VPN funktioniert - lokales Netz aber nicht erreichbar

[Novgorod]

Hast Du Dir bei der Anlage mit Fritz!Fernzugang einrichten denn auch eine virtuelle IP-Adresse aus dem Subnetz Deines LANs gegeben?

ja klar..
aber ich erreiche nicht nur die fritzbox über ihre IP nicht (192.168..), sondern auch z.b. den server im heim-LAN nicht.. es scheint wohl geblockt zu werden - dabei wundert es mich halt stark, dass die verbindung an sich hergestellt werden kann (nachzuprüfen per https-webinterface + dyndns-adresse oder z.b. per vnc und browser von nem rechner im heim-LAN o.ä.)..

Nur Pakete, die gezielt an das LAN adressiert sind, laufen über die VPN-Verbindung. Das ist als Defaulteinstellung meiner Ansicht nach auch richtig so.

als standardeinstellung sicherlich sinnvoll, aber es gibt etliche szenarien, wo man das braucht.. allein schon als sicherheits-feature, wenn man in einem öffentlichen (W)LAN surft z.b.. darum hätte ich mir da einiges an konfigurationsmöglichkeiten gewünscht..

ansonsten klingt das alles sehr sehr schlecht mit dem AVM-VPN :mrgreen:
muss ich wohl bei openVPN auf dem LAN-server bleiben oder warten bis AVM die konfiguration offenlegt und IPsec über TCP/IP kapselbar macht..
das openVPN direkt auf der fritzbox zu installieren ist eine nicht ganz so triviale aufgabe :mrgreen: (vor allem wenn man sich mit linux nicht auskennt)..

 

[harley_no1]

AVM hat ein standardkonformes, nacktes IPsec implementiert. Damit kann man zu recht vielen Geräten und Systemen anderer Hersteller Verbindungen aufbauen, wofür sie Anleitungen in ihrem VPN-Portal publiziert haben. Es kommuniziert aber als IPsec über mehrere Ports, die Du allein schon wegen der VPN-Passthrough-Funktionalität, die Du von der fremden Firewall brauchst, nicht ändern könntest. Außerdem scheiterst Du mit UDP-basierten Kommunikationen an jedem Webproxy.

Das Problem sind nicht die Ports (ich habe in den RFC nicht gesehen, dass da bestimmte festgelegt wären), sondern IPsec selbst. Sobald die Aushandlung der Parameter und die Authentifizierung abgeschlossen sind, kommunizieren die Partner (Gateways) nur noch per ESP. Dabei wird ein modifizierter IP-Header verwendet, den einige Firewalls blocken und einige (Firewalls oder auch Gateways/Router) gar nicht unterstützen.

Du solltest Deine VPN-Versuche vielleicht einmal bei ausgeschaltetem https-Zugang wiederholen. Wenn Fritz!Fernzugang die VPN-Verbindung hergestellt hat, solltest Du die Fritz!Box (wie zu Hause auch) mit ihrer internen IP-Adresse erreichen.

Aber Vorsicht! Wenn der Fernzugang einmal ausgeschaltet ist, kann man ihn natürlich nur "zuhause" wieder einschalten, es sei denn, VPN funktioniert!
Man kann auch ohne ausgeschalteten Fernzugriff (HTTPS) bei aktiviertem VPN auf die interne IP-Adresse der Fritzbox zugreifen, um das auszuprobieren. (Man hat bei aktiviertem und funktionierendem VPN also dann zwei Möglichkeiten, auf das Webinterface der FB zuzugreifen.

... es scheint wohl geblockt zu werden - dabei wundert es mich halt stark, dass die verbindung an sich hergestellt werden kann (nachzuprüfen per https-webinterface + dyndns-adresse oder z.b. per vnc und browser von nem rechner im heim-LAN o.ä.)..

Das liegt daran, dass die Aushandlung der Parameter (s.o.) noch per normalem IP stattfindet. Erst danach (wenn die eigentlichen Daten übertragen werden) kommt IPsec bzw. ESP zu Einsatz.

ansonsten klingt das alles sehr sehr schlecht mit dem AVM-VPN :mrgreen:
muss ich wohl bei openVPN auf dem LAN-server bleiben oder warten bis AVM die konfiguration offenlegt und IPsec über TCP/IP kapselbar macht..

