palimpalim007
Goto Top

VPN: Zugriff auf Netzwerk möglich, Internetzugang nicht möglich.

Guten Abend zusammen.
Ich habe mich hier angemeldet, weil ich folgendes Problem habe, bei dem mir weder der Support von AVM (als Hersteller der FritzBox), noch HTC weiterhelfen konnte. Im Gegensatz zu HTC hat AVM sich immerhin bemüht...

Ich habe auf der FB 7390 einen Nutzer angelegt und diesem Nutzer einen VPN-Zugang eingerichtet, um über mein Smartphone auf mein Heimnetzwerk zugreifen zu können sowie um meinen Datenverkehr (sicher) über die FB abzuwickeln.
Der VPN-Tunnel wird aufgebaut, ich kann von unterwegs auf mein Heimnetzwerk (Server, PC etc.) zugreifen.
Allerdings ist es mir nicht möglich, mit dem Smartphone ins Internet zu gehen (Surfen, Email, Messenger), während der Tunnel steht. Ich erhalte dann durchgängig Fehlermeldungen (Seite nicht gefunden, nicht mit dem Server verbunden etc.).
Sobald ich den VPN-Tunnel beende, funktionieren die Datenanwendungen wieder.

Ich nutze ein HTC One M8 mit Android 4.4.3, mit dem ich mich im UMTS/ LTE-Netz von Vodafone befinde (ich befinde mich NICHT im gleichen WLAN-Netz wie die FB!).

Ich habe den Aufbau des VPN-Tunnels sowohl mit der android-eigenen Funktion (VPN) versucht, als auch eine Fremd-App (VPNZilla) probiert.

Ein Freund mit seinem iPad und aktuellem iOS hat es testweise auch versucht und genauso wenig Erfolg gehabt.

Die Einstellungen, die ich laut Benutzeroberfläche im Smartphone eingeben soll, sehen wie folgt aus:

Typ:IPSec Xauth PSK
Server-Adresse:dieentsprechendeadresse.myfritz.net
IPSec Identifier:FritzBoxVPN
IPSec Pre-Shared Key:123456789abcdefg

Ich habe für den AVM-Support eine Diagnose-Datei meiner FritzBox erstellt und diese gemailt.
Man sagte mir, die Einstellungen der FritzBox seien in Ordnung.

Hat jemand eine Idee?

Danke schon einmal...

Content-ID: 250719

Url: https://administrator.de/contentid/250719

Ausgedruckt am: 05.11.2024 um 06:11 Uhr

keine-ahnung
keine-ahnung 01.10.2014 um 20:04:55 Uhr
Goto Top
Moin,
Hat jemand eine Idee?
sogar mehr!

1. DNS stimmt nicht.
2. DNS stimmt nicht und letzte Möglichkeit
3. DNS stimmt nicht.

Eine dieser drei Möglichkeiten muss es sein ...

LG, Thomas
Palimpalim007
Palimpalim007 01.10.2014 um 20:10:12 Uhr
Goto Top
Ok.
1. bis 3. habe ich verstanden face-smile

Welcher DNS wäre denn richtig? Hatte es mal (erfolglos) mit 8.8.8.8 versucht.
keine-ahnung
keine-ahnung 01.10.2014 um 22:58:47 Uhr
Goto Top
Moin nochmal,
Welcher DNS wäre denn richtig?
der, welcher in dem Netz, auf welches Du mit dem VPN-Client zugreifen willst, DNS spielt? Im schlimmsten Fall die Fritte??

LG, Thomas
Palimpalim007
Palimpalim007 01.10.2014 um 23:10:22 Uhr
Goto Top
Danke für Deine Antwort(en).

Ich mit meinem (gefährlichen Halb-)Wissen hatte als DNS in den Einstellungen des VPN auf dem Handy schon mal die IP meiner FB (192.168.178.1) eingetragen. Funktioniert nicht.
In der FB ist bei DNS der Punkt "Vom Internetanbieter zugewiesener DNS-Server" angehakt.

