Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst FritzBOX VPN FritzBox kein Verbindungsaufbau

Mitglied: Dett18

Dett18 (Level 1) - Jetzt verbinden

15.02.2017 um 13:07 Uhr, 814 Aufrufe, 17 Kommentare

Einen schönen Sonnigen guten Tag liebe Gemeinde.

Leider habe ich ein VPN Problem zwischen zwei Fritz!Boxen.
Nach einer Woche Probieren und lesen, habbe ich mich nun entschlosssen hier eine Anfrage zu stellen,
und hoffe es kann mir jemand weiterhelfen, denn ich habe schon graue Haare.
Kein Verbindungsaufbau zwischen zwei Fritz Boxen per VPN möglich, egal was ich einstelle.
Hier mal meine Konfi:

System 1 Wohnung
Fritz!Box 6360 v. 6.50 DSL 100
IP 192.168.250.220 Ping : Ok
Sub 255.255.255.0
VPN zu 192.168.255.229 Ping: Zeitüberschreitung
Adresse: Dyndns von System 2 Garten
Passwort: (geheim) identisch mit System 2

System 2 Garten
Fritz!Box 7490 v.6.80 DSL 50

IP 192.168.255.230 Ping : Zeitüberschreitung
Sub 255.255.255.0
VPN zu 192.168.250.219 Ping: Zielhost nicht erreichbar
Adresse: Dyndns von System 1 Wohnung

Es kommt keine Verbindung zustande, die Punkte bleiben grau.
Oder sind meine IP Adressen dafür vieleicht nicht geeignet ??
Ich habe eigentlich alles nach dem schema von AVM eingestellt, nur das ich halt
andere IP Adressen verwende, oder ist vieleicht gerade da mein fehler ??

Dyndns ist erreichbar, per dyndns komme ich auf die entfernte box, (System 2)
nur eine VPN Verbindung kommt nicht zustande.
System 1 ist ein Kabelanschluss von Kabeldeutschland (Vodafone)
System 2 ein Anschluss von 1&1.

für eine Antwort bin ich sehr Dankbar, da ich kurz davor stehe das ganze zu lassen, was ich aber eigentlich nicht will.


Mitglied: michi1983
15.02.2017 um 13:17 Uhr
Hallo,

also erstmal solltest du natürlich unterschiedliche IP Adressierungen auf den beiden Boxen verwenden (sonst kann es zu Problemen kommen).

Und ansonsten ist das ja nix anderes als diese Anleitung abarbeiten.

Gruß
Bitte warten ..
Mitglied: Dett18
15.02.2017 um 13:21 Uhr
Hallo michi1983,

wenn ich richtig liege habe ich diese Anleitung abgearbeitet, aber eine verbindung habe ich
trotzdem nicht. und unterschiedliche IP's sind es auch.

Gruß
Detlef
Bitte warten ..
Mitglied: michi1983
15.02.2017 um 13:22 Uhr
Zitat von Dett18:
wenn ich richtig liege habe ich diese Anleitung abgearbeitet
Offenbar hast du irgendwo einen Fehler drin, sonst würde es ja gehen.
Oder du erfüllst eine der gegebenen Anforderungen nicht die im Artikel stehen. Prüfe das nochmal.

Gruß
Gruß
Bitte warten ..
Mitglied: aqui
15.02.2017 um 13:34 Uhr
Eigentlich ja ein Selbstgänger, denn das FB Netz bekommt man mit 3 Mausklicks in 5 Minuten zum Fliegen.
Vermutlich 2 mögliche Fehler:
  • IP Adressierung ist falsch oder teilweise falsch. Broadcast Bytes wie 255 sollte man besser vermeiden !
  • Der TO hat einen DS-Lite Anschluß am DSL, damit sind IPsec VPNs nicht möglich.