Die Konfiguration liegt offen! Man kann sich die entstehenden Konfig-Dateien ganz einfach im Text-Editor ansehen. Verwendet wurde außerdem standardkonformes IPsec. So schlecht ist das also gar nicht! Nur halt kein OpenVPN mit seinen vielen und teilweise komplizierten Optionen.

Hier hat AVM einfach eine Lösung verwendet, die meistens funktioniert und sehr einfach einzurichten ist, dafür aber nicht alles unterstützt (und nicht ganz so sicher ist - siehe Agressive Mode). Also ein Kompromiss! Alle die mehr wollen, müssen sich halt Freetz und OpenVPN auf die Fritzbox holen.

Ich finde es auch schade, dass z.B. UPnPAV nicht über das AVM-VPN läuft, aber ich kann damit leben und habe einfach keine Lust und Zeit mir eine gemoddete Firmware zu installieren.

vg,
harley

 

[LPW]

Hallo,

Das Problem sind nicht die Ports (ich habe in den RFC nicht gesehen, dass da bestimmte festgelegt wären),

Für die Ports gibt es ein separates Dokument, weil die Zuteilung der Portnummern durch die IANA und nicht die IETF erfolgt: http://www.iana.org/assignments/port-numbers. Wenn man sich die VPN-Konfigurationsdatei fritzbox.cfg einer Fritz!Box ansieht, erkennt man, daß deren Firewall für die UDP-Ports 500 und 4500 durchlässig sein muß. Im o.a. Dokument kann man nachlesen, daß Port 4500 dem NAT-Traversal dient und Port 500 dem Schlüsselmanagement. Für Keepalives würde ein weiterer Port genutzt.

sondern IPsec selbst. Sobald die Aushandlung der Parameter und die Authentifizierung abgeschlossen sind, kommunizieren die Partner (Gateways) nur noch per ESP. Dabei wird ein modifizierter IP-Header verwendet, den einige Firewalls blocken und einige (Firewalls oder auch Gateways/Router) gar nicht unterstützen.

In regelmäßigen Abständen wird zumindestens der Schlüssel erneuert, mit dem die Nutzdaten symmetrisch verschlüsselt werden. Dazu bedarf es wieder Kommunikationen über Port 500.

Aber Vorsicht! Wenn der Fernzugang einmal ausgeschaltet ist, kann man ihn natürlich nur "zuhause" wieder einschalten, es sei denn, VPN funktioniert!

Ich bin mal davon ausgegangen, daß der Fragesteller seine Reise nach Australien erst antritt, wenn sein VPN zuverlässig funktioniert.

Man kann auch ohne ausgeschalteten Fernzugriff (HTTPS) bei aktiviertem VPN auf die interne IP-Adresse der Fritzbox zugreifen, um das auszuprobieren. (Man hat bei aktiviertem und funktionierendem VPN also dann zwei Möglichkeiten, auf das Webinterface der FB zuzugreifen.

Natürlich - wenn es funktioniert. Aber die Fritz!Box scheint bei diesem Fernzugriff per https manchmal komisch zu sein. Es gibt hier in der Nähe einen Thread, der sich damit befaßt.

Die Konfiguration liegt offen! Man kann sich die entstehenden Konfig-Dateien ganz einfach im Text-Editor ansehen. Verwendet wurde außerdem standardkonformes IPsec. So schlecht ist das also gar nicht! Nur halt kein OpenVPN mit seinen vielen und teilweise komplizierten Optionen.

OpenVPN ist nun allerdings vollstsändig dokumentiert, während AVM beispielsweise Zertifikatsdienste installiert und laufen läßt, die man gar nicht nutzen kann. Wenn man eine OpenVPN-Option nicht versteht, braucht man sie auch nicht. Auf der anderen Seite ist ein ja nicht ganz unwichtiges Feature wie die Tunnelung des gesamten Internettraffics leicht bewerkstelligt, während die AVM-Lösung das erstmal gar nicht kann, vom Ethernet-Bridging nicht zu reden.

