VPN zwischen Notebook und FritzBox 7170

[^-v-^]

Hallo,

Ich will mit meinem Notebook eine VPN-Verbindung zur FritzBox herstellen und habe dafür alles strikt nach der AVM-Anleitung eingerichtet.
Das Ergebnis:
- über meinen UMTS-Stick funktioniert die VPN-Verbindung
- wenn ich per WLAN bei Bekannten mit dem Notebook online bin geht es nicht

Ich denke, das Problem liegt in der Konfiguration der Netze, aber ich kenne mich damit nicht so recht aus.

Folgendes zu meiner Konfiguration Zuhause:
Subnetzmaske: 255.255.255.0
IP-Adresse FritzBox: 192.168.0.1
IP-Adresse des Notebooks über VPN: 192.168.0.201 (wie im AVM Tutorial)
Sonstige bei mir belegte IP-Adressen: .11 / .12 / .21 / .22 / .23 / .24 / .50

Zur Konfiguration über den UMTS-Stick muss ich denke ich nichts sagen (IP-Adresse vergibt der Zugangsprovider Vodafone).

Konfiguration des Netzes meines Bekannten:
Subnetzmaske: 255.255.255.0
IP-Adresse des Routers: 192.168.0.1
Belegte IP-Adressen: Liegen alle im Bereich von 192.168.0.1 bis .100

Konfiguration des Netzes eines anderen Bekannten, worüber mein VPN auch nicht funktioniert:
Subnetzmaske: 255.255.255.0
IP-Adresse des Routers: 192.168.178.1
Belegte IP-Adressen: Liegen alle im Bereich von 192.168.178.1 bis .50


Der Fehler der beim Verbinden der VPN-Verbindung (mit der AVM-Software) kommt: Fehler bei der Namensauflösung.
Den VPN-Zugriff versuche ich über die DynDNS-Adresse meines Routers. Da ich darüber (ohne VPN) Zugriff auf z.B. einen FTP/WWW-Server hinter der Box bekomme, kann ich davon ausgehen, dass die Weiterleitung der DynDNS-Adresse auf die aktuelle Online-IP funktioniert.

Wo liegt das Problem, dass ich über den UMTS-Stick die Verbindung herstellen kann, nicht aber über den Internetzugang anderer? Brauche ich hierfür eine Portweiterleitung in den jeweils fremden Routern, über die ich ins Internet gehe?

Hoffe es kann mir jemand weiterhelfen.

Edit: Da habe ich mich wohl im Bereich vertan... vielleicht kann mir jemand das Thema hierhin verschieben: http://www.ip-phone-forum.de/forumdisplay.php?f=457
Danke

 

[frank_m24]

Hallo,

ich habe deinen Beitrag mal ins passende Sub-Forum verschoben.

Warum es bei deinem ersten Bekannten nicht funktioniert, ist offensichtlich. Es steht ja auch ziemlich deutlich in der AVM Anleitung und man kann es sich mit ein bisschen nachdenken auch erklären, warum es schon theoretisch nicht gehen kann.

Bei deinem zweiten Bekannten ist die Sache schwieriger. Meistens sind solche Probleme auf Unzulänglichkeiten im Internetzugang des Clients zu suchen, also vielleicht geistern merkwürdige IP-Einstellungen im System herum, oder eine Netzwerksoftware macht einen Strich durch die Rechnung. Da würde ich als erstes ansetzen, und diese Bereiche mal vollständig analysieren.

 

[^-v-^]

Warum es bei deinem ersten Bekannten nicht funktioniert, ist offensichtlich. Es steht ja auch ziemlich deutlich in der AVM Anleitung und man kann es sich mit ein bisschen nachdenken auch erklären, warum es schon theoretisch nicht gehen kann.

Weil das Netzwerk von den IP's her das selbe ist, nehme ich an. Das hat mir hinterher soweit auch schon eingeleuchtet... aber:

Bei deinem zweiten Bekannten ist die Sache schwieriger. Meistens sind solche Probleme auf Unzulänglichkeiten im Internetzugang des Clients zu suchen, also vielleicht geistern merkwürdige IP-Einstellungen im System herum, oder eine Netzwerksoftware macht einen Strich durch die Rechnung. Da würde ich als erstes ansetzen, und diese Bereiche mal vollständig analysieren.

