aif-get
Goto Top

Fritzbox 7490 von aussen nicht anpingbar?

Hallo.
meine fritzbox ist von aussen leider nicht anpingbar, was eine vpn verbindung unmöglich macht.

Von internem LAN kann ich dies allerdings tun! sehr komisch

der ping request wird daher abgelehnt. warum ist das so? habe alles nach anleitung gemacht. fehlt vllt ein neustart?

Fritzbox OS version ist 6.30

Danke für eure Hilfe

Content-Key: 310836

Url: https://administrator.de/contentid/310836

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: michi1983
michi1983 25.07.2016 um 15:47:28 Uhr
Goto Top
Zitat von @aif-get:

Hallo.
Hallo

meine fritzbox ist von aussen leider nicht anpingbar, was eine vpn verbindung unmöglich macht.
Das eine hat mit dem anderen nicht direkt was zu tun.
Welche IP Adresse pingst du denn von Außen an?

Von internem LAN kann ich dies allerdings tun! sehr komisch
Das ist nicht komisch.

der ping request wird daher abgelehnt. warum ist das so? habe alles nach anleitung gemacht. fehlt vllt ein neustart?
Das können wir nicht wissen face-wink

Fritzbox OS version ist 6.30
Okay

Die Frage ist was für einen Internetzugang du hast.
Besitzt du eine öffentliche IPv4 Adresse? Dynamisch, statisch?
Verifiziere diese Infos bitte erst mal.

Gruß
Mitglied: aif-get
aif-get 25.07.2016 um 16:07:02 Uhr
Goto Top
Nungut ich meine mit komsich dass es von intern geht von aussen nicht.. nunja.

Das ist ein standard DSL 50k anschluss ohen statische Public IP Adresse.
Ich habe eine dynamische ip adresse daher eingetragen. klappt aber auch nicht wenn ich die Ip adresse anpinge.
Mitglied: michi1983
michi1983 25.07.2016 aktualisiert um 16:11:45 Uhr
Goto Top
Zitat von @aif-get:
Ich habe eine dynamische ip adresse daher eingetragen.
Wo hast du die eingetragen? Nutzt du einen DynDNS Dienst der Fritzbox?

Außerdem kann die Fritte auch erreichbar sein, wenn sie die ICMP Requests ablehnt.
Schon mal mit MyFritz versucht auf die DynDNS Adresse das VPN herzustellen?
Mitglied: aif-get
aif-get 25.07.2016 um 16:25:10 Uhr
Goto Top
nunja von Fritzbox den MyFritz dienst nicht aber ich nutzen den dyndns dienst von No-IP, der sollte es doch auch tun face-smile
Mitglied: michi1983
michi1983 25.07.2016 aktualisiert um 16:26:50 Uhr
Goto Top
Zitat von @aif-get:
nunja von Fritzbox den MyFritz dienst nicht aber ich nutzen den dyndns dienst von No-IP, der sollte es doch auch tun face-smile
Damit kannst du die dynamische IP auflösen, aber kein VPN herstellen face-wink
Wird denn überhaupt die korrekte dynamische IP aufgelöst von no-ip?
Mitglied: aqui
aqui 25.07.2016 aktualisiert um 16:35:23 Uhr
Goto Top
meine fritzbox ist von aussen leider nicht anpingbar, was eine vpn verbindung unmöglich macht.
Solche laienhafte Aussage ist meistens Blödsinn !
Grund: Die meisten (verantwortungsvollen) Router Hersteller deaktivieren das ICMP Protokoll auf dem WAN / Internet Port aus gutem Grund.
Eine Pingbarkeit zieht nur Portscans an da dort ein aktives Gerät ist auf den der Zugriff lohnt und damit dann immer und immer wieder massive Attacken auf den Router aus dem Internet.
Jeder der mal einen Wireshark auf seinem Router am WAN Port aktiviert sieht sowas im Sekundenrythmus.
Es ist also sehr sinnig ICMP (Ping, Echo request) hier zu deaktivieren. AVM hat das vorbildlicherweise gemacht.
Da ICMP logischerweise rein gar nichts mit der IPsec VPN Funktion zu tun hat wird diese auch niemals von einem Ping oder nicht Ping beeinflusst und funktioniert völlig unabhängig davon !
Die Paket Capture Funktion der FB zeigt das eindeutig.
Grundlagen zu IPsec VPNs auch hier im hiesigen Forum:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Mitglied: aif-get
aif-get 25.07.2016 um 16:42:49 Uhr
Goto Top
Nungut, wenn das so ist dann scheint es wohl doch ein Android VPN problem zu sein face-sad

bekomme ständig ein timeout trotz richtiger vorgehensweise laut anleitung seitens Fritzbox. mit meinem Android 4.0.4