Hier hat AVM einfach eine Lösung verwendet, die meistens funktioniert und sehr einfach einzurichten ist, dafür aber nicht alles unterstützt (und nicht ganz so sicher ist - siehe Agressive Mode). Also ein Kompromiss! Alle die mehr wollen, müssen sich halt Freetz und OpenVPN auf die Fritzbox holen.

Naja, ob sie "meistens" funktioniert, kommt auf den Nutzer an. Ich möchte bezweifeln, daß IPsec in öffentlichen WLANs meistens funktioniert. Und beim Mobilfunk scheinen nicht ganz unwichtige Anbieter aus kommerzieller Böswilligkeit Hürden aufgebaut zu haben.

Mit freundlichen Grüßen
LPW

 

[harley_no1]

Für die Ports gibt es ein separates Dokument, weil die Zuteilung der Portnummern durch die IANA und nicht die IETF erfolgt: http://www.iana.org/assignments/port-numbers. Wenn man sich die VPN-Konfigurationsdatei fritzbox.cfg einer Fritz!Box ansieht, erkennt man, daß deren Firewall für die UDP-Ports 500 und 4500 durchlässig sein muß. Im o.a. Dokument kann man nachlesen, daß Port 4500 dem NAT-Traversal dient und Port 500 dem Schlüsselmanagement. Für Keepalives würde ein weiterer Port genutzt.

Vielen Dank für den Hinweis. Stimmt, davon hatte ich auch schon mal gehört, nur wieder vergessen ...
Allerdings nutzt die AVM-Lösung den Aggressive Mode ohne ISAKMP (Port 500 UDP) und ein explizites IPSec-NAT ist doch eigentlich auch nicht nötig, da mit ESP ja die kompletten IP-Pakete gekapselt und dann auf der anderen Seite ausgepackt und normal zugestellt werden, oder? :gruebel:

Welcher Port wird denn für Keepalive verwendet? Habe dazu nichts gefunden.

Natürlich - wenn es funktioniert. Aber die Fritz!Box scheint bei diesem Fernzugriff per https manchmal komisch zu sein. Es gibt hier in der Nähe einen Thread, der sich damit befaßt.

Habe ich noch gar nicht mitbekommen. Hmm, also doch nicht ganz so positiv, wie ich es bisher gedacht habe.

Auf der anderen Seite ist ein ja nicht ganz unwichtiges Feature wie die Tunnelung des gesamten Internettraffics leicht bewerkstelligt, während die AVM-Lösung das erstmal gar nicht kann, vom Ethernet-Bridging nicht zu reden.

Das stimmt, das ist echt ein Nachteil und ich kann verstehen, wenn das einige mächtig nervt, aber wie gesagt, für mich reicht es bisher aus. Und nicht zu vergessen: SoHo-Router mit VPN gibt es noch nicht lange. VPN war bis vor kurzem noch den teureren kommerziell genutzten Routern vorbehalten, sicher nicht ohne Grund ...

Naja, ob sie "meistens" funktioniert, kommt auf den Nutzer an. Ich möchte bezweifeln, daß IPsec in öffentlichen WLANs meistens funktioniert. Und beim Mobilfunk scheinen nicht ganz unwichtige Anbieter aus kommerzieller Böswilligkeit Hürden aufgebaut zu haben.

Da hast Du Recht. FULL ACK! Vor allem die Böswilligkeit dieser meist künstlichen Beschränkungen finde ich zum k***en. Sind doch die meisten VPN-Probleme hier im Forum darauf zurückzuführen.

vg,
harley

 

[LPW]

Hallo,

Allerdings nutzt die AVM-Lösung den Aggressive Mode ohne ISAKMP (Port 500 UDP) und ein explizites IPSec-NAT ist doch eigentlich auch nicht nötig, da mit ESP ja die kompletten IP-Pakete gekapselt und dann auf der anderen Seite ausgepackt und normal zugestellt werden, oder? :gruebel:

Siehe http://de.wikipedia.org/wiki/IPsec , es gibt den Transportmodus und den Tunnelmodus, bei dem das gesamte IP-Paket in ein neues IP-Paket verpackt wird. Die meisten Nutzer sitzen heute hinter Internetgateways, die eine Network-Adress-Port-Translation durchführen und dabei das authentisierte IP-Paket aus der Sicht von IPsec manipulieren. Nur beim Internetzugang per Mobilfunk oder mit einem einfachen ADSL-Modem hat die Station selbst eine öffentliche IP-Adresse.