...dann müsste es bei dem zweiten Bekannten doch funktionieren? Er hat übrigens auch eine FritzBox 7170, aber natürlich will ich nicht die beiden Boxen miteinander verbinden sondern nur mein Notebook.
Ist hier vielleicht eine Portweiterleitung notwendig, an der FritzBox meines Bekannten?

 

[effmue]

Guude,

IP-Adresse des Notebooks über VPN: 192.168.0.201 (wie im AVM Tutorial)

..versuch einmal auf eine automatische IP-Vergabe umzukonfigurieren, sofern auf den Boxen dhcp aktiviert ist.

 

[^-v-^]

Guude, ..versuch einmal auf eine automatische IP-Vergabe umzukonfigurieren, sofern auf den Boxen dhcp aktiviert ist.

Das geht nicht, ich muss eine IP-Adresse eingeben.

Und, ehrlich gesagt, ist mir das so auch lieber. ;-)

 

[effmue]

Guude,

willst du eine Problemlösung, dann solltest du auch für Tests bereit sein, oder..?
..denn ansonsten wird das eine recht sinnfreie Diskussionsrunde ab nun...


PS: Änderst du bitte den Beitrag darüber, bevor es ein Mod. tut...Ich weiss schon noch, was ich geschrieben hatte....Vollzitate müssen nicht sein...

 

[^-v-^]

Meine Güte wird man hier unfreundlich empfangen...

Ich kann nunmal dem Fritz Einrichtungsassistenten nicht sagen, dass er automatisch eine IP vergeben soll. Er verlangt, dass ich eine IP-Adresse eingebe - sonst gehts nicht weiter. Wie soll ich das denn ändern?

In der erzeugten Konfigurationsdatei gibt es dann den Eintrag mit der entsprechenden IP-Adresse:

remote_virtualip = 192.168.0.201;

Was sollte da denn stehen, damit die Adresse automatisch zugewiesen wird?

 

[frank_m24]

Hallo,

wie ich oben schon sagte, die Fehlermeldung ist üblicherweise auf eine Fehlkonfiguration im Internetzugang des Clients zurückzuführen. Ist auch oft genug nachzulesen hier im Forum.

Das könnte sein:
- falsche DNS Einstellungen
- falsche MTU
- Alternative IP-Settings auf der WLAN Karte
- schlecht oder nicht deaktivierte weitere Netzwerkkarten
- schlecht konfigurierte Firewalls
...

Daneben kommt weitere Netzwerksoftware in Frage, wie z.B.
- andere VPN Clients
- P2P Software
- "USB über IP" Treiber
- Traffic Shaper irgendwelcher Art
- Online Spiele
...

 

[^-v-^]

Hmmm scheint als könnte man die Ursache nicht zweifelsfrei identifizieren.
- DNS-Einstellungen: Vermute ich eher nicht, auch der Zugriff direkt über die Internet-IP schlägt fehl
- falsche MTU: Da ich immer mit dem selben Notebook teste und es mit dem UMTS-Stick geht, würde ich das ausschließen - oder ist der MTU etwa für jeden Adapter separat einstellbar?
- alternative IP-Settings der WLAN-Karte: sind keine konfiguriert
- schlechte oder nicht deaktivierte Netzwerkkarten: die "normale" Netzwerkkarte im Notebook ist bei mir standardmäßig deaktiviert
- schlechte konfigurierte Firewalls: da es, wie gesagt, immer das selbe Notebook ist, wird es deren Firewall wohl nicht sein. Über die Einstellungen der fremden Router kann ich nichts sagen. Jedoch konnte mir hier auch keiner sagen, ob ich dort eine Portweiterleitung für das VPN brauche oder nicht (und wenn ja welche Ports)

Zum Thema "andere Netzwerksoftware":
Das Notebook wurde ganz frisch mit Windows 7 Ultimate 64 bit aufgesetzt. Es sind keine Spiele installiert, keine Traffic Shaper, P2P-Programme oder ähnliches. Auch keine anderen VPN Clients - nichts.
"USB über IP" Treiber ist nur der AVM eigene vorhanden, um den USB-Anschluss der FritzBox übers Netzwerk zu verbinden.

Ich bin wirklich ratlos, kann aber auch nicht verstehen warum es eine der oben erwähnten Punkte sein soll. Denn: über den UMTS-Stick funktioniert es ja problemlos!
Kann mir nur vorstellen, dass in den fremden Routern meiner Bekannten eventuell noch etwas einzustellen wäre oder aber sich die verschiedenen Netze irgendwie "beissen".

