tronic
Goto Top

PPTP Routing oder PPTP über EDGE, UMTS

Hallo

Ich habe folgendes Problem. Ich möchte mit meinem Iphone über PPTP eine VPN Verbindung zur meiner Fritzbox 7170 (Freetz) herstellen. Leider funktioniert dies von Unterwegs via EDGE/UMTS nicht. Über eine WIFI Verbindung funktioniert die Verbindung ohne Problem und ich habe Zugriff auf mein NAS.

Fritzbox:
IP = 10.0.0.1


Freetz (PPTP):

File PPPD chap-secrets:
iphone fritzbox Passwort 10.0.0.32

File PPTPD: options.pptpd
ms-dns 10.0.0.1

File PPTPD: pptpd.conf
localip 10.0.0.1
remoteip 10.0.0.32

IP-Routing:
Nicht Aktiviert
Syntax: <Netz-IP> <Netz-Mask> <Client-IP> [<Kommentar>]

Port Forwarding:
GRE auf Adresse 0.0.0.0
TCP 1723 auf Adresse 0.0.0.0


Swisscom EDGE (Iphone IP):
10.x.x.x (Class A Range)


Meine erste Annahme war, dass mein Mobileprovider (Swisscom) das Protokoll GRE nicht zulässt. Nach länger Suche fand ich aber im Swisscom Forum, das dass Packet GRE nicht gefiltert wird. Es gibt auch die Aussage, das PPTP über EDGE funktioniert.

Anscheined muss ich den VPN Server so Konfiguriere , dass er auch in 10.x.x.x Netzwerke routet. Oder das NAT-Traversal im Client aktivieren.


Meine Fragen:

1. Wie muss ich das Routing konfigurieren und wo...? Evt. unter IP-Routing im Freetz?

2. Mein Netz ist ein 10.x.x.x, gibt es da nicht ein Konflikt mit meinem Mobile Provider?

3. File PPTPD: pptpd.conf geben viele Leute bei der localip nicht die Router IP an. Wieso?


Vielen Dank für die Antworten. Würde mich freuen wen ich meine Dreambox, NAS etc. über EDGE/UMTS steuern könnte.

Content-Key: 132762

Url: https://administrator.de/contentid/132762

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: aqui
aqui 05.01.2010, aktualisiert am 18.10.2012 um 18:40:47 Uhr
Goto Top
Das wird mit dem speziellen UMTS APN von dir oben nicht gehen, denn wie du siehst verwendet dein Provider RFC 1918 IP Adressen (Private IP Netze) in seinem Mobilfunknetz über den APN der bei dir eingestellt ist.
Damit bekommt dein Telefon eine private IP Adresse 10.x.x.x und der Provider macht zentral NAT (IP Adress Translation) auf öffentliche IPs ins Internet.
PPTP ist aber nicht in der Lage so ein NAT Gateway zu überwinden ohne Port Forwarding Einträge, die der Provider natürlich nicht für zigtausend User handeln kann...logisch.
Das ist auch gar nicht gewollt, denn dies sind billige Surf only Tarife die VPN Betrieb sicher verhindern und für VPN Service wollen die Mobilprovider in der Regel mehr Geld sehen.
Für VPN Support musst du also auf einen anderen APN wechseln, der meist auch mit einem teureren Tarif beim Provider verbunden ist.
Damit bekommst du dann eine öffentliche IP Adresse und dem VPN Betrieb wie du ihn willst steht nix mehr im Wege !!
Das ist eine gängige Praxis bei Providern und so gut wie alle User die VPN mit so einem Surf Billigtarif machen wollen aus einem Mobilnetz haben dann keine Chance.
Einziger Ausweg: VPN Tarif beim Provider beantragen mit anderer APN, Provider generell wechseln oder ein IPsec VPN mit NAT Traversal Option nutzen wie es die Fritzbox so oder so supporten mit der VPN Firmware:
http://www.avm.de/vpn/
Ein kostenloser Client dafür ist z.B. der Shrew Client:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
bzw.
http://www.shrew.net/support/wiki/HowtoFritzbox
Das nützt dir auf einem iPhone aber nix, da das nur IPsec nach Cisco Manier supportet. Da ists besser man bleibt bei PPTP:
VPNs einrichten mit PPTP
Oder als 3te Option ein SSL VPN Gateway:
SSL-VPNs im Enterprise Umfeld
Du musst dich also entscheiden....
Mitglied: Tronic
Tronic 05.01.2010 um 17:33:09 Uhr
Goto Top
Vielen Dank für die Antwort.
IPsec nutze ich auf der Fritzbox schon und funktioniert mit der Option "NAT Traversal" auf meinem Notebook über UMTS einwandfrei. Wie du schon angedeutet hast, kann ich die auf meinem Iphone leider nicht verwenden.
Den APN wechseln um ein öffentliche IP zuerhalten kostet 3.- Euro / 5.- CHF im Monat. Ist mit Sicherheit die einfachste möglichkeit und wahrscheinlich die einzige Lösung für eine verbindung vom Iphone auf die Fritzbox (PPTP).

