[Problem] ASUS VPN-Server hinter Fritzbox

[jogi2573]

Hallo zusammen,

ich habe folgendes Problem und finde hierzu leider keine Lösung in diesem Forum.

Problemstellung:
Ich möchte per VPN mich mit meinem Heimnetzwerk verbinden. Als VPN-Server möchte ich einen ASUS-Router hinter meine FritzBox ranhängen.

Hardware:
ASUS RT-AC68U per LAN mit Fritzbox 5490 verbunden.
Portweiterleitung in der Fritzbox: TCP1723 und GRE
Protokoll PPTP

Log-im ASUS:
Dec 16 13:26:56 pptp[4928]: pppd 2.4.7 started by paul, uid 0
Dec 16 13:26:56 pptp[4928]: Connect: pptp0 <--> pptp (80.187.111.77)
Dec 16 13:27:26 pptp[4928]: LCP: timeout sending Config-Requests
Dec 16 13:27:26 pptp[4928]: Connection terminated.
Dec 16 13:27:26 pptp[4928]: Modem hangup

So wie es aussieht komme ich zum ASUS durch, jedoch stimmt etwas nicht mit der Verbindung. Als Client habe ich WIN10pro verwendet.

Kann mir jemand sagen, wo der Fehler ist?

Vielen Dank

 

[Insti]

Schau mal unter www.canyouseeme.org ob der Port 1723 wirklich offen ist.

 

[jogi2573]

Hallo Insti,
danke für die schnelle Antwort:
Success: I can see your service on 193.1XX.XXX.XXX on port (1723)
somit scheint er offen zu sein :-(

Habe einmal unter
https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1
einen komplett Scan durchgeführt, hier das Ergebnis:

Portscan-Ergebnis

Port	Name	Status	Erläuterung
443		offen	Web Server (HTTPS)
1723		offen	VPN-Server (PPTP)

Port 443 ist damit ich von außen auch auf die ASUS Oberfläche komme. Müsste ich jedoch irgenddwo nicht auch den GRE Port sehen?

Gruß Jogi

 

[Insti]

Welches ip Subnetz hat der Asus Router und welches der Windows10 Client?

 

[jogi2573]

ich versuche es einmal zu beantworten, die Abfrag von ipconfig ergibt:
Verbindungsspezifisches DNS-Suffix:

   IPv6-Adresse. . . . . . . . . . . : 2a01:598:9909:a3b1:1dbd:b576:9194:4f2b
   Temporäre IPv6-Adresse. . . . . . : 2a01:598:9909:a3b1:5ce8:61c3:3c2b:****
   Verbindungslokale IPv6-Adresse  . : fe80::1dbd:b576:9194:*****
   IPv4-Adresse  . . . . . . . . . . : 172.20.10.4
   Subnetzmaske  . . . . . . . . . . : 255.255.255.240
   Standardgateway . . . . . . . . . : fe80::8ed:5040:d1fa:****
                                       172.20.10.1

==> ****habe ich zur Anonymisierung gemacht

Im ASUS-Router kann ich folgendes finden:
Client-IP-Adresse: 192.168.15.2 - 192.168.15.31

In der Fritzbox habe ich noch folgedes gefunden:

P-Adresse: 192.168.20.1
Subnetz: 255.255.255.0
Öffentliche IP Subnet: 255.255.255.252 (dies hat mein Provider eingetragen)

hilft das weiter oder fehlt noch was?

[CODE] TAGs [/CODE] gesetzt by stoney

 

[KunterBunter]

IPv4-Adresse . . . . . . . . . . : 172.20.10.4

Das ist eine IPv4-Adresse aus einem Netzwerk für den privaten Gebrauch. Damit kannst du keine VPN-Verbindung über IPv4 aufbauen.

 

[sonyKatze]

jogi2573, puh, ich habe selbst noch nie GRE auf einer FRITZ!Box, geschweige denn auf einer Glasfaser-FRITZ!Box gemacht. Daher drei Gegenfragen:

1. Was spricht dagegen, anstatt dem Asus direkt das VPN der FRITZ!Box zu nehmen?
2. Muss es unbedingt PPTP sein oder ginge auch ein anderes VPN-Protokoll?
3. Lässt Dein Glasfaser-Anbieter überhaupt GRE durch – bei wem bist Du genau?