Als grundlegenden Test solltest du erstmal checken ob die die beiden öffentlichen IP Adressen auf dem DSL Port gegenseitig problemlos erreichbar sind. ( Ping).
DynDNS bedeutet immer Gefahr, denn wenn da nur irgendwas schiefgeht das eine Seite nicht auflösen kann usw. dann schlägt der Tunnelaufbau fehl.
Die IP Adressierungen ist auch etwas wirr oben, denn es sind immer nur Hostadressen statt Netze angegeben. Nehmen wir mal an das es 192.168.250.0 /24 und 192.168.255.0 /24
Bitte warten ..
Mitglied: Dett18
15.02.2017 um 20:12 Uhr
Ich glaube den fehler gefunden zu haben,
das Programm Fritz-Fernzugang hat durch meine IP Adressierung eine Subnetzmaske
mit 36-255.255.255.255 gemacht, tatsächlich habe ich aber wie alle auch die subnetmaske 24-255.255.255.0,
das habe ich nun in der Konfig.cfg geändert. Leider ist mein Dyndns gerade wegen vieler IP erneuerungen für 24 Stunden gesperrt,
so das ich es erst später Testen kann ob es dann funktioniert..
Schönen Abend noch
Gruß
Detlef
Bitte warten ..
Mitglied: aqui
16.02.2017, aktualisiert um 09:38 Uhr
Eine 36 Bit Maske wäre ja auch kompletter Blödsinn denn das ist rechnerisch bei einer max. 32 Bit-igen Maske ja gar nicht möglich !
Eine Maske 255.255.255.255 ist eine Host Maske und hat max. 32 Bit. ( 4 mal 8 Bit)
Fatal wenn das Programm so einen gravierenden Fehler macht in der Maskierung. Da ist es dann klar das das niemals klappen kann.
Die 24 Bit Maske 255.255.255.0 ist auf alle Fälle richtig für dich !
Damit sollte es dann aber sicher klappen !
Bitte warten ..
Mitglied: the-buccaneer
17.02.2017 um 08:23 Uhr
Hi Detlef!

In der von Michi verlinkten und von dir abgearbeiteten AVM-Anleitung wird die Software "FritzFernzugang einrichten" nicht mal erwähnt...

Wenns wieder nicht klappt, kannst du ja mal die vpn.cfg posten. Selbst mit der /32 Maske sollte aber ein Verbindungsaufbau möglich sein. Nur das dahinterliegende Netz wäre nicht erreichbar. Ich befürchte fast, da ist noch ein Fehler drin...
Buc
Bitte warten ..
Mitglied: Dett18
17.02.2017 um 15:11 Uhr
Hallo the-buccaneer,

hier ist die cfg zur Garten Box, die gleiche existiert umgegehrt zur Wohnung, ich komme nach wie vor nicht per VPN an die Box, bzw
die Boxen verbinden sich nicht miteinander, sodas ich bereits Graue Haare bekomme. Vieleicht muss ich doch mal alle IPs der Boxen ändern.
Die eigentliche Box IP habe ich mal daneben geschrieben.
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "istdrin.myfritz.net";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "istdrin.myfritz.net";
localid {
fqdn = "istdrin.myfritz.net";
}
remoteid {
fqdn = "istdrin.myfritz.net";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "ist OK";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.255.229;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.250.219; Box IP ist 192.168.255.230
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.250.219 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";

Es müsste nun alles nach AVM richtlinie eingestellt sein da ich es noch mals geprüft hatte.
Mal sehen ob doch ein fehler drin ist.
Gruß Detlef
Bitte warten ..
Mitglied: the-buccaneer
17.02.2017 um 15:29 Uhr
remotehostname = "istdrin.myfritz.net";
localid {
fqdn = "istdrin.myfritz.net";
}
remoteid {
fqdn = "istdrin.myfritz.net";

Wie soll eine Verbindung zustande kommen, wenn Remote ID und local ID gleich sind?

phase2remoteid {
ipnet {
ipaddr = 192.168.250.219; Box IP ist 192.168.255.230
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.250.219 255.255.255.0";

