6
VPN Probleme mit Fritzbox
Hallo !
Hier meine erster Beitrag, danke fürs Lesen.
Wir betreiben ein sehr kleines Firmennetzwerk mit 6 Usern, von denen sich 4 per VPN auf den Server verbinden, um im Homeoffice zu arbeiten.
Da am Serverstandort nur Mobilfunkverbindungen funktionieren, haben wir eine Fritzbox 6850 5G mit einem telekom Vertrag.
- öffentliche IP ist gegeben, Internet AP auf den entsprechenden Zugang geändert.
- dyndns haben wir auch
- Fritzfernzugänge sind eingerichtet und funktionieren
- Shrewsoft Zugänge sind eingerichtet und funktionieren
- Mac Zugänge sind eingerichtet und funktionieren.
Hier das Problem:
ein Kollege sitzt zuhause mit seinem Laptop, er hat Vodafone Cable und eine Fritzbox.
Diese ist ist im Fritz standard IP bereich (192.168.178.0). Unsere fritzbox am Serverstandort hat den Bereich 192.168.2.1
Soviel hatte ich schon erkannt und geändert, dass die IP Bereiche sich sonst beharken.
Er kann sich dennoch nicht mit einem VPN Zugang verbinden. Es funktioniert nur, wenn er via Handy einen Hotspot aufmacht und sich mit dem Laptop dann verbindet.
AVM Nachfrage war erfolglos, das sie das Problem nicht verstehen und schreiben, dass bei einer DS-Lite Verbindung keine Verbindung per VPN zur fritzbox möglich ist. Aber die verbindungsanfrage ist bei uns ja andersherum. Der Kollege hat via VF schon herausbekommen, dass er mit DS-Lite eine Internetverbindung hat.
Liegt es immer noch am Problem fritzbox vs fitzbox, oder übersehe ich hier irgendwas? Funktioniert das nur, wenn ich diese Myfritz Option nutze?
Danke für Euren Input.
soundpolizei
Hier meine erster Beitrag, danke fürs Lesen.
Wir betreiben ein sehr kleines Firmennetzwerk mit 6 Usern, von denen sich 4 per VPN auf den Server verbinden, um im Homeoffice zu arbeiten.
Da am Serverstandort nur Mobilfunkverbindungen funktionieren, haben wir eine Fritzbox 6850 5G mit einem telekom Vertrag.
- öffentliche IP ist gegeben, Internet AP auf den entsprechenden Zugang geändert.
- dyndns haben wir auch
- Fritzfernzugänge sind eingerichtet und funktionieren
- Shrewsoft Zugänge sind eingerichtet und funktionieren
- Mac Zugänge sind eingerichtet und funktionieren.
Hier das Problem:
ein Kollege sitzt zuhause mit seinem Laptop, er hat Vodafone Cable und eine Fritzbox.
Diese ist ist im Fritz standard IP bereich (192.168.178.0). Unsere fritzbox am Serverstandort hat den Bereich 192.168.2.1
Soviel hatte ich schon erkannt und geändert, dass die IP Bereiche sich sonst beharken.
Er kann sich dennoch nicht mit einem VPN Zugang verbinden. Es funktioniert nur, wenn er via Handy einen Hotspot aufmacht und sich mit dem Laptop dann verbindet.
AVM Nachfrage war erfolglos, das sie das Problem nicht verstehen und schreiben, dass bei einer DS-Lite Verbindung keine Verbindung per VPN zur fritzbox möglich ist. Aber die verbindungsanfrage ist bei uns ja andersherum. Der Kollege hat via VF schon herausbekommen, dass er mit DS-Lite eine Internetverbindung hat.
Liegt es immer noch am Problem fritzbox vs fitzbox, oder übersehe ich hier irgendwas? Funktioniert das nur, wenn ich diese Myfritz Option nutze?