Erlaubt Deine FRITZ!Box wie seine DSL-Varianten einen Paket-Mitschnitt? Dann könnten wir zusammen schauen, ob die Datenpakete für PPTP richtig fließen.

Mit [172.20.10.4] kannst du keine VPN-Verbindung über IPv4 aufbauen.

Ich dachte, das wäre die Heimnetz-interne IPv4 des Computers mit Windows 10.

 

[jogi2573]

Hallo sonyKatze,
vielen Dank für Deine Hilfe.
Ich möchte das Ergebnis nun mitteilen.
Ich habe den ASUS-Router nun an der Gegenstelle (ebenfalls hinter eine FritzBox) installiert. Hier hat nun alles geklappt. Kann mich ohne Probleme via VPN mit dem Router verbinden.
Im Testumfeld bei mir zuhause, habe ich mein IPhone als Hotspot verwendet, und da hatte ich die Probleme mich richtig zu verbinden. Somit gehe ich davon aus, dass es am Hotspot/Handy lag.
Zu deinen Fragen:
1. Ich möchte über VPN TV streamen, hierzu ist die Fritzbox viel zu schwach, daher habe ich mich für eine Extra-Hardware (ASUS) entschieden. Die Fritzbox ist hierzu tatsächlich nicht geeignet. Da ich hier leider ein direkten Glasfaseranschluss im Haus habe, muss ich eine entsprechende Hardware verwenden. Sowie ich es gesehen habe, gibt es fast keine Anbieter/Hardware mit einem direkten Glasfaser-Anschluss
2. Das Protokoll ist mir wirklich egal, einfach nur ein Protokoll um einen Tunnel aufzubauen, ohne viel Sicherheit. Ich wählte PPTP, da es einfach einzurichten ist (Username, Passwort ==> FERTIG)
3. Müsste er, jetzt geht ja alles.
Nochmal vielen Dank.
Für weitere Fragen auch für Andere, stehe ich selbstverständlich zur Verfügung.
Gruß Jogi

 

[HabNeFritzbox]

Gibt doch die neue 5530 für Glasfaser Anschluss.

 

[jogi2573]

Gibt doch die neue 5530 für Glasfaser Anschluss.

Ja schon, jedoch bring sie nicht die Leistung für eine ordentliche VPN Verbindung. Da ist jeder ASUS besser und günstiger. Wie gesagt hab ich selbst an der 7590 getestet.

 

[Insti]

1. Ich möchte über VPN TV streamen

Nimmst du da ein Enigma2 Receiver?

 

[HabNeFritzbox]

Bei der 5530 weis ich es nicht, bei 7590, 6890, 6591 hast ab 7.2x Firmware bis zu 140Mbit im VPN.

Für nen TV Stream langen ja schon etwa 10 Mbit aus.

 

[jogi2573]

Vollzitat

Nein ich streame 1und1 TV

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Vollzitat

Das mag evtl. schon sein, jedoch ist meine Erfahrung eine andere. Hatte so ca. alle 2 Minuten ein Decapsulation error. Eine Neuverbindung ging nur noch mit einem Neustart. Ich bin sowas von enttäuscht von der FritzBox. Und dann noch ihr VPN Protokoll. In meinen Augen ein Schrott.

 

[NDiIPP]

Da ich hier leider ein direkten Glasfaseranschluss im Haus habe, muss ich eine entsprechende Hardware verwenden. Sowie ich es gesehen habe, gibt es fast keine Anbieter/Hardware mit einem direkten Glasfaser-Anschluss

Wieso leider? Wenn am FTTH-Anschluss eine 5490 direkt betrieben wird, dann basiert dieser Anschluss auf einem AON mit 1.000BaseBX(10). Da braucht es eigentlich nur einen passenden Medienkonverter. Entweder als separates Gerät, welches eine SC- oder LC-Buchse für 1.000Base-BX(10) und eine RJ45-Buchse für 100/1.000Base-T zur Verfügung stellt oder eben ein passendes SFP(+)-Modul. Kurzum, da sollte man eigentlich genügend Auswahl haben um einen beliebigen Router an diesem FTTH-Anschluss quasi direkt (über einen entspr. Medienkonverter/SFP-Modul) anschließen zu können (ohne Umweg über eine Fritzbox 5490).

