wandastaab
Goto Top

.. noch einer: kein Internet über VPN-FritzFernzugang per Klinik-WLAN

Liebes Forum.
Mir ist bewusst, dass diese Fragestellung so oder ähnlich schon ausführlich an verschiedensten Stellen vorgestellt und diskutiert wurde, leider konnte ich dennoch mein Problem nicht lösen.
Ich möchte während eines Klinikaufenthalts, das dortige WLAN nutzen. Da es ungesichert ist (Ticketsystem, unverschlüsselt) möchte ich, zumindest Email und was sonst noch mit Logindaten verbunden ist, also Online-Banking u.ä., per VPN über meine heimische FritzBox 7390 (neuestes OS) machen.
Die Konfigurationsdateien habe ich wie bei AVM und anderen Quellen beschrieben erzeugt und importiert. Der FritzFernzugang baut die VPN Verbindung auf, die FB zeigt die VPN Verbindung an (Benutzeroberfläche der FB) und protokolliert sie, aber ich kann keinerlei Webseiten geschweige denn eigene Ressourcen im Heimnetz aufrufen. Ich verwende einen Laptop mit W7 Ultimate (64). Mit dem Klinik WLAN bin ich verbunden und kann hier auch Webseiten aufrufen, solange FritzFernzugang kein VPN aufgebaut hat. Oftmals ist jedoch ein mehrmaliger Aufruf derselben Adresse notwendig, da der Browser die gewünschten Seiten nicht laden kann. Irgendwann funktioniert es dann aber doch (Cache?). Bei aktivem FritzFernzugang zur heimischen FB geht aber weder surfen, pingen noch sonst etwas. Was übersehe ich?
Habe über ein iPhone 4 gerade per VPN mit der FB getestet, das funktioniert einwandfrei.
Vielen Dank und Grüße

Content-ID: 252984

Url: https://administrator.de/forum/noch-einer-kein-internet-ueber-vpn-fritzfernzugang-per-klinik-wlan-252984.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

aqui
Lösung aqui 25.10.2014 aktualisiert um 23:53:54 Uhr
Goto Top
aber ich kann keinerlei Webseiten geschweige denn eigene Ressourcen im Heimnetz aufrufen.
Das ist auch zu erwarten... Die vermutlichen Gründe:
  • Um alles über den VPN Tunnel zu routen MUSS deine FB eine Default Route auf den VPN Tunnel legen. Normal macht sie das nicht und routet NUR das lokale LAN in den Tunnel. Wenn du bei aktiver VPN Verbindung einmal route print in der Eingabeaufforderung eingibst kannst du sehen ob deine Default Route auf den Tunnel zeigt !
  • Das du im internen Netz nichts erreichen kannst kann 2 Gründe haben: a.) die VPN Verbindung ist nicht wirklich aufgebaut. Da du das aber oben ja ausdrücklich ausschliesst ist es dann die lokale Firewall an den Endgeräten im lokalen LAN. Du kommst ja mit einer fremden IP Absender IP an und die lokale Firewall blockt alle diese Zugriffe im Default sofern du sie nicht angepasst hast !
Was aber IMMER klappen muss ist das du das lokale LAN Interface der FB anpingen kannst (meist 192.168.178.1) das muss in jedem Falle klappen.
Tut es das nicht wird deine VPN Verbindung nicht richtig aufgebaut.
Letzteres kann mehrere Gründe haben das z.B. die Klinik ein zentrales NAT (IP Adress Translation) macht und dein IPsec VPN da nicht rüberkommt sofern du kein NAT Traversal unter den IPsec Settings aktiviert hast ! Die Klinik kann bestimmte Dienste filtern und z.B. nur Browsen oder Email erlauben also Content Filter auf dem Patienten WLAN einsetzen usw. usw. Das ist nicht unüblich im Klinikbetrieb zur rechtlichen Absicherung wird das so gut wie immer gemacht.
Da kann man hier nur wild spekulieren ohne weitere Infos von dir !
WandaStaab
WandaStaab 25.10.2014 um 12:09:39 Uhr
Goto Top
Zunächst mal vielen Dank!
Zitat von @aqui:

