VPN Problem mit Fritzbox 6630
Hallo,
in der Firma ist ein Draytek 2900 Router installiert, wo VPN mit PPTP aktiviert ist. Das ist dahingehend sehr schön, weil man weiter nichts konfigurieren muss. Die Einwahl des Clients erfolgt mit den Standard Bordmitteln von WindowsXP oder Windows7, sprich Anlegen einer VPN Verbindung in Netzwerkverbindungen mit IP der Firma, VPN-Verschlüsselungstyp (PPTP), Benutzername, Passwort. Keine zusätzliche Software erforderlich.
Also: [Client Win7] ----> [PPTP-VPN via Kabel - Internetanbindung] ----> Firma [draytek router]
Problem:
Wenn ich mit dem Laptop bei mir (Unitymedia Anschluss mit analogem Telefon) oder beim Freund (Vodafone)
zur VPN Einwahl benutze, klappt die Verbindung auf Anhieb.
Gehe ich mit dem gleichen Laptop zu einem anderen Freund mit Unitymedia Anschluss und Fritzbox 6630,
bekomme ich immer den Fehler 807.
Der IP-Adresskreis zwischen Firma und Laptop Netzwerk ist IMMER unterschiedlich.
Einstellungen bezüglich irgendwelche VPN Parameter wie z.b. MTU Größe habe ich in der Fritzbox keine gefunden.
Die Fritzbox VPN Funktionalitäten sind komplett nurtzlos, weil ich keine Dauerverbindung zur Firma haben will,
sondern ich will mich ja nur von dem Windows 7 Laptop auf den DRAYTEK in der Firma einwählen.
Irgendwelche Ideen ?
in der Firma ist ein Draytek 2900 Router installiert, wo VPN mit PPTP aktiviert ist. Das ist dahingehend sehr schön, weil man weiter nichts konfigurieren muss. Die Einwahl des Clients erfolgt mit den Standard Bordmitteln von WindowsXP oder Windows7, sprich Anlegen einer VPN Verbindung in Netzwerkverbindungen mit IP der Firma, VPN-Verschlüsselungstyp (PPTP), Benutzername, Passwort. Keine zusätzliche Software erforderlich.
Also: [Client Win7] ----> [PPTP-VPN via Kabel - Internetanbindung] ----> Firma [draytek router]
Problem:
Wenn ich mit dem Laptop bei mir (Unitymedia Anschluss mit analogem Telefon) oder beim Freund (Vodafone)
zur VPN Einwahl benutze, klappt die Verbindung auf Anhieb.
Gehe ich mit dem gleichen Laptop zu einem anderen Freund mit Unitymedia Anschluss und Fritzbox 6630,
bekomme ich immer den Fehler 807.
Der IP-Adresskreis zwischen Firma und Laptop Netzwerk ist IMMER unterschiedlich.
Einstellungen bezüglich irgendwelche VPN Parameter wie z.b. MTU Größe habe ich in der Fritzbox keine gefunden.
Die Fritzbox VPN Funktionalitäten sind komplett nurtzlos, weil ich keine Dauerverbindung zur Firma haben will,
sondern ich will mich ja nur von dem Windows 7 Laptop auf den DRAYTEK in der Firma einwählen.
Irgendwelche Ideen ?
Please also mark the comments that contributed to the solution of the article
Content-ID: 229256
Url: https://administrator.de/contentid/229256
Printed on: December 2, 2024 at 13:12 o'clock
8 Comments
Latest comment
Moin,
die Ports auf der Fritz!BOX für VPN sind freigegeben?
Gruß
@d4shoerncheN
die Ports auf der Fritz!BOX für VPN sind freigegeben?
"Internet" > "Portfreigabe" > "Neue Portfeigabe"
Wählen Sie im Ausklappmenü "Portfreigabe aktiv für" den Eintrag "Andere Anwendungen" aus.
Tragen Sie im Eingabefeld "Bezeichnung" einen beliebigen Namen (z.B. VPN-Server) ein.
Wählen Sie im Ausklappmenü "Protokoll" den Eintrag "GRE" aus.
Tragen Sie im Eingabefeld "an IP-Adresse" die IP-Adresse des VPN-Servers ein.
"Übernehmen" > "Neue Portfreigabe"
Wählen Sie im Ausklappmenü "Portfreigabe aktiv für" den Eintrag "Andere Anwendungen" aus.
Tragen Sie im Eingabefeld "Bezeichnung" einen beliebigen Namen (z.B. VPN-Server 2) ein.
Wählen Sie im Ausklappmenü "Protokoll" den Eintrag "TCP" aus.
Tragen Sie in den Eingabefeldern "von Port" und "an Port" jeweils 1723 ein.
Tragen Sie im Eingabefeld "an IP-Adresse" die IP-Adresse des VPN-Servers ein.
Speichern Sie die Einstellungen mit "Übernehmen".
Gruß
@d4shoerncheN
Näheres steht auch hier:
VPNs einrichten mit PPTP Sehe Thema "PPTP hinter NAT Firewall / Router"
Auf der FB muss GRE freigegeben sein sonst klappt es nicht. Bekannter Klassiker....
