[Frage] VPN klappt, Telefonie und Internet über Tunnel aber nicht...

[Jstessi]

Hallo liebe Fachgemeinde

Zuerst meine Geräteanordnung:
FB 7490 (genannt B) auf 192.168.2.254 [o2]
FB 6490 (genannt A) auf 192.168.2.254 [Vodafone] <-- VPN --> FB 7560 (genannt C) auf 192.168.178.1 [1und1]

Eigentlich fand ich bisher alles, was ich suchte, doch diesmal blieb ich erfolglos: es geht um 3 Dinge in/um VPN, die ich entweder nicht vestanden habe, oder die tatsächlich nicht gehen. Fangen wir mit dem ersten an:
----------------------------------------------------------------------------------------------------------------------------------------
VPN zwischen A und C klappt hervorragend (bin auf A eingeloggt), Verbindung zwischen B und C wird auch als ok dargestellt (grüne LEDs auf beiden Seiten). Wenn ich aber auf B eingeloggt bin, kann ich C nicht mehr per VPN erreichen) Ich frage mich und euch, warum. Erklärungsversuch: A und B haben gleiche LAN-IP, weswegen die Antwort von C nicht an die richtige Box zurückkommt - ist aber ne Mutmaßung.
-----------------------------------------------------------------------------------------------------------------------------------------
Problem 2: ich möchte die WAN-IP von C (1und1) nutzen, wenn ich (A) über VPN auf C auf das Internet zugreife. Nur so kann ich bestimmte Funktionen im 1und1-Control-Center ausführen, ohne die 30 km zur Box C fahren zu müssen. Also surfen von A über VPN auf C. Dazu gibts hier ellenlange Texte, die zum Teil aber von 2009 stammen. Ich möchte, falls es geht, die Einstellungen auch ohne die "FRITZ!Box-Fernzugangs-Software" bewerkstelligen, denn VPN habe ich ja auch ohne geschafft. Hat dies inzwischen jemand geschafft? Erreiche ich das Internet überhaupt??????
----------------------------------------------------------------------------------------------------------------------------------------
Problem 3: ich möchte auf den in C genutzten Telefoniegeräten von A über den Tunnel telefonieren können. Man stelle sich einfach vor, dass auf C "Vergünstigungen" existieren, die ich auf A nicht habe. Sie sollen also virtuell bei mir 'nachgebildet' werden. So wird ein Schuh draus.

Es wäre sehr schön, wenn zu diesen ja recht ähnlich gelagerten Problemen Lösungsansätze oder gar Lösungen gefunden würden.

Ich bedanke mich im Voraus. J.

 

[HabNeFritzbox]

Als erstes sollte jede FB anderes Subnet haben, also A oder B ändern.

Wenn du über ein anderes Gerät ins Internet möchtest, musst am jeweiligen Client die entsprechende FB manuell als Gateway angeben oder statt FB <> FB VPN, direkt VPN mit der jeweiligen FB aufbauen.

 

[Jstessi]

>

Als erstes sollte jede FB anderes Subnet haben, also A oder B ändern.

Das hatte ich mir so schon gedacht - leider sind dann alle WLan Klienten futsch..

Wenn du über ein anderes Gerät ins Internet möchtest, musst am jeweiligen Client die entsprechende FB manuell als Gateway angeben

Das habe ich gemacht:im TCP-IP das Gateway auf 192.168.178.1 > ohne Erfolg

oder statt FB <> FB VPN, direkt VPN mit der jeweiligen FB aufbauen.

Kannst du das bitte auf deutsch übersetzen? Das bringt mich so keinen Deut weiter
Danke trotzdem

 

[Micha0815]

Du solltest Dir u.U. die diversen Möglichkeiten vor Augen führen, welche VPN-Verbindung von wo nach wo notwendig sind.
Du kannst drei Standorte via LAN2LAN vernetzen und ggfs. den kompletten Internetverkehr über eine FB abwicklen, nur muss dies FB dann schon richtig "ackern", wenn mehrere Clients den zumeist schmalerern Upload bemühen und alles auch noch verschlüsselt werden muss. Eine 1und1 Rufnummer kann vagabundierend registriert werden, ohne dass es einer VPN-Verbindung bedarf. Ob von Standort B oder C oder sonstigem Ort, kannst Du in C einen VPN-User anlegen, der dann über den Anschluss das 1und1-CC erreicht. Für einen einzelnen Client muss mann nicht unbedingt zwei FBs via VPN verbinden, wenn man eher nur gelegentlich/bei Bedarf Zugriff auf das entfernte Heim-Netz benötigt.
LG

 

[Jstessi]

Du kannst drei Standorte via LAN2LAN vernetzen und ggfs. den kompletten Internetverkehr über eine FB abwicklen, nur muss dies FB dann schon richtig "ackern", wenn mehrere Clients den zumeist schmalerern Upload bemühen und alles auch noch verschlüsselt werden muss.

