realfreeze
Goto Top

Fritz Box VPN IP xxx.xxx.xxx.201 - xxx.xxx.xxx.208

Hallo Gemeinde,

ich konnte mich gestern mit dem folgenden Problem mehrere Stunden rumärgern.

Ich hatte eine Fritzbox mit Standart IP und im Netzwerk ein Gerät, an diesem sich die IP nicht ohne weiteres umstellen lies (Was ich allerdings sehr schwach vom Hersteller BvL-Archvio finden. Aussage, man müsse das Gerät einschicken NOGO).Unglücklicher Weise hatte das Gerät mehrer IP-Adressen, nämlich von xxx.xxx.xxx.201 bis xxx.xxx.xxx.207. Das Phänomen war, das die IP .201 sporadisch erreichbar war und mal nicht. Zu diesem Zeitpunkt war kein VPN-User aktiv und einen Verwendeung der IP war nicht ersichtlich. War das Gerät weg, konnte man den Netzwerkstecker ziehen und wieder stecken, dann war das Gerät wieder für kurze Zeit erreichbar. Betroffen hiervon war allerdings nur die IP mit .201, .202 - .207 waren problemlos erreichbar. Habe die Fritzbox dann durch ein anderes Gerät ersetzt und siehe da es läuft problmelos. Dann die Fritzbox in den Werkszustand zurückgesetzt, danach lief auch alles ohne Probleme. Nun habe ich einen User für Verwaltungszwecke angelegt und schon tritt das Phänomen auf, sobald man bei dem neu angelegten User das Hächen bei VPN-Uer setzt. Häkchen entfernt, gespeichert und siehe da, es läuft wieder.

Schlussfolgerung hieraus ergibt, dass die Fritzbox die IP-Adressen von .201 bis mindestens .208 für für VPN-User blockiert. Die Funktion wird ja normalerweise genutzt, wenn man sich mit dem Smartphone per VPN verbinden möchte. Die IP wird also auch geblockt, wenn der VPN-Tunnel nicht aktiv ist.

Im Standart ist endet der DCHP bereicht der Fritzbox bei xxx.xxx.xxx.200. Auch wenn man den DHCP-Bereich kleiner stellt, z.B. bis auf xxx.xxx.xxx.150 werden trotzdem immer für die VPN-User die IP-Adressen ab xxx.xxx.xxx.201 reserviert.

Mein Tipp: Wenn man also nicht möchte, dass die IP-Adressen von .201 - .208 belegt werden, sollte man die VPN-User nicht über die Fritzbox Oberfläsche anlegen. Stattdessen sollte muss man die Konfiguration händisch erstellen, z.B. mit dem Tool "Fritz Frernzugang einrichten". Dann kann man nämlich in der VPN-Konfigurationsdatei die IP-Angeben, die der VPN-Client verwenden soll. Andersherum gesagt, sollte man im Fritzbox-Netzwerke keine festen IP-Adressen im Bereich .201 - .208. Laut AVM sind 8 VPN-Tunnel möglich, daher sage ich jetzt einfach mal bis .208, wenn man bei 8 Usern das Häkchen bei VPN setzt.

Content-ID: 288776

Url: https://administrator.de/contentid/288776

Ausgedruckt am: 05.11.2024 um 14:11 Uhr

ashnod
ashnod 19.11.2015 um 11:02:30 Uhr
Goto Top
Zitat von @RealFreeze:

Schlussfolgerung hieraus ergibt, dass die Fritzbox die IP-Adressen von .201 bis mindestens .208 für für VPN-User blockiert. Die Funktion wird ja normalerweise genutzt, wenn man sich mit dem Smartphone per VPN verbinden möchte. Die IP wird also auch geblockt, wenn der VPN-Tunnel nicht aktiv ist.

Gibt es hierzu gesicherte Erkenntnisse, die über eine reine Vermutung hinaus gehen ?
Für mich ist das so nicht schlüssig. Wie ist z.B. das Verhalten wenn gar kein DHCP auf der FB aktiviert ist?