VPNs einrichten mit PPTP Sehe Thema "PPTP hinter NAT Firewall / Router"
Auf der FB muss GRE freigegeben sein sonst klappt es nicht. Bekannter Klassiker....
Ja, das ist ein IPv4 Netzwerk auf Basis eines GRE Tunnel in einem IPv6 Provider Backbone. Das nutzen Provider die keine ausreichenden v4 Adressen mehr haben. Googelst du nach "Dual Stack lite" findest du alles relevante dazu...
Knackpunkt ist das zentrale NAT Gateway auf Providerseite auf das du keinen Zugriff hast PPTP VPNs sind damit nicht möglich bzw. Nur dann wenn der Client der die Session aufbaut in diesem Netz ist aber NICHT der Server. Nur so geht es.
Im Internet gibt es zahllose Threads dazu
http://www.onlinekosten.de/forum/showthread.php?t=139939
Knackpunkt ist das zentrale NAT Gateway auf Providerseite auf das du keinen Zugriff hast PPTP VPNs sind damit nicht möglich bzw. Nur dann wenn der Client der die Session aufbaut in diesem Netz ist aber NICHT der Server. Nur so geht es.
Im Internet gibt es zahllose Threads dazu
http://www.onlinekosten.de/forum/showthread.php?t=139939
Das Problem ist nicht das VPN Protokoll selber sondern der Umstand das Unitymedia bei DS-lite ein zentrales NAT Gateway betreibt !
Für PPTP oder IPsec musst du aber zwingend Port Forwarding Regeln wenigstens auf der Serverseite eintragen, denn sonst kommt die VPN Verbindung nicht zusatnde, da das NAT Gateway (IP Adress Translation) diese Verbindung immer blockt.
Was passiert ist folgendes:
VPNs einrichten mit PPTP
ja auch beschrieben ist (" VPN Router hinter NAT Firewall" ) !
Da du auf das Privider NAT gateway keinerlei Zugriff hast schlägt PPTP als VPN also per se fehl in solchem DS-lite Umfeld.
Du musst zwangsweise auf ein anderes VPN Protokoll ausweichen wie OpenVPN oder IPsec mit NAT Traversal, das klappt.
Da der Draytek kein OVPN supportet und du sicher den Router nicht tauschen willst bleibt dir nur IPsec Mit NAT-T.
Dafür bietet sich dann der kostenlose Shrew Client für IPsec an:
https://www.shrew.net
Wie man das umsetzt kannst du hier nachlesen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Für den Fall das OVPN doch eine Option sein sollte für dich:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Für PPTP oder IPsec musst du aber zwingend Port Forwarding Regeln wenigstens auf der Serverseite eintragen, denn sonst kommt die VPN Verbindung nicht zusatnde, da das NAT Gateway (IP Adress Translation) diese Verbindung immer blockt.
Was passiert ist folgendes:
- Client will auf Draytek PPTP Tunnel eröffnen und sendet über TCP 1723 eine Kontrollsession an den Draytek
- Der beantwortet diese und öffnet eine GRE Session (Protokoll 47)
- Am NAT Gateway kommt jetzt eingehend die GRE Session an es besteht aber kein Eintrag in der NAT Session Tabelle und der GRE Request wird abgeblockt.
- GRE schlägt fehl und damit die PPTP Session.
VPNs einrichten mit PPTP
ja auch beschrieben ist (" VPN Router hinter NAT Firewall" ) !
Da du auf das Privider NAT gateway keinerlei Zugriff hast schlägt PPTP als VPN also per se fehl in solchem DS-lite Umfeld.
Du musst zwangsweise auf ein anderes VPN Protokoll ausweichen wie OpenVPN oder IPsec mit NAT Traversal, das klappt.
Da der Draytek kein OVPN supportet und du sicher den Router nicht tauschen willst bleibt dir nur IPsec Mit NAT-T.
Dafür bietet sich dann der kostenlose Shrew Client für IPsec an:
https://www.shrew.net
Wie man das umsetzt kannst du hier nachlesen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Für den Fall das OVPN doch eine Option sein sollte für dich:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Kann dein Draytek auch L2TP ??
Wenn ja wäre das auch eine Option OHNE die zusätzliche Client SW.
L2TP ist auch in (fast) allen OS Plattformen so mit an Bord. Wichtig für dich ist nur die NAT Traversal Fähigkeit !
Damit kommst du erstmal um einen neuen Router drumrum.
Am stressfreiesten ist einer mit OpenVPN und die obigen Tutorials geben da ja genügend Anregung...
Wenn ja wäre das auch eine Option OHNE die zusätzliche Client SW.
L2TP ist auch in (fast) allen OS Plattformen so mit an Bord. Wichtig für dich ist nur die NAT Traversal Fähigkeit !
Damit kommst du erstmal um einen neuen Router drumrum.
Am stressfreiesten ist einer mit OpenVPN und die obigen Tutorials geben da ja genügend Anregung...