Nungut die NO-IP domain adresse wird richtig aufgelöst. nur die ICMP request gehen nicht durch. wenn dies FB von haus aus macht dann ist das wohl nun auch so.
Mitglied: michi1983
michi1983 25.07.2016 um 16:46:18 Uhr
Goto Top
Zitat von @aif-get:

Nungut, wenn das so ist dann scheint es wohl doch ein Android VPN problem zu sein face-sad

bekomme ständig ein timeout trotz richtiger vorgehensweise laut anleitung seitens Fritzbox. mit meinem Android 4.0.4
Das Problem liegt nicht bei Android, sondern bei dir.
Die Anleitung von avm würde nicht existieren, wenn sie nicht funktioniert face-wink
Mitglied: aif-get
aif-get 25.07.2016 um 17:13:49 Uhr
Goto Top
Das macht natürlich sinn, danke
Mitglied: Lochkartenstanzer
Lochkartenstanzer 25.07.2016 um 17:17:47 Uhr
Goto Top
Moin,

Die Fritzboxen sind normalerweise ohne weitere Einstellungen "pingbar", d.h. die antworten auf einen icmp echo quest mit einem icsmp echo reply. Wenn das bei Dir nicht der Fall sein sollte, hast Du etwas falsch gemacht.

lks
Mitglied: aqui
aqui 25.07.2016 um 18:33:28 Uhr
Goto Top
wenn das so ist dann scheint es wohl doch ein Android VPN problem zu sein
Da solltest du auch sicher sein das das kein L2TP VPN Client ist ! Das geht mit FB IPsec nicht. Es muss ein native IPsec Client sein.
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unte ...
Mitglied: Pjordorf
Pjordorf 25.07.2016 um 18:53:49 Uhr
Goto Top
Hallo,

Zitat von @aif-get:
meine fritzbox ist von aussen leider nicht anpingbar, was eine vpn verbindung unmöglich macht.
Deine Aussage ist komplett falsch. das eine hat mit den anderen nichts zu tun. Du kannst aber deiner Fritzbox sagen das diese auf ICMP am WAN (DSL) antworten soll.

Von internem LAN kann ich dies allerdings tun! sehr komisch
Nein, nicht Komisch. Sind zwei komplett verschiedene Anschlüße (Ports).

der ping request wird daher abgelehnt. warum ist das so?
Wenn deine Fritte tatsächlich ICMP auf den WAN Port deaktiviert, dann ist es richtig. Nutzt du denn überhaupt die Richtige IP oder Namen . und machst du das von ausserhalb deines LANs aus (wichtig!)?

habe alles nach anleitung gemacht.
Nenn uns deine Anleitungen doch mal. Vielleicht sind die ja Fehlerhaft...

Fritzbox OS version ist 6.30
Für die 7490 ist die neuste 6.60 Verfügbar. Updaten...

Und was (IPSec, L2TP, PPTP, SSL...) für ein VPN willst du denn machen?

Gruß,
Peter
Mitglied: aif-get
aif-get 26.07.2016 um 09:26:56 Uhr
Goto Top
Hallo, also ganz kurz zur klaren aussage voin mir:

Ping aus meinem eigenen FB LAN auf die externe IP -> Möglich
Ping aus einem fremden LAN von iwo anders -> Ping Request wird abgelehnt. (Finde ich ja auch sinnvoll , aber warum lässt mich FB nicht selbst entscheiden ob ich dies möchte oder nicht?)

Hier zur anleitung für den VPN client in Android 4.0.4

Android-Gerät (ab Version 4.0.4 - Ice Cream Sandwich)
Einrichten

    Wählen Sie auf dem Homescreen Ihres Android-Gerätes "Einstellungen / Weitere Einstellungen / VPN / VPN-Netzwerk hinzufügen".  
    Tragen Sie in die Felder folgende Angaben ein:
        Name:NAME
        Typ:IPSec Xauth PSK
        Server-Adresse:adresse.no-ip.com
        IPSec Identifier: username
        IPSec Pre-Shared Key: "key"  
    Beenden Sie die VPN-Einrichtung mit "Sichern".  

