WakeOnLAN bei VPN-Verbindung funktioniert nicht?

ne20002

Neuer User
Mitglied seit
17 Dez 2007
Beiträge
51
Punkte für Reaktionen
1
Punkte
8
Hallo zusammen,

ich habe einen VPN-Kanal, der auf der einen Seite auf einen LAN-Port beschränkt ist. Funktioniert soweit gut, nur scheint die Einstellung in den Eigenschaften für Netzwerkgeräte "WakeOnLAN bei Zugriff aus dem Internet auf das Gerät" nicht zu funktioneren, wenn ich per VPN darauf zugreifen möchte.

Und ein WOL-Paket aus einem anderen Subnet ignoriert der Rechner leider ...

Ist das ein Fehler oder ein fehlendes feature?

Und weiss jemand Abhilfe?

Danke und Gruss,
S.
 
Wie wäre es mit einer nachvollziehbaren Beschreibung der Konfiguration? Wenn der VPN-Zugang auf einen LAN-Port beschränkt ist, ist ja dort der Zugriff auf andere Geräte im LAN dieser Box gar nicht möglich, damit auch kein "Aufwecken". Wenn sich das schlafende Gerät allerdings im entfernten Netz befindet, dann könnte das funktionieren ... das kann man aber in #1 nicht ablesen, wo sich nun der schlafende Leu befindet (die Frage, ob man den wecken sollte, stelle ich mal nicht).

Ansonsten gibt es ein generelles WOL-Problem in einigen Versionen. Da Du ja betonst, daß es nur beim VPN-Zugriff nicht funktioniert ... darf/soll man daraus schließen, daß es beim direkten Internetzugriff mit dem Wecken funktioniert? Wenn nicht, erübrigt sich sicherlich die "Fehlersuche" in der Richtung, daß/warum es am VPN liegt - wobei auch das sein kann. M.W. ist es (außerhalb von AVM) weitgehend unbekannt, an welcher Stelle auf dem IP-(WAN-)Stack von AVM diese Funktion nun implementiert wurde und wenn das vor der Entschlüsselung der IPSec-Pakete ist, dann "sieht" der "kdsld" wohl gar nicht, daß da ein Gerät anzusprechen ist, das erst noch zu erwecken wäre.

Ansonsten sollte man sich das auch tatsächlich selbst bauen können, wenn der betreffende PC auch mit Paketen erweckt werden kann, die auf L2 eine Unicast-Adresse (also die MAC-Adresse des zu weckenden PC) enthalten. Ist das nicht der Fall, klappt das mit der LAN-LAN-Variante nicht, weil man keine Broadcast-Pakete (auf L2) aus der Ferne in das LAN kriegt. Reagiert der Rechner aber auch auf Unicast-Pakete (normalerweise sollte er das tun), muß man nur dafür sorgen, daß die richtigen Inhalte für ein "magic packet" halt auf L3 übermittelt werden ... die können sich auch in jedem beliebigen IP-Paket "verbergen". Allerdings setzt das wieder voraus, daß der (VPN-)Router auch dann Pakete für einen LAN-Client annimmt und mit dessen (fester) MAC-Adresse ins LAN sendet, wenn der im Moment gar nicht auf ARP-Anfragen reagiert (weil er ja schlummert).

Wenn an dem separierten LAN-Port tatsächlich nur ein einziger LAN-Client hängt, dann ist es hier vielleicht sogar besser, mit einer anderen VPN-Verbindung (Device-LAN-Kopplung) zu arbeiten, weil dabei das gekoppelte Gerät eine IP-Adresse aus dem LAN-Segment der Gegenseite erhält und damit auch das Aussenden von L2-Broadcasts ins LAN möglich ist (bzw. sein sollte, denn das, was da in den VPN-Tunnel gesendet wird, liegt ja im Ermessen des Peers).

Was soll eigentlich
Und ein WOL-Paket aus einem anderen Subnet ignoriert der Rechner leider ...
genau heißen? Ist das "verbürgt" (sprich: getestet und mitgeschnitten), daß das Paket im entfernten LAN ankommt und tatsächlich ignoriert wird (woher weiß der PC dann eigentlich, welches Subnetz er ignorieren soll/darf und welches nicht?) oder ist das nur reines Schlußfolgern aufgrund der Beobachtung, daß es halt nicht funktioniert? Wenn letzteres, was wurde denn genau "probiert"?
 
