VPN Zugang via UMTS / HSDPA: die Lösung)

[fb7272]

Hallo Zusammen,

auch wenn der letzte Beitrag in diesem Thema schon etwas her ist, hoffe ich doch als Neuling hier Hilfe zu bekommen.

Also, ich habe ebenfalls ein Problem beim VPN-Verbindungsaufbau mit UMTS.
Folgende Situation:
Auf der Client-Seite habe ich einen Laptop, mit dem ich über ein UMTS-WLAN-Stick ins Internet gehe und von hier aus die VPN-Verbindung aufbauen möchte,
auf der anderen Seite habe ich an eine FritzBox 7272 ebenfalls ein UMTS-Stick angeschlossen. An der FritzBox hängt ein anderer Laptop, der im Endeffekt angesprochen
werden soll.
Der Verbindungsaufbau scheitert aber immer wieder. Ich habe bereits sämtliche Tipps aus dem Forum ausprobiert, bislang jedoch ohne Erfolg.

Nun meine Frage: Ist ein solcher VPN-Verbindungsaufbau mit 2 UMTS-Sticks überhaupt möglich? Die IP-Adressen der UMTS-Sticks sind 109.x.x.x und 100.x.x.x

Kann mir da jemand weiterhelfen

 

[aquarium]

Nun meine Frage: Ist ein solcher VPN-Verbindungsaufbau mit 2 UMTS-Sticks überhaupt möglich? Die IP-Adressen der UMTS-Sticks sind 109.x.x.x und 100.x.x.x

Wenn es der Adressbereich 100.64.xxx.xx ist, so ist es vermutlich nicht möglich: https://de.wikipedia.org/wiki/Private_IP-Adresse

 

[frank_m24]

Private IPs sind 10.x, nicht 100.x. Aber unabhängig davon kann man trotzdem keine Verbindung zu einem Mobilfunk-Stick aufbauen, da die Anbieter das Routing auf diese IPs verhindern, selbst wenn sie öffentlich sind.

 

[aquarium]

Deshalb hatte ich auf den Wikipedia-Eintrag verlinkt. Dort findet sich dieses

Shared Address
Wegen des Adressmangels und zunehmender Konflikte bei den oben genannten IP-Adressbereichen wurde ein weiterer Bereich zur mehrfachen Verwendung freigegeben. Dieser Bereich 100.64.0.0/10 RFC 6598 ist speziell für Internetdienstanbieter zur Verwendung mit CGNAT vorgesehen.

 

[rollo]

Bei Vodafone gibt es zwar eine public IP, die ist aber trotzdem hinter CGN versteckt und nicht erreichbar. Ein Tracert führt zunächst über diverse Router aus dem Bereich 10/8 bevor es ins "richtige" Internet geht. VPN ausgehend zu "echten" Public IPs funktioniert aber.

jo

 

[wusel-09]

Also, ich habe ebenfalls ein Problem beim VPN-Verbindungsaufbau mit UMTS.
[Beide Seiten per UMTS-Stick im Internet, VPN-Aufbau schlägt fehl]

Nun meine Frage: Ist ein solcher VPN-Verbindungsaufbau mit 2 UMTS-Sticks überhaupt möglich?

Nein, das wird so nicht gehen, nicht mit »Consumer-Tarifen«, wo NAT Standard ist. Die einzige Chance aus meiner Sicht wäre eine zentrale Site im Internet, wohin Deine beiden Kisten sich connecten und die die beiden VPNs dann verbindet. (Schlimmstenfalls ein Bekannter mit gutem Upstream und ›echter‹ IPv4-Adresse auf seiner Box; FB-Konfiguration wird dann etwas tricky.)

Kann Fritz' VPN eigentlich auch IPv6?

 

[fb7272]

Danke schonmal,

ich teste gerade folgendes:
an meiner FritzBox habe ich jetzt einen DSL-Anschluss eines Freundes anstelle des UMTS-Sticks (100.x.x.x) angeschlossen.
Auf der anderen Seite der VPN-Verbindung habe ich meinen Laptop, der über den anderen UMTS-Stick mit der IP 109.x.x.x mit dem Internet verbunden ist.

Bei einem Verbindungsaufbau von UMTS über DSL und FritzBox auf den 2. PC mit dem Programm FRITZ!Fernzugang scheitert es aber immer noch.
Ich erhalte folgende Fehlermeldung: Verbinden zu .... schlug fehl. Im IKE-Modul ist der Fehler 1 aufgetreten.

Kann jemand etwas damit anfangen???

 

[wusel-09]

Bitte überprüfe erst einmal, z. B. über whatismyip.com, ob Deine IPs, die die FBs haben, die sind, mit denen sie auch wirklich im Internet agieren (s. Kommentar zu CGN). Von NAT zu IPv4 sollte gehen; aber in 100.x liegt eben auch 100.64 ...

 

[georg3003]

Nein, das wird so nicht gehen, nicht mit »Consumer-Tarifen«, wo NAT Standard ist. Die einzige Chance aus meiner Sicht wäre eine zentrale Site im Internet, wohin Deine beiden Kisten sich connecten und die die beiden VPNs dann verbindet.

Kann Fritz' VPN eigentlich auch IPv6?

Das stimmt!
Mindestens 1 echte öffentliche IP ist nötig.

Fritz VPN kan derzeit kein IPv6. Soweit ich weiß nur OPenVPN kanns.

 

[georg3003]

Danke schonmal,

ich teste gerade folgendes:
an meiner FritzBox habe ich jetzt einen DSL-Anschluss eines Freundes anstelle des UMTS-Sticks (100.x.x.x) angeschlossen.
Auf der anderen Seite der VPN-Verbindung habe ich meinen Laptop, der über den anderen UMTS-Stick mit der IP 109.x.x.x mit dem Internet verbunden ist.

Bei einem Verbindungsaufbau von UMTS über DSL und FritzBox auf den 2. PC mit dem Programm FRITZ!Fernzugang scheitert es aber immer noch.
Ich erhalte folgende Fehlermeldung: Verbinden zu .... schlug fehl.
Kann jemand etwas damit anfangen???

Ich weis zwar nicht was du da quirlst, aber FAKT ist du kannst nur eine öffnetliche IP(als Ziel) für FritzVPN mit Fernzugang benutzen. Was ist da unverständlich?

Beispiel:

BoxFritzFunk VPN <-----> BoxFritzechteIP VPN --- einer deiner Rechner (hinter deiner Box) (von hier auf BoxFritzFunk VPN könnte gehen)

wenn du glück hast funktioniert das!!!


DeinRechner mit Fernzugang -------> BoxFritzFunk VPN GEHT EINDEUTIG NICHT

DeinRechner mit Fernzugang -------> BoxFritzechteIP VPN (kann) Funktionieren.


Selbstverständlich, könnte auch folgendes gehen, aber ..... frag nicht wie du die Routen setzen musst.

BoxFritzFunk VPN <-----> BoxFritzechteIP VPN (Routing??) <--- DeinRechner mit Fernzugang

 

[wusel-09]

Selbstverständlich, könnte auch folgendes gehen, aber ..... frag nicht wie du die Routen setzen musst.

BoxFritzFunk VPN <-----> BoxFritzechteIP VPN (Routing??) <--- DeinRechner mit Fernzugang

Routing zu Geräten, die mit der FB verbunden sind, ist easy; das gilt auch für ganze Netze (die in der FB korrekt eingetragen sind, d. h. mit Router), da aber muß dann auch der Rückweg stimmen (sollte es, wenn FB Default-GW ist). Man muß nur die entfernten Netze entsprechend in den Filterregeln des jew. VPN-Zugangs eintragen. (Was ich bislang nicht hinbekommen habe: bei FB1 <VPN> FB2 <VPN> FB3 von einem Rechner hinter FB1 auf einen Rechner hinter FB3 zuzugreifen; dazu muß ich die Netze von FB3 bei FB2 und FB1 – und umgekehrt – eintragen, die FB nimmt aber die FW-Regeln meiner Ansicht nach auch als Routingangaben, jedenfalls sah das so aus, als es nicht klappte. Oder es lag daran, daß auch zw. FB1 und FB3 ein VPN konfiguriert ist ...)

 

[fb7272]

Hallo,
habe nun folgendes gemacht: VPN-Verbindung zur FRITZBox mit ner echten IP-Adresse.

Nun wird mir auf der Weboberfläche der FB bei VPN unter "Adresse im Internet" zwar die IP von dem PC angezeigt, der die VPN aufbaut.
Allerdings wird weder ein lokales Netz, entferntes Netz noch ein Status angezeigt. Einen Zugriff auf mein Heimnetzwerk habe ich ebenfalls nicht.



Ich vermute, dass ich ein VPN bis zur Firewall des Routers aufgebaut habe und bestimmte Ports freigeben muss, allerdings weiß ich nicht welche.

Kann mir dabei jemand helfen???

 

[wusel-09]

Äh, »IP von dem PC angezeigt, der die VPN aufbaut«?

Wie sieht Dein Setup nun aus?

FB1—IPv4-Internet (...) Mobilfunk—FB2—PC und Du versuchst, vom PC zur FB1 ein VPN aufzubauen? Falls ja, mußt Du dafür sorgen, daß IPsec-Pakete von FB2 zum PC gelangen ...

Laß' entweder FB2 weg oder FB2 das VPN zu FB1 aufbauen (dann ist das eine LAN-Kopplung), beides tut problemlos. (Wenn Du sichergehen willst, daß nur der PC das VPN nutzen darf, so kannst Du hinterher die Konfigurationsdatei einpassen, daß nur PCs IP passieren darf.)

 

[fb7272]

Zum Verständnis:

PC_1--> UMTS-Stick (direkt an PC, ohne Router) --> Internet --> FB7272 (mit DSL-Anschluss) --> PC_2 (über WLAN mit FB verbunden).

Habe nach einigem ausprobieren ne Verbindung:



Allerdings wird mir PC_1(Lenovo) nicht im Heimnetzwerk der FB angezeigt, ist in der Liste nur aus früheren lokalen Verbindungen geführt.

 

[wusel-09]

Das ist bei mir genauso; die mobilen Clients tauchen in »Heimnetzwerk« nicht auf, formal sind sind ja auch nicht im Heimnetz sondern per VPN zugeschaltet

 

[fb7272]

Da bin ich ja schonmal auf dem richtigen Weg

aber ich möchte ja im Endeffekt auf die freigegebenen Ordner von PC_1 bzw. PC_2 über VPN zugreifen können, das gelingt mir nicht.

Welche Einstellungen muss ich da noch vornehmen?

 

[PeterPawn]

Da bin ich ja schonmal auf dem richtigen Weg
Welche Einstellungen muss ich da noch vornehmen?

Wenn wirklich die PCs gegenseitig per ping erreichbar sind, könnte die Einstellung "dont_filter_netbios = yes;" in beiden VPN-Konfigurationsfiles helfen, ist halt etwas um die Ecke konfiguriert ...

Ich bin mir nicht sicher, ob dieser Netbios-Filter nur für den VPN-Zugriff zum Samba-Server der Box wirksam ist oder ob dadurch auch der Transit gefiltert wird.

 

[.Sun]

Hi,
ich muss mich hier auch noch mal melden.
Nach meinem Umstieg auf Linux habe ich das Thema VPN lange Zeit vernachlässigt. Nun habe ich mich in letzter Zeit ein wenig mit beschäftigt und über eine "Standleitung" läuft das ganze auch, inkl. komplettem Verkehr übers VPN.

Wenn ich jedoch per UMTS (egal ob D2 oder E+) im Netz bin (via Android-Tethering oder Mifi-Router) hängt es. Das äußert sich dadurch, dass das VPN zwar aufgebaut wird (und laut Fritze bin ich auch angemeldet), ich habe kein Internet mehr habe, noch IPs im VPN-Netz erreiche. IPs sind 2.xxx bzw. 46.xxx.
Die Config für die Fritzbox wurde mit dem Programm von AVM erstellt.
Kann es sein, dass der Fehler nicht bei mir liegt und sowohl D2 als auch E+ den Traffic blocken?

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "name";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.12.201;
                remoteid {
                        key_id = "gruppenname";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "gruppenpasswort";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "username";
                        passwd = "userpasswort";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.12.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.12.0 255.255.255.0 192.168.12.201 255.255.255.255", 
                             "permit ip any 192.168.12.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

...meine gebastelte Config anno 2011 funktioniert, bei gleichem Fehlerbild, auch nicht mehr...

 

[PeterPawn]

sowohl D2 als auch E+ den Traffic blocken?

Das mit der Blockade kann ich für 1&1 als Anbieter (im Vodafone-Netz) und auch für original Vodafone-MobileInternet-Tarif definitiv ausschließen.

Es paßt auch irgendwie nicht zum beschriebenen Fehlerbild, die Verbindung wird ja aufgebaut. Der eigentliche Traffic ist für den Provider nicht vom Verbindungsaufbau zu unterscheiden - jedenfalls solange NAT-T (UDP 4500) benutzt wird. Ohne würde aber bei der von die beschriebenen Konfiguration auch kein Key Exchange funtionieren. Klingt also eher nach einem Routing-Problem nach dem Aktivieren der VPN-Verbindung ... dazu passt dann auch, daß Du anschließend kein Internet mehr hast.

Edit: Vielleicht passt das Fehlerbild doch zu einer Kombination aus IKE über UDP 500 und ESP ... das funktioniert dann im Mobilfunk so nicht. Überprüfe ggf. die Konfiguration auf beiden Seiten auf die automatische (oder besser sogar erzwungene) Verwendung von NAT-Traversal.

Edit2: Die nachgereichte Config-Datei habe ich erst jetzt gesehen. Geh doch mal auf die Box und sieh Dir den Inhalt der Protokolldateien (/var/tmp/avmike.log, ggf. auch /var/tmp/avmike.old) an.

 

[.Sun]

Überprüfe ggf. die Konfiguration auf beiden Seiten auf die automatische (oder besser sogar erzwungene) Verwendung von NAT-Traversal.

Wie mache ich das?

Geh doch mal auf die Box und sieh Dir den Inhalt der Protokolldateien (/var/tmp/avmike.log, ggf. auch /var/tmp/avmike.old) an.

Dafür müsste der sshd laufen. Tut er aber nicht, und will sich bisher auch nicht aktivieren lassen (6360 cable).


Wenn der Haken im unteren Feld ist, behalte ich die Umts-Ip und kann zumindest den Router via nmap finden. Anpingen lässt der sich kurioserweise aber nicht.

Auch wenn ich mich im Uninetz mit Vpn melde, habe ich bei einer mobilen Verbindung die selben Probleme wie bei der Fritzbox. Auch die Uni erreiche ich (inkl. "ip-wechsel") über eine Standleitung ohne Probleme. Ich würde das Problem fast beim Networkmanager suchen.