Verbindung aufbauen
Geben Sie beim Aufbau der Verbindung die nachfolgenden Daten ein:

        Nutzername: username
        Passwort:Kennwort des FRITZ!Box-Benutzers ""  
Mitglied: michi1983
michi1983 26.07.2016 aktualisiert um 09:44:11 Uhr
Goto Top
Zitat von @aif-get:
Hier zur anleitung für den VPN client in Android 4.0.4
Und die Punkte 1, 2 und 3 der der Anleitung hast du auch befolgt, beachtet und abgearbeitet?

Poste doch auch bitte mal einen Screenshot deiner Fritzbox Benutzeroberfläche, und zwar den Reiter Übersicht.
Mitglied: Pjordorf
Pjordorf 26.07.2016 um 10:41:04 Uhr
Goto Top
Hallo,

Zitat von @aif-get:
Ping aus meinem eigenen FB LAN auf die externe IP -> Möglich
ditto - das heißt das Hairpin NAT beherscht wird (Loopback NAT).

Ping aus einem fremden LAN von iwo anders -> Ping Request wird abgelehnt.
Nö - möglich.
Gerade an 2 verschiedene 7490 getestet, allerdings beiden haben Portweiterleitungen eingerichtet, einmal vDSL 50 MBit mit Fester IP, firmware 6.60 und einmal aDSL 16 MBit mit Dynamischer IP (dyndns wird genutzt) und Firmware 6.51. Stealth Mode an beiden ist aus.

Gruß,
Peter
Mitglied: Lochkartenstanzer
Lochkartenstanzer 26.07.2016 um 11:08:57 Uhr
Goto Top
Zitat von @aif-get:

Ping aus meinem eigenen FB LAN auf die externe IP -> Möglich

Wundert mich nciht, die Fritzbox kann hairpin-NAT.

Ping aus einem fremden LAN von iwo anders -> Ping Request wird abgelehnt. (Finde ich ja auch sinnvoll , aber warum lässt mich FB nicht selbst entscheiden ob ich dies möchte oder nicht?)

Fritzbox hat ICMP echo request/reply normalerweise immer aktiv. Zumindest die 7490er heir mti FW 6.60 machen das.

Aktualisier mal Deien Firmware.

lks
Mitglied: Pjordorf
Pjordorf 26.07.2016 um 11:37:43 Uhr
Goto Top
Hallo,

@ all
Zumindest die 7490er heir mti FW 6.60 machen das.
Auch eine 7170 mit Firmware 29.04.88 tut es so

Gruß,
Peter
Mitglied: LordGurke
LordGurke 26.07.2016 um 12:17:12 Uhr
Goto Top
Zitat von @aqui:
Grund: Die meisten (verantwortungsvollen) Router Hersteller deaktivieren das ICMP Protokoll auf dem WAN / Internet Port aus gutem Grund.
Eine Pingbarkeit zieht nur Portscans an da dort ein aktives Gerät ist auf den der Zugriff lohnt und damit dann immer und immer wieder massive Attacken auf den Router aus dem Internet.
Es ist also sehr sinnig ICMP (Ping, Echo request) hier zu deaktivieren. AVM hat das vorbildlicherweise gemacht.

Sorry, aber das ist (widerlegter) Unsinn face-wink
Ping oder nicht Ping?
Mitglied: brammer
brammer 26.07.2016 um 13:05:09 Uhr
Goto Top
Hallo,

@aif-get
mal ganz platt gefragt!
Versuchst du die IP Adresse 192.168.178.1 deiner Fritzbox von außerhalb deines Netzwerkes zu pingen?


@aqui
Ob das abschalten von ICMP ein Sicherheitsgewinn ist, darüber wird seit dem es ICMP gibt diskutiert.
Ich sehe das etwas pragmatisch, für Diagnose Zwecke ist ICMP eine mitunter wichtige Informationsquelle.
eine Portscan oder eine Angriff kann man mit anderen Werkzeugen besser abwehren...

brammer
Mitglied: aqui
aqui 26.07.2016 aktualisiert um 15:53:26 Uhr
Goto Top
OK, ist sicher alles nicht falsch, da heutzutage ja auch Port Scanner Ranges konfiguriert haben und man nicht immer auf positive Pings warten muss.
Psychologisch ist aber klar das wenn etwas auf Pings antwortet, da dann auch was ist wo man nochmal genauer nachsieht.
OK, wenn der Port Scanner eh schon Ranges abfragt wird er so oder so offene Ports sehen und ebenfalls genauer nachfragen. In sofern ist der Test vom Lord schon mehr oder minder repräsentativ.
Mag dann also jeder selber entscheiden ob er Echo Requests filtert oder nicht auf seinem WAN Port.
Das Gros der Otto Stanarduser tut es eh nicht weil sie nichtmal verstehen was das ist....
Versuchst du die IP Adresse 192.168.178.1 deiner Fritzbox von außerhalb deines Netzwerkes zu pingen?
Wenn er eine sauber funktionierende VPN Verbindung hat und die aktiv ist dann klappt auch das face-wink
Ohne das VPN natürlich niemals...
Mitglied: aif-get
aif-get 27.07.2016 um 12:05:37 Uhr
Goto Top
@aif-get
mal ganz platt gefragt!
Versuchst du die IP Adresse 192.168.178.1 deiner Fritzbox von außerhalb deines Netzwerkes zu pingen?


Ich kann dich beruhigen, nein das tue ich nicht ;) ich versuche schon eine Public IP anzupingen
Mitglied: Pjordorf
Pjordorf 27.07.2016 um 12:19:44 Uhr
Goto Top
Hallo,

Zitat von @aif-get:
Ich kann dich beruhigen, nein das tue ich nicht ;) ich versuche schon eine Public IP anzupingen
Welche Public IP? Eine richtige oder die von einen UMTS/LTE/3G Ani´bieter welche ja auch nur eine Private IP ist? Wer ist dein ISP und macht der DSL Lite? Ansonsten wird deine Fritte kaputt sein wenn die nicht am WAN auf ICMP antwortet und du es nicht irgendwie verhindern tust. AVM Support kann dir helfen.

Und es ist die IP welche dir die Fritte selbst anzeigt welche am WAN zu dieser Zeit existiert?

Gruß,
Peter
Mitglied: 108012
108012 27.07.2016 um 18:02:14 Uhr
Goto Top
Hallo,

meine fritzbox ist von aussen leider nicht anpingbar,
So soll es eigentlich auch sein.

was eine vpn verbindung unmöglich macht.
Ist so nicht richtig wurde aber auch schon mehrmals gesagt und bestätigt.

Von internem LAN kann ich dies allerdings tun! sehr komisch
Ist so auch gewollt und kann bei anderen Routern auch dort abgestellt werden, je nach dem wie man
es denn gerne haben möchte oder gar benötigt.

der ping request wird daher abgelehnt. warum ist das so?
NAT lehnt alles ab was nicht vom LAN her gestartet wurde und somit voll von außen kommt!
Oder sollen wir alle einmal Deine IP Adresse anpingen und die AVM FB geht in drei Sekunden in die Knie!?

habe alles nach anleitung gemacht. fehlt vllt ein neustart?
Welche Anleitung? Hast Du mal einen Link?
Oder meinst Du den Ping nach dem die VPN Verbindung steht um zu überprüfen das der VPN Tunnel
steht und funktionsfähig ist? Das ist dann wieder etwas ganz anderes!

Fritzbox OS version ist 6.30
- Letztes Firmware Image das "stable" ist installieren.
- Heraus finden was für eine VPN Verbindung hergestellt werden soll! (Side-to-Side oder Client-to-Side)
(Nenne uns doch einmal die Geräte dazu und vor allem deren interne Netze (IP Adressen))
- Und dazu dann von der AVM Webseite bitte eine Anleitung benutzen die auch zu dem Verbindungstyp passt
(Side-to-Side oder eben Client-to-Side)

Gruß
Dobby
Mitglied: Lochkartenstanzer
Lochkartenstanzer 27.07.2016 aktualisiert um 18:11:57 Uhr
Goto Top
Zitat von @108012:

Hallo,

meine fritzbox ist von aussen leider nicht anpingbar,
So soll es eigentlich auch sein.

Da scheiden sich die Geister. Ich stehe auf dem Standpunkt, daß, das kein Sicherheitsgewinn ist. Genauso wie man eine Einbruch nicht verhindern kann, indem man die Haustürklingel abstellt.


der ping request wird daher abgelehnt. warum ist das so?
NAT lehnt alles ab was nicht vom LAN her gestartet wurde und somit voll von außen kommt!