Danke für Euren Input.
soundpolizei
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7041972153
Url: https://administrator.de/contentid/7041972153
Printed on: May 6, 2024 at 20:05 o'clock
6 Comments
Latest comment
Mittlerweile muss man bei AVM fragen welches VPN Protokoll du nutzt? IPsec oder Wireguard?
Der Shrew Client lässt vermuten das es IPsec ist, richtig?
Hier musst du darauf achten das am Shrew Client zwingend "NAT-Traversal" aktiviert ist! Andernfalls kann IPsec das CGN Gateway des DS-Lite Providers nicht überwinden. Möglich auch das der Kollege selber einen VPN Zugang auf seiner privaten FritzBox eingerichtet hat. In dem Falle forwardet die Fritzbox keinen IPsec Traffic an Endgeräte im lokalen LAN.
Was auch möglich ist, das Vodafone an seinem Consumer Anschluss IPsec filtert weil das nur Business Accounts vorbehalten ist. Das ist nicht unüblich und sollte der Kollege unbedingt mit der Hotline klären bevor er sich einen Wolf sucht.
Sollte das der Fall sein kannst du an der Firmen Fritzbox auf Wireguard VPN wechseln sofern du ein Modell hast was die neue 7.5er Firmware supportet.
Wenn du unbedingt mit DynDNS arbeiten willst kann man auch jeden beliebigen anderen DynDNS Anbieter nehmen. Es muss also nicht zwingend MyFritz! sein.
Der Shrew Client lässt vermuten das es IPsec ist, richtig?
Er kann sich dennoch nicht mit einem VPN Zugang verbinden
Der Kollege hat einen DS-Lite Anschluss zuhause was bei Kabelanschlüssen leider sehr oft der Fall ist. Hier musst du darauf achten das am Shrew Client zwingend "NAT-Traversal" aktiviert ist! Andernfalls kann IPsec das CGN Gateway des DS-Lite Providers nicht überwinden. Möglich auch das der Kollege selber einen VPN Zugang auf seiner privaten FritzBox eingerichtet hat. In dem Falle forwardet die Fritzbox keinen IPsec Traffic an Endgeräte im lokalen LAN.
Was auch möglich ist, das Vodafone an seinem Consumer Anschluss IPsec filtert weil das nur Business Accounts vorbehalten ist. Das ist nicht unüblich und sollte der Kollege unbedingt mit der Hotline klären bevor er sich einen Wolf sucht.
Sollte das der Fall sein kannst du an der Firmen Fritzbox auf Wireguard VPN wechseln sofern du ein Modell hast was die neue 7.5er Firmware supportet.
Liegt es immer noch am Problem fritzbox vs fitzbox
Nein, das siehst du ja schon daran das es mit anderen FBs sauber funktioniert. Außerdem gibt es ja in keinem der Fälle bei den Kollegen ein S2S VPN von FB zu FB sondern immer nur vom Shrew Client zu eurer Firmenfritzbox. Folglich ist ja VPN technsisch gesehen nur diese involviert.Funktioniert das nur, wenn ich diese Myfritz Option nutze?
Nein! Man benötigt keinerlei DynDNS Anbieter, da eure FritzBox ja immer eine feste, statische IP bekommt wie du selber schreibst. DynDNS ist also völlig überflüssig weil du in den Shrew Clients immer diese feste Ziel IP als Tunnel IP definieren kannst. DynDNS Hostnamen benötigst du lediglich bei dynamischen Provider IP Adressen was bei deiner Firmenfritzbox ja nicht der Fall ist.Wenn du unbedingt mit DynDNS arbeiten willst kann man auch jeden beliebigen anderen DynDNS Anbieter nehmen. Es muss also nicht zwingend MyFritz! sein.
Hallo acqui!
Danke für die Antworten!
Die Shrewsoft Option prüfen wir!
- ja er hat auch eine privaten Zugang auf seine FB, da er damit heimgeräte steuert.
