[Gelöst] VPN FritzFernzugang geht nicht mehr nach Routerwechsel

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
pa-jt schrieb:
Zugewiesene IPv6 für Laptop wird keine Rolle spielen, LAN-LAN Kopplung. DieFB 6591 sollte mindestens eine interne IP zB 192.168.177.1 haben und eigene dyndns. Dann klappt's.
Zum Vergrößern anklicken....
LAN-LAN Kopplung wird hier nirgends verwendet, siehe die verlinkte Anleitung in #3.
Der Client-PC kennt auch den vielleicht vorhandenen DynDNS-Namen der Fritzbox, an der der PC gerade angeschlossen ist, nicht.
Der PC könnte ja ebenso gut an irgendeinem öffentlichen WLAN versuchen, die Fritzbox am Ort X zu erreichen.
 
pa-jt schrieb:
eigentlich das gleiche: eine VPN von DS-Lite zur echten IP4. So komme ich von meinem Smartfon über VPN an FB mit einer öffentlichen IP4 zur meiner FB (DS-Lite)
Zum Vergrößern anklicken....
Bei DS-Lite kann es da Schwierigkeiten geben. Die IPv4 Adresse ist zwar öffentlich, aber auch geteilt, d.h. wird von mehreren Teilnehmern genutzt. Nun ist IPSEC/IKE (im Gegensatz zu Wireguard) festgelegt auf bestimmte Ports. Sind diese für einen Teilnehmer belegt, können andere auf der selben IPv4 diese Ports nicht nutzen.
 
Danke für die regen Beiträge.
Auf dem Win 10 Laptop habe ich das stinknormale FritzFernzugang Programm inkl. Einrichtung heruntergeladen. Und damit baue ich die VPN Verbindung auf, basierend auf IP/Sec. Welche Aufgabe die Fritzbox auf der Client Seite spielt, weiß ich nicht genau. Auf dem PC finde ich im Journal nur die Fehlermeldung, dass die Gegenstelle nicht erreicht werden konnte. Wenn ich auf der FB 6591 irgendwelche Logs finden könnte, die weitere Info enthalten, wäre es natürlich toll. Denn ich vermute, dass sie mit hoher Wahrscheinlichkeit das Problem verursacht.

Ich habe die gleiche Verbindung zur FB7590 (X) vorher auch auf meinem eigenen Laptop daheim installiert. Sie funktioniert. Dabei ist es egal,, ob ich beim Verbindungsaufbau über meine FB7590 oder über einen Hotspot über mein Android Handy den Aufbau starte.

Wenn jemand noch etwas dazu einfallt, wäre ich dankbar.

Gruß, wglan
 
Liegt wohl (nach wie vor) daran, dass Du vermutlich auf der Cable-Verbindung keine öffentliche IPv4 bekommst mit der 6591 im Gegensatz zur 7590 welche vermutlich eine öffentliche IPv4 vom Provider erhält.

VPN-Verbindung zur FRITZ!Box unter Windows einrichten (FRITZ!Fernzugang) | AVM Deutschland

avm.de avm.de

Die FRITZ!Box muss vom Internetanbieter eine öffentliche IPv4-Adresse erhalten.
Zum Vergrößern anklicken....

wurde ja aber eig. auch bereits im Post #23 in diesem Wissensdokument so erwähnt.
 
Zuletzt bearbeitet:
Ich glaube das Problem ist, dass die Ziel-7590 per VPN von einer 7590 erreichbar ist, aber nicht von der 6590.
Die Ziel-7590 hat also eine öffentliche IPv4-Adresse.

Die Frage ist, was die 6590 6591 für eine Internet-Anbindung hat (nativ IPv6, nativ IPv4, Dual-Stack, DualStack-Lite (IPv4-Tunnel über IPv6)) und ob der Kabel-Provider VPN überhaupt unterstützt oder hier ein Port-Block aktiv ist.
 
Zuletzt bearbeitet:
Ich meine doch die 6591 aus dem OP ...
 
kommt mindestens ein Ping durch an fb7590(X) <MyFritz>?
 
