obwohl Internet Traffic besser lokal ins Internet sollte statt in den Tunnel.
Ein großer Performance Nachteil.
Aber egal...wenns dir reicht und es klappt ist ja alles gut
Auch dann wäre die FB erreichbar gewesen. Traceroute ist hier immer der beste Freund
Nachteil ist jetzt das sich sämtlicher Traffic in den VPN Tunnel quälen muss obwohl Internet Traffic besser lokal ins Internet sollte statt in den Tunnel.
Ein großer Performance Nachteil.
Aber egal...wenns dir reicht und es klappt ist ja alles gut
Ja, das ist natürlich auch eine gute Idee. So könnte ich auch eine stehende Lan-Lan-Verbindung realisieren, und kann trotzdem auf die FB zugreifen. Hast Du einen Tipp, wie ich das im Vigor so einstelle, dass ich, wie Du schreibst: ein zusätzliches IP-Netz hinzufügen kann? Denn bisher kann ich pro VPN-Verbindung ja nur ein Remote-Network eingeben (nämlich das zum entfernten Vigor-Router)?
Laut Anleitung soll ich im VPN-Profil unten TCP/IP-Settings - More - ein weiteres Netz hinzufügen können, klappt aber bisher nicht, dass ich damit per VPN auf die FB komme...
NEU: DANKE!!! Nach einem Router-Neu-Start klappt die Verbindung! Klasse! Genauso wollte ich es haben! Danke, dass Du mich auf die richtige Spur gebracht hast!!!!
Laut Anleitung soll ich im VPN-Profil unten TCP/IP-Settings - More - ein weiteres Netz hinzufügen können, klappt aber bisher nicht, dass ich damit per VPN auf die FB komme...
NEU: DANKE!!! Nach einem Router-Neu-Start klappt die Verbindung! Klasse! Genauso wollte ich es haben! Danke, dass Du mich auf die richtige Spur gebracht hast!!!!
Hast Du einen Tipp, wie ich das im Vigor so einstelle,
Sofern der Router das supportet kannst du mehrere IP Netz über die IPsec SA announcen.Wenn er das nicht supportet machst du das mit der Netzwerkmaske.
Das machst du mit der Maske des remoten Netzwerkes das der Vigor announced.
Beispiel:
Lokales Netzwerk = 192.168.179.0 /24
Koppelnetz zur FB = 192.168.178.0 /24
Dann kannst du im Vigor ein remotes Netz von 192.168.178.0 /23 (255.255.254.0) anouncen.
Dann werden beide /24er Netze in den Tunnel geroutet.
Das macht natürlich nur Sinn wenn diese beiden Netze einigermaßen zusammenliegen.
Du kannst auch z.B. 192.168.0.0 /16 announcen, dann routet er alle 192.168.er Netze in den Tunnel.
Da kannst du flexibel mit der Maske spielen...
Der Vigor supportet das. Hat wunderbar geklappt. Kann jetzt auf das zweite Netzwerk der Fritzbox per VPN zugreifen, ohne dass der restliche Internet-Traffic über den entfernten Router geht. Also alle Probleme beseitigt!
Alles wird gut