Welcher Port wird denn für Keepalive verwendet? Habe dazu nichts gefunden.

http://de.wikipedia.org/wiki/IPsec#Keepalives

Das stimmt, das ist echt ein Nachteil und ich kann verstehen, wenn das einige mächtig nervt, aber wie gesagt, für mich reicht es bisher aus. Und nicht zu vergessen: SoHo-Router mit VPN gibt es noch nicht lange. VPN war bis vor kurzem noch den teureren kommerziell genutzten Routern vorbehalten, sicher nicht ohne Grund ...

Bei IPsec wird gern die größere Effizienz als Vorzug dargestellt, weil der regelbasierte Ansatz im Kernel natürlich rationeller als der Weg über die virtuellen NICs von OpenVPN. Ob ESP effizienter als die Verpackung in ein UDP/IP-Paket ist, weiß ich nicht. Bis man IPsec allerdings mal soweit hat, daß es in einem Umfeld mit dynamischen öffentlichen IP-Adressen und NAT läuft, dürfte das alles wieder aufgezehrt sein. Wer eine größere Zahl von Nutzern versorgen will, kann die CPU seines VPN-Gateways auch bei OpenVPN mit Kryptohardware entlasten.

Mit freundichen Grüßen
LPW

 

[StefanP]

(gelöst) oder : VPN - und die Kindersicherung

So - jetzt habe ich (m)eine Ursache gefunden !!!

DIE KINDERSICHERUNG WARS :-Ö

In meinem Büro nutze ich die Kindersicherung, um nur den (mir) bekannten PCs (in meinem Büro-LAN) den Internetzugang zu gestatten.

DH. allen wird der Zugang verwehrt - es sei denn die Freigabe wurde eingerichtet

In der Annahme, dass das nur für den direkten Internetzugang und damit nicht für VPN gilt, habe habe ich auch jenen Geräten Sperrungen verpasst, die aufgrund ihrer Funktion eigentlich gar nicht ins Internet gehen -
sprich: den LAN-Druckern, den lokalen FBF-Repeatern und dem LAN-NAS.

Nachdem bisher nichts geholfen hatte, habe ich mal die KS außer Kraft gesetz - und siehe da, der Zugang klappt!
Jetzt die KS wieder aktiviert und die Einzelsperre herausgenommen - und es klappt auch

Warum die KS für einen VPN-Zugriff auf LAN gilt, ist mir allerdings schleierhaft!!!

Aus meiner Sicht ist das ein BUG, denn mit dem VPN-Zugang bin ich doch eigentlich schon im LAN - ODER?

hoffe gehelft zu habbe
StefanP

 

[LPW]

Hallo,

DIE KINDERSICHERUNG WARS :-Ö

hmpf.

Nachdem bisher nichts geholfen hatte, habe ich mal die KS außer Kraft gesetz - und siehe da, der Zugang klappt!
Jetzt die KS wieder aktiviert und die Einzelsperre herausgenommen - und es klappt auch

Warum die KS für einen VPN-Zugriff auf LAN gilt, ist mir allerdings schleierhaft!!!

Aus meiner Sicht ist das ein BUG, denn mit dem VPN-Zugang bin ich doch eigentlich schon im LAN - ODER?

Die IPsec-Implementation sollte die IP-Pakete vom fernen Rechner mit dessen virtueller IP-Adresse als Absenderadresse ausstatten, der Deine LAN-Geräte dann antworten. Und die sollte ja zum Subnetz des LAN gehören. Insofern könnte man das als Bug sehen. Auf der anderen Seite befindet sich er per VPN angebundene Rechner tatsächlich irgendwo im Internet und unter diesem Gesichtspunkt ist es konsequent, auch zu diesem Rechner keinen Traffic zuzulassen.

