beamenwaerschoen
Goto Top

FritzBox VPN LAN Kopplung bei LTE

Hallo.

Bisher ist es so, dass zwei Freunde sich per VPN bei mir einwählen, so tauschen wir leichter Dateien aus. Nun möchten die beiden das unabhängig von mir auch machen. Leider bekommen wir das nicht. So siehts grade aus:

Ich: FritzBox 7270 - normaler DSL Anschluss
Freund A: Hybrid Telekom Speedport - dahinter eine FritzBox 7272
Freund B: Speedport LTE 2 - dahinter auch eine FritzBox 7272.

Wie gesagt, die LAN-Kopplung von beiden zu mir funktioniert sehr gut. Nur wenn die beiden sich selber verbinden wollen klappt es nicht. Beide haben in Ihren Speedports die Ports (53, 500 und 4500) auf die FirtzBox gelegt, bzw. diese als DMZ eingerichtet. Beide nutzen den MyFritz-Dienst, welche auch verbunden ist. A hat die Server-Adresse (xxxxxxx.myfritz.net) von B eingetragen und das IP-Netz von B (192.168.10.0) . B hat es umgekehrt gemacht. Der PSK ist definitiv der gleiche. Leider verbinden sich die Geräte dennoch nur zu mir.

Jemand nen Tipp wie man hier den Fehler findet?

Danke

bws

Content-Key: 275542

Url: https://administrator.de/contentid/275542

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: aqui
aqui 24.06.2015 um 19:09:31 Uhr
Goto Top
Ein Problem ist vermutlich LTE.
Fast alle Provider verwenden im LTE Netz private RFC 1918 IP Adressen mit einem zentralen Provider NAT.
Damit hast du keinerlei Chancen ein Port Forwarding zu konfigurieren für IPsec basierte VPNs und gleichzeitig der Todesstoß für VPN.
Siehe auch:
VPN über webn walk Stick IV nicht mehr möglich

Du bzw. deine Kumpels sollten also zuallererst am WAN / Internet Port der FB in der Statusübersicht checken ob sie RFC 1918 IPs dort vom provider bekommen.
Ist das der Fall musst du gar nicht erst weitermachen....
Das deine Ports anbetrifft ist das auch ziemlich fehlerhaft. TCP 53 ist Unsinn, denn das ist DNS. Bei den anderen Ports benötigst du:
  • UDP 500
  • UDP 4500
  • ESP Protokoll (IP Nummer 50, Achtung KEIN TCP oder UDP)
Die klassischen 3 Komponenten also bei IPsec VPNs die jeder netzwerke kennt oder kennen sollte.
Letzteres fehlt bei dir vollkommen so das es dann auch niemals funktionieren kann !
Mitglied: beamenwaerschoen
beamenwaerschoen 24.06.2015 um 19:38:24 Uhr
Goto Top
Danke für die Antwort.

Ich konnte nur einen erreichen, der hat ne IP mit 2.62.x.x

Die Ports waren natürlich alle UDP, und wurden so von einer AVM Seite ( http://avm.de/nc/service/fritzbox/fritzbox-7390/wissensdatenbank/public ... ) übernommen. Bevor ich dies auch noch nicht gemacht hatte, ging es auch nicht. Nur mit den 3en. Das ESP bieten die beiden Speedports nicht an, zumindest sehe ich das nicht unter Portforwarding. Bei dem LTE2 wird dort nur IPSec angeboten, aber das ist dann nur Port 500.

Also keine Chance mit den Geräten/ LTE?
Mitglied: aqui
aqui 24.06.2015 aktualisiert um 19:55:31 Uhr
Goto Top
Die Ports waren natürlich alle UDP,
ESP ist **kein TCP oder UDP sondern ein eigenes IP Protokoll mit der Nummer 50.
Ohne ESP Forwarding definitiv KEIN VPN !!
Das ESP bieten die beiden Speedports nicht an,
Das ist leider ein bekanntes Übel bei den Speedport Schrottroutern face-sad
Ohne ESP kein VPN !
Manchmal reicht es wenn man UDP 500 und 4500 forwardet, dann "raffen" diese billigen Schrottrouter es manchmal von selber das ESP dazumuss...aber leider nur manchmal.
Bei dem LTE2 wird dort nur IPSec angeboten, aber das ist dann nur Port 500.
Ist natürlich Unsinn, denn 4500 (Nat Traversal) und ESP (Encapsulation Security Payload) gehört zwingend dazu sonst nix IPsec...klar.

