VPN Problem mit Fritzbox 6630

supaman
Goto Top
Hallo,

in der Firma ist ein Draytek 2900 Router installiert, wo VPN mit PPTP aktiviert ist. Das ist dahingehend sehr schön, weil man weiter nichts konfigurieren muss. Die Einwahl des Clients erfolgt mit den Standard Bordmitteln von WindowsXP oder Windows7, sprich Anlegen einer VPN Verbindung in Netzwerkverbindungen mit IP der Firma, VPN-Verschlüsselungstyp (PPTP), Benutzername, Passwort. Keine zusätzliche Software erforderlich.

Also: [Client Win7] ----> [PPTP-VPN via Kabel - Internetanbindung] ----> Firma [draytek router]


Problem:
Wenn ich mit dem Laptop bei mir (Unitymedia Anschluss mit analogem Telefon) oder beim Freund (Vodafone)
zur VPN Einwahl benutze, klappt die Verbindung auf Anhieb.

Gehe ich mit dem gleichen Laptop zu einem anderen Freund mit Unitymedia Anschluss und Fritzbox 6630,
bekomme ich immer den Fehler 807.

Der IP-Adresskreis zwischen Firma und Laptop Netzwerk ist IMMER unterschiedlich.
Einstellungen bezüglich irgendwelche VPN Parameter wie z.b. MTU Größe habe ich in der Fritzbox keine gefunden.

Die Fritzbox VPN Funktionalitäten sind komplett nurtzlos, weil ich keine Dauerverbindung zur Firma haben will,
sondern ich will mich ja nur von dem Windows 7 Laptop auf den DRAYTEK in der Firma einwählen.

Irgendwelche Ideen ?

Content-Key: 229256

Url: https://administrator.de/contentid/229256

Ausgedruckt am: 21.05.2022 um 17:05 Uhr

Mitglied: d4shoerncheN
d4shoerncheN 10.02.2014 aktualisiert um 13:21:11 Uhr
Goto Top
Moin,

die Ports auf der Fritz!BOX für VPN sind freigegeben?


Gruß
@d4shoerncheN
Mitglied: aqui
aqui 11.02.2014 aktualisiert um 11:19:17 Uhr
Goto Top
Näheres steht auch hier:
https://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html Sehe Thema "PPTP hinter NAT Firewall / Router"
Auf der FB muss GRE freigegeben sein sonst klappt es nicht. Bekannter Klassiker....
Mitglied: Supaman
Supaman 03.03.2014 um 14:15:58 Uhr
Goto Top
danke für die anleitung - hat leider nicht geklappt.

die box hängt am kabel und wird in der übersicht bei IP v4 als "DS-Lite Tunnel" angezeigt.

hat das problem damit zu tun?
Mitglied: aqui
aqui 03.03.2014 um 15:30:05 Uhr
Goto Top
Ja, das ist ein IPv4 Netzwerk auf Basis eines GRE Tunnel in einem IPv6 Provider Backbone. Das nutzen Provider die keine ausreichenden v4 Adressen mehr haben. Googelst du nach "Dual Stack lite" findest du alles relevante dazu...
Knackpunkt ist das zentrale NAT Gateway auf Providerseite auf das du keinen Zugriff hast PPTP VPNs sind damit nicht möglich bzw. Nur dann wenn der Client der die Session aufbaut in diesem Netz ist aber NICHT der Server. Nur so geht es.
Im Internet gibt es zahllose Threads dazu
http://www.onlinekosten.de/forum/showthread.php?t=139939
Mitglied: Supaman
Supaman 04.03.2014 um 09:30:56 Uhr
Goto Top
oki, also wenn ich das kurz zusammen fasse:

daytek router PPTP [ IPv4 ] <---- unitymedia ----> [ fritzbox 6360 @ IPv6 in DS Lite Tunnel ] ------ client PC

kann also nicht klappen, weil UM das auf protokollebene nicht richtig umsetzt.


das o.g. verfahren (draytek router VPN mit PPTP) habe ich gerne eingesetzt,
weil es einfach und umkompliziert zu installieren ist.


von daher die frage:
welche ähnlich einfache lösung würde sich bei dieser konstellation anbieten ?

falls möglich möchte ich gerne auf spezielle VPN softwares (wie z.b. früher von netgear) zu einwahl verzichten
und VPN verbindung mit windows-bordmitteln machen.
Mitglied: aqui
aqui 04.03.2014 aktualisiert um 10:05:18 Uhr
Goto Top
Das Problem ist nicht das VPN Protokoll selber sondern der Umstand das Unitymedia bei DS-lite ein zentrales NAT Gateway betreibt !
Für PPTP oder IPsec musst du aber zwingend Port Forwarding Regeln wenigstens auf der Serverseite eintragen, denn sonst kommt die VPN Verbindung nicht zusatnde, da das NAT Gateway (IP Adress Translation) diese Verbindung immer blockt.
Was passiert ist folgendes:
  • Client will auf Draytek PPTP Tunnel eröffnen und sendet über TCP 1723 eine Kontrollsession an den Draytek
  • Der beantwortet diese und öffnet eine GRE Session (Protokoll 47)
  • Am NAT Gateway kommt jetzt eingehend die GRE Session an es besteht aber kein Eintrag in der NAT Session Tabelle und der GRE Request wird abgeblockt.
  • GRE schlägt fehl und damit die PPTP Session.
Für PPTP musst du immer einen statischen Port Forwarding Eintrag für GRE in die NAT Firewall machen wie es hier im PPTP Tutorial:
https://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
ja auch beschrieben ist (" VPN Router hinter NAT Firewall" ) !

Da du auf das Privider NAT gateway keinerlei Zugriff hast schlägt PPTP als VPN also per se fehl in solchem DS-lite Umfeld.
Du musst zwangsweise auf ein anderes VPN Protokoll ausweichen wie OpenVPN oder IPsec mit NAT Traversal, das klappt.
Da der Draytek kein OVPN supportet und du sicher den Router nicht tauschen willst bleibt dir nur IPsec Mit NAT-T.
Dafür bietet sich dann der kostenlose Shrew Client für IPsec an:
https://www.shrew.net
Wie man das umsetzt kannst du hier nachlesen:
https://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Für den Fall das OVPN doch eine Option sein sollte für dich:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Mitglied: Supaman
Supaman 04.03.2014 um 12:52:00 Uhr
Goto Top
Hallo Aqui,

vielen Dank für die ausführliche und verständliche Antwort, ich werds erstmal mal mit dem Shrew-Client versuchen.

Ehrlich gessagt, wenn ich einen anderen Router kaufen müsste bis ca. 300 Euro,
wäre es mir das die Sache Wert, wenn ich dafür Clientseitig die Windows Bordmittel ausreichen.
Vorausgesetzt, der Router wäre ähnlich einfach einzurichten wie der Draytrek.


Gruß,

Supa
Mitglied: aqui
aqui 04.03.2014 um 12:59:20 Uhr
Goto Top
Kann dein Draytek auch L2TP ??
Wenn ja wäre das auch eine Option OHNE die zusätzliche Client SW.
L2TP ist auch in (fast) allen OS Plattformen so mit an Bord. Wichtig für dich ist nur die NAT Traversal Fähigkeit !
Damit kommst du erstmal um einen neuen Router drumrum.
Am stressfreiesten ist einer mit OpenVPN und die obigen Tutorials geben da ja genügend Anregung...