 

[frank_m24]

Hallo,

Netzwerkeinstellungen sind für jeden Adapter individuell anders. Vor allem der UMTS Adapter wird ggf. von einer Anbietersoftware vorkonfiguriert und arbeitet mit völlig anderen Einstellungen, als der Rest des Systems. Auch in der Firewall spielt ein dynamischer Adapter eine andere Rolle, als ein fest konfigurierter. Von daher kann es gut sein, dass es per UMTS geht, per WLAN aber nicht, und es sind trotzdem die Netzwerkeinstellungen oder die Firewalls.

 

[^-v-^]

Okay. Gibt es zu diesem Thema vielleicht eine Übersicht welche Einstellungen genau ich prüfen sollte und ggf. welche Werte ich einzustellen habe?

 

[frank_m24]

Hallo,

nein, eine solche Übersicht gibt es nicht, da sie bei für jeden Nutzer anders sein müsste. Es sind halt nie zwei Rechnerinstallationen vergleichbar.

Tipp einfach mal die Fehlermeldung in die Suchfunktion und sieh dir an, was bei den anderen so geholfen hat. Du bist (wie bereits erwähnt) ja nicht der erst mit dem Problem.

 

[eisbaerin]

Hallo ^-v-^

Poste doch mal deine beiden VPN Konfigurationen, dann kann man mehr sagen.

Ich hab' da so einen Verdacht.

 

[^-v-^]

@ frank_m24: Werde ich machen, danke.

@ eisbaerin: Hier meine Konfigurationsdateien (meine eMailadresse im Feld "name" und "user_fqdn" (als Benutzername) sowie den "key" und die DynDNS-Adresse habe ich hier editiert):

Konfigurationsdatei für die FritzBox:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[B]EMAIL-ADRESSE[/B]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.0.201;
                remoteid {
                        user_fqdn = "[B]EMAIL-ADRESSE[/B]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "[B]KEY[/B]";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.0.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.0.0 255.255.0.0 192.168.0.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Und hier die Konfigurationsdatei für den Clienten:

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "[B]DYNDNS-ADRESSE[/B]";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.0.201;
                remoteip = 0.0.0.0;
                remotehostname = "[B]DYNDNS-ADRESSE[/B]";
                localid {
                        user_fqdn = "[B]EMAIL-ADRESSE[/B]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "[b]KEY[/b]";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.0.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.0.0";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

 

[eisbaerin]

Vermutung war richtig!

Du benutzt die falsche Subnetmaske: 255.255.0.0

Die muß überall 255.255.255.0 heißen !!!

Deshalb geht es auch bei deinem 2. Bekanten nicht.

Erstell die Konfigurations Dateien nochmal neu und achte auf die Subnetmaske !

 

[^-v-^]

Verd*mmt... da hätte ich auch selbst drauf kommen können.
Danke dir Eisbaerin!

Ich werde das ändern und dann nochmal testen.

Damit es auch von meinem ersten Bekannten aus funktioniert: Würde es reichen, wenn ich meine IPs von 192.168.0.xxx umlege auf 192.168.10.xxx? Ist meine Annahme richtig?

 

[eisbaerin]

Ja, dann passiert auch der Fehler mit der Subnetzmaske nicht mehr.
Das Programm hat so eine Eigenart, daß es bei der Eingabe der 192.168.0 die Subnetzmaske verändert.

 

[^-v-^]

Alles klar, dann ändere ich nachher meine IP's um und korrigiere in den Konfig-Dateien die Subnetmaske.

Melde mich nach einem Test wieder.

Danke schonmal.

 

[eisbaerin]

Mach die Konfigs lieber neu !

 

[^-v-^]

So, habe nun im ersten Schritt alle IPs umgestellt, auf 192.168.10.xxx.

Im zweiten Schritt habe ich die Konfigs manuell daran angepasst und die Subnetzmaske korrigiert. Mit diesen Konfigs ging es nicht ganz: Laut FritzBox Log wurde verbunden und direkt danach wieder getrennt - und das andauernd.

Habe dann die Konfigs nochmal neu erstellt, dann hat es auch auf Anhieb funktioniert - über den UMTS-Stick wie auch über das fremde WLAN

Vielen Dank, besonders an dich, eisbaerin!