elknipso
Goto Top

Verständnisfrage zu VPN Tunnel mit einer Fritzbox

Hallo,

ich hätte eine kleine Verständnisfrage zu einem VPN Tunnel mit meiner Fritzbox.

Und zwar habe ich einen VPN Tunnel zu meiner Fritzbox 7270 konfiguriert und nutze dafür die AVM Software. Habe dazu dem VPN Benutzer eine IP-Adresse im gleichen Subnetz zugewiesen, und dieser kann auch eine Verbindung zu der Fritzbox aufbauen.
Ich komme, nach VPN-Verbindungsaubau, auch auf die Fritzbox, aber wenn ich z.B. wieistmeineip.de besuche bekomme ich die IP Adresse meines aktuellen Standortes angezeigt, und nicht die externe IP-Adresse die meine Fritzbox immer hat (statisch, da Zugang über KD).

Das ist nach meinem Verständnis doch unlogisch, denn nach Aufbau des VPN Tunnels sollte doch der gesamte Netzwerkverkehr über eben diesen VPN Tunnel laufen. Oder handhabt das die Lösung von AVM anders und routet quasi nur Adressen die sie über den aktuellen Anschluss nicht finden kann in das per VPN verbundene Netz und alles andere an "normalem" Surfverkehr läuft weiterhin an dem VPN Tunnel vorbei?

Content-ID: 157343

Url: https://administrator.de/contentid/157343

Ausgedruckt am: 05.11.2024 um 19:11 Uhr

genz-online
genz-online 21.12.2010 um 10:33:03 Uhr
Goto Top
Hallo,

es werden nur Anfragen an das konfigurierte entfernte Netz über die VPN geroutet, alles Andere geht ins Internet.

Gruß Genz
elknipso
elknipso 21.12.2010 um 10:40:27 Uhr
Goto Top
Zitat von @genz-online:
es werden nur Anfragen an das konfigurierte entfernte Netz über die VPN geroutet, alles Andere geht ins Internet.

Also gehen nur Anfragen an mein lokales Subnetz über die VPN Verbindung? Das ist schlecht, wie erreiche ich denn, dass er alles über den VPN Tunnel routet, also auch gewöhnliche Seitenaufrufe etc. - halt einfach alles.

Edit: OK habe da was gefunden: http://www.voipfans.de/showthread.php?t=189391

Wobei sich mir hier aber auch die Frage stellt warum das erstens AVM nicht schon von selbst anbietet, und ob es über alternative Clients wie z.B. Shrew nicht vielleicht sogar einfacher geht, wobei ich mit Shrew keine Erfahrungen habe. Muss ich mir mal anschauen.
maretz
maretz 21.12.2010 um 11:13:31 Uhr
Goto Top
Das verhalten von AVM ist richtig und soll genau so sein! Stell dir mal vor du routest allen Traffic durch das VPN. Dann würden die Leute beim Surfen schon die VPN-Leitung unnötig zu machen - nur damit die auf google.de gehen.

Daher sagt man normalerweise das man nur den Netz2Netz-Traffic übers VPN haut - und Internet-Traffic direkt ins Netz leitet (ggf. durch nen Proxy, Firewall usw.). Ansonsten hau ich ja nur unnötig Traffic raus: Meine Anfrage geht durch den VPN-Tunnel an deinen Router, dort geht die dann nochmal durch ins Internet und die Antwort geht dann das ganze umgekehrt zurück...
elknipso
elknipso 21.12.2010 um 11:19:35 Uhr
Goto Top
Zitat von @maretz:
Das verhalten von AVM ist richtig und soll genau so sein! Stell dir mal vor du routest allen Traffic durch das VPN. Dann
würden die Leute beim Surfen schon die VPN-Leitung unnötig zu machen - nur damit die auf google.de gehen.

Daher sagt man normalerweise das man nur den Netz2Netz-Traffic übers VPN haut - und Internet-Traffic direkt ins Netz leitet
(ggf. durch nen Proxy, Firewall usw.). Ansonsten hau ich ja nur unnötig Traffic raus: Meine Anfrage geht durch den VPN-Tunnel
an deinen Router, dort geht die dann nochmal durch ins Internet und die Antwort geht dann das ganze umgekehrt zurück...