Man sieht daran, daß die freundliche Verpackung eines Features, wie hier einer Trafficsperre als "Kindersicherung" oft eher hinderlich ist. Vielleicht wäre es besser, einfach einen IP-adreßbasierten Filter anzubieten.

Mit freundlichen Grüßen
LPW

 

[harley_no1]

DIE KINDERSICHERUNG WARS :-Ö

Prima! Das sind echt die besten Kindersicherungen, die selbst von den Erwachsenen nicht durchschaut werden ... :crazy:

D.h. es gibt jetzt eine neue Standardfrage bei VPN-Problemen: "Ist die Kindersicherung eingeschaltet?"

vg,
harley

 

[StefanP]

so isses!

Es ist aber eigentlich doppelt gemoppelt bzw. nicht im Sinne des (VPN-) Erfinders.

1.) Mein Verständnis von VPN war bisher, dass ich im LAN wie ein real vor Ort eingebundenes Gerät agieren kann. Im aktuellen Modus habe ich aber als VPN-Gerät nur einen halb-lokalen Status.

2.) wenn ich rein lokale Geräte wie z.B. mein NAS oder die WLAN-Repeater dann nicht mehr per VPN nutzen/warten/erreichen kann und desshalb diese Geäte auch fürs Internet feigeben muß, verliere ich m.E. einen nicht unerheblichen Teil der Schutzwirkung der KS.

Bin zwar froh, die (unerklährliche) Störungsursache gefunden zu haben - aber nicht wiklich glücklich über die daaus folgenden Erkenntnisse.

solong - StefanP

 

[harley_no1]

2.) wenn ich rein lokale Geräte wie z.B. mein NAS oder die WLAN-Repeater dann nicht mehr per VPN nutzen/warten/erreichen kann und desshalb diese Geäte auch fürs Internet feigeben muß, verliere ich m.E. einen nicht unerheblichen Teil der Schutzwirkung der KS.

Sehe ich auch so! Gibt es denn in der FB-KS die Möglichkeit, einzelne "Internet-Rechner" freizuschalten (hier dann natürlich VPN-IP-Adressen)? Dann wäre es ja wieder OK.

Sonst sollte man mal ein Ticket bei AVM aufmachen und den Widerspruch schildern ...

 

[Novgorod]

Die Konfiguration liegt offen! Man kann sich die entstehenden Konfig-Dateien ganz einfach im Text-Editor ansehen.

ja, ich weiß, aber ohne dokumentation - insbesondere einer dokumentation aller unterstützten features - hilft mir das nicht

 

[StefanP]

das Spiel ist noch lange nicht aus ....

So Ne Sch....

Es war definitiv nur eine Kurzzeitlösung!!!

Einmal über Nacht abgemeldet sein und wieder anmelden (VPN) und das alte Spiel beginnt von vorne!

Mein NAS ist jetzt wieder weder per Ping noch anders von Ferne zu erreichen - lokal aber ohne Probleme ansprechbar. :spocht:

Es scheint also wirklich hier einen BUG zu geben!

Ich habe im Moment leider keine Zeit für ein Schreiben an AVM ....

und - ich war gestern so glücklich!!! :-Ö

StefanP

 

[derchrissi]

VPN FritzBox Vista UMTS

Hallo,
ich habe ein ähnliches Problem mit meinem VPN Zugang.
Die Einwahl auf die Box klappt problemlos, aber dann habe ich keinen Zugang zum Internen Netz.
Ich habe herausgefunden, dass es wohl daran liegen kann, dass die Tunneladapter Lanverbindungen (per CMD -> ipconfig) unterschiedlich sind - wenn der Adapter 15 befüllt wird, dann habe ich Zugang und kann auch die Geräte hinter der FritzBox (sowie die Box selber) anpingen - wenn dieser nicht befüllt ist, dann meldet zwar die Box, dass ich angemeldet bin und eine IP Adresse habe, aber ein Ping funktioniert nicht. - Aber wie kann ich das steuern?????
Meine Geräte:
AVM FritzBox mit 1&1 DSL
UMTS Vodafone
Vista Ultimate

Hier noch ein Hinweis an O2 Kunden: hier geht kein IPSec, das wird NUR an Firmenkunden gegeben, lauf O2 ist zwar alles freigeschaltet, aber nach 4 Monaten und anmeldung als Firmenkunden, haben sie mir endlich gesagt, dass ich dafür ein Zusatzpaket kaufen muss - ich habe dann gekündigt....

