[Erledigt] Provider hängt FritzBox vor meine FritzBox - Probleme mit VPN und Portfreigaben

Jim_Pfaffenbach

Neuer User
Mitglied seit
11 Jan 2019
Beiträge
8
Punkte für Reaktionen
1
Punkte
3
Hallo!

Ich habe einen Glasfaseranschluss mit mittlerweile 500 Mbit in beide Richtungen und eine CPE ("Hausanschlussbox") von BKtel seit dem Jahr 2010 im Einsatz, die neben dem Netzwerkausgang auch noch digitales Kabel-TV und 2 Telefonports hatte.

Diese CPE ist defekt gewesen bzw. die Telefone machten des öfteren Ärger, weil die Anschlüsse einfach nicht zu erreichen waren. Ich meldete eine Störung und der Provider hat schnell reagiert und die Sache behoben.

Nur hat er neue Probleme geschaffen. Da er keine CPE mehr mit integrierten Telefonports nutzt habe ich eine kleine CPE mit einem Netzwerk- und Kabel-TV Anschluss erhalten. Die Telefone bindet der Provider über eine FritzBox 7490 an, die ich zur Verfügung gestellt bekommen habe. Die FritzBox ist aktuell, die Telefone eingerichtet und ich kann die Box ansonsten so konfigurieren wie ich es möchte. Der Techniker sagte mir aber, dass die Box vom Provider gemanaged werden kann.

Also hab ich mich dazu entschlossen meine FritzBox 7490 weiter zu nutzen. Da sie eh schon darauf eingestellt war per DHCP auf LAN1 eine IP vom Provider zu erhalten funktionierte das auch alles ohne Probleme und ich dachte, das Thema sei erledigt.

Ich hab allerdings das Thema VPN und SFTP nicht auf dem Zettel gehabt.

Fakt ist, dass ich seit 2 Tagen versuche, mit dieser vorgeschalteten Box irgendwie mein VPN wieder zum laufen zu bekommen.

Ich nutze 2 VPNs: für die gesamten Mobilfunkgeräte der Familie ein FritzVPN, also IPsec. Für mein Notebook nutze ich OpenVPN auf Port 443 aus verschiedenen Gründen. Außerdem habe ich noch einen SFTP-Zugang auf mein NAS, welchen ich ab- und an nutze wenn ich gerade mal nicht in der Gegend bin.

So wie ich das aus dem Forum entnehmen konnte unterstützt AVM kein IPsec-Passthrough.

Allerdings kann ich Ports von der Provider FritzBox auf meine FritzBox einrichten wie ich lustig bin - es funktioniert überhaupt keine Portweiterleitung. Ich habe Port 443, einen für STFP und dann noch für IPsec die UDP-Ports 53,500,4500 sowie ESP auf meine dahinterliegende FritzBox weitergeleitet. Es funktioniert aber überhaupt nicht - es kommt überhaupt keine Verbindung zustande.

Hat jemand schon mal so ein Ähnliches Problem gehabt?

Mittlerweile wünsch ich mir meine alte CPE zurück bei der Zeit, die ich schon für das Testen eingesetzt habe heute.

Vielen Dank!
 
eine IP vom Provider
ist das CPE ein Glasfaser-Modem oder ein GF-Router mit NAT ?
Hast Du eine öffentliche IPv4 Adresse am CPE LAN-Anschluß bzw. Fritzbox LAN1 Anschluß ? oder DS-Lite, CG-NAT, oder DS-Full ?

ggf. ist das die Ursache, dass VPN-Einwahl nicht mehr funktioniert.
 
Moin! Erst einmal Dankefür die Antwort!

Also die CPE ist eine BKtel XON1300.SC

https://www.bktel.de/xon1300_cpe.htm

Die hat halt nur den Gigabit Ethernet Anschluss und einen CATV.

Hätte halt dort gerne die beiden Telefone dran. Da die Telefone von dort quer durchs Haus gehen wäre es schon schlau dort auch die Telefone anzustecken.

Ich habe eine ganz normale IPv4 Adresse - zum Glück, also kein DS-Lite Tunnel. Also die FritzBox vom Provider. Mein Netz dahinter nutzt ja eine DHCP-Adresse der Box vom Provider, die ich auf fest eingestellt habe.