Das ICMP-Paket geht nicht ins LAN sondern an den Router. Da ist es unerheblich ob der NAT macht oder nicht. Und die fritzbox antwortet normalerweise auf cimp echo-requests.

Daß es beim TO nicht geht, liegt entweder am provider-grade NAt oder an anderen Details die wir hier nicht kennen.

Vielleicht kann er ja mal für eine halbe Stunde die IP-Adresse posten oder ausgewählten freiwilligen per PN zukommen lassen, daß die mal seinen Router scannen. face-smile

lks
Mitglied: aqui
aqui 28.07.2016 um 12:44:20 Uhr
Goto Top
Daß es beim TO nicht geht, liegt entweder am provider-grade NAt oder an anderen Details die wir hier nicht kennen.
Z.B. DS-Lite Anschluss...
Vielleicht kann er ja mal für eine halbe Stunde die IP-Adresse posten oder ausgewählten freiwilligen per PN zukommen lassen, daß die mal seinen Router scannen.
Kann er auch schneller und einfacher selber machen:
https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1
Mitglied: aif-get
aif-get 07.09.2016 um 17:07:23 Uhr
Goto Top
Hallo, die fritzbox ist nach wie vir nicht anpingbar.

ich habe mitlerweile auf die aktuellste version geupgraded.

PS: Klappt es eigentlich auch mit den hauseignenen VPN verbindungsclients sich zu verbinden?
Mitglied: Pjordorf
Pjordorf 07.09.2016 um 19:32:53 Uhr
Goto Top
Hallo,

Zitat von @aif-get:
Hallo, die fritzbox ist nach wie vir nicht anpingbar.
Dann ist das bei dir eben so. Nachvollziehbar? Nein. Dazu fehlen zuviele Fakten.

mit den hauseignenen VPN verbindungsclients
Welches Hausmittelchen meinst du denn hiermit?

Gruß,
Peter
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.09.2016 um 21:10:50 Uhr
Goto Top
Zitat von @aif-get:

Hallo, die fritzbox ist nach wie vir nicht anpingbar.


Dann teile uns bitte Deine IP-Adresse mit damit wir das auch mal probieren können.

lks
Mitglied: aif-get
aif-get 09.09.2016 um 10:41:08 Uhr
Goto Top
Zitat von @Pjordorf:


mit den hauseignenen VPN verbindungsclients
Welches Hausmittelchen meinst du denn hiermit?

sry vergessen dazu zuschreiben. ich meinte den von windows XP / 7

PS: ich bin nun davon ausgegenagen dass die Firewall keine probleme bereiten sollte oder muss da was noch aufgeschraubt werden? Macht dies fritzbox nicht automatisch beim einrichten des VPN?
Mitglied: Pjordorf
Pjordorf 09.09.2016 um 11:07:51 Uhr
Goto Top
Hallo,

Zitat von @aif-get:
sry vergessen dazu zuschreiben. ich meinte den von windows XP / 7
Mach bitte einen neuen Thread auf für deine VPN Fagen.

PS: ich bin nun davon ausgegenagen dass die Firewall keine probleme bereiten sollte oder muss da was noch aufgeschraubt werden?
Das hängt davon ab was gen au du machen willst und tust

Macht dies fritzbox nicht automatisch beim einrichten des VPN?
Was soll die beim Einrichten von VPN Automatisch tun?

Gruß,
Peter
Mitglied: aif-get
aif-get 09.09.2016 um 11:11:14 Uhr
Goto Top
Nunja automatisch einen port öffnen. rein von der clientseite ist ja alles offen soweit.
Mitglied: volki1969
volki1969 05.03.2018 um 13:41:34 Uhr
Goto Top
Neuste Version ist die 06.92

Gruß

Volker
Mitglied: Pjordorf
Pjordorf 05.03.2018 um 13:47:58 Uhr
Goto Top
Hallo,

Zitat von @volki1969:
Neuste Version ist die 06.92
Die gab es aber am 25,.07.2016 noch gar nicht. Da gab es grad die 6.00...

Gruß,
Peter
Mitglied: Lochkartenstanzer
Lochkartenstanzer 05.03.2018 um 13:51:09 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @volki1969:
Neuste Version ist die 06.92
Die gab es aber am 25,.07.2016 noch gar nicht. Da gab es grad die 6.00...

Naja, Leichenfledderei ist zumindest in Foren noch nicht strafbar. face-smile

lks