Auch hier ist noch Chaos drin.
Vorschlag: Du erstellst mittels "Fernzugang einrichten" 2 neue Konfigurationen mit den richtigen Daten (DynDNS und IP Ranges) und spielst diese dann jeweils auf der Box ein, oder du verwendest die verlinkte Anleitung von AVM.
Gruß
Buc
Bitte warten ..
Mitglied: aqui
17.02.2017, aktualisiert um 15:50 Uhr
Wie soll eine Verbindung zustande kommen, wenn Remote ID und local ID gleich sind?
Das ist auch der Kardinalsfehler. Kein Wunder das IPsec daran scheitert, denn das würde ja 2 identische Hostnamen implizieren die es niemals im TCP/IP geben darf ! Klassischer Anfängerfehler...
Adressen sind immer einzigartig. Das gilt auch für DynDNS Adressen.
Kein Wunder also das das scheitert. Steht aber auch alles in der AVM Anleitung. Man sollte doch mal etwas lesen
https://avm.de/service/vpn/uebersicht/
Bitte warten ..
Mitglied: Dett18
17.02.2017 um 15:58 Uhr
Hallo Buc,

Die Remote ID und Local ID sind natürlich nicht gleich, hatte das hier nur so eingtragen, Lokal ID ist korekt eingetragen
und Remote ID natürlich auch.
Sorry für die verwirrung

alle Dyndns Daten sind richtig eingegeben, wurden nur hier fürs Forum entfernt und durch istdrin ersetzt.
Bei der Box IP habe ich einen schreibfehler drin, die Box IP ist natürlich 192.168.250.220 und nicht 192.168.255.230
komme schon beim schreiben hier völlig durcheinander.

Gruß
Detlef
Bitte warten ..
Mitglied: Dett18
17.02.2017 um 18:02 Uhr
Hallo Buc,

habe bei der entfernten Box die IP geändert, und schon steht die VPN verbindung zwischen beiden Boxen.
Beide Punkte sind nun entlich Grün .

Wenn ich jetzt aber meinen Datei Explorrer öffne sehe ich nur leider mein entferntes Netzwerk nicht, ich bin davon ausgegangen
das ich dann das Netzwerk sehen kann, oder ist das nicht so ??

Gruß
Detlef
Bitte warten ..
Mitglied: BitBurg
LÖSUNG 17.02.2017 um 18:12 Uhr
Hallo Detlef,

ich hoffe, du kannst auf dem Bild halbwegs was erkennen:

fb - Klicke auf das Bild, um es zu vergrößern

Wenn FB1 die Adresse 192.168.250.220 mit der Maske 255.255.255.0 hat, dann ist das die IP-Adresse 220 im Netz 192.168.250.0. Das Netz trägst du bei phase2localid ein. Die anderen Einträge entsprechend.

Auf FB2 nach dem gleichen Prinzip. Netz 192.168.255.0 bei phase2localid und so weiter. Die Accesslisten darfst du nicht vergessen. Mit den Identitäten in deinem Beispiel würde es übrigens auch funktionieren.

BB
Bitte warten ..
Mitglied: Dett18
17.02.2017 um 19:20 Uhr
Hallo BitBurg,

vielen Dank, das funktioniert auch, habe meine alten IP Adressen wieder Aktiviert.
Bei den IP Adressen wäre ich im leben nicht darauf gekommen am ende einfach eine 0 ein zu geben.
Aber nun sind die Boxen miteinander verbunden.
Müsste ich im Datei Explorrer nicht auch unter Netzwerk, das entfernte Netzwerk sehen ??
Hintergrund ist, das wenn ich am 2 Anschluss also im Garten bin, möchte ich auch auf das entfernte Netzwerk zugreifen können,
speziell auf den Mediaserver der ja eigentlich angezeigt werden müsste, oder liege ich da falsch ??
Ich hatte bei der ganzen suche wegen meiner verbindung mal eine Abbildung im Internet gesehen, wo im Explorrer alle verbindungen angezeigt wurden.

Gruß
Detlef
Bitte warten ..
Mitglied: aqui
18.02.2017, aktualisiert um 00:14 Uhr
nicht darauf gekommen am ende einfach eine 0 ein zu geben.
Das bezeichnet immer das IP Netz selber ! Alle Hostbits der Adresse auf 0
Müsste ich im Datei Explorrer nicht auch unter Netzwerk, das entfernte Netzwerk sehen ??
Nein ! Denn der Winblows Naming Service basiert auf UDP Broadcasts und die können im TCP/IP nie über Router übertragen werden. Simpelste Grundlage TCP/IP !
Du kannst aber kinderleicht eine feste Zuordnung machen indem du das statisch in die hosts oder lmhosts Datei einträgst.
Guckst du auch hier:
https://www.administrator.de/index.php?content=104978#396040
Gilt natürlich auch noch bis Win 10
oder liege ich da falsch ??
Da liegst du falsch ! Siehe oben...
Bitte warten ..
Mitglied: the-buccaneer
18.02.2017 um 01:02 Uhr
Ist ja fast geschafft...
Kommst du denn nun vom Garten auf die Wohnzimmerkiste, wenn du deren IP im Explorer direkt eingibst?
Dann trage sie in die Hosts Datei ein um auch den Namen aufzulösen.

