[Problem] Fernzugang - Routet nicht trotz bestehender Verbindung

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
N

NilsR

Neuer User
Mitglied seit
21 Nov 2013
Beiträge
57
Punkte für Reaktionen
1
Punkte
8
Moin,

ich wollte mir mal auf einem neuen Rechner das VPN zur Fritzbox 7390 mit dem Fernzugang von AVM einrichten, da ich ShrewSoft VPN Client immer mal Probleme gemacht hat auch wenn er lief.

Leider baut der Fernzugang von AVM die Verbindung nur auf, scheint aber keine Route anzulegen und somit geht nichts über das VPN. Ist sowas unter Windows 10 bekannt? Es sollte ja funktionieren lauf AVM. Anbei mal eine bereinigte VPN Client Datei.

Viele Grüße,
Nils
 

Anhänge

  • vpnuser_nils_laptop4.txt
    2.6 KB · Aufrufe: 23
Hallo Nils,

Server und Client sollten sich in unterschiedlichen IP Bereichen befinden (mind. 3 Block der IP im LAN). Bsp. Fritzbox VPN Server hat 192.168.178.1 VPN Client 192.168.188.1
 
@NilsR
für Diagnose sind weitere Inputs erforderlich;
Bitte folgende Befehle bei Windows-Rechner eingeben:
Code: 
ipconfig /all > ipconfig_all.txt
netsh dump > netsh_dump.txt
netstat -rn > netstat-rn.txt
und dann die 3 Dateien in einem Posting dem Thread anhängen.
 
Moin,

anbei die Dateien. Ich hab schon in mehreren Posts über derartige Probleme gelesen (leider nie eine Lösung) und der Fritz Fernzugang arbeitet anscheinend mit Filtern. Das nur nebenbei.

Viele Grüße,
Nils
 

Anhänge

  • ipconfig_all.txt
    5.1 KB · Aufrufe: 15
  • netsh_dump.txt
    10.7 KB · Aufrufe: 13
  • netstat-rn.txt
    3.6 KB · Aufrufe: 9
Irgendwo fehlt in #1 das Gegenstück in aus der FB7390? Ist das die 192.168.2.1? Dort müsste, sofern der VPN-User entsprechend als 192.168.2.201 z.B. auftauchte, irgendwo auch diese Verbindung oder zumindest zwischen *.201 bis *.254 eine ersichtlich sein? Wird da auch wirklich aus einem fremden Netz VPN aufgebaut? Zeigt die myfritz-Adresse auf eine öffentliche IPv4?
LG
 
Zuletzt bearbeitet:
@NilsR
es werden noch weitere Inputs benötigt, um eine belastbare Diagnose abzugeben:

Auszug auf Supportdaten der remote Fritzbox FB7390:
http://fritz.box/?lp=support

Code: 
##### BEGIN SECTION vpn VPN
...
##### END SECTION vpn


##### BEGIN SECTION dyndns DynDNS
...
##### END SECTION dyndns


##### BEGIN SECTION Networking Supportdata networking
...
##### END SECTION Networking Supportdata networking


##### BEGIN SECTION Events Events
...
##### END SECTION Events


ggf. bei vpn.cfg die Zeilen key, remoteip, remotehostname anonymisieren;
das ike.log sollte die Zeile "avmike:< add(appl=dsld,cname=" beginnend enthalten;
alles in CODE-Tags und dann kann man weiteres sagen.
 
Shirocco88 schrieb:
da wird ggf. auch die Protokolle UDP/500 sowie UDP/4500 in den Tunnel gestopft
Zum Vergrößern anklicken....
Nein, ganz gewiß nicht, da die wohl kaum auf das Netz 192.168.178.0 zugreifen wollen.

Das muß man erst beachten, wenn da "any any" steht, wie z.B. bei einer LAN2LAN Verbindung, wenn man den gesamten Trafik über das andere Netz schicken will.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Shirocco88
eisbaerin schrieb:
Das muß man erst beachten, wenn da "any any" steht, wie z.B. bei einer LAN2LAN Verbindung, wenn man den gesamten Trafik über das andere Netz schicken will.
Zum Vergrößern anklicken....
Danke für den Hinweis, habe soeben entfernt.

eisbaerin schrieb:
Nein, ganz gewiß nicht, da die wohl kaum auf das Netz 192.168.178.0 zugreifen wollen.
Zum Vergrößern anklicken....