Nimm dir im Zeifel immer einen Wireshark Sniffer oder nutze die Sniffing Funktion der Fritzbox:
http://www.wehavemorefun.de/fritzbox/Paketmitschnitt
https://www.youtube.com/watch?v=erHYfCAB8Ig
um zu checken das ALLE Protokollkomponenten an der FB zum VPN auch ankommen !!!
Mitglied: beamenwaerschoen
beamenwaerschoen 24.06.2015 aktualisiert um 19:58:20 Uhr
Goto Top
Na juhu. Wärst du auch noch so nett und erklärst kurz, warum dann beide eine Verbindung zu mir aufbauen können, da läuft das doch praktisch auch durch die Speedports?

Hab als Alternative eben noch was von OpenVPN gelesen. Ist das wirklich ne Alternative, oder rät man davon auch ab?


Das mit ESP hab eich schon verstanden - ist wie früher mit GRE.

bws
Mitglied: aqui
aqui 24.06.2015 aktualisiert um 20:06:17 Uhr
Goto Top
Denk mal ein bischen selber nach.... face-wink
Ausgehend müssen die IPsec Packete keine NAT Firewall überwinden deshalb können die Kollegen ZU dir den Tunnel öffnen.
Andersrum müssen bei ihnen eingehende IPsec Verbindungen die NAT Firewall der Router überwinden, was logischerweise nur mit korrekten Port Forwarding Einstellungen funktioniert.
Hab als Alternative eben noch was von OpenVPN gelesen. Ist das wirklich ne Alternative, oder rät man davon auch ab?
Nein, das wäre eigentlich das Optimum da das ein SSL basiertes VPN ist was erheblich einfach zu konfigurieren ist !
Guckst du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Rennt auch problemlos auf einer FritzBox wenn man diese Freetzt:
http://freetz.org
Das mit ESP hab eich schon verstanden - ist wie früher mit GRE.
"Früher" ist natürlich laienhafter Blödsinn aber weisst du hoffentlich selber ?! GRE ist der Tunnel bzw. Tunnelprotokoll bei PPTP, ein anderes VPN Protokoll.
VPNs einrichten mit PPTP
Mitglied: beamenwaerschoen
beamenwaerschoen 24.06.2015 um 20:24:53 Uhr
Goto Top
Man man man. Bei Dir zu bestehen ist warscheinlich nur sehr schwer möglich. Aber Wisser können es sich halt erlauben face-wink

Mit früher meinte ich "nur" dass dies eine alte eher nicht mehr zu empfehlende VPN Variante ist/war.

Ok, dann raff ich es halt nicht so richtig. Ich dachte bisher ja, dass wenn die Verbindung steht, immer ein und ausgeehnde Verbindungen die Daten fliessen lassen. Aber ich glaub noch lächerlicher muss ich mich nicht mehr machen face-sad


OK, dann stell dich mal auf Fragen zu OpenVPN ein face-smile Nein, ich beiss mich da mit meinem Laienwissen durch face-wink
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.06.2015 aktualisiert um 20:58:53 Uhr
Goto Top
Moin,

Wie aqui schon sage, dürfte das vorwiegend daran scheitern, daß

  • LTE mit RFC1918-Adressen betrieben und Carrierer Grade NAT gemacht wird und
  • Speedports eigentlich für die Tonne sind (Hatte heute wieder so ein Schrottteil in den Händen).

Sinnvollste Lösung:

Irgendwo einen vserver oder einen root-serve rmieten und dort eien VPN-Server aufsetzen, so daß sich alle "Client-sites" damiot verbinden und so daten austauschen können. Damit vermeidet man NAT udn Portforwarding-Probleme.

lks
Mitglied: beamenwaerschoen
beamenwaerschoen 24.06.2015 um 21:03:14 Uhr
Goto Top
"Ausgehend müssen die IPsec Packete keine NAT Firewall überwinden deshalb können die Kollegen ZU dir den Tunnel öffnen.
Andersrum müssen bei ihnen eingehende IPsec Verbindungen die NAT Firewall der Router überwinden, was logischerweise nur mit korrekten Port Forwarding Einstellungen funktioniert."


Das vesteh ich echt nicht. Bin halt kein ITler. Die Signale von mir zu denen sind doch auch eingehende?!?!?!
Mitglied: aqui
aqui 25.06.2015 um 08:56:53 Uhr
Goto Top
Du hast aber nicht gesagt WER den VPN Tunnelaufbau initiiert !!!
Vermutlich sind das die Router deiner bekannten, DIE starten also die IPsec Session so das sie dann bei dir "incoming" ist und bei denen outgoing.
Die NAT Problematik passiert immer nur da wo die Sessions eingehen ohne einen gültigen Eintrag in der NAT Translation Tabelle !

