VPN Problem: Verbindung von Computer mit FB 7170

[qwerbeet]

Hallo,

trotz Befolgen der VPN-Anleitung zur Verbindung eines Computers mit der FB über VPN kann ich mich von außerhalb des FB-Netzwerks (also von außen) nicht über VPN verbinden. Die FB zeigt nach Import von Fritzbox.cfg unter Freigaben->VPN folgende Infos an: Name, den ich bei "Fritzbox-Fernzugang einrichten" angegeben habe, Adresse im Internet: 0.0.0.0, Statuslampe: aus/grau, Aktivkästchen: Haken, Dauer: 0:00.
Das Problem ergibt sich dann beim Import der vpnuser.cfg im Programm "Fritz!Fernzugang", wo zunächst in der Infoleiste (unten) Folgendes steht: "Anmelden am Dienst AVM Fritz! Fernzugang...". Unter Datei->Import möchte ich dann die zuvor erstellte Datei vpnuser.cfg importieren, wonach aber sich weder die Infoleiste ändert, noch ein Symbol mit Dynamic DNS-Namen erscheint, noch das Symbol Aufbau klickbar wird, d.h. der Import "verpufft" so, als ob ich ihn nicht durchgeführt hätte. Es kann also nicht folgender Schritt aus der VPN-Anleitung durchgeführt werden: ...Markieren Sie das Symbol, das mit dem Dynamic DNS-Hostnamen der FRITZ!Box benannt ist, zu der eine VPN-Verbindung hergestellt werden soll. Stellen Sie die VPN-Verbindung durch Klick auf die Schalfläche "Aufbau" her...
Woran scheitert es?
Ich habe dieselbe Vorgehensweise schon an anderen PCs (andere Standorte) ohne Erfolg ausprobiert.

Einige Infos noch:
- FB Konfigurationsseite im Browser zeigt keine Fehlermeldung an
- Dynamic DNS funktioniert laut FB Konfig.Startseite
- FB hat die interne IP 192.168.178.1, wurde also nicht verändert => Bei VPN-Einrichtung wurde die Option "Werkseinstellungen übernehmen" gewählt.

Vielen Dank für eine Antwort!

 

[LPW]

Hallo,

Das Problem ergibt sich dann beim Import der vpnuser.cfg im Programm "Fritz!Fernzugang", wo zunächst in der Infoleiste (unten) Folgendes steht: "Anmelden am Dienst AVM Fritz! Fernzugang...". Unter Datei->Import möchte ich dann die zuvor erstellte Datei vpnuser.cfg importieren, [...]

Du mußt die Konfiguration zuerst importieren, bevor Du sie benutzen kannst. Wenn Du sie änderst, solltest Du die alte zunächst löschen. Außerdem solltest Du einstellen, daß beim Start von Fritz!Fernzugang keine Verbindung hergestellt werden soll.

Mit freundlichen Grüßen
LPW

 

[qwerbeet]

Danke erst mal für die Antwort!
Vielleicht habe ich mich falsch ausgedrückt, aber es ist natürlich klar, dass ich die Datei vpnuser.cfg zunächst versucht habe zu importieren und danach gehofft hatte, sie zu benutzen. Die Information "Anmelden am Dienst AVM Fritz! Fernzugang..." erscheint aber bereits bei Programmstart, ohne etwas gemacht zu haben, und bleibt auch nach Import der Konfiguration. Der Import bewirkt nichts, da sich weder die Infoleiste ändert, noch ein Eintrag erscheint, noch das grüne Symbol "Aufbau" klickbar wird.
(Konfig wurde nicht geändert; andere Einstellung als "Keine Verbindung herstellen bei Programmstart" ist bei mir nicht möglich, ist also eingestellt)

 

[LPW]

Hallo,

Vielleicht habe ich mich falsch ausgedrückt, aber es ist natürlich klar, dass ich die Datei vpnuser.cfg zunächst versucht habe zu importieren und danach gehofft hatte, sie zu benutzen. Die Information "Anmelden am Dienst AVM Fritz! Fernzugang..." erscheint aber bereits bei Programmstart, ohne etwas gemacht zu haben, und bleibt auch nach Import der Konfiguration.