Da ich z. B. Google über die 173.194.112.79 aufrufen kann, nicht jedoch über www.google.de, scheint es in der Tat am DNS zu liegen. Mir erschließt sich aber wie gesagt noch nicht, welchen DNS ich wo eintragen muss...
colinardo
colinardo 01.10.2014 aktualisiert um 23:24:23 Uhr
Goto Top
Moin,
darf man das VPN Config File von der Fritte mal sehen ? Welche Firmware ?

Mir erschließt sich aber wie gesagt noch nicht, welchen DNS ich wo eintragen
erst mal musst du nirgendwo etwas ändern, das weist die Fritte dem Client automatisch zu wenn die Config i.O. ist, Lässt sich auf einem
Android ja in einer Root-Shell überprüfen, ob Gateway und DNS richtig gesetzt worden sind.

Da es aber auch auf iOS nicht klappt scheint es doch an der Box zu liegen.

Wurde diese schon mal zurückgesetzt ?

Grüße Uwe
Palimpalim007
Palimpalim007 01.10.2014 um 23:28:52 Uhr
Goto Top
Selber Moin,

Die Firmware ist 6.20.
Sagst Du mir, wo ich das VPN-Config-File finde? Habe den VPN-Zugang auf der Box direkt eingerichtet, nicht über ein "Fritz-Fernzugang-Config-File", falls es das ist, was Du meinst. Und andere, als die oben geposteten Daten, gibbet auf der FB-Oberfläche nicht zu sehen.

Dass die Zuweisung automatisch erfolgt dachte ich bis dato auch, scheint aber hier nicht zu klappen.
Wie gesagt, AVM war begeistert von der Konfiguration der FritzBox und deren Einstellungen im VPN - Bereich face-smile
colinardo
colinardo 01.10.2014 aktualisiert um 23:36:47 Uhr
Goto Top
Sagst Du mir, wo ich das VPN-Config-File finde?
Die Box-Konfiguration ohne Passwort in eine Datei speichern. Die VPN Config befindet sich darin meistens fast am Ende der Datei.

Wie gesagt, AVM war begeistert von der Konfiguration der FritzBox und deren Einstellungen im VPN - Bereich
Wer weiss welche Studentin sich das File dort angesehen hat face-smile

Die Box auf jeden Fall auch mal zurücksetzen, um einen Fehler durch Updateleichen auszuschließen.
Palimpalim007
Palimpalim007 01.10.2014 um 23:45:19 Uhr
Goto Top
Meinst Du das hier?

CFGFILE:vpn.cfg
/*
    • /var/tmp.cfg
    • Wed Oct 1 23:40:10 2014
*/

meta { encoding = "utf-8"; }

vpncfg {
connections {
enabled = yes;
editable = no;
conn_type = conntype_user;
name = "UserXY";
boxuser_id = 11;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.178.203;
keepalive_ip = 0.0.0.0;
remoteid {
key_id = "$$$$62DN56U43ZUKQSLXR3KFOPR55ERCWFPSEFASEFSEFSEFSEFRL64Y22RSORYMTMNQPDUBAMJKF3AAA";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "$$$$PYYWZXCHUNXYRA52WESEFSEFSEFAKOTFI43RN1VDTC6OX1TKLCOTUHLYMAAAA";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
xauth {
valid = yes;
username = "$$$$R6OFTVSPN5JASDFAESFESEFSEFSEFRDPHCLOU3RAPL5GFUHVMZHMSVPG42ZF6KOFF31BKPL6RUKV5";
passwd = "$$$$QTOOGSBOLADIZIT2GRV5QARONFQYAWEFASFASEFSEFSEF6FJRW34CLKJHF6KKFOJ6QEJUBOKV5";
}
use_cfgmode = yes;
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.178.203;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 0.0.0.0 0.0.0.0 192.168.178.203 255.255.255.255";
} {
enabled = yes;
editable = no;
conn_type = conntype_user;
name = "UserXY@mail.xyz";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.178.201;
keepalive_ip = 0.0.0.0;
remoteid {
user_fqdn = "$$$$YTWYLRRRKVHZX25EPS4ESB6XRSDF65484SEF1351813EFSFEKT43FKJO6LHY4Y6JGRNZLMOBPZXMKXO";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "$$$$2ZVYYLYJBG3OUIXDA3HWSDFES65465484ESFAD84E46354FGESINPRDF146XBQZWGESRVWKLFI6QFLOYYHTRWNR5AAA";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.178.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255",
"permit ip any 192.168.178.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

END OF FILE
colinardo
colinardo 02.10.2014 aktualisiert um 09:30:27 Uhr
Goto Top
Sieht OK aus, bis auf den doppelten Eintrag in der Accesslist, der eigentlich überflüssig ist, da der zweite dem VPN Nutzer erlaubt alle IPs zu erreichen.

aber da du ja eine externe IP aufrufen kannst liegt es nicht an der Accesslist.