Da hast Du natürlich Recht, im "normalen" Betrieb macht das durchaus Sinn. Ich möchte aber den VPN Tunnel zu meiner Fritzbox z.B. auch dazu nutzen um über nicht vertrauenswürdige Netzwerke (WLAN Hotspots etc) sicher surfen zu können. Daher der Aufbau einer sicheren VPN Verbindung zu meiner Fritzbox Zuhause und von dort dann ins Internet über meine eigene, und daher vertrauenswürdige, Internetverbindung.
goscho
goscho 21.12.2010 um 11:35:08 Uhr
Goto Top
Zitat von @elknipso:
Da hast Du natürlich Recht, im "normalen" Betrieb macht das durchaus Sinn. Ich möchte aber den VPN Tunnel zu
meiner Fritzbox z.B. auch dazu nutzen um über nicht vertrauenswürdige Netzwerke (WLAN Hotspots etc) sicher surfen zu
können. Daher der Aufbau einer sicheren VPN Verbindung zu meiner Fritzbox Zuhause und von dort dann ins Internet über
meine eigene, und daher vertrauenswürdige, Internetverbindung.
Dabei wünsche ich dir viel Erfolg.
  • Sehr oft wird der VPN-Aufbau mit deinem IPSec VPN-CLient über öffentlichen WLAN-Hotspot und deiner FBF nicht klappen.
  • Wenn es dann doch klappt, möchtest du also den Upload deines Zugangs zum Surfen nutzen -> Hoffentlich hast du viel Bandbreite im Upload, sonst machen Youtube-Videos so richtig viel Spaß face-wink
elknipso
elknipso 21.12.2010 um 11:40:55 Uhr
Goto Top
Zitat von @goscho:
Dabei wünsche ich dir viel Erfolg.
  • Sehr oft wird der VPN-Aufbau mit deinem IPSec VPN-CLient über öffentlichen WLAN-Hotspot und deiner FBF nicht klappen.

Wenn dem so ist wäre das natürlich schlecht. Das werde ich wohl testen müssen ob die für mich relevanten WLAN Zugänge dies ermöglichen.

* Wenn es dann doch klappt, möchtest du also den Upload deines Zugangs zum Surfen nutzen -> Hoffentlich hast du viel
Bandbreite im Upload, sonst machen Youtube-Videos so richtig viel Spaß face-wink

Mein Internetanschluss hat einen stabilen Upload von etwa 3 MBit/s, das reicht zum surfen auf sicherheitskritischen Seiten völlig.
Der VPN Tunnel soll mir keine Youtube Videos liefern das ist mir relativ egal wenn den Datenverkehr jemand mitschneiden kann face-smile.
maretz
maretz 21.12.2010 um 12:17:25 Uhr
Goto Top
hast du dir mal das TOR-Projekt angesehen? Ggf. bringt dich das weiter als nen VPN-Tunnel der ggf. sogar geblockt wird?
elknipso
elknipso 21.12.2010 um 12:30:13 Uhr
Goto Top
Zitat von @maretz:
hast du dir mal das TOR-Projekt angesehen? Ggf. bringt dich das weiter als nen VPN-Tunnel der ggf. sogar geblockt wird?

Das TOR-Projekt ist durchaus interessant, allerdings vertraue ich meiner eigenen Internetverbindung dann doch noch etwas mehr.
Aber hast natürlich Recht, das kann durchaus eine Alternative sein.
goscho
goscho 21.12.2010 um 12:32:06 Uhr
Goto Top
Zitat von @elknipso:
> Zitat von @maretz:
> ----
> hast du dir mal das TOR-Projekt angesehen? Ggf. bringt dich das weiter als nen VPN-Tunnel der ggf. sogar geblockt wird?

Das TOR-Projekt ist durchaus interessant, allerdings vertraue ich meiner eigenen Internetverbindung dann doch noch etwas mehr.
Aber hast natürlich Recht, das kann durchaus eine Alternative sein.
Ich habe auch noch eine Alternative:
Benutze einen UMTS-Stick (oder ein NB mit onboard-UMTS). Dann hast du auch dort deine 'eigene' Internetverbindung.
elknipso
elknipso 21.12.2010 um 12:39:30 Uhr
Goto Top
Zitat von @goscho:
Ich habe auch noch eine Alternative:
Benutze einen UMTS-Stick (oder ein NB mit onboard-UMTS). Dann hast du auch dort deine 'eigene' Internetverbindung.

Das ist bei entsprechender Netzabdeckung auch noch eine Option. Würde nicht mal extra Kosten verursachen da ein üppiger Datentarif am Handy sowieso vorhanden ist, und dank WLAN Hotspot Funktion auch am Notebook genutzt werden kann.
aqui
aqui 21.12.2010, aktualisiert am 18.10.2012 um 18:44:28 Uhr
Goto Top
Oder du benutzt einen Client der sein Default Gateway auf die VPN Verbindung legen kann wenn der VPN Tunnel aktiv ist !
Alle PPTP fähigen VPN Router können das im Handumdrehen mit einem simplen Mausklick des bordeigenen VPN Clients wie du hier sehen kannst:
VPNs einrichten mit PPTP
Stichwort: Standardgateway für das remote Netzwerk verwenden !!
Leider hast du da aber wieder mal mit der FB vorschnell was gekauft und somit (mal wieder) die falsche HW erworben, denn diese supportet kein PPTP Protokoll und kann nur IPsec als VPN Protokoll.
Wie immer also vorher etwas schlau gemacht und einen Draytek u.a. gekauft, dann wäre das nicht passiert.
In den zahllosen weiteren PPTP VPN Tutorials hier findest du auch andere Optionen (DD-WRT, Monowall usw.) die das ebenfalls problemlos supporten.
Damit wäre das was du erreichen willst mit simplen Bordmitteln in 3 Minuten erledigt !