Ich erinnere auch so eine Konfusion, ein glatter Programmierfehler von AVM. Ohne irgendeine Konfiguration braucht natürlich auch kein Verbindungsversuch unternommen zu werden. Und beim Start etwas automatisch zu tun, ist regelmäßig eine problematische Werkseinstellung.

Der Import bewirkt nichts, da sich weder die Infoleiste ändert, noch ein Eintrag erscheint, noch das grüne Symbol "Aufbau" klickbar wird.

Irgendwann bricht er den Verbindungsversuch so ohne Konfiguration ab, und dann sollte der Import und die Änderung dieser Starteinstellung eigentlich gelingen.

Ansonsten könntest Du in die Registry eingreifen, natürlich ohne daß Fritz!Fernzugang läuft: Im Zweig HKCU\Software\AVM\FRITZ!Fernzugang solltest beim Wert "AktiveVerbindung" einen eventuell vorhandenen Eintrag entfernen. Der Wert selbst, also die Bezeichnung "AktiveVerbindung" muß aber erhalten bleiben. Bei eingeschalteter Startautomatik steht dort der Name der Verbindung, so wie Du ihm im Fenster siehst.

Mit freundlichen Grüßen
LPW

 

[qwerbeet]

Irgendwann bricht er den Verbindungsversuch so ohne Konfiguration ab

Bei mir nicht. Selbst ohne Importaufforderung von mir kommt bereits die Anmeldungs-Information. Bin mir nicht so sicher, obs an AVM liegt, denn anscheinend funktioniert es ja bei so vielen. Oder hat jemand dasselbe Problem?

 

[LPW]

Hallo,

und was passiert nun, wenn Du den vorgeschlagenen Registry-Eingriff vornimmst?

Mit freundlichen Grüßen
LPW

 

[qwerbeet]

Hatte gleichzeitig AVM kontaktiert und wollte abwarten, was die noch für Tipps haben, bevor ich etwas an der Registry ändere....

 

[LPW]

Bangebüchs!

 

[astigoby]

hallo,

habe das gleiche problem! avm antwort seit einer woche nicht auf mein ticket! in der registry steht unter aktive verbindung nix bei mir drin...

hat noch jemand anderes eine idee?

grüße

 

[qwerbeet]

Hi astigoby,

mir gehts auch so, sonst war nach 1-2 Tagen immer eine erste Reaktion da. Diesmal nicht...

 

[astigoby]

hi querbeet,

ja, bei einem anderen problem kam nach 2 tagen die antwort. nun warte ich schon eine woche!

ich vermute die kennen keine lösung für das problem und hüllen sich deshalb in schweigen...

aber vielleicht gibt es hier noch jemand der uns helfen kann....?

grüße

 

[qwerbeet]

AVM hat nun geantwortet:
Können nach dem Start des Programms FRITZ!Fernzugang keine VPN-Verbindungen
hergestellt werden und werden die in FRITZ!Fernzugang konfigurierten
VPN-Verbindungen nicht angezeigt und zeigt die Statusleiste des
Programmfensters dauerhaft die Meldung "Anmelden am Dienst AVM
FRITZ!Fernzugang ...", so werden die AVM-VPN-Dienste gestartet, bevor auf
dem Computer eine TCP/IP-Verbindung (z.B. über eine
Drahtlosnetzwerk-Verbindung wie WLAN oder UMTS) aktiv ist.

Dieses Problem wird mit einer kommenden Version von FRITZ!Fernzugang
behoben werden. Bis zur Verfügbarkeit des Updates können Sie folgenden
Workaround nutzen:

- Beenden Sie das Programm FRITZ!Fernzugang
- Stellen Sie die TCP/IP-Verbindung her (z.B. über WLAN oder UMTS)

* In Windows Vista:
- "Start" > "Systemsteuerung" > ("Klassische Ansicht") > "Verwaltung" >
"Dienste" > "Fortsetzen"

* In Windows XP:
- "Start" > ("Einstellungen") > "Systemsteuerung" > ("Zur klassischen
Ansicht wechseln") > "Verwaltung" > "Dienste"

- Doppelklick auf den Dienst "AVM FRITZ!Fernzugang Client"
- Im Fenster "Eigenschaften von AVM FRITZ!Fernzugang Client ..."
- Klick auf Schaltfläche "Beenden"
- Klick auf Schaltfläche "Starten"
- "OK"
- Starten Sie das Programm FRITZ!Fernzugang