- ich selber habe auch VF zuhause und noch mindestens ein weiterer Benutzer, kann mich mit Win oder Mac problemlos verbinden. Daher bin ich mit dem Ansatz der Business Kunden skeptisch, weiß es allerdings nicht.
- da hab ich mich vll falsch ausgedrückt, keiner sonst hat eine FB zuhause, und was ist eine S2S Verbindung? Daher treibt mich ja der verdacht um, dass da der knackpunkt sein muss. Wie beschrieben, sobald der Kollege mit einer anderen Verbindung als seiner FB mit dem I-net verbunden ist (Handy Hotspot), funktioniert es ja.
- dyndns benutzen wir weil wir das jahrelang zuvor von einem festen internetprovider aus als zugang benutzt haben, als der server noch an einem anderem Standort war. In diesem Fall funktioniert das ja auch.., daran würde ich ungern etwas ändern. Da fehlt mir auch das tiefere Fachwissen für. Im nächsten Schritt müssen wir uns dann eh mal einen Profi ins Boot holen!
LG
soundpolizei
Danke für die Antworten!
Die Shrewsoft Option prüfen wir!
- ja er hat auch eine privaten Zugang auf seine FB, da er damit heimgeräte steuert.
- ich selber habe auch VF zuhause und noch mindestens ein weiterer Benutzer, kann mich mit Win oder Mac problemlos verbinden. Daher bin ich mit dem Ansatz der Business Kunden skeptisch, weiß es allerdings nicht.
- da hab ich mich vll falsch ausgedrückt, keiner sonst hat eine FB zuhause, und was ist eine S2S Verbindung? Daher treibt mich ja der verdacht um, dass da der knackpunkt sein muss. Wie beschrieben, sobald der Kollege mit einer anderen Verbindung als seiner FB mit dem I-net verbunden ist (Handy Hotspot), funktioniert es ja.
- dyndns benutzen wir weil wir das jahrelang zuvor von einem festen internetprovider aus als zugang benutzt haben, als der server noch an einem anderem Standort war. In diesem Fall funktioniert das ja auch.., daran würde ich ungern etwas ändern. Da fehlt mir auch das tiefere Fachwissen für. Im nächsten Schritt müssen wir uns dann eh mal einen Profi ins Boot holen!
LG
soundpolizei
und was ist eine S2S Verbindung?
"Site-to-Site" also eine VPN Standort Verbindung 2er IP Netze. Sollte man als Administrator aber schon kennen solche Allerwelts Abkürzugen. 🧐Wie gesagt, ob man DynDNS nutzt oder die so oder so vorhandene feste IP Adresse ist völlig Wumpe.
Wenn es DynDNS ist sollte man am Client Standort aber immer sicherstellen das die DynDNS Hostadresse auf den VPN Server von dort auch aufgelöst werden kann. Nachteil bei DynDNS ist immer eine Wartezeit zwischen Änderung der IP und wann sie dann im DNS Server upgedated ist. Diesen Nachteil von DynDNS Hostnamen geht man mit der Verwendung der statischen IP immer aus dem Wege.
Das Testen geht in der Eingabeaufforderung mit nslookup dyndns.name.tld
Update: Shrewsoft Einstellungen überprüft, NAT Traversal ist aktiviert.
Zitat von @aqui:
und was ist eine S2S Verbindung?
"Site-to-Site" also einen VPN Standort Verbindung 2er Netze. Sollte man als Administrator aber schon kennen solche Allerwelts Abkürzugen. 🧐Ein Flugzeug mit 200 Menschen an Bord verliert seine Piloten, weil er mit nem Fallschirm aus dem Jet springt oder nen Herzinfarkt auf dem Klo hatte. Der Jet stürzt ab oder eine unbedarfte Person klemmt sich hinter das Steuer und versucht das Ding mit Hilfe vom Tower zu landen....
Jetzt weisst Du warum ich hier bin..
Wenn es das denn nun war, bitte deinen Thread hier dann auch als erledigt schliessen!!
