Iphone VPN zugriff auf Fritzbox aber nicht weiter!!

[HabNeFritzbox]

Wenn du aktuelle AVM Tool benutzt, brauchst du nichts mehr anpassen nach einer Anleitung. Nur noch fertige Konfig hochladen, und Daten in iOS übernehmen.

Vor der Übernahme, alter Verbindung löschen kann nicht schaden.

 

[OlliHB]

moin.
genau, mit der neuen version - vpn einrichten - von avm gibt es eine auswahlmöglichkeit (gesamten internetverkehr über vpn - oder so). diesen aktiviert, datei in die fritzbox importiert ,iphone nach anleitung von avm eingerichtet und es läuft.
zur info:
die neue version steht im download von avm weiter unten - komischerweise. die alte version hat diesen hacken nicht.....
und die ip für vpn sollte nah an der ip der fritzbox liegen. bei mir waren die adressen knapp 100 auseinander (box .1 vpn iphone .102) und es klappte nicht....
läuft seit monaten super und ohne probleme!
olli

 

[HabNeFritzbox]

1.03.00
* Neue Funktion: "Alle Daten über den VPN-Tunnel senden". Erhöht beispielsweise
die Sicherheit beim Surfen in öffentlichen Hotspots.
* Vereinfachungen für die Einrichtung einer VPN-Verbindung von einem iPhone zur
FRITZ!Box
* Netzwerkmaske jetzt immer vorbelegt mit /24, auch bei Netz 192.168.0.0
* Eine FRITZ!Box kann sich jetzt auch als Client/Benutzer an einer anderen
FRITZ!Box anmelden

Download: ftp://ftp.avm.de/fritz.box/tools/vp...n/deutsch/FRITZ!Box-Fernzugang einrichten.exe

Konfig nach Anleitung abändern, ist also nicht mehr nötig mit dieser Version.

 

[J-B]

Das wird es wohl sein mit dem Tool. Werde ich mal heute Abend testen.

 

[HabNeFritzbox]

Falls alte Konfig hast musstest z.B. den einen Wert auf "phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";" ändern und wenn alles über das Heimnetz sollte an Internet die accesslist auf "permit ip any 192.168.178.200 255.255.255.255";" ändern.

 

[voip12]

Hallo zusammen,

auch wenn dieses Thema schon etwas älter ist, haben einige von euch mit den oben genannten Einstellungen das Problem keinen Internetzugang über die VPN-Verbindung herstellen zu können.
Ich hatte genau das gleiche Problem! Vor 3 Tagen hatte ich die neue Fritzbox 7490 an meinen DSL Anschluss angeschlossen. Konfiguriert hatte ich nur das DSL, den WLAN Zugang, den DynDNS Account und nun zuletzt den VPN Account ohne jemals etwas an den Firewall Regeln der Fritzbox zu verändern.
Bei der Einrichtung des VPN waren die Konfigurationsparameter für meine Fritzbox identisch mit den von euch oben genannten und auch die neuste Version des "Fritz Fernzugang einrichten"- Tools hat exakt die richtigen Konfigurationen in die cfg. Datei geschrieben. Auf mein lokales Netzwerk konnte ich problemlos mit dem iPhone als auch durch einen Windows-Rechnern mit dem Shrew-VPN Client zugreifen. Nur den Internetverkehr wollte die Fritzbox einfach nicht tunneln!!! Öffnete ich den Safari (iOS 7.0.3.) und habe dort eine Domain eingegeben, hatte mir das iPhone nur angezeigt: Sie sind aktuell nicht mit dem Internet verbunden. Wurde in den Browser hingegen statt der Domain direkt die IP Adresse eingegeben, hat die Fritzbox den Internetverkehr getunnelt und mir die Webseite angezeigt.
Durch Zufall bin ich auf die Seite von Gee Are Pabst gekommen, der eine kuriose Lösung bloggt, die bei mir aber auch funktioniert hat (http://miapple.me/2013/01/23/fritzbox-vpn-re-establishing-iphone-and-ipad-internet-connection/).

Es scheint ein Fehler in so einigen Fritzboxen zu sein, wenn selbst in der neusten Fritzbox 7490 das Problem besteht.
Ich habe die 6 Schritte wie folgt durchgeführt:
1. An der Fritzbox anmelden
2. Den Reiter "Internet" anwählen
3. Den Reiter "Filter" auswählen.
4. Den Tab "Listen" in der Hauptansicht anwählen.
5. Dort den schon aktivierten Haken bei "netBIOS Filter aktiv" entfernen und übernehmen drücken.
6. Den Haken wieder setzen und nochmals übernehmen drücken.

Jetzt hatte ich mich mit dem iPhone auf mein VPN verbunden und siehe da: Auf einmal tunnelt die Fritzbox den kompletten Internetverkehr.

Ich hoffe einige User von euch, die schon fast an dem Problem verzweifelt sind, konnte ich damit helfen.

 

[volkera]

Ich habe die 6 Schritte wie folgt durchgeführt:
1. An der Fritzbox anmelden
2. Den Reiter "Internet" anwählen
3. Den Reiter "Filter" auswählen.
4. Den Tab "Listen" in der Hauptansicht anwählen.
5. Dort den schon aktivierten Haken bei "netBIOS Filter aktiv" entfernen und übernehmen drücken.
6. Den Haken wieder setzen und nochmals übernehmen drücken.

Ich hoffe einige User von euch, die schon fast an dem Problem verzweifelt sind, konnte ich damit helfen.

Prima Tip, vielen Dank! Dies hat mein Namensauflösungsproblem, wenn ich über mein iPhone und das 7390 Fritzbox-VPN surfen möchte, gelöst.

 

[pitip]

Es laeuft! Es laeuft! Das gottverdammte Ding laeuft! ( iOS 6.1 IPSEC-VPN an 7390 mit FW 84.05.22 )

Ich hatte zwischenzeitlich schon 'nen openVPN Server auf nem RaspPI aufgesetzt, um mit iOS von extern was machen zu koennen.

Danke! Danke! Danke!

 

[Gizmor]

Super, vielen Dank @voip12. So kann ich über VPN nun auch im Internet surfen. Nur nochmal zum Verständnis, es laufen nun alle Daten über den VPN-Tunnel zur FritzBox und die FritzBox leitet den Datenverkehr ins Internet weiter? Also brauch ich nun nichts befürchten, wenn ich z.B. über ein öffentliches WLAN surfe?

 

[HabNeFritzbox]

Wenn alles über die FB geleitet wird durch den Tunnel, dann nicht.

Kannst ja testen indem einfach fritz.box öffnest im Browser und das WebIF der FB kommt. Auch könntest über ne beliebige "wie ist meine IP Seite" schauen ob es zu deinem Anschluss zuhause passt.

Gibt ja genug Dienste die unverschlüsselt laufen wie z.B. Ebay (Ausnahme der Login).

Ich verwende es auch in Hotels und co, da die WLAN´s i.d.R. offen sind. Wenn Leitung nicht zu lahm ist geht auch Telefonie über Fon App übers Festnetz zuhause.

 

[Gizmor]

Ok, bekomme die IP vom Home-Anschluß, sollte also passen. Danke

 

[fritz!ine]

Es scheint ein Fehler in so einigen Fritzboxen zu sein, wenn selbst in der neusten Fritzbox 7490 das Problem besteht.
Ich habe die 6 Schritte wie folgt durchgeführt:
1. An der Fritzbox anmelden
2. Den Reiter "Internet" anwählen
3. Den Reiter "Filter" auswählen.
4. Den Tab "Listen" in der Hauptansicht anwählen.
5. Dort den schon aktivierten Haken bei "netBIOS Filter aktiv" entfernen und übernehmen drücken.
6. Den Haken wieder setzen und nochmals übernehmen drücken.

Danke! Das war die Lösung, nachdem ich zwei Tage mit meinem Ipad und den Fritz!box-Einstellungen herumgezackert habe!
Interessanterweise kam mein Android-Telefon auch vor der Änderung über VPN ins Internet (gleiche Fritz!box, gleicher Benutzer), nur beim Aufruf der Fritz!box gab es "Probleme" (kein Aufruf mit "fritz.box", sondern nur über die IP). Das ist nach der Umsetzung von voip12's Tipp aber nun auch behoben.
Nochmals vielen Dank!!!

 

[Voyager3000]

Auch von mir ein großes Dankeschön.

Bei mir klappt es nun auch. Habe nur einen halben Tag rumprobiert

 

[o0o]

Hallo, leider habe ich neuerdings auch ein Problem damit.
Ich habe zwei identische Mobilgeräte, mit denen ich schon eine Weile über VPN und die Fritzbox ins Internet gehe. Klappt(e) auch prima. Jetzt plötzlich geht es auf einem der beiden Geräte nicht mehr. Nirgendwo wurde etwas geändert. Beide Geräte haben eine eigene netzwerkinterne IP und eigene Schlüssel. Mit dem einen komme ich bis zur FB und dann ins Internet. Mit dem anderen komme ich bis zur FB und dann kommt aber keine Verbindung zum Internet zustande. Die Config-Einträge sind für beide Geräte identisch, bis auf Nutzername, PW und IP.
Ohne VPN klappt es auch bei dem anderen Gerät, nur eben mit VPN nicht.

Ich habe schon das mit dem NetBiosFilter versucht, keine Änderung. Wo könnte das klemmen?
Vielen Dank für hilfreiche Hinweise!!!

 

[marxcors]

IPhone und IPdad finden den Weg ins Internet :dance: .....

Ein dickes Dankeschöne geht an fritz!ine... Ich werde dieses nicht mit Logig betrachten.

 

[ankohler]

Hallo, ich brauche mal einen Spezialisten-Rat.

Ich habe die besondere Konstellation, dass ich die Fritzbox mit einem externem Modem betreibe.
Baue ich nun das VPN auf, komme ich auf die Fritzbox und auch über diese ins Internet. Aber leider habe ich keinen Zugriff auf die Geräte im internen LAN. Komischerweise kann ich aber auf das Interface des externen Modems zugreifen (Welches ich ja vom internen Netz normalerweise nicht erreiche, weil die Fritzbox das blockt)

Es sieht also so aus, als ob sich das VPN auf der falschen Seite der Fritzbox aufbaut. Kann man da irgendetwas in der Config ändern?

Danke schon mal...

----
Noch eine kleine Ergänzung: In der Fritzbox wird komischerweise als "Lokales Netz": 0.0.0.0, und bei "entferntes Netz" die lokale Ip-Adresse angezeigt.

 

[PeterPawn]

Ich weiß, daß einige andere es nicht mehr lesen können ... aber sollen wir jetzt raten, wie Deine VPN-Konfiguration im Moment aussieht, die da offenbar nicht wie erwartet funktioniert?

Wenn Du mal Deinen eigenen Text oben nachliest, kannst Du dann eigentlich selbst erkennen, ob Du von einer LAN-LAN-Kopplung oder von einem VPN-Zugriff mit einem einzelnen Gerät (Client-LAN, gemeinhin über den FRITZ!Box-Benutzer konfiguriert) schreibst? Und die Idee mit dem "Raten" ist nicht erledigt, indem Du noch ergänzt, daß es sich vermutlich im eine Client-LAN-Verbindung handelt ... die zielt eindeutig in eine etwas andere Richtung. Dein Szenario ist auch nicht wirklich "besonders", jedenfalls nicht, wenn man Deiner Beschreibung folgt. Solange das zwischen Modem und FRITZ!Box eine IP-Verbindung mit einer öffentlichen IP-Adresse für die FRITZ!Box ist, ist "alles Wölkchen" und Du solltest genug Beispiele hier finden, die sich auch auf Deine Situation anwenden lassen.

Und bei der Gelegenheit auch gleich noch die Frage, ob das

Welches ich ja vom internen Netz normalerweise nicht erreiche, weil die Fritzbox das blockt

nur eine Annahme ist oder eine gesicherte Erkenntnis. Wie wäre denn die Adresse des Modems und die der FRITZ!Box? Solange da keine Überschneidungen existieren oder spezielle Routen in der FRITZ!Box eingestellt sind, sollte so ein Zugriff problemlos auch aus dem LAN der FRITZ!Box funktionieren.

 

[ankohler]

Sorry, dass ich mich da mißverständlich ausgedrückt habe.
Ich habe einen Fernzugang für einen Benutzer eingerichtet über "Fritzbox Fernzugang einrichten" und dort Iphone gewählt, über welches ich dann auch zugreife. An der Datei habe ich sonst nichts verändert, kann sie aber gerne nochmal posten.

Mit einer anderen Fritzbox klappt der Zugriff auf das interne LAN einwandfrei mit den gleichen Einstellungen, diese wird allerdings ohne vorgeschalteten Router verwendet.

Die gesicherte Erkenntnis, dass man das Webinterface eines externen Modems beim Betrieb "Internetzugang über LAN1" nicht erreichen kann, habe ich von frank_m24 aus diesem Thread:
http://www.ip-phone-forum.de/showthread.php?t=167099&#post1102382

Da ich nun aber das Web-Interface des Modems im VPN erreichen kann und die internen Geräte nicht, bin ich davon ausgegangen, dass ich auf der "falschen" Seite des VLAN gelandet bin.

 

[PeterPawn]

Sorry, dass ich mich da mißverständlich ausgedrückt habe.

Kein Ding ... aber "Besserung" wäre schön und die Nachfrage nach der IP-Konfiguration ist weiterhin unbeantwortet und das wurde leider in #238 nicht wirklich eindeutiger, zum Beispiel hier:

diese wird allerdings ohne vorgeschalteten Router verwendet.

Das ist schon mal ein riesiger Unterschied.

Einmal schreibst Du von einem "vorgeschalteten Modem" und einmal von einem "vorgeschalteten Router". Aufgrund der unterschiedlichen Arbeitsweise dieser beiden "Geräteklassen" ist das nicht nur eine Petitesse bei der Wortwahl, sondern "was drin steckt" ist die alles entscheidende Frage. Wenn da ein Router "vorgeschaltet" ist, verhindert dieser in aller Regel mit einer Firewall und/oder "network address translation" die direkte Erreichbarkeit der "nachgelagerten" Geräte. Ein reines Modem reicht den Verkehr (auf L2) eher 1:1 durch. Will man hinter einem NAT-Router befindliche Dienste erreichen (ggf. auch den VPN-Service einer FRITZ!Box), braucht es eine passende Portweiterleitung (oder einen "exposed host", der dann den kompletten Schmutz aus dem Internet ertragen muß).

Die gesicherte Erkenntnis, dass man das Webinterface eines externen Modems beim Betrieb "Internetzugang über LAN1" nicht erreichen kann, habe ich von frank_m24 aus diesem Thread:
http://www.ip-phone-forum.de/showthread.php?t=167099&#post1102382

Das wird sicherlich zum Zeitpunkt des Erscheinens (Dir ist schon bewußt, daß dieser Thread inzwischen 7 Jahre alt ist und sich inzwischen einiges geändert hat?) richtig gewesen sein (ist heute nicht mehr verifizierbar), aber es gibt auch genug andere Beispiele.

Solange es eine passende Route (und sei es die "default route") zum Webinterface eines externen Modems gibt, sich die verwendeten Adressbereiche nicht überlagern (so ein Modem verwendet für sein GUI in der Regel ein eigenes - nicht immer konfigurierbares - Netzsegment) und das Modem auf demselben Interface seine Antwort verschickt, auf dem es einen Request empfängt, solange funktioniert das auch einwandfrei. Dann spielt es - nebenbei bemerkt - auch keine Rolle, ob das ein Modem oder ein Router ist, was davor erreicht werden soll (das geht auch noch bei mehrstufigen Router-Kaskaden, immer unter Beachtung der erwähnten Voraussetzungen).

Im Freetz gibt es zum Beispiel ein Paket (rrdstats), mit dem man auf einer FRITZ!Box die wichtigsten Parameter eines "vorgeschalteten DOCSIS-Modems" auch im zeitlichen Verlauf anzeigen kann und die Verwendung von Freetz ist in diesem Falle auch nur notwendig, damit das Paket zum Sammeln und Anzeigen der Daten vorhanden ist, für den Zugriff auf ein solches Modem über das WAN-Interface der FRITZ!Box erfolgen da keinerlei Modifikationen bzw. solche Modifikationen wären nicht erforderlich.

Wenn Du über das VPN Zugriff auf das Internet hast, ist der Zugriff auf das Webinterface eines vorgeschalteten Gerätes auch nicht wirklich verwunderlich, denn das ist aus Sicht der FRITZ!Box ja ebenfalls "im WAN". Vielleicht probierst Du (abseits der VPN-Fragestellung) ja auch mal einfach, aus dem LAN über die IP-Adresse des Modems auf dessen GUI zuzugreifen ... wenn das nicht funktioniert, wäre es (solange die erwähnten Voraussetzungen stimmen) extrem überraschend und überaus interessant, woran das am Ende liegen könnte.

Da ich nun aber das Web-Interface des Modems im VPN erreichen kann und die internen Geräte nicht, bin ich davon ausgegangen, dass ich auf der "falschen" Seite des VLAN gelandet bin.

Es gibt eigentlich keine "falsche Seite" ... und ein "VLAN" ist kein VPN (es ist besser, so etwas gleich "auszumerzen", ehe sich das zu sehr "vermischt").

Aber ohne Beschreibung des Aufbaus (Verkabelung, IP-Konfiguration, involvierte Geräte (ggf. deren Firmware-Version) und wenn alle Stränge reißen tatsächlich auch die VPN-Konfiguration der FRITZ!Box) ist das nur ein Ratespiel ... und ich habe beim "Tippen" im Lotto-Laden auch nur sehr selten Glück, da will ich das bisschen "Vorrat" an solchem Glück, das mir zusteht, nicht unbedingt hier verschwenden.

 

[ankohler]

Hallo PeterPawn,

ja, mit Modem habe ich mich tatsächlich verschrieben. Es handelt sich um einen Genexis-Router Hybrid Live.
Ich komme vom internen Lan wirklich nicht auf das Webinterface des Routers, das scheint die Fritzbox immer noch strikt zu trennen. Deshalb war ich ja so verwundert, dass es über das VPN ging.

Die Fritzbox ist eine 7390 mit Fritz!OS 6.30. Der Internetzugang ist konfiguriert als "Externes Modem oder Router"und "Internetverbindung selbst aufbauen", wodurch die Firewall der Fritzbox aktiviert bleibt (steht zumindest im Fritz!OS so darunter). Der Router ist direkt mit LAN1 verbunden. Den Begriff VLAN habe ich verwendet, weil im anderen Thread stand, dass die Fritzbox das so löst.

Das ist wenn ich es richtig verstanden habe auch so wichtig, da der Router als DMZ eingestellt ist, damit ich überhaupt eine VPN-Verbindung mit der Fritz aufzubauen kann. Die Konfigurationsmöglichkeiten sind dort nämlich so beschnitten, dass eine ESP-Weiterleitung nicht machbar ist. Im Endeffekt müsste er sich durch die DMZ also doch wieder wie ein Modem verhalten, oder?

Zur IP-Konfiguration: Die Fritzbox hat die 10.10.10.1, der Router die 10.10.10.2. DHCP ist nur auf der Fritzbox aktiviert. Routen habe ich nicht konfiguriert.

Anbei ein Auschnitt aus der Config der Fritzbox für den betroffenen Benutzer. Kann es etwas mit der Zeile "permit ip any" zu tun haben? Da kenne ich mich leider nicht aus, habe aber auch wie gesagt nichts verändert.

{
enabled = yes;
conn_type = conntype_user;
name = "EMAIL";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 10.10.10.201;
remoteid {
key_id = "EMAIL";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "KEY";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
xauth {
valid = yes;
username = "EMAIL";
passwd = "PASSWORT";
}
use_cfgmode = yes;
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 10.10.10.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 10.10.10.0 255.255.255.0 10.10.10.201 255.255.255.255",
"permit ip any 10.10.10.201 255.255.255.255";
}



Danke für Deine Bemühungen!