Ich hatte nur kurz eine Hoffnung/Lichtblick nach diesem Bericht, der leider schon älter ist...

Zitat:
Auf jeden Fall, bei mir funktionniert eine PPTP verbindung problemlos, GRE ist nicht gefiltert.

Allerdings habe ich festgestellt, dass häuffig der VPN Server nicht in das private 10.x.x.x Netz routen. Da hast Du dann 2 Varianten:

◦Konfiguriere den VPN Server, dass er auch in 10.x.x.x Netzwerke routet
◦Gehe zu Swisscom und bestelle "Corporate Application Access". Damit bekommst Du bei der Verbindung eine öffentliche IP Adresse und hast kein Routing Problem mehr.
Manchmal hilft es aber bereits, nicht über das Swisscom Programm zu verbinden, sondern die ebenfalls erstellte Einwählverbindung zu verwenden.

Tja, bei nüchternder/Technischer Betrachtung glaube ich auch nicht mehr dran face-smile.
Mitglied: aqui
aqui 05.01.2010 um 17:52:37 Uhr
Goto Top
Diese Routing Hinweise oben sind technischer Blödsinn, denn das ist ja die IP die du vom Provider bekommst und der betreibt ein zentrales NAT. Die IP mit der du mit dem UMTS im Internet auftauchst ist natürlich niemals eine 10er IP, denn die wird im Internet gar nicht geroutet (RFC 1918 Netze !! siehe Wiki Artikel oben) Mit Routing in dem Sinne ist da also nix !!
Als Client hast du keine Chance diese zentrale NAT Gateway zu überwinden mit GRE ! Das geht nur mit IPsec und NAT-T wie du ja selber gesehen hast und mit einem SSL basierten VPN.
Ein OpenVPN das die Daten auf Port TCP 443 überträgt funktioniert auch....mehr aber auch nicht !!
Also 5 Fränklis berappen oder was anderes basteln....das sind deine Möglichkeiten !
Mitglied: LordGurke
LordGurke 05.01.2010 um 18:18:22 Uhr
Goto Top
Ich nutze einen UMTS-Stick von o2, werde auch "geNATtet" und kann Problemlos PPTP-Tunnel aufbauen - am NAT an sich muss es also nicht unbedingt liegen.
Auch sonst sind bei mir PPTP und NAT nie irgendwie aneinandergeraten...

Meine Vermutung geht eher dahin, dass dein iPhone da mit seiner Routing-Tabelle durcheinanderkommt, wenn du sowohl bei der EDGE- als auch bei der VPN-Verbindung jeweils 10.xxxx-Adressen nutzt.
Du könntest ja mal testweise den VPN-Clients eine 172.16.xxx-IP zuweisen und gucken, ob dann die Verbindung funktioniert.
Mitglied: aqui
aqui 05.01.2010 um 21:31:53 Uhr
Goto Top
Wenn dein PPTP Server eine öffentliche IP hat ist das auch klar. Dann sollte es immer gehen und das klappt dann auch problemlos mit dem iPhone sofern dieses immer Client ist und die Verbindung initiiert keine Frage... Muss aber nicht... Wenn das NAT Gateway beim Provider kein VPN Passthrough für GRE supportet oder das deaktiviert ist aus Kostengründen wird es nämlich nicht gehen ! Dann hast du Glück das O2 das zulässt !
Es ist anzunehmen das sein Provider GRE oder TCP 1723 auch noch filtert oder eben VPN Passthrough deaktiviert hat.
Interessant wäre mal ein VPN Log vom Server bei einem Dialin Versuch aus dem UMTS Netz...