Danke & Grüße
DerChrissi

 

[harley_no1]

Ich habe herausgefunden, dass es wohl daran liegen kann, dass die Tunneladapter Lanverbindungen (per CMD -> ipconfig) unterschiedlich sind - wenn der Adapter 15 befüllt wird, dann habe ich Zugang und kann auch die Geräte hinter der FritzBox (sowie die Box selber) anpingen

:gruebel:

Entschuldigung, aber ist das Kommando ipconfig unter Vista so verschieden von dem unter XP? Ich verstehe hier nur :bahnhof:.

Was ist Adapter 15 und was heißt befüllt?

vg,
harley

 

[derchrissi]

unter vista ist es wohl wie bei xp mit ipconfig /all
ich bekomme dann alle möglichen LAN Adapter angezeigt....
genau heite es: Tunneladapter Lanverbindung ...
mit befüllt meine ich, dass IP Adrese und Gatway eingetragen sind (allerdings in V6 Form - oder wie die auch aussieht, zumindest nicht so wie ich sie eigentlich kenne...)
so sieht es aus:
C:\>ipconfig

Windows-IP-Konfiguration


PPP-Adapter Vodafone Mobile Connect:

Verbindungsspezifisches DNS-Suffix:
IPv4-Adresse . . . . . . . . . . : aa.aaa.aaa.aaa
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 0.0.0.0

Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Ethernet-Adapter LAN-Verbindung:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Tunneladapter LAN-Verbindung*:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Tunneladapter LAN-Verbindung* 2:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Tunneladapter LAN-Verbindung* 6:

Verbindungsspezifisches DNS-Suffix:
IPv6-Adresse. . . . . . . . . . . : xxxxx : xxxx : xxxx : : xxxx : xxxx
Verbindungslokale IPv6-Adresse . : xxxx : xxxx : xxxx : : xxxx : xxxx
Standardgateway . . . . . . . . . :

Tunneladapter LAN-Verbindung* 15:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Tunneladapter LAN-Verbindung* 16:

Verbindungsspezifisches DNS-Suffix:
IPv6-Adresse. . . . . . . . . . . : xxxx : xxxx : xxxx : : xxxx : xxxx
Standardgateway . . . . . . . . . : xxxx : xxxx : xxxx : : xxxx : xxxx

 

[LPW]

Hallo,

Es war definitiv nur eine Kurzzeitlösung!!!

Einmal über Nacht abgemeldet sein und wieder anmelden (VPN) und das alte Spiel beginnt von vorne!

Mein NAS ist jetzt wieder weder per Ping noch anders von Ferne zu erreichen - lokal aber ohne Probleme ansprechbar. :spocht:

Jetzt nehme doch mal endlich diese besch... Kindersicherung außer Betrieb. Wenn Du bestimmte Nutzer am Surfen hindern möchtest, solltest Du Dich der Windows-Gruppenrichtlinien bedienen. Mit einem Active Directory ließe sich sogar das zentral steuern. Du kannst dann auch bestimmte Sites freigeben; es soll ja vorkommen, daß das Internet auch beruflich genutzt werden muß.

Mit freundlichen Grüßen
LPW

 

[LPW]

Hallo,

Meine Geräte:
AVM FritzBox mit 1&1 DSL
UMTS Vodafone
Vista Ultimate

Hier noch ein Hinweis an O2 Kunden: hier geht kein IPSec, das wird NUR an Firmenkunden gegeben, lauf O2 ist zwar alles freigeschaltet, aber nach 4 Monaten und anmeldung als Firmenkunden, haben sie mir endlich gesagt, dass ich dafür ein Zusatzpaket kaufen muss - ich habe dann gekündigt....

Gut. Hat Dir Vodafone denn von vornherein zugesichert, daß IPsec geht oder mußtest Du da auch erst noch was "freischalten" lassen?