Deinen Bekannten betreiben BEIDE einen Router Kaskade aus 2 Routern !
Siehe dazu auch hier "Alternative 2": Kopplung von 2 Routern am DSL Port
Dort muss zwingend auf den beiden vor der Fritzbox liegenden Router ein Port Forwarding der 3 Protokollports von IPsec (siehe oben) konfiguriert sein, denn sonst klappt das logischerweise nicht.
Bei diesen Router Kaskaden speziell im LTE lauern 2 tödliche VPN Fallen:
  • Provider verwendet RFC 1918 IP Adressen (private Netze) im LTE
  • Falsches oder fehlendes Port Forwarding auf dem vorgeschalteten Router
  • Der kaskadierte Router sollte auf seinem WAN Port (der ja am LAN Port des Ersten angeschlossen ist) wenn irgend möglich immer eine statische IP außerhalb der LAN DHCP Range des ersten Routers bekommen. Grund: Dynamik der IPs. Bekommt der WAN Port dynamisch mal einen andere IP ists aus mit dem statischen Port Forwarding ! Deshalb immer: Statische IP !
Mitglied: Lochkartenstanzer
Lochkartenstanzer 25.06.2015 um 09:19:48 Uhr
Goto Top
Moin,

Und genau deswegen wird vermutlich ein VPN-Server "in der Wolke" das passendere dazu sein.

lks
Mitglied: beamenwaerschoen
beamenwaerschoen 25.06.2015 um 10:20:08 Uhr
Goto Top
@ aqui

DANKE - jetzt hats geklingelt. Eine lette Frage:

In den FritzBoxen sagt man ja nur, dass man die Kopplung machen möchte. Wer ist den dann der Server, bzw. initiiert die Verbindung? Wird das von den Fritzen ausgehandelt, oder nach Zufall, oder wo kann man das den Kisten sagen?
Mitglied: beamenwaerschoen
beamenwaerschoen 25.06.2015 um 17:35:28 Uhr
Goto Top
Hab mittlerweile den anderen erwischt. Der hat ne IP mit 87 beginnend. Also laut den Anagben ist das doch auch keine Private IP. Nur mal so als Ergänzung noch.
Mitglied: aqui
aqui 25.06.2015 um 22:39:56 Uhr
Goto Top
Was schon mal gut ist....bleibt dann nur das falsche Port Forwarding.
Mitglied: the-buccaneer
the-buccaneer 27.06.2015 um 00:27:00 Uhr
Goto Top
Nun ja, nach meinem Kenntnisstand wird eine IPSec Site2Site Verbindung in den Fritzboxen schon theoretisch standardmässig aufgebaut, was heisst, dass beide Seiten die Verbindung initiieren können und das auch versuchen. Das regelt ein im IPSec Protokoll festgelegter Algorithmus, der (von User Seite) nicht beeinflusst werden kann. Bei einem Site2Site VPN ist keiner der Server. Eine Fritzbox als Client nur eine Einwahl auf einen Host machen zu lassen ist meines Wissens (leider) nicht möglich. Auch die Fritzboxen loggen rudimentär die Fehler mit. Beliebt wäre in deinem Fall z.B. 0x027 "Remote Site not responding"
Welchen Fehler bekommen denn die Kollegen?
Hast Du das VPN zusammengeklickt oder eine editierte cfg-Datei auf die Boxen eingespielt? Das ist zwar komplizierter, könnte aber lohnen Anleitung auf der AVM Seite und hier im Forum.
Haben die Boxen deiner Bekannten denn verschiedene interne IP-Ranges? (Müssten Sie eigentlich, denn sonst würden die Pakete auch jetzt schon im Nirvana landen...)

Ist es denn möglich auf alle Boxen mit dem Shrew Client zu verbinden? Dieser hat nämlich eine schöne erweiterte Logging Funktion, die Gold wert ist.

D.h. mit Shrew testen, welche Verbindung geht und welche nicht. Auch da siehst Du dann, welche Box vom Speedport die Pakete evtl. nicht bekommt.

Nichtsdestotrotz hängt es wohl am Port Forwarding. Wie ich auf die Schnelle im Telekom Kundenforum recherchieren konnte, gab es eine Zeit, in der die Speedports das ESP forwarden konnten, dieses Feature wurde aus aktuellen Firmwares aber wieder entfernt. Klappe zu. Affe tot. Geschäftspolitik. Gewinnmaximierung.

Sorry. Offenbar kein FB oder IPSec Problem.

Aber es gibt FB'en die LTE können...

Gruß
Buc