Das ist weniger das Problem, weil nur ich gelegentlchdie IP (WAN) nutze, denn:

Eine 1und1 Rufnummer kann vagabundierend registriert werden, ohne dass es einer VPN-Verbindung bedarf.

Stimmt, am muss aber erst einge zusätzliche freischatlen.-> das eht nur mit der 1und1-IP

kannst Du in C einen VPN-User anlegen, der dann über den Anschluss das 1und1-CC erreicht.

das wäre zielführend..nur wie????

Für einen einzelnen Client muss mann nicht unbedingt zwei FBs via VPN verbinden, wenn man eher nur gelegentlich/bei Bedarf Zugriff auf das entfernte Heim-Netz benötigt.

Es ist aber deutlch praktischer, weil ich dann alle Links in der FritzBox-Oberfläche gleich anspringen kann-

Gibste bitte noch Tipps zu dem VPN-User oben?

LG

 

[Micha0815]

In der Fritz!Box System->Fritz!Box Benutzer bestehenden Benutzer ganz unten VPN-Rechte geben und aus dem I-Net erlauben oder neuen Benutzer anlegen und dann je nach Client (Android/W10/Linux/IOs) die AVM-Wissensdatenbank befragen oder hier im Forum suchen. Für W10 gibt es den shrew-soft-client, zudem es hier eine How2do gibt neben vielen threads und auch in der AVM Wissensdatenbank.
LG

 

[Jstessi]

In der Fritz!Box System->Fritz!Box Benutzer bestehenden Benutzer ganz unten VPN-Rechte geben und aus dem I-Net erlauben oder neuen Benutzer anlegen und

Das ist bereits passiert und funktioniert auch

je nach Client (Android/W10/Linux/IOs) die AVM-Wissensdatenbank befragen oder hier im Forum suchen.

Toll. Habe und behalte Win7 - gesucht habe ich schon weit vorher :-(

LG

 

[Micha0815]

gesucht habe ich schon weit vorher :-(

Und darüber bist Du nie gestolpert oder die Anleitung von @andilao
LG

 

[Jstessi]

Nein, bin ich nicht. Selbst AVM weist darauf nicht hier - Support eher schecht. Shrew habe ich noch nie gehört..

 

[Micha0815]

Selbst AVM weist darauf nicht hier

Den Support von AVM habe ich selbst noch NIE bemüht, weshalb ich dazu keine Aussage aufgrund persönlicher Erfahrung abliefern kann.
Über das ggfs. "Manko", dass in sämtlichen Anleitungen der eigene Myfritz-Service, wobei der DYNDNS-Part auch von anderen Anbietern sowohl IPv4 alsauch IPv6 kostenlos realisiert werden könnte, nicht erwähnt wird, liegt in der Natur der Sache.
LG

 

[PeterPawn]

Support eher schecht. Shrew habe ich noch nie gehört..

Ehrlich ... manchmal wundere ich mich nur noch still (hier geht's mir dann aber doch wieder zu weit für eigenes "Stillsein"), was sich manche Leute so vorstellen, wo und wie sie von anderen bedient werden sollten.

Einerseits wird hier behauptet:

gesucht habe ich schon weit vorher

und andererseits kommen dann Sätze wie im ersten Zitat oben.

Wenn ich mich hinstelle und bei einer (sehr bekannten) Suchmaschine mit den Suchbegriffen "fritzbox vpn client windows 7" vorstellig werde (das ist bei der vorliegenden Fragestellung nun alles andere als "abwegig", auch genau diese Anfrage zu verwenden ... was sollte man sonst suchen?), dann erhalte ich als zweiten Treffer einen Beitrag in der AVM-KB, der sich genau diesem VPN-Client widmet und wo das bereits "im Titel" deutlich erkennbar ist.



Was muß man denn bitte wie genau suchen, damit es einem nicht ebenso ergeht?

 

[Jstessi]

Es zeugt schon von einer gewissen Überheblickeit, anderen 'falsches Suchen' vorzuwerfen, wenn man die Fundstelle genau kennt. Schon mal ohne 'client' gesucht? Und?

Über das ggfs. "Manko", dass in sämtlichen Anleitungen der eigene Myfritz-Service, wobei der DYNDNS-Part auch von anderen Anbietern sowohl IPv4 alsauch IPv6 kostenlos realisiert werden könnte, nicht erwähnt wird, liegt in der Natur der Sache.