Das Problem entsteht meistens dann wenn der DNS des Mobilfunkproviders der gerade im Handy eingetragen ist, nur aus dem Netz des Providers ansprechbar ist und nicht von einem anderen IP-Bereich.

Setz die Box mal auf Werkseinstellungen zurück und konfiguriere sie manuell neu, (keine Config zurückspielen)

Guts Nächtle
jens2001
jens2001 02.10.2014 um 00:58:58 Uhr
Goto Top
Ist ein bekanntes Problem mit der FB. Meiner Meinung nach ein echter Bug. Traurig das die AVM Hotline das nicht weis.
Die FB übermittelt dem VPN-Clients keine DNS-Server-IP.

Der Android VPN-Client ist ziemlicher Schrott aber VPNzilla hat dafür inden Einstellung einen Punkt an dem man die DNS-IP manuell eintragen kann
killtec
killtec 02.10.2014 um 08:46:36 Uhr
Goto Top
Also ich habe besagte FB mit einem One Mini und System eigenem VPN problemlos laufen.
Ich habe aber auch einen Server da stehen, den ich als DNS eingetragen habe. So funktioniert auch der Seitenaufruf (Dan meines Uploads langsam).
Ich habe als Route für das VPN am Handy 0.0.0.0/0 eingetragen. Somit wird alles übers VPN geschickt.

Gruß
Palimpalim007
Palimpalim007 02.10.2014 um 17:06:10 Uhr
Goto Top
Also. Ich bekomme es einfach nicht hin.
Ich habe jetzt mal eine andere FB genommen, diesmal die 7490.
Ich habe alle VPN-Zugänge gelöscht und mittels "Fernzugang-Einrichten"-Tool von AVM einen neuen VPN-Zugang angelegt.
Hierbei entstand folgende Config-Datei, die ich in die Box importiert habe:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "abc@abc.net";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.178.201;
remoteid {
key_id = "abc@abc.net";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "schluessel";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
xauth {
valid = yes;
username = "abc@abc.net";
passwd = "passwort";
}
use_cfgmode = yes;
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.178.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255",
"permit ip any 192.168.178.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Nun habe ich die Daten entsprechend in die App VPNZilla eingetragen.
Die ganzen Passwort- und Serveradress-Sachen poste ich mal nicht, die sind ja offenbar auch richtig, schließlich steht der Tunnel ja.

---> Kurzer Einwurf: Während des Schreibens hier kam mir die Idee, das ganze mal mit dem Handy meiner Gattin zu versuchen. Was soll ich sagen? Kurz VPNZilla (Trial) installiert, alle Daten (übrigens identisch wie beim HTC One M8...) eingegeben, und voila: Der Tunnel steht, die Daten fließen, sowohl intern als auch extern. Und zwar ohne spezielle DNS zu definieren oder Routen vorzugeben... <--

Jetzt weiß ich echt nicht mehr weiter.
HansDampf71
HansDampf71 07.10.2014 um 13:26:07 Uhr
Goto Top
Häng mich mit ran. Gleiches Problem bei mir.
Ich habe nur die Erfahrung gemacht, dass es mit meinem Vorgänger-Handy und CyanogenMod lief.
Mit dem neuen Handy und Stock-ROM nicht mehr:

Keine DNS Auflösung bei VPN Android 4.4.2 zur Fritzbox 7390

Ich hatte allerdings die Hoffnung, dass es die VPN Probleme mit Android 4.4.3 gefixt wurden.
So wie es aussieht scheint das nicht die Lösung zu sein face-sad