Micha0815 schrieb:
Irgendwo fehlt in #1 das Gegenstück in aus der FB7390? Ist das die 192.168.2.1? Dort müsste, sofern der VPN-User entsprechend als 192.168.2.201
Zum Vergrößern anklicken....

die aktuelle Informationen zu Netz-Topologie gemäß Input des TE sind:

die Config in #1 besagt, der "neue Rechner mit Windows10" soll
bei funktionierenderendem VPN-Tunnel von der FB7390 die IP-Adresse 192.168.178.201
(Subnetmask 255.255.255.0) erhalten und die entfernte Fritzbox (FB7390) hat lan-seitig eine Netzwerkadresse von 192.168.178.0 mit Subnetmask 255.255.255.0;
d.h. es wird bei AVM IPsec VPN conntype_user das "Proxy-ARP" verwendet und kein klassisches Routing mit Transitnetzwerk wie bei OpenVPN im TUN-Mode!!!

siehe auch vpnuser_nils_laptop4.txt aus #1
Code: 
vpn.cfg:

localid {
         user_fqdn = "nils_laptop4";
        }

phase2localid {
              ipaddr = 192.168.178.201;
              }

accesslist = "permit ip any 192.168.178.0 255.255.255.0";


==============================================================================
der "neue Win10 PC" befindet sich in einem LAN 192.168.2.0/23 mit Gateway-IP 192.168.2.1;
zugewiesene IP-Adresse 192.168.2.193;
die Angabe des DHCP-Server 1.1.1.1 ist sehr seltsam

Code: 
ipconfig_all.txt
Drahtlos-LAN-Adapter Wi-Fi:
SNIP
   IPv4-Adresse  . . . . . . . . . . : 192.168.2.193(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.254.0
SNIP
   Standardgateway . . . . . . . . . : 192.168.2.1
   DHCP-Server . . . . . . . . . . . : 1.1.1.1



Code: 
netstat-rn.txt
IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.193     35
      192.168.2.0    255.255.254.0   Auf Verbindung     192.168.2.193    291
    192.168.2.193  255.255.255.255   Auf Verbindung     192.168.2.193    291
    192.168.3.255  255.255.255.255   Auf Verbindung     192.168.2.193    291

mehr an Informationen liegen seitens TE nicht vor,
deshalb habe ich in #6 weitere Informationen von Remote-Fritzbox (FB7390) angefordert, um da die zweite Seite des Tunnels genauer zu beleuchten zu können; anschließend kann man mehr sagen.

@NilsR:
es sollten pro VPN-Dial-In Device jeweils verschiedene VPN-User in der Fritzbox angelegt werden/konfiguriert sein (Empfehlung von @PeterPawn aus diesem Forum);
Bitte prüfen und ggf. separate neue VPN-Dial-In Config "PC_neu" per "Fritz!Fernzugang einrichten" Tool anlegen, und diese vpn.cfg in Fritzbox sowie "neuen PC" importieren und anschließend VPN-Verbindung testen.
 
Zuletzt bearbeitet:
Hi,

das Thema war bei mir jetzt aufgrund Urlaub, Arbeit, etc. etwas nach hinten gerutscht. Daher nun die Daten und ein paar Antworten auf Frage:
  • der 1.1.1.1 Server ist anscheinend der interne DHCP in dem öffentlichen Hotel Wlan wo ich die Daten zusammengestellt habe. Verhält sich aber überall gleich, egal welches Wlan.
  • Die VPN User/Zugang in der Fritz.Box habe ich neu eingerichtet für den Laptop. Dort gibt es kein Sharing. (wie Empfehlung von @PeterPawn aus diesem Forum).
  • Auch eine neue Verbndung hab ich getestet, leider mit dem gleichen Ergebnis.
  • Anbei das Support Log. Hab es unverändert gelassen, weil die IPs sich sowieso veändern.
Danke für die Hilfe und viele Grüße,
Nils

//edit by stoney: Anhang vorsichtshalber entfernt
 
Zuletzt bearbeitet von einem Moderator:
NilsR schrieb:
Die VPN User/Zugang in der Fritz.Box habe ich neu eingerichtet für den Laptop. Dort gibt es kein Sharing. (wie Empfehlung von @PeterPawn aus diesem Forum).
Zum Vergrößern anklicken....
Was ist mit "Sharing" gemeint ? welches Posting/Thread aus diesem Forum wird hier referenziert ?