Hmmm,

die Idee mit der Device-LAN-Kopplung klingt gut. Aber etwas gefunden, das erklärt, wie man sowas mit Fritzboxen macht, habe ich nicht. Bei dem Gerät handelt es sich um meinen remote plazierten backup-Server, der natürlich nicht einfach im Netz meines Bruders auftauchen soll. Wenn der eine Adresse aus meinem lokalen Netz kriegen könnte, wäre der schon schön.

Um die Konfiguration genauer zu beschreiben:

Ich habe eine 7590 (remote):
a) diese hat das Subnetz 192.168.10.x.
b) Ich habe einen VPN-Zugang beschränkt auf LAN3, wobei das Gerät an LAN3 eine IP aus dem Subnetz 192.168.5.x bekommt.

Die LAN-LAN-Kopplung kommt von meiner lokalen Box (192.168.4.x).

Die Verbindung steht und alles ist prima. Nur wenn sich das Gerät schlafen gelegt hat, kriege ich es nicht aufgeweckt, wenn ich aus meinem lokalen Netz zugreifen will. Ich hatte gehofft, die FritzBox würde das mit einem WakeOnLAN machen, aber nix rührt sich ...

Das Gerät hing vorher in dem normalen Subnetz der remote 7590, mit Portfreigabe für OpenVPN und wurde schön geweckt, wenn ich die OpenVPN-Verbindung aufgebaut habe.
Leider auch bei jedem anderen Zugriff, wenn jemand unerlaubt versucht hat, auf dem Port zu connecten (da sind viele böse Buben im Netz).

Genau dieses Wecken durch die Box funktioniert scheinbar nicht, wenn ich per VPN zugreife ... VPN ist scheinbar nicht 'Zugriff aus dem Internet'.
Ich habe auch diverse WOL-Tools versucht, aber mit keinem gelang ein WOL aus meinem lokalen Netz.

S.
 
Zuletzt bearbeitet:
Da Du die Informationen ja immer schön über mehrere Threads streust, bin ich hier auch erst mal raus ... was ich aber nicht verstehe: Wenn der Rechner nicht mal per GUI-Button zu starten ist, dann kann ich die Erwartungshaltung, es solle gefälligst automatisch beim "Zugriff aus dem Internet" funktionieren, nur schlecht nachvollziehen. Aber egal ... von der minimal notwendigen Zeit zum "Einschlafen" (15 Minuten) weißt Du sicher. Nach AVM-Aussagen generiert die Box jedenfalls nur dann ein "magic packet" zum Aufwecken, wenn der Rechner (für sie) seit 15 Minuten inaktiv (d.h. nicht sichtbar im Netz) war.

EDIT: Ich habe gerade gesehen, daß Du #3 offenbar noch geändert hast und da einige andere/ausführlichere Informationen enthalten sind. Das kriegt man aber nicht wirklich mit, wenn Du es nicht kennzeichnest.

EDIT2: Wenn ich das jetzt richtig verstehe, willst Du offenbar das Gerät an dem separierten "ipsecbrX"-Port in der entfernten Box (das ist Dein Backup-Server) automatisch starten lassen, wenn Du aus Deinem LAN darauf zugreifen möchtest. Das dürfte tatsächlich nichts werden, denn dann geht der ankommende Traffic ja gar nicht über "dev dsl", jedenfalls nicht in entschlüsselter Form. Wobei dann wieder unklar ist, wo Du den "Computer starten"-Button getestet hast ... in der entfernten Box sollte das Gerät gar nicht sichtbar sein unter "Netzwerk" und in der lokalen eigentlich auch nicht so richtig.
 
Zuletzt bearbeitet:
Hi

genau. Der Rechner steht bei meinem Bruder und soll nicht Bestandteil seines Netzes sein, sondern meines, bzw nur für mich im Zugriff sein (das ist zumindest die gewünschte Zielkonfiguration). Ich möchte den Rechner als remote backup Maschine nutzen.

Bisher hatten wir diesen Rechner ganz normal in seinen Netzwerk, mit einer Portweiterleitung der Fritzbox auf diesen Rechner. Auf dem Rechner lief für die Verbindung ein OpenVPN-Server.
Immer, wenn jemand auf diesen OpenVPN-Port zugegriffen hat, wurde der Rechner von der Fritzbox geweckt. Das klappte also alles gut, nur dass der Rechner eben auch geweckt wurde, wenn jemand anderes versucht hat, auf diesen Port zuzugreifen ... somit war der Rechner alle Nase lang an.

Deshalb habe ich den direkten Zugriff vom Internet per Portweiterleitung abgeschaltet und möchte per VPN zwischen den beiden Fritzboxen zugreifen. Damit sollte das ständige Wecken durch unerlaubte Zugriffsversuche unterbleiben.