VG
RealFreeze
RealFreeze 19.11.2015 aktualisiert um 12:08:39 Uhr
Goto Top
Es ist keine Vermutung, ich habe es in meinem Netzwerk nachgestellt. Es ist egal, ob die FritzBox den DCHP-Server bereitstellt oder nicht. Bei mir ist der DHCP auf dem Domaincontroller und meine VPN-User wurde über die FB-Oberfläsche als User mit dem Häkchen "VPN" angelegt. Beim Verbindungsaufbau des VPN bekommt der erste angelegte User immer .201 und der 2. User immer .202 usw.. Ich nutze als Client ShrewSoftVPN. Wenn man die VPN-User mittels "Fritzbox Ferzugang einrichten" einrichtet, kann man dort auch die IP angeben, die dem Client im Netzwerk per VPN zugewiesen werden soll. Nutz man die FritzBox als VPN-Gateway vergibt diese immer die IP-Adressen der VPN-Clients, egal ob die FritzBox DHCP-Server ist oder nicht. Möchte man andere IP-Adressen für die VPN´s für seine Clients, muss man die Config manuell mit einem Tool erstellen. Man kann z.B. mit dem oben erwähnten Tool "Fritzbox Ferzugang einrichten" eine Config-File für die Box erstellen. Dies Config-File kann man mittels der Import-Funktion in die Fritzbox laden. Das Tool erstellt immer 2 Config-Files. 1x für den Import in die Fritzbox und 1x für den Import in das Tool " Fritzbox Fernzugang". Erstellt man die Config-File auf diesem Weg kann man bedenkenlos seine Wunsch-IP angeben, sollte diese dann aber keinem Client im Netzwerk mehr zuordnen und sich dies auch dokumentieren, da sonst auch das obenstehende Phänomen auftritt. Zur Einrichtung der Geräte (andere VPN-Client-Software, Smartphones usw.), kann man die benötigten Daten aus der erstellten Client-Config-File mittels Editor auslesen.

Für FritzBox-VPN gibt es von AVM auch keinen Support.

Googlet man man diesen Infos findet man dazu bislang auch keine Dokumentation.

Ich gehe mal davon aus, dass dies Phänomen im normalen Heimnetzwerk nie zum tragen kommt. Angenommen jemand kauft sich ein NAS oder was ähnliches, wo er eine feste IP vergeben will, dann nimmt dieser sicherlich eine von ganz vorne oder ganz hinten.

Da merkt man dann mal wieder, dass die Fritzbox nicht für Unternehmensnetzwerke konzipiert ist, was ich eingentlich etwas Schade finde, da mittlerweile jeder Provider dem Kunden in seinen Business-Verträgen die Fritzbox(oder wie auch immer Sie vom Provider benamt wurde) auf´s Auge drückt. Seites des Herstellers ist eine Integration in Unternehmsnetzwerke nicht einmal gewünscht.
ashnod
ashnod 19.11.2015 aktualisiert um 12:27:46 Uhr
Goto Top
Oki, ist ja nicht so, das ich dir nicht glauben würde.
Ich finde es nur gut, wenn es etwas besser mit Hintergrundinformationen belegt wird.
Einen Teil hast du jetzt "nachgereicht" damit wird es dann schon etwas klarer. Ich habe grade keine FB zum nachschauen zur Verfügung, stelle mir aber vor, dass beim Anlegen der User und dem Haken bei VPN auch eine Config in der FB (Wie über das Tool FB Fernzugang) abgelegt wird, in der man diese Einstellung nachsehen könnte. Wenn die IP .201 in der Config eingetragen ist, könnte man daraus sicher schließen, das die FB automatisiert für die VPN-Nutzer die nun feste IP .201 ff automatisch setzt. Wenn das so wäre würde sich das gut erklären und wäre dann auch ein Punkt den man auf jeden Fall bei einer Netzplanung mit FB beachten müsste.
Ich wäre jetzt erstmal davon ausgegangen das auch VPN-Nutzer eine IP vom DHCP erhalten.

VG
RealFreeze
RealFreeze 19.11.2015 um 12:37:02 Uhr
Goto Top
Deine Aussage klingt stimmig. Leider kann man die Config aus der FB nicht exportieren. Aber bei der Netzwerkplanung unbedingt zu beachten.

VG
114757
114757 19.11.2015 aktualisiert um 13:28:16 Uhr
Goto Top
Leider kann man die Config aus der FB nicht exportieren.
Doch kann man natürlich selbstverständlich: System > Sicherung > Sichern
Darin findet man auch die VPN-Config, ziemlich am Ende, dort kann man alle von der FB vergebenen VPN-IPs auslesen. Diese sollte man natürlich bei der Nutzung von statischen IPs aussparen. Wenn man den DHCP-Bereich verschiebt kurz aktiviert und wieder deaktiviert sollte die Fritte auch die VPN-Adressen am Ende des DHCP-Bereichs ausrichten.

Eine Fritte ist halt Konsumer-Spielzeug und nichts für Firmenkunden, höchstens was für Mini-Klitschen ...

Gruß jodel32
Pjordorf
Pjordorf 19.11.2015 um 13:39:22 Uhr
Goto Top
Hallo,

Zitat von @RealFreeze:
Leider kann man die Config aus der FB nicht exportieren.
Aber selbstverständlich geht das. Da gibbet gar in der GUI einen eigene Knopf für...

Aber bei der Netzwerkplanung unbedingt zu beachten.
Wie? Wo? Warum? Einstöpseln, einschalten und gut ist, oder? Warum ich das so sage? Nun, deine Nennung deiner IP in Form von xxx.xxx.xxx.201 , die Aufzählung von 8 IPs in Verbindung mit dein VPN Aufbau (unbekannt) und deine geschilderten Probleme. Ein Blick in http://www.bvlarchivio.de/onlinebuch/handbuch/Anleitung%20I/Anleitung%2 ... auf Seite 3 offenbart doch direkt das dieses Archivsystem sich selbst wohl 8 IPs reserviert, welche anscheinend nur vom Hersteller tatsächlich vergeben werden können (Festverdrahtet), welche deine Planung (nicht Planung) hindert bzw. es dann zu doppelten IPs bei dir führt.

Entweder erst das Archivsystem festlegen und um deren Festverdrahteten IPs herumbauen, oder erst dein eigenes Netz festlegen, dann die Verwendeten Geräte mit IPs versorgen wobei entsprechend Geräte mit Festverdrahteten IPs nach deiner Planung vergeben und eingebrannt werden und diese sich nicht mit anderen IPs in dein Netz streiten. Mir scheint du versuchst deinen uns unbekannten VPN Netz IPs zu verpassen welches dein Archivsystem für sich beansprucht.

Du solltest eigentlich 3 IP Netze an deine Fritte haben.
1 - WAN IP = WAN Netz = (meistens) Öffentliche IP sofern deine fritte direkt am Internet hängt
2 - LAN IP = LAN/WLAN Netz = internes Netz wo deine Geräte drin sind, mit / ohne DHCP / Reservierungen / Manuelle Vergabe etc.
3 - VPN IP = VPN Netz = IPs welche für dein VPN genutzt werden können und von deiner Fritte intern dann je nach deiner Konfig ins LAN / WLAN Netz geroutet werden.

Wo also ist deine XXX.XXX.XXX.201 dann zu finden?

Und bitte keine weitere Xe anstelle von Zahlen. Die ganze Welt nutzt Private IP Netze. Die öffentliche IP wollen wir aber nicht wissen.
https://de.wikipedia.org/wiki/Private_IP-Adresse
https://de.wikipedia.org/wiki/Netzklasse durch CIDR 1993 abgelöst
https://tools.ietf.org/html/rfc1918

http://www.bvlarchivio.de/index.html
Heftig
http://www.bvlarchivio.de/preis1.html

Gruß,
Peter
RealFreeze
RealFreeze 19.11.2015 um 13:44:43 Uhr
Goto Top
jodel32 du hast recht. Ich habe es gerade prompt ausprobiert. Es geht wirklich nur, wenn man den DHCP aus- und wieder einschaltet und die VPN-Config hab ich in der Sicherung auch direkt gefunden. Danke für den Tip mit der Sicherung, soweit hab ich noch garnicht gedacht.

Hättest du mir auch gestern sagen können. face-smile

Gruß RealFreeze
114757
114757 19.11.2015 aktualisiert um 13:48:50 Uhr
Goto Top
Zitat von @RealFreeze:
Hättest du mir auch gestern sagen können. face-smile
Jo, meine Glaskugel war leider auf Toilette um deinen heutigen Beitrag schon gestern vorherzusehen face-wink
RealFreeze
RealFreeze 19.11.2015 aktualisiert um 14:06:37 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @RealFreeze:
Leider kann man die Config aus der FB nicht exportieren.
Aber selbstverständlich geht das. Da gibbet gar in der GUI einen eigene Knopf für...