Bitte die Datei "Support Log.txt" nicht komplett posten,
vorher sollten DynDNS-Namen, MyFritz-DNS-Namen, ... anonymisiert werden.

auf anhieb fallen da 3 VPN-Profile auf, die auf die gleiche IP (192.168.178.201) gemappt sind:
Code: 
nrottgardt: 77.6.28.180:0.0.0.0 0.0.0.0:192.168.178.201 0 SAs  valid enabled dynlocalip dynremoteip
    permit ip any host 192.168.178.201
    Forbidden Clients: 192.168.179.0/24
nils_laptop3: 77.6.28.180:0.0.0.0 0.0.0.0:192.168.178.201 0 SAs  valid enabled dynlocalip dynremoteip
    permit ip 192.168.178.0 255.255.255.0 host 192.168.178.201
    Forbidden Clients: 192.168.179.0/24
nils_laptop4: 77.6.28.180:0.0.0.0 0.0.0.0:192.168.178.201 0 SAs  valid enabled dynlocalip dynremoteip
    permit ip 192.168.178.0 255.255.255.0 host 192.168.178.201
    Forbidden Clients: 192.168.179.0/24
eigentlich sollten die VPN-Profile dedizierte IPs haben;
wie wurden denn diese VPN-Profile erstellt ?

Aktionsplan:
Bitte mal die VPN-Profile für die Geräte (nils_laptop3, nils_laptop4) auf dedizierte IPs setzen:
Code: 
nils_laptop3   ==> 192.168.178.207
nils_laptop4   ==> 192.168.178.208
und testen, anschließend Rückinfo.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: NilsR
Hi,

Danke fürs entfernen des Anhangs. Hab noch ein paar Sachen rausgenommen (falls die noch gebraucht wird), die externe IP hat sich aber sogar seitdem schon geändert (ich hoffe meine Firewall ist auch sicher, wenn man die kennt. :) )

Die ersten beiden wurden mit der Weboberfläche (glaube ich, ist Jahre her) erstellt und mit OpenVPN genutzt. laptop4 über einen Import mit dem Fernzugangstool. Ich hab die Alten nun deaktiviert und es läuft jetzt. Bin selber überrascht, schade das man dies in der Weboberfläche nicht einsehen kann.

Danke euch!!!

Viele Grüße,
Nils
 
NilsR schrieb:
und es läuft jetzt.
Zum Vergrößern anklicken....
sehr schön!
dann einfach das "gelöst" Flag bei Thread-Titel setzen.

für etwaige nachfolgende Leser:
das Problem und deren Lösung ist in nachfolgendem AVM-KB-Artikel beschrieben:
https://avm.de/service/fritzbox/fri...erbindung-z-B-FRITZ-Fernzugang-nicht-moglich/
VPN-Einstellungen korrigieren
Ein Datenaustausch über die VPN-Verbindung ist nicht möglich, wenn beim Erzeugen der VPN-Einstellungen falsche oder ungeeignete IP-Einstellungen vorgenommen wurden. Dies z.B. der ist Fall, wenn:

  • in FRITZ!Fernzugang als "Zielnetz" die IP-Adresse der FRITZ!Box (xxx.xxx.xxx.1) statt des IP-Netzwerks (xxx.xxx.xxx.0) eingetragen ist,
  • die "IP-Adresse des Benutzers im Netz der FRITZ!Box" im DHCP-Bereich der FRITZ!Box liegt oder bereits für eine andere VPN-Verbindung (z.B. für ein Smartphone) verwendet wird.
Zum Vergrößern anklicken....

NilsR schrieb:
Bin selber überrascht, schade das man dies in der Weboberfläche nicht einsehen kann.
Zum Vergrößern anklicken....
unklar, warum AVM (bzw. der zuständige Produktmanager) da nicht tätig wird und eine Plausibilitätsprüfung bei VPN-Profile-Import einbaut.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 504 (Mitglieder: 1, Gäste: 503)

Neueste Beiträge

Statistik des Forums

Themen
246,149
Beiträge
2,246,980
Mitglieder
373,668
Neuestes Mitglied
Stripi
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück