Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

[Peter931]

Hat sich nicht alles mit der neuen Version von Fritz!Fernzugang erledigt?
Dort kann man doch jetzt eine Checkbox anwählen: "Ganzen Internetverkehr über die Fritzbox abwickeln"

 

[andilao]

Geht der "Fritz!Fernzugang"-Client jetzt auch gut per UMTS und bremst das LAN nicht mehr aus?

 

[Neudorf53]

Hallo,

ich nutze ein Ipad nur mit WLAN, dieses Ipad geht entweder über folgende Router ins Internet
Router 1:
Subnetz 255.255.255.0
IP 192.168.43.1
DNS 192.168.43.1

Router 2:
Subnetz 255.255.255.0
Router 172.20.15.1
DNS 192.168.0.4, 192.168.0.110

Das ist meine Config, die ich am AVM Fritzbox 7390 Router importiert habe.
Ziel-Fritzbox hat folgende Config
IP 192.168.0.1
Subnetz 255.255.255.0
DHCP Bereich 192.168.0.20-40


VPN baut er auf, allerdings geht der nicht der komplette Internet-Traffic über den VPN-Tunnel. Dies soll er aber, was kann ich da tun?

[Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]

{
                enabled = yes;
                conn_type = conntype_user;
                name = "meinNAME";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.0.201;
                remoteid {
                        key_id = "meinNAME";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "schlüssel";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "meinNAME";
                        passwd = "unsicher";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.0.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.0.0 255.255.255.0 192.168.0.201 255.255.255.255", 
                             "permit ip any 192.168.0.201 255.255.255.255";
        }

Ich hoffe mir kann jmd helfen.

Danke euch

 

[frank_m24]

Das Subnetz der DNS Server auf der einen Seite ist identisch mit dem Zielsubnetz der VPN Box? Das wird mit an Sicherheit grenzender Wahrscheinlichkeit nicht funktionieren.

Übrigens sieh dir noch mal den Unterschied zwischen Subnetz und Subnetzmaske an.

 

[Neudorf53]

Was heißt denn dies nun für meinen konkreten Fall, wie müsste ich meine Konfig ändern, dass es funktioniert?

 

[buecke]

Hat sich nicht alles mit der neuen Version von Fritz!Fernzugang erledigt?
Dort kann man doch jetzt eine Checkbox anwählen: "Ganzen Internetverkehr über die Fritzbox abwickeln"

Hej Peter931!

Du hast absolut recht, seit Version 01.03.00 kann man direkt mit dem AVM-Programm "FRITZ!Box-Fernzugang einrichten" entsprechende cfg-Dateien erzeugen. Ich werde den ersten Artikel entsprechend ergänzen.

Viele Grüße
buecke

 

[eisbaerin]

Nachfolgende Anleitung ist damit überflüssig geworden...

Nicht ganz.
Wenn ich 2 FB über VPN verbunden habe und den Internetverkehr aus dem einen Netz über die andere FB leiten will,
dann muß ich es immer noch nach dieser Anleitung machen.

 

[buecke]

Wenn ich 2 FB über VPN verbunden habe und den Internetverkehr aus dem einen Netz über die andere FB leiten will,
dann muß ich es immernoch nach dieser Anleitung machen.

Ok, ok Aber dafür ist die ursprüngliche Anleitung auch nicht gedacht gewesen. Ich lasse sie natürlich stehen, da kann man mit entsprechendem Know-How seine eigenen Lösungen basteln. Aber 99% der Anwender brauchen mit der neuen AVM-Version nicht mehr in irgendwelchen Dateien herum werkeln...

Viele Grüße
buecke

 

[Neudorf53]

hallo,

das ist richtig, dass es nun ein Programm gibt, dies habe ich auch bereits eingesetzt, allerdings funktioniert, dies trotz des Programms nichts. Ich bekomme nur interne Verbindung ins LAN und nicht zugleich ins Internet.

 

[Phil]

Hallo,

ich habe den Thread etwas verfolgt und einige Sachen getestet aber noch keine Lösung für mein Problem gefunden.

Ich bin häufig in Netzwerken unterwegs, in denen die üblichen VPN-Ports geblockt sind. Das bedeutet, dass ich unser Firmen-VPN nicht nutzen kann. Funktioniert nicht. Ein Kollege nutzt dafür seinen privaten OpenVPN-Server, den er soweit ich weiß über Port 443 laufen lässt. Danach tunnelt er das Firmen-VPN durch diese, was zu funktionieren scheint.

Leider habe ich keinen OpenVPN-Server irgendwo herumstehen, sodass ich auf das zurückgreifen muss, was ich habe: Meine Fritzbox. Gibt es eine Möglichkeit, wie ich den FritzFernzugang fest über Port 443 oder einen anderen Port aufbauen kann?

 

[KunterBunter]

Falsches Thema. Du hättest für deine Anfrage einen neuen Thread aufmachen sollen.
Das AVM-VPN (FritzFernzugang) basiert auf IPSec. IPSec verwendet die Ports 500 und 4500 und die Protokollnummern 50 und 51. Mit OpenVPN hat das ganze nichts zu tun.