Den GUI-Knopf zum Export der VPN-Config habe ich allerdings noch nicht gefunden.

Aber bei der Netzwerkplanung unbedingt zu beachten.
Wie? Wo? Warum? Einstöpseln, einschalten und gut ist, oder? Warum ich das so sage? Nun, deine Nennung deiner IP in Form von xxx.xxx.xxx.201 , die Aufzählung von 8 IPs in Verbindung mit dein VPN Aufbau (unbekannt) und deine geschilderten Probleme. Ein Blick in http://www.bvlarchivio.de/onlinebuch/handbuch/Anleitung%20I/Anleitung%2 ... auf Seite 3 offenbart doch direkt das dieses Archivsystem sich selbst wohl 8 IPs reserviert, welche anscheinend nur vom Hersteller tatsächlich vergeben werden können (Festverdrahtet), welche deine Planung (nicht Planung) hindert bzw. es dann zu doppelten IPs bei dir führt.

Entweder erst das Archivsystem festlegen und um deren Festverdrahteten IPs herumbauen, oder erst dein eigenes Netz festlegen, dann die Verwendeten Geräte mit IPs versorgen wobei entsprechend Geräte mit Festverdrahteten IPs nach deiner Planung vergeben und eingebrannt werden und diese sich nicht mit anderen IPs in dein Netz streiten. Mir scheint du versuchst deinen uns unbekannten VPN Netz IPs zu verpassen welches dein Archivsystem für sich beansprucht.


Danke Peter,

aber ich hab es nicht eingerichtet, ich durfte mich nur um den Sch.. kümmern. Also bei meiner Ankunft war alles schon da, nur es lief nicht. Wie sich später rausstellte, lag es dann an dem VPN-User. Ich war erstmal total erstaunt, dass es so teuere Geräte gibt, bei denen man nicht mal einfachste Einstellungen vornehmen kann. Dazum kommt dann noch, dass der Netzwerkinhaber keine Ahnung von Netzwerk hat und sein Drucker- und Archivlösungslieferant auch Netzwerktechnisch einfach mal die IP-Adressen 192.168.178.201 -207 eigenmächtig mal vergeben hat. Dann wusste er nicht mehr weiter und somit wurde ich dann vom Inhaber dazu gerufen. Den VPN-User hat der Kunde auch eigenständig angelegt.


Und bitte keine weitere Xe anstelle von Zahlen. Die ganze Welt nutzt Private IP Netze. Die öffentliche IP wollen wir aber nicht wissen.
https://de.wikipedia.org/wiki/Private_IP-Adresse
https://de.wikipedia.org/wiki/Netzklasse durch CIDR 1993 abgelöst
https://tools.ietf.org/html/rfc1918
Ich nutze die XXX nicht, weil ich Angst habe IP-Adressen hier anzugeben, sie sollen lediglich als Variable dienen. Nächstes mal lasse ich mir eine fiktive LAN-IP einfallen. Versprochen face-wink


Dank dem Hinweis von jodel32 hab ich den Bereich jetzt verschieben können, ich hatte den DHCP nicht ein- und ausgeschaltet, daher hat er wohl dann die VPN-IP´s nicht verschoben.

Gruß Eric
ashnod
ashnod 19.11.2015 um 14:16:33 Uhr
Goto Top
Zitat von @RealFreeze:
Dank dem Hinweis von jodel32 hab ich den Bereich jetzt verschieben können, ich hatte den DHCP nicht ein- und ausgeschaltet, daher hat er wohl dann die VPN-IP´s nicht verschoben.

Vielleicht kannst du alle relevanten Tele in deinem Beitrag zusammen fassen, dann haben wir ein "Gut zu Wissen - Beitrag" face-wink

VG
Pjordorf
Pjordorf 19.11.2015 um 15:10:59 Uhr
Goto Top
Hallo,

Zitat von @RealFreeze:
Den GUI-Knopf zum Export der VPN-Config habe ich allerdings noch nicht gefunden.
Das glaub ich dir nicht. Du hast dir die Konfig doch schon angeschaut und genutzt.
und die VPN-Config hab ich in der Sicherung auch direkt gefunden
face-smile face-smile face-smile

aber ich hab es nicht eingerichtet
Ausrede? face-smile Aber egal, wir wussten es jedenfalls nicht und konnten auch nicht davon ausgehen das es dich auch ein wenig überfordert ein simples Netz mit WAN, LAN und VPN Netz einzurichten bzw. zu prüfen. face-smile Wir können nur das Lesen was du uns schreibst. Vermutungen versuchen wir zu vermeiden da das oft genug ein Griff ins K... darstellt.

Ich war erstmal total erstaunt, dass es so teuere Geräte gibt, bei denen man nicht mal einfachste Einstellungen vornehmen kann
Das würde dann auch nicht mehr zum Archiv Konzept dort dann passen. Es ist eine Blackbox und fertig und so gewollt.

Dazum kommt dann noch, dass der Netzwerkinhaber keine Ahnung von Netzwerk hat und sein Drucker- und Archivlösungslieferant auch Netzwerktechnisch einfach mal die IP-Adressen 192.168.178.201 -207 eigenmächtig mal vergeben hat.
Das hätte dir aber bei der Aufnahme des ist Zustands auffallen müssen. Du bist doch jetzt dort der Netzwerker face-smile

Den VPN-User hat der Kunde auch eigenständig angelegt.
Sind die jetzt in ein separates Netz oder nicht?

ich hatte den DHCP nicht ein- und ausgeschaltet, daher hat er wohl dann die VPN-IP´s nicht verschoben.
Auch eine Fritte ist mehr als ein Stück Plastik face-smile

Schön wenn es jetzt tut.

Gruß,
Peter
RealFreeze
RealFreeze 19.11.2015 aktualisiert um 18:28:16 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @RealFreeze:
Den GUI-Knopf zum Export der VPN-Config habe ich allerdings noch nicht gefunden.
Das glaub ich dir nicht. Du hast dir die Konfig doch schon angeschaut und genutzt.
und die VPN-Config hab ich in der Sicherung auch direkt gefunden
face-smile face-smile face-smile
Ich schreibe explizit was von VPN-Config und nicht von der gesamten Fritzbox-Config face-smile

aber ich hab es nicht eingerichtet
Ausrede? face-smile Aber egal, wir wussten es jedenfalls nicht und konnten auch nicht davon ausgehen das es dich auch ein wenig überfordert ein simples Netz mit WAN, LAN und VPN Netz einzurichten bzw. zu prüfen. face-smile Wir können nur das Lesen was du uns schreibst. Vermutungen versuchen wir zu vermeiden da das oft genug ein Griff ins K... darstellt.

Harte Kritik am kleinen Mann. face-smile Also LAN,WLAN,WAN,VLAN,SUBNETING usw. sind mir geläufige Begriffe die ich einrichten und sogar mit dem Taschenrechner berechnen kann. Ich weiß aber auch, dass man an Hand eines kleinen Post sein Gegenüber schwer einschätzen kann.

Dazum kommt dann noch, dass der Netzwerkinhaber keine Ahnung von Netzwerk hat und sein Drucker- und Archivlösungslieferant auch Netzwerktechnisch einfach mal die IP-Adressen 192.168.178.201 -207 eigenmächtig mal vergeben hat.
Das hätte dir aber bei der Aufnahme des ist Zustands auffallen müssen. Du bist doch jetzt dort der Netzwerker face-smile

Aber Peter, das ist es doch, sonst würde es ja nicht laufen...face-wink Ich habe diese Thema hier nur eröffnet, damit Leute mit weniger Erfahrung evtl. sowas auch mal verdeutlicht bekommen. Wie du siehts gibt es auch noch andere die dies nicht wussten.