Ich fühl mich ganz schön ausgeliefert ohne VPN :eek:


Eine ganz normales Port-Forwarding von der FB des Providers zu meiner FB und dort per PortForwarding auf mein NAS geht leider auch net.


### Zusammenführung Doppelpost by stoney ###

Gerade gesehen, dass die BKtel einen 4-Port-Switch hat. Ich steck mal meine Box nicht hinter die Fritte vom Provider, sondern direkt an die CPE...

Leider sind die anderen 3 Ports offline. Wenn ich meine FB an den funktionierenden Port hänge funktioniert nix. Mal sehen was der Provider mir als Lösung anbietet....
 
Zuletzt bearbeitet von einem Moderator:
Allerdings kann ich Ports von der Provider FritzBox auf meine FritzBox einrichten wie ich lustig bin - es funktioniert überhaupt keine Portweiterleitung. Ich habe Port 443, einen für STFP und dann noch für IPsec die UDP-Ports 53,500,4500 sowie ESP auf meine dahinterliegende FritzBox weitergeleitet. Es funktioniert aber überhaupt nicht - es kommt überhaupt keine Verbindung zustande.
Ist die Provider-FB7490 aus dem Internet erreichbar ?
funktioniert Zugriff auf Web-IF der Provider-FB7490 per https ?
 
Ich würde hier zunächst mal die zweite Box in der ersten als "exposed host" freigeben ... dann gehen alle Pakete, die nicht in der ersten Box terminiert werden und nicht für andere Clients gedacht sind, automatisch an diese Box. Das macht jede einzelne Portfreigabe (in der ersten Box) überflüssig.

Alle DynDNS-Konten, die bisher in der zweiten Box verwendet wurden, gehören jetzt in die erste FRITZ!Box - sollte der Zugriff über ein MyFRITZ!-Konto und damit über die MyFRITZ!-Adresse der zweiten Box erfolgt sein, muß das ebenfalls in der ersten eingerichtet werden und dann deren Adresse für Zugriffsversuche verwendet werden. Die "Preisgabe" dieser Kontoinformationen - in der vom Provider verwaltbaren Box - ist der Preis, den man bei der Kaskade zahlen muß.

Das gilt alles dann, wenn hier IPv4-Adressen verwendet werden ... bei IPv6-Adressen hat die zweite Box ja ihre eigene, extern erreichbare Adresse. Da die zweite Box bei IPv4 keine Ahnung hat, wie die externe Adresse aussieht (und ob/wann sie sich ändert), kann sie auch kein entsprechendes Update erfolgreich abschließen ... spätestens bei der "Kontrolle" durch die DNS-Abfrage fällt dann die zweite Box wieder durch und versucht ständig, die Adresse weiterhin zu aktualisieren - selbst dann, wenn ein Service zum Einsatz kommen sollte, der die Adresse aus derjenigen bildet, von der der Update-Request einging.

Sollte es dann immer noch nicht funktionieren, wäre es schon hilfreich zu beschreiben, WAS da nicht funktioniert (also sowohl, was genau eingerichtet wurde und wie/womit dann festgestellt wurde, daß es nicht funktioniert) und nicht nur die Tatsache zu konstatieren, DASS es nicht funktioniert.

Auch wären schon die entsprechenden Protokolle aus den Support-Daten nützlich, wenn man einen Fehler feststellen oder annehmen will ... sowohl für die Portfreigaben als auch für die DynDNS-Konten. Erst wenn das alles zusammenpaßt, kann man auch erwarten, daß eingehende Pakete bis zur zweiten Box vordringen und da entsprechend verarbeitet bzw. weitergeleitet werden können. Diese notwendigen Voraussetzungen Stück für Stück zu prüfen, dürfte deutlich eher zum Erfolg führen (der ja erst mal in der Feststellung der Stelle, wo es tatsächlich klemmt, läge), als die Feststellung von "geht einfach nicht".

Ich bin ein klein wenig skeptisch hinsichtlich der Standhaftigkeit und des fortgesetzten Lösungswillens, wenn ich solche Bemerkungen lese:
Mittlerweile wünsch ich mir meine alte CPE zurück bei der Zeit, die ich schon für das Testen eingesetzt habe heute.
Ich hoffe mal, daß ein Erfolg am Ende hier "alternativlos" ist und daher nicht mitten im Rennen die Pferde gewechselt werden, wenn man sich jetzt (gemeinsam) an die Suche der Fehlerursachen macht.
 
