[Gelöst] 7270 v2 im Ferienhaus mit UMTS prepaid, DynDNS und MyFritz ueber Provider gesperrt?

[luedinghausen]

Hallo zusammen,
Im Ferienhaus arbeitet eine ausgediente Fritzbox 7270v2 (OS 5.50) samt ZTE Stick inkl. VoIP (Sipgate).
Das laeuft per Prepaid Internet Volumen und haelt immer ca. ein Jahr, wird aber nur wenige Monate im Sommer tatsaechlich genutzt.
Tarif ist: T-Mobile Ungarn - Domino (sim+stick) HSPA, Volumen 1-5GB

Da oft auch Verwandte dort sind, ist es notwendig die Box auch fernzuwarten.
Zur Zeit geht das nur mit Teamviewer ueber Laptop eines Gasts.
MyFritz und auch DynDNS.org registrieren sich, sind aber von aussen nicht erreichbar.
Sowohl Port 433, als auch 499 sind tot. Haben die Mobilfunk Provider da Portsperren drin?
SIP funktioniert einwandfrei (Portweiterleitung aktiv halten alle 30sec. ist an).

Hat jemand eine Idee, wie ich die Box doch noch erreichen kann?

Schon einmal an dieser Stelle Danke fuer Eure Hilfe

 

[sf3978]

Hat jemand eine Idee, wie ich die Box doch noch erreichen kann?

Das ist z. B. möglich, wenn Du in der Lage bist einen VPN-Client auf dieser Box zu installieren, der von sich aus eine Verbindung zum Server herstellt.

 

[luedinghausen]

ich habe ja noch eine weiter fritz box in koeln, zu der man eine verbindung aufbauen koennte.
fritz zu fritz quasi. Ginge das auch, in meinem Fall?
Koennte mir vorstellen, dass der Verbindungsaufbau darunter leiden koennte.

 

[sf3978]

fritz zu fritz quasi.

Du meinst AVM-IPsec? Ich weiß nicht ob das in deinem Fall geht. Ich benutze vtun.

 

[luedinghausen]

Geht das ueberhaupt ohne freetz bzw. Modifikationen an der Box?
Ich bin zur Zeit nicht am Geraet (client).
Laesst Sich vtun per ssh nach installieren?

 

[sf3978]

Geht das ueberhaupt ohne freetz ...

Sollte statisch gelinkt, möglich sein:

config FREETZ_PACKAGE_VTUN_STATIC

 

[Telefonmännchen]

Bist Du Dir sicher, dass Du bei Deinem Provider eine öffentliche IP bekommst, die auch aus dem Internet erreichbar ist? Das ist nicht bei allen der Fall. Einige verteilen auch Adressen aus dem privaten Bereich und NATen dann selbst.

Gruß Telefonmännchen

 

[sf3978]

Einige verteilen auch Adressen aus dem privaten Bereich ...

Ob öffentlich oder privat kann man z. B. mit:

curl -B4 -A MickeyMouse ip1.dynupdate.no-ip.com

, auch von einem "no border device" testen. Wenn öffentlich, dann muss diese IP-Adresse aus dem Internet nicht unbedingt erreichbar sein, wenn auf der UMTS-Box z. B. ein VPN-Client benutzt wird.

 

[luedinghausen]

Die IP liegt ziemlich oeffentlich aus. 188.157.10.xxx
Nach den Angaben von AVM kann man eine LAN to LAN verbindung einrichten, die dann nach Bedarf aufgebaut wird, und bei der beide Boxen sowohl als Server als auch Client arbeiten.
Ich kann an keine der Boxen physisch ran, deshalb muss es ohne vtun gehen.
Werde hier mal meinen Erfolg/Misserfolg posten... daumendruecken

 

[sf3978]

Ich kann an keine der Boxen physisch ran, ...

D. h., für das AVM-VPN musst Du an die Boxen nicht physisch ran?

 

[andilao]

Per Teamviewer und WebIF bekommt man das schon hin.

 

[luedinghausen]

Hallo zusammen!

Gute Nachricht, die Verbindung hat sich aufgebaut von der ungarischen Seite und war stabil gestern abend.
Jetzt gibts aber das problem, dass die ungarische Box die Verbindung nicht haelt und auch nicht wieder aufbaut, wenn sie verloren geht.
Heute morgen war die Verbindung weg. Leider sind die Parameter von AVM nicht vollstaendig aufgelistet.
Ich dachte, dass "always_renew = yes;" dafuer sorgen wuerde... :/
Die Verbindung muss von Ungarn aus ablaufen, da Koeln die ungarische Box nicht "sieht" (blocked vom ISP).

Hat jemand Ideen, was ggf. in der cfg noch verstellt werden kann?

