speckles
Goto Top

VPN Verbindung über FritzBox 7170 konfiguration

Hallo Community,
ich habe leider ein Problem mit meiner FritzBox 7170 und die Einrichtung einer VPN Verbindung. Ich habe jetzt zwei Szenario's durchgespielt und werde dennoch nicht daraus schlauer.

Folgendende Situation ist vorhanden:
Laptop (UMTS) ------------> FritzBox 7170 (192.168.178.99)--------> PC (192.168.178.100)

Ich möchte zunächst eine VPN Verbindung zu meiner FritzBox aufbauen, um dann den PC (WIN 7 Pro) per Remotedesktop fernsteuern zu könnnen.
Firewall und Anti-Virus wurden beim PC (192.168.178.100) bereits ausgeschaltet, daran kanns nicht liegen.
In der Fritzbox ist UDP und DHCP deaktiviert. Der Port für MS Remote wurde auch geöffnet, wobei das hierbei wohl keine Rolle spielen sollte.

Szenario 1:
Die VPN Verbindung wird aufgebaut (Zugriff auf die FritzBox Oberfläche funktioniert). Leider erhalte kein Ping vom PC(192.168.178.100), sondern nur von der FritzBox. Ich vermute es hängt mir der Subnetz-Maske (255.255.255.255) zusammen.
Die Konfigurationsdatei für die VPN Verbindung ist wie folgt:

VPN-Config FritzBox (gekürzt):
connections {
enabled = yes;
conn_type = conntype_user;
name = "emailadresse@web.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.178.166;
remoteid {
user_fqdn = "emailadresse@web.de";
}
mode = XXX;
phase1ss = "all/all/all";
keytype = XXX;
key = "XXX";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.99;
mask = 255.255.255.255;
}
}
phase2remoteid {
ipaddr = 192.168.178.166;
}
phase2ss = "XXX";
accesslist =
"permit ip 192.168.178.99 255.255.255.255 192.168.178.166 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",

VPN-Config User (gekürzt):


name = "XXX.dyndns.org";
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = 192.168.178.166;
remoteip = 0.0.0.0;
remotehostname = "XXX.dyndns.org";
localid {
user_fqdn = "emailadresse@XXX.de";
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "XXX";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipaddr = 192.168.178.166;

ipaddr = 192.168.178.99;
mask = 255.255.255.255;
phase2ss = "XXX";
accesslist = "permit ip any 192.168.178.99 255.255.255.255";
wakeupremote = no;

"udp 0.0.0.0:4500 0.0.0.0:4500";

Wie gesagt, da erhalte ich kein Ping vom PC (192.168.178.100)


Szenario 2:
Beim Szenario 2 habe ich alle Subnetz-Masken (von Client und Fritzbox) auf 255.255.255.0 geändert.
Leider schaffe ich es da nicht einmal die VPN-Verbindung aufzubauen.


Ich hoffe ihr könnt mir bei der Fehlersuche helfen. Ich bin jetzt echt ratlos face-sad

Vielen Dank,
speckles

Content-ID: 148556

Url: https://administrator.de/contentid/148556

Ausgedruckt am: 06.11.2024 um 01:11 Uhr

aqui
aqui 07.08.2010, aktualisiert am 18.10.2012 um 18:43:04 Uhr
Goto Top
OK, wie man das VPN einrichtet isdt haarklein hier beschrieben:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Oder wenn du den freien (besseren) Shrew Client benutzen willst hier:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Das sollte jeder Laie problemlos im Handumdrehen hinbekommen.

Die Gefahr lauert aber beim Stichwort "Client im UMTS Netz" ganz woanders:
Es mag sein das du einen billigen Consumer Surf Account von deinem Mobil Provider hast der im UMTS private IP Adressen nach RFC 1918 verwendet:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Das bedeutet das der Provider dann das NAT Gateway betreibt und mit einem VPN hast du keinerlei Chancen dies zu überwinden !
Siehe auch:
VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?

Du kannst dann nur den Tarif oder den APN wechseln um eine öffentliche IP zu bekommen.
Du solltest also erstmal klären ob dein UMTS Mobilvertrag dir eine öffentlche IP vergibt. Nur dann wird es auch funktionieren.
Leider teilst du uns das im o.a. Thread nicht mit und zwingst uns so zum raten und Romane schreiben face-sad
speckles
speckles 07.08.2010 um 21:45:45 Uhr
Goto Top
Hi aqui,
Danke für die Info's. Es ist nicht das erste mal das ich mit FritzBox eine VPN Verbindung einrichte, bislang hat es eigentlich immer geklappt. Nur diesmal habe ich schwierigkeiten.
Und weil ich jetzt wirklich nach 2 Wochen suchen keinen schimmer mehr habe, nach was ich suchen soll, bitte ich euch um Hilfe.

Ich surfe über Medion Talk (Aldi; Benutzung des Eplus-Netzes).

10.147.239.243
255.255.255.255

Gruß,
speckles
aqui
aqui 07.08.2010 um 22:11:01 Uhr
Goto Top
Bingo ! RFC 1918 privates IP Netz ! War auch nicht anders zu erwarten bei Billigheimer Eplus und Aldi !!
Damit ist eine VPN Verbindung egal welches VPN Protokoll generell nicht möglich, da der Provider auch das IP Adress Translation Gateway betreibt.
Weiss man eigentlich wenn man sich mit VPNs beschäftigt dasd die Adress Translation nicht oder nur bedingt überwinden können. Das ist gerade bei Mobilfunkclients immer der allererste Punkt den es zu überprüfen gilt und hatte dir deine 2 Wochen gleich erspart. Na ja da fehlte dir vermutlich der "Schimmer".
Das ist ein billiger Privat Surf Account. Da wirst du nix mit VPNs. Siehe o.a. Thread dazu !!

Entweder die APN wechseln (wenn das möglich ist) das bedeutet aber auch gleich einen anderen Tarif. Oder Tarif wechserln oder Provider. Anders ist das nicht zu lösen.
Ggf. wenn du den Shrew Client benutzt mit NAT Traversal. Das wäre noch einen finalen Versuch wert !
speckles
speckles 07.08.2010 um 22:15:51 Uhr
Goto Top
Nur weil Eplus mir eine private IP gibt, kann ich über das bereits verbundene VPN Netzwerk kein Gerät im LAN pingen?
Darauf hätte ich das nie zurückgeführt. Da hätte ich ja noch lange suchen können.

FritzFernzugang nutzt meines Wissens aus NAT-Traversal. Das müsste der Eintag use_nat_t = yes; sein.
it-frosch
it-frosch 07.08.2010 um 22:16:16 Uhr
Goto Top
Antwort hat sich überholt. face-smile

grüße vom it-frosch
speckles
speckles 07.08.2010 um 22:20:38 Uhr
Goto Top
Nein, ich habe den Assistenen FritzFernzugang einrichten benutzt. Dort habe ich eigentlich alle Einstellungen gelassen, bis auf die IP des Routers (192.168.178.99). Ich vermute daher stark, dass das auch der Ausschlag ist, das es nicht funktioniert. Die Fritzbox hat nicht mehr die Standartadresse (192.168.178.1).

Mit der oben genannte Konfiguration kann ich ja auch ein VPN zu meiner FB aufbauen, nur leider kann ich kein anderes Netzwerkgerät im LAN pingen (und somit natürlich auch kein Remotedesktop möglich).
Einzig und allein auf die FB Oberläche komme ich mit der Config rauf.
aqui
aqui 08.08.2010 um 12:07:45 Uhr
Goto Top
Das du kein Endgerät pingen und erreichen kannst hat einen einfachen und banalen Grund:
Die lokale Windows Firewall !!
Du kommst ja nun aus einem fremden IP netz und die Win Firewall blockt solche Zugriffe per Default.
Du musst also hier in die erweiterten Eigenschaften der FW gehen, den Dienst anwählen (angrauen) z.B Remote Desktop und dann über Bereich ändern dort dein remotes netz zutragen oder einfach auf "Alle Computer inklusive Internet" gehen.
Das schaltet dann den Zugriff frei und dann klappt es auch.
Analog bei Ping (ICMP): Dort auf ICMP klicken und den Haken setzen bei "Auf eingehende Echo Pakete antworten" !!
Dann klappts auch mit dem Ping !
Ist ein alter Hut mit der lokalen FW bei VPN und zu 99% der Grund aller VPN Forenthreads hier face-sad
speckles
speckles 08.08.2010 um 12:10:42 Uhr
Goto Top
Hi aqui,
die Firewall ist beim Gerät aber komplett abgeschaltet (von Anti-Viren Firewall sowie Windows Firewall). Ein Drucker im Lan kann ich auch nicht pingen.