Hallo!

Ich danke Euch für die ausführlichen Antworten.

Ich glaub ich habs. Das einzige, was ich geändert habe ist, dass das Dyndns-Konto jetzt von der alten FritzBox auf die neue Provider Fritz-Box (die davor) ist drauf gepackt. Da ich die Freigaben ja alle schon eingerichtet hatte funktionierte jetzt auch soweit alles, also FritzVPN zumindest und der SFTP Zugang über einen eigens definierten Port. Ich gehe davon aus, dass auch OpenVPN geht aber kann ich gerade nicht testen da der Client nicht verfügbar ist.

Also doch nicht so doof, aber doofer Fehler ;)

Jetzt helft mir mal auf die Sprünge - warum muss ich das Dyndns auf die erste FritzBox vom Provider packen? Ich hatte früher zu Zeiten von nur einer Box den Dyndns-Dienst auf einem NAS. Ich dachte immer, dieser Client meldet einfach nur die IP-Adresse zum Anbieter und gut. Warum musste ich denn jetzt den Dyndns-Dienst auf der ersten Box aktivieren, wenn ich ein Update der IP auch theoretisch im Browser vornehmen könnte???

IPsec Fritz!VPN geht auch. Ein myFritz-Konto nutze ich nicht.

Ich habe fürs VPN folgende Ports weitergeleitet:

DNS 53 UDP
ISAKMP/IKE 500 UDP
IPsec NAT Traversal 4500 UDP
ESP

Ob ich mir davon was sparen kann - ich weiß es noch nicht ;)

OK, DNS und ESP braucht man nicht, nur 500+4500 UDP
 
ch habe fürs VPN folgende Ports weitergeleitet:

DNS 53 UDP
ISAKMP/IKE 500 UDP
IPsec NAT Traversal 4500 UDP
ESP

SNIP
OK, DNS und ESP braucht man nicht, nur 500+4500 UDP

eigentlich sollte IMHO Port UDP/4500 ("IPsec NAT Traversal") reichen;
siehe auch:
Ansonsten brauchst Du für das AVM-IPSec-VPN den UDP-Port 4500 als Weiterleitung an Deine FRITZ!Box.


unklar was das Forwarding von anderen Ports (UDP/53, UDP/500) bzw. das Protokoll ESP oder "exposed Hosts" im IPsec-Umfeld in Verbindung mit Network-Address-Translation/Forwarding an Rechner im LAN bringen soll.

Jetzt helft mir mal auf die Sprünge - warum muss ich das Dyndns auf die erste FritzBox vom Provider packen?

das IPsec VPN nutzt Identitäten (IDs) in IKE-Phase 1, dies können sein:
o user full qualified domain name (user-fqdn)
o full qualified domain name (fqdn)
o key ID
o IP-Adresse
o IP-Netz mit Maske
o IP-Adressbereich

für Fritzbox LAN2LAN-VPN wird "fqdn" oder "ipaddress" als P1-ID verwendet; siehe vpn.cfg Parameter localid, remoteid;
das Web-IF setzt "fqdn", bei manueller vpn.cfg Konfiguration kann bei statischer public IP auch "ipaddress" als P1-ID genutzt werden.
 
Zuletzt bearbeitet:
Danke!

Ich habe nun mal UDP 500 aus den Freigaben genommen - klappt nicht. Kann keine Verbindung aufbauen.

Danke für die Erklärung mit DDNS von der 1. FritzBox.
 
Der "Link" von @stoney sollte Dich sicherlich darauf aufmerksam machen, daß Du freundlicherweise das Präfix für den Thread selbst ändern mögest.
 
IP Phone Forum - Fehler
Du hast keine ausreichenden Rechte, um diese Seite zu sehen oder diese Aktion ausführen zu können.

Nun ich habe gedacht Herr Moderator ändert was weil der link anscheinend nicht für mich war. I'll do so.
 
Doch dieser war an Dich @Jim_Pfaffenbach aber der erzeugte Fehler sollte nicht auftreten - aber wieso ist denn nun doch der Präfix geändert o_O
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,171
Beiträge
2,247,421
Mitglieder
373,714
Neuestes Mitglied
Panicmaker
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.