Auch wenn viele Köche ja den Brei verderben, mische ich mich trotzdem mal (zumindest am Rande) ein - manche Theorie hier ist schon ganz schön wild und es schadet eigentlich auch selten, wenn man solche Theorien nicht nur aufstellt, sondern auch (zumindest rudimentär) begründet ... ja, manchmal fällt es einem selbst auch auf beim Versuch, eine solche zu schreiben, daß da irgendetwas nicht so richtig zur Theorie paßt; dann sollte man ja versuchen, die Theorie entsprechend zu ändern und nicht nach weiteren Argumenten suchen, um sie doch noch irgendwie logisch erscheinen zu lassen. Und daß man eigene Theorien am besten auch auf (bestätigte) Fakten stützt und nicht aus der Glaskugel liest (je weniger Fakten, desto mehr Rauchschleier in der Kugel), sollte sich eigentlich auch von selbst verstehen.


wglan schrieb:
Wenn ich auf der FB 6591 irgendwelche Logs finden könnte, die weitere Info enthalten, wäre es natürlich toll.
Zum Vergrößern anklicken....
Wie sollte das funktionieren? Die FRITZ!Box 6591 ist da ja nur der Router, der ist es (ziemlich) egal, welcher Traffic da von einem LAN-Client an irgendwelche Ziele im Internet gesendet wird, solange da keine Filterung des erlaubten Traffics auf der 6591 (früher mal als "Kindersicherung" eingeführt, mittlerweile aber auch - mit manchen Kindern - mitgewachsen) aktiviert wurde.

Aber auf dem anderen Endpunkt der IPSec-Verbindung (also irgendeiner 7590) gibt es dann genau dazu (und nicht erst seit gestern) im FRITZ!OS die Möglichkeit, sich die "Support-Daten" aus dem laufenden OS als Datei ausgeben zu lassen.

Deren Inhalt (der weit über VPN-Informationen hinausgeht, aber das selektive Erstellen zieht AVM wohl auch nie mehr in Erwägung, obwohl das bereits in getrennten Skript-Files gesammelt wird) mag zwar an manchen Stellen auch etwas kryptisch aussehen (vor allem für den Laien) und viele Interna der AVM-Komponenten mit irgendwelchen (vielleicht sinnvollen, vielleicht aber auch sinnentleerten, weil "vererbten") Abkürzungen sind sicherlich auch weiterhin schwer zu interpretieren ... aber für den VPN-Teil trifft das eigentlich nicht mehr zu und seitdem AVM die Protokollierung dort auch massiv ausgebaut hat (sicherlich fanden es die eigenen Mitarbeiter auch nicht so prickelnd, wenn sie oftmals selbst auch nur raten konnten), ist das eine wahre Fundgrube bei solchen Problemen.

Die ganzen Fragen zu Portnummer, Weiterleitungen, DS-Lite, IPv4, etc. kann man ganz einfach dadurch klären, daß man sich die ike.log in der Support-Datei ansieht. Kommt dort eine Verbindung an, wenn der PC einen Versuch startet, dürfte die generelle "Erreichbarkeit" schon mal geklärt sein und da dann bei IPSec (mit ISAKMP/IKEv1) eine rege Diskussion zwischen den Peers beginnt, kann man aus dem weiteren Verlauf auch auf entsprechende Probleme schließen.


Wie so oft, tippe ich hier tatsächlich auch erst einmal (bis zum Beweis des Gegenteils, durch das Vorhandensein oder Fehlen entsprechender Protokolleinträge in der FRITZ!Box) auf ein MTU-Problem, was dadurch verursacht wird, daß der Windows-PC nicht "weiß" (und es auch nicht ohne weiteres ermitteln kann), daß er noch den Overhead für den IPv6-Tunnel, in dem die IPv4-Pakete vom Router (der 6591) zum AFTR des Providers weitergeleitet werden, bei der max. Größe der IPSec-Pakete berücksichtigen muß.

Zumindest müßte man mal ermitteln, welche MTU für den Tunnel überhaupt gesetzt ist. Wenn sich das beim FRITZ!Fernzugang nicht ermitteln läßt (das Faß, warum es nun unbedingt diese Software sein soll, mache ich gar nicht erst auf), kann man auch mal an der 6591 den internen LAN-Verkehr mitschneiden lassen - selbst wenn man mit dem Inhalt der Pakete nichts anfangen kann (das ist ja der Sinn des VPN, daß die Daten verschlüsselt sind), sollte man (m.W. werden die Pakete bei den AVM-Programmen/-Komponenten nicht aufgefüllt, um die Größe der enthaltenen "echten" Daten zu verschleiern) anhand der Größen der übertragenen Pakete erkennen können, ob die MTU zu groß angesetzt wurde, weil dann einem voll ausgelasteten Paket i.d.R. noch ein kleineres mit dem "hinteren Fragment" folgen sollte.

Aber auch das wäre alles erst der zweite Schritt ... zuerst sollte man mal ermitteln, ob der Verbindungsversuch überhaupt vom Windows-PC über die FRITZ!Box 6591 bei der FRITZ!Box 7590 ankommt - dazu muß man allerdings an die Support-Datei der 7590 kommen können.

EDIT: Markdown und BBCode verwechselt, korrigiert.
 