> aber ich kann keinerlei Webseiten geschweige denn eigene Ressourcen im Heimnetz aufrufen.
Das ist auch zu erwarten... Die vermutlichen Gründe:
.. bei aktiver VPN Verbindung einmal route print in der
Eingabeaufforderung eingibst kannst du sehen ob deine Default Route auf den Tunnel zeigt !
Werde ich nachher mal probieren.
* Das du im internen Netz nichts erreichen kannst kann 2 Gründe haben: a.) die VPN Verbindung ist nicht wirklich aufgebaut.
Ja, das ist wohl am wahrscheinlichsten, denn ich habe gerade per iPhone noch einmal eine VPN Verbindung zur FB getestet und alles funktioniert einwandfrei, kann alle Geräte im Heim LAN pingen etc. Damit sollte es wohl an der/n .cfg Datei(en) liegen, die das Hilfsprogramm von AVM erzeugt hat, liegen.
Dann habe ich die SIM Karte aus dem iPhone im Laptop verwendet. Im Laptop war eine Klarmobil/Eplus Karte, mit der kein VPN Aufbau möglich war (FBFernzugang zeigte nur minutenlange Aufbauversuche an..), die iPhone SIM ist eine winSIM/O2, aber auch hier baut FBF keine VPN auf, obwohl es ja im iPhone sofort geht. Am Mobilfunkprovider liegt es demnach eher nicht.
Da du das aber oben ja ausdrücklich ausschliesst
Der Ausschluss war wohl voreilig und beruhte lediglich auf der Anzeige im Interface der FB und im Systemprotokoll. Dennoch wird es nicht nutzbar 'aufgebaut'.
Was aber IMMER klappen muss ist das du das lokale LAN Interface der FB anpingen kannst (meist 192.168.178.1) das muss in jedem
Falle klappen.
Hm, nö, daher wohl nicht korrekt aufgebaut.
Tut es das nicht wird deine VPN Verbindung nicht richtig aufgebaut.
Jep, s.o.!
Letzteres kann mehrere Gründe haben das z.B. die Klinik ein zentrales NAT (IP Adress Translation) macht und dein IPsec VPN da
nicht rüberkommt sofern du kein NAT Traversal unter den IPsec Settings aktiviert hast !
Du weißt sicher auch, dass der Normalo-User eher die Konfiguration über das Programm 'FritzBox Fernzugang einrichten' automatisch zusammen stellen läßt. Ich wüsste bei der FB nicht, wie man da Details umkonfiguriert.
Die Klinik kann bestimmte Dienste
filtern und z.B. nur Browsen oder Email erlauben also Content Filter auf dem Patienten WLAN einsetzen usw. usw. Das ist nicht
unüblich im Klinikbetrieb zur rechtlichen Absicherung wird das so gut wie immer gemacht.
Dann wären sowieso weitere Anstrengungen vergeblich.
Da kann man hier nur wild spekulieren ohne weitere Infos von dir !
Ich würde gerne mehr Infos liefern, aber da werde ich wohl auch keine bekommen, bzw. erst dann, wenn ich schon wieder daheim bin.

Werde erstmal die .cfg Dateien neu erzeugen und in die FB einspielen und dann sehe ich weiter.
Grüße
aqui
Lösung aqui 25.10.2014 aktualisiert um 23:54:01 Uhr
Goto Top
Du weißt sicher auch, dass der Normalo-User eher die Konfiguration über das Programm 'FritzBox Fernzugang einrichten' automatisch zusammen stellen läßt. Ich wüsste bei der FB nicht, wie man da Details umkonfiguriert.
Mit einem ganz simplen Editor den auch ein "Normalo" bedienen kann. AVM hat dafür extra ein VPN Portal im Betrieb was die Details dazu genau erklärt:
http://avm.de/service/vpn/uebersicht/
Ein hiesiges Forumstutorial beschreibt ebenfalls einige Kniffe dazu:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
aber da werde ich wohl auch keine bekommen,
Doch, wenn du kurz in der IT Abteilung der Klinik anrufst und fragst ob dort irgendeine Art der Filterung oder NAT gemacht wird im Patienten WLAN die deine VPN Anwendung verhindert !
WandaStaab
WandaStaab 25.10.2014 um 23:53:28 Uhr
Goto Top
Hallo Aqui.
Bin etwas erstaunt. Ich hatte zuvor die ganze Aktion (Erstellung der .cfg Dateien) unter einem Standard-Account gemacht. Sicherheitshalber habe ich es eben mal mit einem Admin User neu durchlaufen und siehe da, die VPN Verbindung mit der Heim-FB über das Klinik-WLAN steht sofort und stabil. Kann nicht nur die FB anpingen (ping 192.168.178.1) sondern auch wie lokal von zwei Synology DS von/auf meinen Laptop hin und her kopieren und erreiche dabei die Geschwindigkeit, die nach der möglichen Uploadrate meiner DSL Verbindung daheim zu erwarten wäre (Ø 860kbit/s ermittelt mit NetSpeedMonitor).
Das Problem wäre damit nun gelöst, aber was mich noch erstaunt, ist das Ergebnis von 'route print' mit VPN (Fernzugang aufgebaut):
IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.22 25
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.1.0 255.255.255.0 Auf Verbindung 192.168.1.22 281
192.168.1.22 255.255.255.255 Auf Verbindung 192.168.1.22 281
192.168.1.255 255.255.255.255 Auf Verbindung 192.168.1.22 281
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.1.22 281
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.1.22 281
Ständige Routen:
Keine

und ohne VPN (Fernzugang abgebaut)
IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.22 25
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.1.0 255.255.255.0 Auf Verbindung 192.168.1.22 281
192.168.1.22 255.255.255.255 Auf Verbindung 192.168.1.22 281
192.168.1.255 255.255.255.255 Auf Verbindung 192.168.1.22 281
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.1.22 281
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.1.22 281
Ständige Routen:
Keine
(Kann man das nicht als z.B. 'Courier' formatieren, damit die Spalten stimmen?) 192.168.1.22 ist meine IP im Klinik-WLAN.

Zitat von @aqui:
Doch, wenn du kurz in der IT Abteilung der Klinik anrufst und fragst ob dort irgendeine Art der Filterung oder NAT gemacht wird im
Patienten WLAN die deine VPN Anwendung verhindert !
Muss ich ja nun nicht mehr. Aber ich werde spaßeshalber Montag an der Rezeption mal fragen, ob es hier eine eigene IT gibt, was ich bezweifle (ist eine kleine Kurklinik).
Da ich jetzt ein paar Tage Zeit habe, kann ich mich ja nun in Ruhe mit dem Thema VPN, auch mit dem Link oben, befassen.
Grüße