 

[kriser]

Mit der Bitte um Hilfe

Hallo Forum,
ich bin gerade im Reich der Mitte.
Die erste Woche hat es auch ganz gut funktioniert, aber seit Heute
bekomme ich ständig einen Timeout "Zeitüberschreitung: Die Gegenstelle konnte nicht erreicht werden".
Ich hänge mit meinem Laptop in folgendem Hotelnetz:

Meine Config sieht so aus:

accesslist = "deny ip any 202.106.0.2 8.8.8.8",
"deny ip any 172.16.0.0 255.255.252.0",
			"permit ip any 172.168.178.0 255.255.255.0", 
                             "reject udp any any eq 53", 
                             "reject udp any any eq 500", 
                             "reject udp any any eq 4500", 
                             "permit ip any any";

Die Config ist mit der neuen Version von FBFZ_Einrichten erstellt worden.
Ich hoffe das beißt sich nicht mit einer mit der alten Version erstellten Fritzbox-Config.

 

[KunterBunter]

"permit ip any 172.168.178.0 255.255.255.0",

Ist die Fritzbox wirklich in diesem Netz oder wie üblich in 192.168.178.0.

Nebenbei, dein 1. DNS-Server ist 202.106.0.20, und nicht 202.106.0.2, wie in der accesslist steht. Das ist aber ohne Belang, da die DNS-Aufrufe eh mit "reject udp any any eq 53" nicht über das VPN gehen.

 

[kriser]

Schon mal danke für die Mühe.
Wie immer die Ip da reingekommen ist, keine Ahnung.
Habe es geändert da ich meiner Ansicht nach die Standard ip verwende.
Jetzt kommt:
"Der Name der Gegenstelle konnte nicht aufgelöst werden"

 

[=Henry=]

Hi kriser,

komme gerade selbst aus China zurück.
Hatte ähnliches Problem letzte Woche wie Du jetzt.
Ich habe dann mal die DNS Namensauflösung raus genommen und jeden Morgen brav die aktuelle gültige IP der Gegenstelle eingetragen.
Hat zumindest bei mir geholfen.

Grüße
Henry

 

[kriser]

Das ist auf jeden Fall mal einen Versuch wert.
Ist halt nicht so leicht durch die große Firewall zu kommen.

noch mal für doofe:
ich lösche den kompletten deny-Teil und "reject udp any any eq 53" ? oder....
ich bin nur Viertelwissender und meist klappt es.(diesmal nicht)

Grüße kriser

 

[kriser]

Da bin ich wieder,
also diese Version:

 accesslist = "deny ip any 202.106.0.20 8.8.8.8",
"deny ip any 172.16.0.0 255.255.252.0",
			"permit ip any 192.168.178.0 255.255.255.0",
                             "permit ip any any";

führt zu einem: "Der Name der Gegenstelle konnte nicht aufgelöst werden".
Die Variante:

accesslist = "deny ip any 172.16.0.0 255.255.252.0","deny ip any 202.106.0.20 8.8.8.8","reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

führt zu einem Timeout.
Und hier nochmal die IP Situation des Hotels:

Ethernet-Adapter LAN-Verbindung:

   Verbindungsspezifisches DNS-Suffix: parkplaza.com
   Beschreibung. . . . . . . . . . . : Marvell Yukon 88E8059 PCI-E Gigabit Ether
net Controller
   Physikalische Adresse . . . . . . : 54-42-49-57-BC-2A
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::419f:d09a:c96b:59f5%13(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 172.16.0.206(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.252.0
   Lease erhalten. . . . . . . . . . : Donnerstag, 19. April 2012 03:29:45
   Lease läuft ab. . . . . . . . . . : Donnerstag, 19. April 2012 15:29:44
   Standardgateway . . . . . . . . . : 172.16.0.1
   DHCP-Server . . . . . . . . . . . : 172.16.0.2
   DHCPv6-IAID . . . . . . . . . . . : 391397961
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-15-72-A9-24-78-DD-08-D0-E1-5D

   DNS-Server  . . . . . . . . . . . : 202.106.0.20
                                       8.8.8.8
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Über Vorschläge und Ideen würde ich mich sehr freuen

Grüße
kriser

 

[KunterBunter]

Wenn der Name der Gegenstelle nicht aufgelöst werden konnte, funktioniert DNS für deinen DynDNS-Namen nicht. Dann trage doch einfach, wie =Henry= schon vorgeschlagen hat, in der Config statt des DynDNS-Namens die aktuell gültige IP-Adresse der Fritzbox-Gegenstelle ein.

 

[kriser]

Aber wie soll ich die denn rausbekommen, 7750 km von Zuhause.
Oder habe ich da gerade ein Brett vorm Kopf ?

 

[effmue]

Guude,
....sofern du dir diese nicht per push-mail von der Box senden lässt, findest du die aktuelle öffentliche IP-Adresse in deinem dyndns-account