  • Like
Reaktionen: Alex_P
Ich war heute wieder bei meinem Freund und habe mich in die FB6591 eingeloggt und dort unter Internet -> Online Montor festgestellt, dass es sich bei der IPV4 um einen DS-Lite Internetzugang handelt. Das ist wohl die Ursache für mein Problem, dass der alte Fritz Fernzugang damit nicht geht.
Welche Möglichkeiten habe ich unter diesen Umständen, um trotzdem zu der Fritzbox 7590 (X) eine VPN für eine RDP Session aufbauen zu können? Für meinen Freund (genau genommen ist es eine Bekannte) soll damit die Möglichkeit geschaffen werden, während Ihrer Schwangerschaft und danach Home Office zu machen. Und das wäre wichtig für sie. (Jetzt verstehe ich erst die Frage nach Wireshark ganz oben.

Und wie komme ich an die Support Datei?
 
Zuletzt bearbeitet:
wglan schrieb:
Welche Möglichkeiten habe ich unter diesen Umständen, um trotzdem zu der Fritzbox 7590 (X) eine VPN für eine RDP Session aufbauen zu können?
Zum Vergrößern anklicken....
1.Wenn immer von Zuhause verbunden werden sollte und die beiden Stellen mit FB ausgestattet sind: LAN-LAN-Kopplung.
Dann wird das Programm FRITZ!Fernzugang nicht mehr benötigt.
1645563567296.png
2. Abzuwarten bis auf die FB 7590(X) FritzOS 7.50 drauf kommt und mit WireGuard VPN aufbauen
 
Zuletzt bearbeitet:
wglan schrieb:
Welche Möglichkeiten habe ich unter diesen Umständen, um trotzdem zu der Fritzbox 7590 (X) eine VPN für eine RDP Session aufbauen zu können?
Zum Vergrößern anklicken....
Das kommt letztlich auch darauf an, wo genau das Problem liegt. Wenn tatsächlich ein Verbindungsversuch bei der 7590 ankommt und erst danach Timeouts auftreten, dann läge das (wahrscheinlich) tatsächlich wieder an der MTU (was das ist und warum das bei VPN-Verbindungen zum Problem werden kann, findet man leicht mit einer Suchmaschine heraus) und solange die AVM-Lösung diesen Wert nicht automatisch und richtig(!) ermitteln kann (per P-MTU-Discovery), wird eine RDP-Verbindung (bei der die Datenpakete auch voll "ausgelastet" werden bis zum Anschlag) so nicht funktionieren.

Da gäbe es dann Alternativen (u.a. den Shrewsoft-VPN-Client), bei denen man diese Einstellungen sehr viel genauer vornehmen kann. Das funktioniert dann auch von einem PC im LAN eines Routers mit DS-Lite ... zum Beispiel auch für eine VPN-Verbindung zu einer FRITZ!Box, die von einem "Phoner Lite" auf dem PC benötigt wird, damit dieser SIP-Client als Telefoniegerät an der FRITZ!Box arbeiten kann. Es scheitert also nicht an grundsätzlichen Problemen bei einer solchen Konstellation, höchstens noch an ungeeigneten Programmen.

Ob eine LAN-LAN-Kopplung tatsächlich die Lösung wäre, hängt auch davon ab, welche Zugriffe zwischen den Standorten tatsächlich gewünscht sind ... mit einem VPN-Client auf dem PC kann dann auch tatsächlich nur dieser eine PC auf das entfernte Netz zugreifen - bei einer LAN-LAN-Kopplung (ohne weitere Beschränkungen durch spezielle Parameter-Auswahl) können auch alle anderen Geräte im (W)LAN der 6591 auf das entfernte Netz zugreifen. Gerade dann, wenn das irgendein Zugangsrouter bei einem kleineren Unternehmen (SOHO) ist, sind solche Zugriffsmöglichkeiten ggf. unerwünscht - zumindest stellen sie ein größeres Risiko dar, weil auch andere Geräte als der verwendete PC von Malware infiziert sein könnten.
 
Hallo
es ist zum Mäuse melken. Nach der Antwort von PeterPawn habe es jetzt einmal mit der Shrewsoftware probiert. Dabei bekomme ich eine VPN Verbindung zur Fritzbox (X), egal ob ich bei mir daheim über meine FB7590 oder bei meiner Bekannten an der FB 65901 die Verbindung aufbaue. Die IP meines Laptops bekommt dabei in beiden Fällen die Adresse 192.168.0.100.
Bei mir daheim kann ich nachher die FB7590 (X) mit der IP 192.168.0 10 anpingen und auch die RDP-Session mit 192.168.0.117 aufbauen und alles ist okay.
An der FB6591 kann ich nach dem Verbindungsaufbau nicht einmal die Fritzbox 7590 (X) anpingen, geschweige denn eine rdp-Session aufbauen. Kann es sein, dass die FB6591 auf dem Rückweg den Ping blockiert? Wo kann ich da am besten nachschauen?