Ggf. hast du noch eine Chance mit einem alternativen Client wie dem Shrew Client:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
der bietet ebenso wie der bordeigenen PPTP Client die Möglichkeit eines globalen Gateways.
elknipso
elknipso 22.12.2010 um 09:32:08 Uhr
Goto Top
Zunächst einmal möchte ich anmerken, dass die oben von mir schon verlinkte kleine Howto Anleitung einwandfrei funktioniert. Damit lässt sich der gesamte Internetverkehr durch den VPN Tunnel leiten mit dem Standard AVM Client. Die Anpassung der Konfigurationsdateien dauert keine 2 Minuten und lässt sich auch problemlos per VPN Zugang in die Fritzbox einlesen (für den Fall, dass man schon einen "normalen" Zugang dazu hat), sofern man dies möchte.

Und nun @aqui
Ich habe die Fritzbox nicht "vorschnell gekauft" sondern habe sie ganz bewusst zu meinem neuen Internetanschluss gekauft, und sie dabei auch noch um gut 50% günstiger bekommen. Von AVM Produkten bin ich durchaus im privaten Bereich überzeugt, und das Ding macht das was es soll sehr gut bei mir Zuhause.
Der hier erwähnte VPN Zugang zu meiner Fritzbox ist ein "nice to have". Wenn das so nicht funktioniert hätte, wäre auch kein Thema gewesen, dann hätte ich halt zum sicheren Datenübertragen einen VPN Tunnel zur Firma genutzt. Von der VPN Funktionalität war der Kauf der Fritzbox nicht abhängig.

Aber noch was anderes was mich interessieren würde, es ist auffällig, dass Du in jedem Thread der irgendetwas mit dem Thema zu tun hat, die Geräte von Draytek empfiehlst. Arbeitest Du bei denen, oder können die irgendetwas extrem gut was andere Produkte nicht können, dass Du davon so überzeugt bist face-smile?
aqui
aqui 22.12.2010, aktualisiert am 29.03.2023 um 23:50:42 Uhr
Goto Top
Das liegt einzig daran das die Dinger absolut sicher im VPN Bereich funktionieren, preiswert sind, auch von blutigen Anfänger mit 3 Mausklicks VPN fähig gemacht werden können (erspart uns hier also langwierige Threads wie bei AVM), und vor allen Dingen....

Das sie alle 3 relevanten VPN Protokolle gleichzeitig parallel supporten können und so die Möglichkeit bieten auch mit Bordmitteln VPNs im Handumdrehen aufzubauen !
Z.B. damit hättest du dir deine AVM Frickelei und auch diesen Thread gleich von Anfang ersparen können.
Das sind m.E. ziemlich schlagende VPN Argumente gegen eine AVM oder NetGear (würg) oder andere halbgare VPN Router Lösungen die fast immer externe Clients erzwingen weil sie einzig nur IPsec können mit all den Nachteilen NAT Gateways zu überwinden.
VPNs können sie also "extrem gut" das liegt auf der Hand und damit überzeugen sie in preislicher Hinsicht allemal.... AVM kommt da VPN seitig nicht annähernd ran!

SSL VPN Gateways, was generell die goldene VPN Lösung ist über eine simple Browser Verbindung, können sie ebenso mit den etwas besseren Modellen.
Von sowas ist AVM meilenweit entfernt und von anderen Consumer Herstellern gar nicht zu reden...
Folglich: "VPNs können sie "extrem gut" !
elknipso
elknipso 23.12.2010 um 09:45:54 Uhr
Goto Top
Gut, AVM Produkte zielen auch nicht wirklich auf den gehobenen VPN Bereich ab face-smile.
Aber wie sieht es zum Beispiel im Vergleich von Draytek und Lancom Geräten aus? Mit Lancom Geräten habe ich bisher sehr gute Erfahrungen gemacht, und wirklich schwierig sind die Dinger auch nicht zu konfigurieren.
goscho
goscho 23.12.2010 um 11:17:28 Uhr
Goto Top
Morgen,
hier muss ich elknipso absolut Recht geben.
Die Fritzboxen werden nicht als VPN-Server verkauft, sie haben nur zusätzlich diese Funktion implementiert bekommen.
[OT]
Die FBF sind beinahe "eierlegende Wollmichsäue", die aber nichts so gut können wie Spezialisten auf dem jeweiligen Gebiet.
Vermutlich würden die AVM-Programmierer auch eine Funktion zur Kernspaltung in die Box einbauen, so es denn für die Energieversorgung im Privathaushalt nutzbar wäre. face-big-smile face-big-smile [/OT]

@aqui,
du bist ein ausgewiesener IT-Fachmann, der hier sehr vielen hilft, speziell bei Netzwerk-Problemen.

Gerade daher müsstest du auch wissen, dass 'blutige Anfänger' eher zu LowBudgetRoutern greifen, um ein VPN zu realisieren.
Wenn dann dort Probleme auftauchen, gibt es zumeist keinen (oder nur kostenpflichtigen) Support. Daher landen viele hilfesuchend in solchen Foren.

Das sagt aber doch überhaupt nichts über die Qualität vergleichbarer Produkte diverser Hersteller aus.