 

[VB90]

ich hatte das prob unter xp auch.
es gibt, wie von avm beschrieben in der diensteverwaltung einen dienst, der zwar automatisch gestartet werden soll, es aber offensichtlich nicht wird.
wenn ich das per hand nachhole, ändert sich der status vom fernzugangstool sofort auf "bereit" und eine vpnuser.cfg kann importiert bzw verbunden werden.

bin mal gespannt, wann avm da abhilfe schafft.

vb

 

[qwerbeet]

es gibt, wie von avm beschrieben in der diensteverwaltung einen dienst, der zwar automatisch gestartet werden soll, es aber offensichtlich nicht wird.

Meinst doch in der AVM-Anleitung diesen Schritt bzw. Dienst:
- Doppelklick auf den Dienst "AVM FRITZ!Fernzugang Client"

Hab ich natürlich ausprobiert, aber leider ohne Erfolg.
Da ich über dieses Problem nicht viel gelesen habe, nehme ich an, dass es bei den allermeisten auch ohne diesen Workaround funktioniert und vermute, dass es in meinem Fall nicht an AVM, sondern evtl. daran liegen könnte, dass ich die FB in einem Uni-Netz (Wohnheim) betreibe, wo möglicherweise die Ports für VPN gesperrt wurden.
Ist das eine Möglichkeit?

 

[LPW]

Hallo,

Da ich über dieses Problem nicht viel gelesen habe, nehme ich an, dass es bei den allermeisten auch ohne diesen Workaround funktioniert und vermute, dass es in meinem Fall nicht an AVM, sondern evtl. daran liegen könnte, dass ich die FB in einem Uni-Netz (Wohnheim) betreibe, wo möglicherweise die Ports für VPN gesperrt wurden.
Ist das eine Möglichkeit?

Ja, natürlich. Wir wissen nicht, ob Deine Fritz!Box überhaupt vom Internet aus erreichbar ist. Von außen erreichbar ist zunächstmal nur das Internetgateway, das die Uni mit dem Internet verbindet. Und dann müßte man auf diesem Gateway Portweiterleitungen auf Deine Fritz!Box konfigurieren, die dazu eine feste IP-Adresse braucht. Das bedeutete aber, daß IPsec-Verbindungen uniweit nur noch mit Deiner Fritz!Box möglich wären. Selbst wenn jedes Wohnheim separat mit dem Internet verbunden ist, liegt das Problem nicht viel anders.

Mit freundlichen Grüßen
LPW

 

[qwerbeet]

Meine FB ist aus dem Internet anpingbar.

Und dann müßte man auf diesem Gateway Portweiterleitungen auf Deine Fritz!Box konfigurieren, die dazu eine feste IP-Adresse braucht.

Feste IP wurde mir schon vergeben, aber wenn ich dich richtig verstehe, müssten im Uni-Rechenzentrum am Gateway die VPN-Ports für meine IP eingetragen werden? Welche Ports wären die denn? Könnte ich ja vielleicht anfragen...

Das bedeutete aber, daß IPsec-Verbindungen uniweit nur noch mit Deiner Fritz!Box möglich wären.

Kannst du mir deine Folgerung noch mal erklären? Warum sollen nach Eintragen der VPN-Ports für meine IP sämtliche VPN-Verbindungen der Uni über meine FB laufen?

 

[LPW]

Hallo,

Wie kann ich selber auf die Schnelle testen, ob meine FB von außerhalb des Uni-Netzes erreichbar ist?

Ich hatte eigentlich gehofft, daß Du uns das jetzt schon mitteilen kannst. Du könntest ja auch einfach mal bei Deiner Uni nachfragen.

Erstmal könntest Du einfach die öffentliche IP-Adresse Deiner Fritz!Box betrachten. Fällt sie in einen der privaten Adreßräume (http://de.wikipedia.org/wiki/Private_IP-Adresse), befindet sich Deine Fritz!Box in einem LAN und ist ohne Mitwirkung von dessen Internetgateway von außen nicht erreichbar.
Bei einer öffentlich aussehenden IP-Adresse könntest Du in der Fritz!Box einen dynamischen DNS-Namen einrichten, den Du für einen Zugriff auf die Fritz!Box von unterwegs ohnehin brauchst. Die Fritz!Box wird dann ihre öffentliche IP-Adresse beim DynDNS-Anbieter hinterlegen und dieser führt sie dem DNS unter dem von Dir gewählten zu. Mit nslookup <DynDNS-Name> auf der Windows-Kommandozeile kannst Du das DNS direkt abfragen und das Resultat mit der öffentlichen IP-Adresse vergleichen, die die Fritz!Box in ihrer Weboberfläche anzeigt.

Wenn die per nslookup abgefragte mit der aktuellen öffentlichen IP-Adresse übereinstimmt, kannst Du es mal mit der Freigabe eines einfachen Dienstes versuchen, etwa der https-basierten Fernwartung der Fritz!Box.

Kannst du mir deine Folgerung noch mal erklären? Warum sollen nach Eintragen der VPN-Ports für meine IP sämtliche VPN-Verbindungen der Uni über meine FB laufen?

Die Rechner in einem LAN sind von außen nicht erreichbar, nicht einmal sichtbar. Erreichbar ist allein das Internetgateway, das sämtlichen Verkehr ins Internet führt bzw. von dort entgegennimmt und intern weiterverteilt. Wenn sich jetzt jemand von außen an dieses Gateway wendet und dabei natürlich auch einen bestimmten Port angibt, muß das Gateway wissen, wer für diese Kommunikation zuständig ist. Du mußt also eine sog. Portweiterleitung eintragen, die dem Gateway beispielsweise sagt, Verbindungen auf Port 1194 (offizieller Port für OpenVPN, soll aber nur ein Beispiel sein) gehen grundsätzlich an die LAN-Station 192.168.178.120 (die diese IP-Adresse daher auch fest haben muß). Es liegt nun auf der Hand, daß diese Station sämtliche Kommunikation auf diesem Port bearbeiten muß, eine weitere Station kann nicht eingetragen werden.

Mit freundlichen Grüßen
LPW

 

[qwerbeet]

Danke für die ausführliche Antwort!
Wir haben aber etwas aneinander vorbei geredet: DNS war eingerichtet und kurz vor deiner Antwort hatte ich den Beitrag dahingehend geändert, dass die FB von außen definitiv erreichbar ist (Ping-Test erfolgreich).
Das ändert ja trotzdem nichts an der Tatsache, dass, wenn ich dich richtig verstanden habe, die VPN-Ports am Gateway im Uni-Rechenzentrum für meine feste IP eingetragen werden muss, damit sämtliche ankommenden VPN-Pakete an meine IP/FB weiter geleitet wird. Sollte das wirklich so eingerichtet werden müssen, dann könnte ja keiner im Uni-Netz außer mir eine VPN-Verbindung, z.B. zu seinem Router, aufbauen. Das kann aber doch nicht sein....

 

[LPW]

Hallo,

Wir haben aber etwas aneinander vorbei geredet: DNS war eingerichtet und kurz vor deiner Antwort hatte ich den Beitrag dahingehend geändert, dass die FB von außen definitiv erreichbar ist (Ping-Test erfolgreich).

Gut, DynDNS funktioniert also, obwohl Du es bei fester IP-Adresse nicht brauchst.

Das ändert ja trotzdem nichts an der Tatsache, dass, wenn ich dich richtig verstanden habe, die VPN-Ports am Gateway im Uni-Rechenzentrum für meine feste IP eingetragen werden muss, damit sämtliche ankommenden VPN-Pakete an meine IP/FB weiter geleitet wird.

Wenn Dein Rechner direkt von außen erreichbar ist, muß man das nicht. Dann sollte es funktionieren. Hast Du mal versucht, was Einfaches von außen zu erreichen?

Mit freundlichen Grüßen
LPW

 

[qwerbeet]

Was fällt denn unter "einfach"? Möglicherweise Remote-Verbindungen? Mit dem Programm "Teamviewer" kann ich von außen jedenfalls auf einen Rechner im FB-Lan zugreifen. Allerdings muss dafür das Programm auf beiden Rechnern laufen und sonst keine Porteinstellungen vorgenommen werden. Gibt dir das irgendwie weiter Aufschluss über die VPN-Geschichte?