Hier ist die cfg:

/*
* Hungary
* v0.1 02.06.2013
*/

vpncfg { 
    connections {
    enabled = yes;
    conn_type = conntype_lan;
    name = "evl2 to evl";
    always_renew = yes;
    reject_not_encrypted = no; 
    dont_filter_netbios = yes;
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = 0.0.0.0;
    remote_virtualip = 0.0.0.0;
    remotehostname = "evl.dyn?.org";

    localid {
        fqdn = "evl2.dyn?.org";
    }

    remoteid {
        fqdn = "evl.dyn?.org";
    }
    mode = phase1_mode_aggressive;
    phase1ss = "all/all/all";
    keytype = connkeytype_pre_shared;
    key = "??????????????????????"; 
    cert_do_server_auth = no;
    use_nat_t = no;
    use_xauth = no;
    use_cfgmode = no;
    phase2localid {
        ipnet {
            ipaddr = 192.168.78.0; 
            mask = 255.255.255.0;
        } 
    }
    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
    accesslist = "permit ip any 192.168.178.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                    "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

 

[Telefonmännchen]

Du kannst dort relativ wenig einstellen, denn standardmäßig wartet das VPN auf eine Netzwerkanfrage zum anderen VPN-Partner. Hierzu könnte man einen Dummy-VoIP-Account auf der Deutschlandbox einrichten, zu der sich der VoIP-Client der Ungarn-Box verbinden will.

Gruß Telefonmännchen

 

[luedinghausen]

Ah, clever Danke, werde das mal testen.
wofuer steht dann: always_renew = yes; ?

 

[Telefonmännchen]

wofuer steht dann: always_renew = yes; ?

Eigentlich genau für die gewünschte Funktion, nur scheint das manchmal nicht sauber zu funktionieren. Ist wohl auch abhängig von der Firmware bzw. von der Funktionsfähigkeit und Updategeschwindigkeit des DynDNS-Anbieters. Ich habe mir mit dem Fake-Account bei einem VPN zwischen einer 7170 und einer 7270 beholfen, es derzeit aber wieder deaktiviert, weil es nach einem Upgrade auf einen kostenpflichtigen DynDNS-Account problemlos funktioniert. Aber das ist für Dich ja keine Option, Dein Problem liegt ja anders.

Gruß Telefonmännchen

 

[luedinghausen]

Es waere ja auch zu schoen, wenn alles klappt.... haha

anscheinen mag die per vpn "eingewaehlte" fritzbox in ungarn sich nicht bei der heimat box (sip registrar) anmelden.

Ungarn (Internetrufnummer) --> Koeln (LAN/WLAN Telefoniegeraet) xxx

Die Prüfung der Internettelefonie ist fehlgeschlagen. Die Anmeldung beim Telefonieanbieter ist gescheitert. Prüfen Sie die eingegebenen Zugangsdaten für die Internettelefonie.

Habe sogar exakt die Anleitung von AVM befolgt: http://service.avm.de/support/de/SK...egistrar-anmelden-um-darueber-zu-telefonieren

Ist die SIP Registrar Funktion per VPN doch nicht moeglich?
Posting 2 nach 5 Min:
Muss ich da vielleicht eine Port weiterleitung bzw. vpn rueckrouten einrichten?
Posting 3 nach 3 Std:
Koennte eine Statische Routingtabelle noetig sein?

 

[sf3978]

..., und bei der beide Boxen sowohl als Server als auch Client arbeiten.

Sowohl als Server als auch Client arbeiten müssen? Was macht der Client, wenn er den Server auf der UMTS-Box nicht erreichen kann?

 

[luedinghausen]

Ich kenne mich jetzt leider nicht genug aus bei den Verbindungsanforderungen der VPN IPSsec Tunnel.
Aber ich meinte, dass beide Boxen jeweils ein VPN Profil haben, womit sie als client jeweils die andere Box (Server) erreichen.
In meinem Fall heisst das, dass die Ferienhaus Box sich moeglichst selbstaendig bei der Koelner Box einwaehlt.
Soweit ich weiss, besteht aber immer nur eine Verbindung von A nach B oder umgekehrt zur gleichen Zeit.

 

[Telefonmännchen]

Wie man das betrachtet ist egal. Es ist eine LAN-LAN-Verbindung, die beiderseits initiiert werden kann. Insofern ist das egal, wie man das jetzt nennt. Dass die Box nicht mal bei Anforderung (durch die SIP-Registrierung) einen Tunnel aufbaut, ist natürlich unbefriedigend. Ich wüsste nicht, wie man das sonst ohne tiefere Eingriffe forcieren könnte.

Eine Möglichkeit wäre z.B. Freetz mit dem Callmonitor, der dann durch einen Lockanruf eine Verbindung aufbaut (vorausgesetzt, man kann das manuell anstoßen). Mehr fällt mir auch nicht ein.

Gruß Telefonmännchen

 

[luedinghausen]

Das jetzige Problem ist leider, dass die entfernte Box sich nicht einmal bei der Heimat-Box (SIP Registrar) als Telefoniegeraet/SIP Nebenstelle registrieren kann.
Ich kann mir das nur so erklaeren, dass die entfernte Box sich deshalb nicht durch den VPN Tunnel anmelden kann, weil sie nicht im im gleichen Subnetz ist.
Sollte das aber nicht durch die VPN Einwahl und VPN cfg (siehe oben) automatisch passieren?
Da waere dann etwas Hilfe bei der Einrichtung einer statischen IPv4 Route fuer SIP notwendig.


Heimat-Box (192.168.178.1) <--- entfernte Box (192.168.78.1)


Freetz scheidet leider aus, weil die entfernte Box eben weit entfernt ist und bis naechstes Jahr nicht vor Ort administriert werden kann.
Aaaargh, jetzt haengts an einer Kleinigkeit....

Gruss, Max