Oder hast du den Fall, dass kein Traffic läuft trotz "grüner Lämpchen" (dat jibbet auch...)

Deine IP 192.168.255.x würde ich wirklich vermeiden wollen. Das (.255) ist eine Broadcastadresse, die macht was anderes.
Wenn @aqui sagt, dass es eine schlechte Idee ist, ist es bei Netzwerkfragen meist eine gute Idee das zu berücksichtigen.

Warum sind die 254 davor liegenden Ranges schlechter?

Buc
Bitte warten ..
Mitglied: BitBurg
19.02.2017, aktualisiert um 09:54 Uhr
Detlef,
Zitat von Dett18:
Müsste ich im Datei Explorrer nicht auch unter Netzwerk, das entfernte Netzwerk sehen ??
Hintergrund ist, das wenn ich am 2 Anschluss also im Garten bin, möchte ich auch auf das entfernte Netzwerk zugreifen können, speziell auf den Mediaserver der ja eigentlich angezeigt werden müsste, oder liege ich da falsch ??
Über die IPSec-Verbindung werden nur Daten aus den Netzen übertragen, die bei phase2localid und phase2remoteid eingetragen wurden. IP Pakete müssen also als Quelle und Ziel immer Adressen aus den beiden Netzen enthalten.

Wenn du im Datei Explorer (PC im Garten) auf Netzwerk klickst, dann sendet er keine Anfrage an Adressen im anderen Netz (Wohnung). Es werden Anfragen ins lokale Netz und an eine Multicastadresse gesendet, jedoch nicht an Adressen die den Einstellungen der FB entsprechen. Was du im Internet gesehen hast, wurde mit hoher Wahrscheinlichkeit mit einem anderen Protokoll gemacht.

Eine Namensauflösung kann man allerdings machen, wie ja Aqui und Buccaner bereits schrieben. Den Rest (UDP Broadcast, Broadcastadresse) kannst du allerdings ignorieren.

Was den Zugriff auf den Mediaplayer angeht, kann ich dir leider gar nicht helfen. Meine Kenntnisse in dem Bereich sind leider rudimentär bis gar nicht vorhanden.

BB
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Automatischer Verbindungsaufbau VPN Client Android

Frage von receiverboxLAN, WAN, Wireless2 Kommentare

Hallo, gibt es einen VPN-Client für Android, welcher bei Bedarf automatisch eine VPN-Verbindung aufbaut, sobald man nicht im firmeneigenen ...

LAN, WAN, Wireless

Sophos VPN - Interaktiver Verbindungsaufbau vor Login

Frage von BirdyBLAN, WAN, Wireless8 Kommentare

Hallo zusammen, ich habe das Vergnügen, ein paar Laptops für den Remotezugriff auf unser Firmennetz zu konfigurieren. Wir setzen ...

LAN, WAN, Wireless

Mikrotik als VPN-Client hinter Fritzbox zu Fritzbox

gelöst Frage von PharITLAN, WAN, Wireless5 Kommentare

Hallo allerseits, im Netzwerk meiner Freundin versuche ich derzeit hinter ihrer Fritz!box meinen Mikrotik Router nach dem Guide von ...

Windows 10

Win 10 - FritzBox - VPN

gelöst Frage von christian.mahrWindows 1013 Kommentare

Hallo Zusammen, in der Vergangenheit hatte ich eine VPN Verbindung über FritzFernzugang zu meiner FB im Büro aufgebaut. Lief ...

Neue Wissensbeiträge
iOS
IOS 11.2.6 verfügbar
Information von sabines vor 2 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 16 StundenSicherheit

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server38 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless15 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...