Dazu habe ich nicht Negatives zu berichten: beides ist eingerichtet und funktioniert bestens.

 

[PeterPawn]

Es zeugt schon von einer gewissen Überheblickeit, anderen 'falsches Suchen' vorzuwerfen, wenn man die Fundstelle genau kennt. Schon mal ohne 'client' gesucht? Und?

Ja, und? Soll ich das jetzt einfach mal "ausprobieren" und wollen wir dann tatsächlich über die Ergebnisse weiter diskutieren?

Dann kriege ich einfach eine Ergebnisliste der folgenden Form (Abweichungen sind ggf. auf die Verwendung von "en" als bevorzugte Sprache im Browser bei mir zurückzuführen):

Der allererste Treffer dort führt mich direkt zu AVM und von dort ist es nur noch ein einziger Klick (nach etwas Lesen und Verstehen, aber das gehört nun mal mit zur Recherche), um zu einer Seite zu gelangen, die ich mit noch kürzeren Suchparametern wieder ganz oben in der Liste angezeigt bekomme:

Rufe ich jetzt diese Seite auf, steht da auch wieder direkt der Link auf die AVM-Anleitung für den Shrew Soft VPN Client:

Fazit:
Ich bin auch ohne "client" (und ohne "windows 7" erst recht) mit max. drei Klicks bei der AVM-Anleitung für die Konfiguration des erwähnten Clients (und in der VPN-Serviceseite von AVM) ... es zeugt schon von einer gewissen Faulheit, wenn man die eigene Suche nicht entsprechend variiert, sofern die erwarteten Ergebnisse nicht gleich beim allerersten Versuch "ins Auge springen" und wer ernsthaft behauptet:

- gesucht habe ich schon weit vorher :-(

, der sollte auch mehr als eine Variation einer solchen Suche verwendet und eine Link-Tiefe > 1 bei den Ergebnissen (mindestens bei den ersten Treffern innerhalb einer Abfrage und keines meiner Beispiele war jenseits des fünften Treffers) angesehen haben.

Wenn da (bei der Suche ohne "client") bei AVM etwas von einer "VPN-Serviceseite" steht, dann gehört die (nach meinem Verständnis jedenfalls und mich würde ja mal die Begründung interessieren, warum man die nicht automatisch "besucht", wenn man von ihrer Existenz Kenntnis erhält und sie bis dato inhaltlich noch nicht kennt ... was sollte dort denn "thematisiert" sein, wenn nicht das VPN des FRITZ!OS?) schon automatisch zu den zu lesenden (oder zumindest mal zu überfliegenden) Fundstellen.

 

[Jstessi]

Ich bin ja so stolz auf das

 

[PeterPawn]

Ich weiß zwar nicht genau, worauf sich dieser Stolz Deinerseits bezieht ... aber nach der "gezeigten Performance" bei der eigenen Recherche (über die Frage, warum ein Ändern des Subnetzes bei A oder B zum Ergebnis:

leider sind dann alle WLan Klienten futsch..

führen sollte, will ich jetzt gar nicht diskutieren, weil es im - sehr ungewöhnlichen, gerade angesichts der ansonsten gezeigten Kenntnisse - Falle der Vergabe von statischen IP-Adressen für WLAN-Clients tatsächlich einen Sinn ergeben könnte) gibt es nicht so sehr viel, worauf Du zwingend stolz sein müßtest.

------------------------------------------------------------------------

Daher will ich auch noch einmal - ehe es jemand in #3 falsch versteht oder glaubt zu verstehen, ich beziehe das jedenfalls auf das von der FRITZ!Box aufgespannte WLAN - explizit festhalten, daß ein Ändern der IP-Adressen im LAN-Segment einer FRITZ!Box einigermaßen unschädlich ist für die "Kenntnis" von WLAN-Clients über ein solches Netz ... das wird üblicherweise anhand der SSID gesucht und mit deren Änderung hat die IP-Adresse (die ist dann wieder der entscheidende Punkt für das VPN) überhaupt nichts zu tun - auch der WPA2-PSK wird dabei nicht geändert.

Solange man nicht tatsächlich den DHCP-Server im FRITZ!OS ausschaltet (was die wenigsten Benutzer machen werden) und parallel seine WLAN-Clients alle mit statischen IPv4-Adressen versorgt (die müssen dann natürlich schon zum LAN-Segment der FRITZ!Box passen und wären ggf. zu ändern, so man tatsächlich eine solche Konfiguration verwendet - wie gesagt, ist eher unwahrscheinlich im eigenen Netz, wenn man es nicht absichtlich macht), spielt das nur eine untergeordnete Rolle.

Allerdings kann es tatsächlich sein, daß man dann alle VPN-Konfigurationen noch einmal löschen und neu einrichten muß (das war hier ja sogar der Sinn bzw. die Begleiterscheinung des Vorschlags von @HabNeFritzbox), weil diese Konfigurationen (sie bestehen i.d.R. ja auf jeder Seite eines VPN-Tunnels aus einer Konfiguration für den verwendeten Client bzw. für die Box) die IPv4-Adressen enthalten, die zum Zeitpunkt der Einrichtung (sofern diese mit den Bordmitteln des FRITZ!OS erfolgte) gültig waren.

Ich weiß nicht, wie weit AVM bei der automatischen Korrektur von VPN-Verbindungen inzwischen ist (abgesehen davon, daß da ja auch nur die "Box-Seite" automatisch angepaßt werden könnte und der Client weiterhin in der Verantwortung des Benutzer bleibt), wenn man das LAN-Segment ändert ... daher ist die Empfehlung mit "löschen und neu einrichten" eher die "sichere Seite".

 

[HabNeFritzbox]

Spätestens C kann nicht mit B da B selbe Netz wie A hat. B wird also immer eine der beiden FB nicht Routen können.

 

[Jstessi]

führen sollte, will ich jetzt gar nicht diskutieren, weil es im - sehr ungewöhnlichen, gerade angesichts der ansonsten gezeigten Kenntnisse - Falle der Vergabe von statischen IP-Adressen für WLAN-Clients tatsächlich einen Sinn ergeben könnte) gibt es nicht so sehr viel, worauf Du zwingend stolz sein müßtest.

Die getätigte Aussage zum möglichen Verlust von WLan-Clients basiert auf einer Meldung innerhalb der Box und ist damit ja wohl mehr als nachvollziehbar.

 

[PeterPawn]

Ja, da steht aber bei AVM gar nichts von WLAN-Clients (im Gegensatz zu #3) und die aufgeführten Konsequenzen haben alle einen Bezug zu den geänderten IPv4-Einstellungen (und sind damit logische Folge einer solchen Änderung - wenn die Liste der bisher bekannten Geräte (da haben alle Einträge ja die alten Adressen) gelöscht wird, ist das nun mal die von AVM bevorzugte Konsequenz und eine mögliche Umsetzung).

Wer tatsächlich eigene Einstellungen hinsichtlich Portfreigaben, Kindersicherung und Priorisierung vorgenommen hat (auch das ist sicherlich ein eher kleiner Teil), der müßte diese bei einer Änderung ohnehin erneut umsetzen - Automatismen zur "Anpassung" bergen immer das Risiko, daß sie doch "danebenliegen" und die Konsequenz sind dann nicht erwünschte (ein- oder ausgehende) Verbindungen. Da ist der "Neuaufbau" dann allemal "ehrlicher" und deutlich weniger fehlerträchtig.

Das gilt aber für alle Clients im LAN und hat mit dem WLAN (das hier ja deutlich als Merkmal angeführt wurde - ansonsten wäre sicherlich "(W)Lan" als Kennzeichnung, daß es beide Kategorien von Netzwerkgeräten betrifft, üblicher und würde derartige Mißverständnisse vermeiden - wie ich diese Betonung des WLAN interpretiert habe, steht schon weiter oben und ich sehe nicht, warum das anderen später nicht ebenso ergehen sollte) nichts zu tun ... selbst wenn jemand tatsächlich nur WLAN-Clients in seinem Netz betreiben sollte und nicht einen einzigen LAN-Client hat (was neben der Bemerkung in #3 und im gesamten #1 auch nicht so steht).

Bei Dir mögen also alle möglichen Geräte mit Portfreigaben oder speziellen Zugriffsprofilen existieren und diese Einstellungen wären dann wohl tatsächlich "verloren" bei einer passenden Änderung des verwendeten LAN-Segments ... der überwiegende Teil der anderen Leser wird nur wenige Geräte freigeben und für nur wenige Geräte den Zugriff auf das Internet regulieren (die FRITZ!Box taugt da ohnehin nur bedingt und ist max. etwas "für den Heimgebrauch") und genau dieser Teil könnte (meiner Ansicht nach jedenfalls) von der Bemerkung in #3 dahingehend irritiert werden, daß dieselben Konsequenzen wie nach einer Änderung der SSID oder des PSK zu erwarten wären - was hier eben nicht der Fall ist (auch wenn das tatsächlich alle WLAN-Clients betreffen würde).