Den VPN-User hat der Kunde auch eigenständig angelegt.
Sind die jetzt in ein separates Netz oder nicht?
Wie soll ich die in ein seperates Netz legen? Seperates Netz heißt bei mir anders IP-Range. 192.168.178.0 und 192.168.179.0 sind bei mir 2 Netze. Das 2 Range lässte sich in der FB doch nut für den Gaszugang verwenden. Beim Gastzugangsnetz doch nicht einmal die Möglichkeit ein anders Netz ausser 192.168.179.0 auszuwählen. Die FB kann nun einen IP-Range. Die wurden jetzt in den IP-Bereich ab 192.168.178.151 gelegt. Somit die Archivio IP´s jetzt unberüht. Es sind nur 2 VPN Nutzer. Sollte man der FB mehrer IP-Adressen zuweißen können, wäre ich Dir dankbar, wenn du es mit verraten würdest wie es geht mit der Orginal-Firmware.

ich hatte den DHCP nicht ein- und ausgeschaltet, daher hat er wohl dann die VPN-IP´s nicht verschoben.
Auch eine Fritte ist mehr als ein Stück Plastik face-smile
So siehts aus face-smile Aber ich habe es jetzt mal ausgiebig auf der gestrigen 7270 getestet, da wird nix verschoben.

Schön wenn es jetzt tut.
Getan hat es ja bereits bevor ich diesen Post geschrieben habe. Es ist ja kein Frage-, sondern ein Wissenspost. Es sollte lediglich ein Anleitung sein face-smile

VG

Eric
RealFreeze
RealFreeze 19.11.2015 um 18:34:13 Uhr
Goto Top
Zitat von @114757:

Leider kann man die Config aus der FB nicht exportieren.
Doch kann man natürlich selbstverständlich: System > Sicherung > Sichern
Darin findet man auch die VPN-Config, ziemlich am Ende, dort kann man alle von der FB vergebenen VPN-IPs auslesen. Diese sollte man natürlich bei der Nutzung von statischen IPs aussparen. Wenn man den DHCP-Bereich verschiebt kurz aktiviert und wieder deaktiviert sollte die Fritte auch die VPN-Adressen am Ende des DHCP-Bereichs ausrichten.

Eine Fritte ist halt Konsumer-Spielzeug und nichts für Firmenkunden, höchstens was für Mini-Klitschen ...

Gruß jodel32

Also jodel32, ich hab das jetzt mal auf der gestrigen FB 7270 gestest, da wird definitiv nix verschoben, man kann das DHCP-Range ändern, an- und ausschalten so oft man will. Er belegt trotzdem die IP´s ab 192.168.178.201. Auf meine FB 6490 klappt es problemlos. Daher gehe ich davon aus, dass dies auch Firmwareabhänig ist.
114757
114757 19.11.2015 aktualisiert um 18:55:01 Uhr
Goto Top
Zitat von @RealFreeze:
Also jodel32, ich hab das jetzt mal auf der gestrigen FB 7270 gestest, da wird definitiv nix verschoben, man kann das DHCP-Range ändern, an- und ausschalten so oft man will. Er belegt trotzdem die IP´s ab 192.168.178.201. Auf meine FB 6490 klappt es problemlos. Daher gehe ich davon aus, dass dies auch Firmwareabhänig ist.
Wird wohl so sein, juckt mich aber jetzt nicht wirklich. Erstens ist die Anzahl an VPN-Usern die man auf einer Fritte gleichzeitig nutzen kann sowieso durch die Prozessor-Power begrenzt, zweitens kann ich von 1-10 Zählen und kenne somit auch den möglicherweise belegten Adressraum der User bzw. kann ihn manuell in der Config ändern und kann ihn somit in die Netzwerk-Doku eintragen, und drittens empfehle ich die Fritte sowieso keinen Firmen mit mehr wie 10 Mitarbeiter...

Problem gelöst, bzw. war da überhaupt ein Problem?! face-smile

Belassen wir's dabei, der Beitrag wird schon denen Nutzen die danach suchen, für alle anderen gilt: weissu beschaid.

Schönen Abend
FalconTR
FalconTR 24.11.2015 um 06:25:28 Uhr
Goto Top
Wenn ich mich nicht irre, dann wird wenn ich über die Software Fritz Fernzugang einrichten, einen Benutzer anlege, eine IP für den VPN Benutzer abgefragt. Im default steht die .201 drinne. Würde also soweit passen. Ob die IP auch verwendet wird wenn per Weboberfläche ein Benutzer angelegt wird kann ich nicht sagen.
Also evtl. mal mit der Software den Benutzer erzeugen und dann in die FB importieren.