7270 VPN steht, Netzwerk aber nicht erreichbar

finnah

Neuer User
Mitglied seit
3 Feb 2007
Beiträge
61
Punkte für Reaktionen
0
Punkte
0
Tag zusammen,

ich habe schon einige Tage probiert mich mit dem Fritz!Fernzugang via VPN in mein Netzwerk daheim zu schalten (ich bin in einem fremden Netz). Dies klappt aber nicht.

Laut dem Ereignissprotokoll meiner 7270 ist die VPN-Verbindung erfolgreich aufgebaut worden. Dies bestätigt mir auch die Fernzugangssoftware.
Doch egal wie ich auf die heimischen Gerätschaften zugreifen möchte, sie sind nicht erreichbar. Ich kann sie nicht einmal pingen.

Da ich an den Netzwerkeinstellungen meiner 7270 nichts verändert habe, habe ich beim "erstellen" der Konfig im "FRITZ!Box Fernzugang einrichten" den Punkt "Werkseinstellungen der Fritzbox für das IP-Netz übernehmen" gewählt und die beiden Konfigurationsdateien entsprechend in die Fritzbox und der Software importiert.

Die Software ist frisch von avm heruntergeladen, sollte also die aktuellste sein (falls es dort verschiedene Versionen geben sollte)
Die Firmware meiner 7270 ist die 54.04.76.

VPN-Pakete sollten hier meines Wissens nicht geblockt werden, da ich gerade an einer Schulungsstätte bin, wo sich des öfteren Mitarbeiter via VPN in ihr Firmennetzwerk einwählen.

Woran könnte es liegen, dass die Verbindung zwar aufgebaut wird, ich aber aus meinem Netzwerk kein Gerät erreichen kann?
 
Hallo,

darüber hinaus kann die Subnetzmaske falsch sein, oder du verwendest einen Zugang, der VPN blockt (einige Mobilfunkanbieter machen das z.B.).
 
Hi,

also die Windowsfirewall von Vista habe ich deaktiviert. Eine andere habe ich auf meinem System nicht laufen. Danach habe ich sicherheitshalber die "Konfigs" neu erstellt und neu eingespielt. Doch auch mit deaktivierter Firewall tritt das gleiche Problem auf.

Inwiefern könnte denn die Subnetzmaske falsch sein? In meinem Netzwerk zuhause habe ich die standard 24 Bit-Maske. In den Konfigurationen konnte ich diese wiederfinden mit der IP 192.168.178.201.

Hier mal die Konfigurationen. Ich konnte zwar soweit keinen Fehler erkennen, aber vielleicht habe ich auch einfach nur was übersehen:

Konfig für die Fritzbox:
[Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]
Code:
/*
/*
 * C:\Users\finnah\AppData\Roaming\AVM\FRITZ!Fernzugang\YYY_dyndns_org\fritzbox_YYY_dyndns_org.cfg
 * Mon Sep 07 22:49:36 2009
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "XXX";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Konfig für die Software:
Code:
/*
 /*
 * C:\Users\finnah\AppData\Roaming\AVM\FRITZ!Fernzugang\YYY_dyndns_org\finnah_gmx_de\vpnuser_finnah_gmx_de.cfg
 * Mon Sep 07 22:49:36 2009
 */

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "YYY.dyndns.org";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.178.201;
                remoteip = 0.0.0.0;
                remotehostname = "YYY.dyndns.org";
                localid {
                        user_fqdn = "[email protected]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "XXX";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.178.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

Zudem habe ich im Anhang einen Wiresharkmitschnitt zum Verbindungsaufbau des VPNs. Die IP 192.168.178.2 ist ein Gerät in meinem Netzwerk welches 7/24 im heimischen Netz erreichbar ist.
 

Anhänge

  • vpnaufbau.jpg
    vpnaufbau.jpg
    73.4 KB · Aufrufe: 12
Hallo,

172.31.X.Y ist das Subnetz, in dem der VPN Client arbeitet? Wie ist dessen Internetzugang realisiert?

Die Konfig sieht soweit gut aus. Ist das Ziel der VPN Verbindung das Netz aus deiner Signatur? Dort arbeiten alle Geräte in einem Subnetz? Es gibt keinen Router außer der 7270?

Ich denke, der Internetzugang des Clients blockt ESP. Darauf deutet vieles hin. Der Verbindungsaufbau funktioniert, aber es fließen keine Nutzdaten. Typisch für Verbindungen über Firewalls oder Proxys, oder auch bei Mobilfunkverbindungen.
 
Vielleicht solltest du dich mal an den Admin des fremden Netzes wenden und nicht eigenmächtig Versuche durchführen, die nachher Konsequenzen haben...
 
Hi,

@ frank_m24:

Ganz recht. Das 172er Netz ist das LAN dieses Schulungsortes, andem ich zur Zeit bin.
Die Fritzbox 7050 und die 3131 in meiner Signatur arbeiten wirklich nur als Access-Points bzw. Repeater. Alle Geräte in meinem Heimnetz befinden sich in einem Subnetz.
Den Internetzugang und das LAN dieses Schulungsortes kenne ich nicht. Weiß also nicht ob Firewalls oder Proxys vorhanden sind, bzw wie sie konfiguriert sind.
Aber zu denen habe ich ja sowieso keine Zugriff.
So langsam glaube ich auch immer mehr, dass die ESP-Pakete gedropt werden.

@doc:

Nichts für ungut, aber ich versuche doch lediglich eine sichere Verbindung in mein Heimnetz zu legen. Zu den Netzwerkgeräten hier vor Ort habe ich sowieso keinen Zugriff.


Aber bis dahin schonmal vielen Dank für eure Hilfe...
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.