Wie gesagt hab ich selbst an der 7590 getestet.

Auch mit FRITZ!OS >=7.20? Denn seit dem gibt es u.a. bei der 7590, wie schon erwähnt, eine erhebliche Performance-Steigerung beim VPN-Durchsatz durch Nutzung der HW-Beschleunigung.

Bei der 5530 weis ich es nicht, bei 7590, 6890, 6591 hast ab 7.2x Firmware bis zu 140Mbit im VPN.

Als ich mir vor einiger Zeit die erste zugängliche Inhaus-Version für die 5530 angesehen hatte (7.24-83487), fehlte dieser die aus der 7580/7590/6890 bekannten Teile in der Firmware für die VPN Hardware-Beschleunigung. Wenn man das also bei der 5530 nicht grundsätzlich anders umgesetzt hat (aber imo sollte die CPU des SoC aus der 5530 dem aus der 7580/7583/7590/6890 ähneln), dann wird wohl mit dieser FW bei der 5530 keine HW-Beschleunigung für VPN unterstützt. Was mich persönlich leider etwas enttäuschen würde für ein Produkt, welches primär für FTTH-Anschlüsse gedacht sein soll (auch wenn es "nur" ein xx30er Modell ist).

 

[jogi2573]

Hallo NDILPP,

aus Deinem Post habe ich etwas gelernt, vielen dank dafür.

* Ich wusste nicht, dass ich einen einfachen Wandler von meinem Glasfaser zu LAN RJ45 verwenden kann, wie z.B. diesen hier: TP-Link MC200CM

* Ich habe zuvoer die 7490 mit der 5490 per VPN verbunden. Das ist alles so lange gut gelaufen, bis ich das neuste Update auf die 7490 gemacht habe. Ich dachte mir, nun ist diese zu schach geworden und habe mir dann die 7590 (Firmware 7.21) zugelegt. An der Gegenstelle ist die 5490 mit der FW7.12. Ab da traten die Fehler auf und es ist mir nicht mehr möglich, eine vernünftige Verbindung aufzubauen. Die Verbindung steht zwar, jedoch habe ich den Fehler "Decapsulation error" und ab da hängt alles. Meine Überlegung war dann, dass ich mir hinter jeder FritzBox einen ASUS Router (RT-AC68U) hänge.
Gesagt getan.
Hinter der 7590 habe ich den VPN-PPTP Server eingerichtet, auf den komme ich auch per Laptop, welcher an der 5490 hängt ohne Probleme drauf.

Problematik nun:
Der ASUS-VPN-PPTP client hängt hinter der 5490 und leider bekomme ich keine richtige Verbingund hin.
Auf dem Server, wird die Verbindung angezeigt, jedoch auf der Client-Seite erfolgt die Fehlermeldung:
==> IP/Routing-Konflikt
LOG auf dem Client:
Dec 23 17:16:44 rc_service: httpds 238:notify_rc restart_vpncall
Dec 23 17:16:45 pptp[2597]: pppd 2.4.7 started by PAUL, uid 0
Dec 23 17:16:46 pptp[2597]: Connect: ppp5 <--> pptp (89.245.33.**) ==> dies ist die IP vom SERVER
Dec 23 17:16:46 pptp[2597]: CHAP authentication succeeded
Dec 23 17:16:46 pptp[2597]: local IP address 192.168.15.2
Dec 23 17:16:46 pptp[2597]: remote IP address 192.168.1.1
Dec 23 17:16:46 pptp[2597]: primary DNS address 192.168.1.1
Dec 23 17:16:46 pptp[2597]: secondary DNS address 192.168.1.1

Wenn ich meine IP Abfrage über die Seite Wie ist meine IP bekomme ich immer meine Client-IP, nicht die getunnelte von der Server-Seite.

Kann mir hier jemand helfen?

Vielen Dank.

Gruß Jogi