Vielleicht sollten wir mal eine Übersicht zusammenstellen, in der man solche - äh - administrativen Hindernisse klar erkennt.

Mit freundlichen Grüßen
LPW

 

[derchrissi]

...Vodafone mir nicht nur gesagt, dass es geht, es ging auch vorhin mal - bis ich einen Boot durchgeführt habe, dann war es wieder nix mit Ping auf die FritzBox.... :-(

So eine Übersicht wäre sicher Hilfreich und würde auch den Anbietern vielleicht mal klarnmachen, dass nicht nur Großunternehmen heute mit VPN etc arbeiten.

Steuere gerne meinen Part dazu bei:
O2 UMTS mit IPSec geht für Privatkunden nicht, für Firmenkunden kann ein Paket dazugebucht werden (selbstverständlich für entsprechendes Endgeld....)
Vodafone sollte gehen (sagen Sie zumindest und es ging auch mal für 10 Minuten...)
EPlus ist mir eine Antwort schuldig - die Kollegin bei EPlus hatte eine andere Auffassung von VPN und als ich sie bat doch mal nachzulesen bzw. mich mit einem Kollegen aus der Technik zu verbinden war das Gespräch beendet - die Antwort auf 3 weitere Anrufe und 5 Mails mit der Frage ob IPCsec geblockt wird stehten noch aus (seit Januar 2008...)

 

[harley_no1]

...
mit befüllt meine ich, dass IP Adrese und Gatway eingetragen sind (allerdings in V6 Form - oder wie die auch aussieht, zumindest nicht so wie ich sie eigentlich kenne...)

PPP-Adapter Vodafone Mobile Connect:

Verbindungsspezifisches DNS-Suffix:
IPv4-Adresse . . . . . . . . . . : aa.aaa.aaa.aaa
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 0.0.0.0

...

Tunneladapter LAN-Verbindung* 15:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Das sieht für mich aus, als ob derzeit überhaupt keine Verbindung besteht. Oder bedeuten die "x", dass da eine Adresse drin stand, Du sie aber unkenntlich gemacht hast?

Hast Du denn einen reinen IPv6-Zugang? Es gibt keine echte IPv4-Adresse! Oder hast Du diese Werte auch verändert (würde die Fehlersuche hier erheblich erschweren, vor allem die Netzmaske ist wichtig).

Die vielen Tunnel-Adapter sehen auch so aus, als ob da noch ein anderer VPN-Adapter am Werkeln ist. Damit könnte es Probleme geben. AVM meint, dass diese Lösung nicht mit anderer VPN-Software zusammenarbeitet. Der Tunneladapter kommt jedenfalls definitiv nicht vom Fritz!Fernzugang. Dort wird ein "AVM VPN-Driver" an die jeweilige Netzschnittstelle gebunden, der dann die Umsetzung (Beschreibung siehe Beitrag von LPW oben) vornimmt.

Wie man überprüfen kann, ob der VPN-Driver an die Schnittstelle gebunden ist, habe ich oben schon mal geschrieben, allerdings für XP. Die Einstellungsdialoge können sich bei Vista woanders befinden. Ich denke aber, dass die Grundlagen gleich sind.

Wie sind die Netzeinstellungen bei der Fritzbox?

vg,
harley

 

[LPW]

Hallo,

Das sieht für mich aus, als ob derzeit überhaupt keine Verbindung besteht. Oder bedeuten die "x", dass da eine Adresse drin stand, Du sie aber unkenntlich gemacht hast?

Er hat vor allem ein seltsames Standardgateway.

Mal zum Vergleich eine Verbindung über mein Handy über T-Mobile:

PPP-Adapter T-Mobile über Nokia N95 Bluetooth Modem:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 80.187.5.x
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 80.187.5.x
DNS-Server. . . . . . . . . . . . : 193.254.160.1
. . . . . . . . . . . . . . . . . . 193.254.160.130
NetBIOS über TCP/IP . . . . . . . : Deaktiviert

Das x steht für eine Zahl, die ich unkenntlich gemacht habe. Tatsächlich entspricht also das Standardgateway der eigenen öffentlichen IP-Adresse.

Mit freundlichen Grüßen
LPW