Und da der Rechner eigentlich auch nicht im Netz meines Bruders zugreifbar sein muss, habe ich das VPN so konfiguriert, dass es nur auf einen LAN-Port an seiner Box geht, an der der Rechner hängt.

Das sollte eigentlich ein einfaches Setup sein. Nur eben, der Rechner weckt nicht auf.

Stöpseln wir den Rechner wieder in sein Netz, mit der Portweiterleitung durch die Fritzbox, läuft das Aufwecken, wie es soll ... nur leider eben auch durch unerlaubte/unerünschte Zugriffe.

Ist eigentlich sehr schade, dass das WOL so nicht funktioniert ...
 
Solchen Zugriffen kann man ja problemlos aus dem Weg gehen, indem man nicht den Standardport für OpenVPN verwendet. Scans auf "höheren" Ports sind eigentlich eher ungewöhnlich (solange das nicht irgendein bekannter Dienst auch auf diesen "not-privileged ports" ist - denn theoretisch liegt ja der OpenVPN-Standard 1194 auch schon jenseits von 1024) und mit dieser Maßnahme kann man (so jedenfalls meine Erfahrung) das Ganze schon mal auf einen Bruchteil von Zugriffen reduzieren.

Ansonsten ist das tatsächlich nicht so einfach ... das Problem ist es, daß (a) Broadcasts (auf L2, also an eine Broadcast-MAC, wie z.B. in einem ARP-Paket oder auch in einem WOL-Paket) nicht verwendet werden können, weil das VPN am Ende Routing benutzt und daß man (b) eben nicht einfach ein IP-Paket (egal ob v4 oder v6) lokal erzeugen kann, das dann auf der anderen Seite der VPN-Verbindung nicht ebenfalls durch das Routing muß - und dabei braucht es dann entweder den statischen ARP-Eintrag für den zu weckenden Rechner (was bei isoliertem Port schlecht machbar ist) oder eine Antwort auf einen ARP-Request (ggf. auch von einem Proxy), damit die ins Paket einzutragende Unicast-MAC die richtige für den zu weckenden Client ist.

Das müßte man also selbst basteln und dann braucht es noch jede Menge Überlegungen zuvor ... z.B. dazu, was nun eigentlich der "Trigger" sein soll. Wenn man hier einfach den Wechsel des Status der VPN-Verbindung als Auslöser nimmt und auf ein "off -> on" mit einem WOL-Paket auf dem richtigen Interface reagiert (das ist ja dann wieder lokal in der entfernten Box und kann auch eine Broadcast-MAC verwenden), dann ist das auch problemlos machbar (der Aufbau der VPN-Verbindung "bei Bedarf" dürfte dann ja auch nahe am bisher verwendeten WOL bei OpenVPN-Verbindung liegen) ... aber eben nicht mit der originalen Firmware (die Pakete aus der VPN-Verbindung gehen ja gar nicht mehr über die Portfreigaben bzw. über die AVM-Firewall, sonst könnte man dort ja auch nur auf freigegebene Dienste zugreifen) und damit auch nicht zum "Null-Tarif", was den eigenen Aufwand betrifft.
 
Tja,

ist doch schade, dass AVM das nicht unterstützt.

Beim WOL für den Zugriff aus dem Internet gehen sie ja wohl auch von der Liste der bekannten Netzwerkgeräte aus. Die Portweiterleitung auf ein bekanntes Gerät, von dem ja die MAC ebenso bekannt ist, funktioniert ja.
Da sollte man meinen, auch bei ein Zugriff über das VPN (Ansprechen per IP) sollte AVM genauso in der Liste der bekannten Netzwerkgeräte suchen und analog verfahren können.

Und die Geräte an den VPN-LAN-Ports der Fritzbox könnten genauso in der Liste der bekannten Geräte auftauchen, ich sehe nicht, was dagegen spricht. Geräte am Gast-Zugang, die ja auch ein anderes Subnetz haben, werden ja auch aufgeführt.

Ohne Unterstützung des WOL über VPN ist das VPN für mich ziemlich unbrauchbar ... ich will ja gerade auf Geräte zugriefen über einen sicheren Tunnel. Die dauerhaft an zu lassen ist doch unschön.

Vielleicht erbarmt sich AVM ja ... mal sehen, wo man das bei denen als Wunsch anmelden kann.

Trotzdem danke.
 

Statistik des Forums

Themen
246,375
Beiträge
2,251,055
Mitglieder
374,029
Neuestes Mitglied
hgt41807
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.