Danke für eure Hinweise.
wglan
 
PeterPawn schrieb:
Ob eine LAN-LAN-Kopplung tatsächlich die Lösung wäre, hängt auch davon ab, welche Zugriffe zwischen den Standorten tatsächlich gewünscht sind ... mit einem VPN-Client auf dem PC kann dann auch tatsächlich nur dieser eine PC auf das entfernte Netz zugreifen - bei einer LAN-LAN-Kopplung (ohne weitere Beschränkungen durch spezielle Parameter-Auswahl) können auch alle anderen Geräte im (W)LAN der 6591 auf das entfernte Netz zugreifen.
Zum Vergrößern anklicken....
Ich vermute das wäre für wglan deutlich einfacher als sich mit Windows-Clients zu beschäftigen
1645615270357.png
 
Zuletzt bearbeitet:
@pa-jt:
Ich weiß schon, wie eine VPN-Verbindung im FRITZ!OS aussieht, wo man sie konfigurieren kann (sogar, wie man das auch ohne FRITZ!OS-GUI und/oder "FRITZ!Fernzugang konfigurieren" hinbekommt) und was das gewöhnlich für Probleme macht, wenn nur eine Seite eine öffentliche IPv4-Adresse hat ... das ändert aber nichts daran, daß eine LAN-LAN-Kopplung funktionell(!) NICHT identisch ist mit einer VPN-Verbindung vom Typ conntype_user. Schon deshalb MUSS man - BEVOR man sich an eine alternative Umsetzung macht - die Konsequenzen überdenken und das geht nun mal nur, wenn man sie auch kennt.

@wglan:
Ich sehe bisher noch nichts von den zuvor erwähnten Protokoll-Daten aus der Support-Datei der 7590, bei der die Einwahl erfolgen soll. Und für den Shrewsoft-Client gibt es dann die Möglichkeit, mit einem gesonderten Programm (das auch mit installiert wird) die Protokollierung entsprechend "gesprächig" zu machen. Aber das nutzt auch nur (wie so oft beim VPN), wenn man die Protokolle von BEIDEN Seiten der gewünschten Verbindung hat und sie "nebeneinander legen" kann.

Setze mal hier: https://www.shrew.net/static/help-2.1.x/files/GeneralSettings.html die MTU für den Tunnel auf 1300 herunter ... das könnte zwar etwas übertrieben sein, aber es ist gleichzeitig so niedrig, daß IPSec- und IPv4-in-IPv6-Overhead nicht dazu führen dürften, daß irgendwo "fragmentation" einsetzt auf dem Weg zwischen dem PC und der 7590. Funktioniert es mit 1300 Byte dann doch, kann man sich "herantasten" an den tatsächlich notwendigen Wert (IPv6-Header brauchen mind. 40 Byte, ggf. noch +x, wenn es "extension headers" gibt/braucht) - da gibt es aber kein "festes Rezept".

Und wenn das dann immer noch nicht klappen will, dann kommt man nun mal nicht umhin, die oben erwähnten Protokolle zu konsultieren - die denkbaren Fehlerquellen sind so vielfältig, daß man mehrere Wochen beschäftigt sein kann, wenn man das alles nur mittels "trial & error" zum Laufen bringen will ... da wäre ich dann allerdings auch wieder raus (das ist also auch gleichzeitig ein Weg, mich wieder loszuwerden).
 
@PeterPawn:
Sorry, dass ich so schwer von Begriff war. Ich habe mir jetzt die Support-Daten aus der Fritzbox 7590 (X) direkt nach einem Test besorgt. Das avmike.log habe ich ausgeschnitten und angehängt. Gib mir bitte Bescheid, falls ich die gesamten Support-Daten anhängen soll. Das Log umfasst folgende Tests:

Um 15:38 Verbindungsaufbau per Shrew mit dem User vpnuser -> Die Verbindung kam zustande, aber es war kein Ping zur Fritzbox (X) möglich. Daraufhin habe ich die Verbindung wieder disconnected

Um 15:40 habe ich versucht, mit dem FritzFernzugang eine Verbindung aufzubauen. Sie kam nicht zustande. Im Journal bekomme ich dann nach grob einer Minute die Meldung, dass die Gegenstelle nicht erreicht werden konnte.

Leider kann ich mit dem Log nur wenig anfangen. Es übersteigt meine Kenntnisse.
Kannst du etwas daraus ersehen?
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 795 (Mitglieder: 46, Gäste: 749)

Neueste Beiträge

Statistik des Forums

Themen
246,216
Beiträge
2,248,287
Mitglieder
373,785
Neuestes Mitglied
Torsten 63
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück