Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

FritzBOX VPN FritzBox kein Verbindungsaufbau

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Dett18

Dett18 (Level 1) - Jetzt verbinden

15.02.2017 um 13:07 Uhr, 496 Aufrufe, 17 Kommentare

Einen schönen Sonnigen guten Tag liebe Gemeinde.

Leider habe ich ein VPN Problem zwischen zwei Fritz!Boxen.
Nach einer Woche Probieren und lesen, habbe ich mich nun entschlosssen hier eine Anfrage zu stellen,
und hoffe es kann mir jemand weiterhelfen, denn ich habe schon graue Haare.
Kein Verbindungsaufbau zwischen zwei Fritz Boxen per VPN möglich, egal was ich einstelle.
Hier mal meine Konfi:

System 1 Wohnung
Fritz!Box 6360 v. 6.50 DSL 100
IP 192.168.250.220 Ping : Ok
Sub 255.255.255.0
VPN zu 192.168.255.229 Ping: Zeitüberschreitung
Adresse: Dyndns von System 2 Garten
Passwort: (geheim) identisch mit System 2

System 2 Garten
Fritz!Box 7490 v.6.80 DSL 50

IP 192.168.255.230 Ping : Zeitüberschreitung
Sub 255.255.255.0
VPN zu 192.168.250.219 Ping: Zielhost nicht erreichbar
Adresse: Dyndns von System 1 Wohnung

Es kommt keine Verbindung zustande, die Punkte bleiben grau.
Oder sind meine IP Adressen dafür vieleicht nicht geeignet ??
Ich habe eigentlich alles nach dem schema von AVM eingestellt, nur das ich halt
andere IP Adressen verwende, oder ist vieleicht gerade da mein fehler ??

Dyndns ist erreichbar, per dyndns komme ich auf die entfernte box, (System 2)
nur eine VPN Verbindung kommt nicht zustande.
System 1 ist ein Kabelanschluss von Kabeldeutschland (Vodafone)
System 2 ein Anschluss von 1&1.

für eine Antwort bin ich sehr Dankbar, da ich kurz davor stehe das ganze zu lassen, was ich aber eigentlich nicht will.


Mitglied: michi1983
15.02.2017 um 13:17 Uhr
Hallo,

also erstmal solltest du natürlich unterschiedliche IP Adressierungen auf den beiden Boxen verwenden (sonst kann es zu Problemen kommen).

Und ansonsten ist das ja nix anderes als diese Anleitung abarbeiten.

Gruß
Bitte warten ..
Mitglied: Dett18
15.02.2017 um 13:21 Uhr
Hallo michi1983,

wenn ich richtig liege habe ich diese Anleitung abgearbeitet, aber eine verbindung habe ich
trotzdem nicht. und unterschiedliche IP's sind es auch.

Gruß
Detlef
Bitte warten ..
Mitglied: michi1983
15.02.2017 um 13:22 Uhr
Zitat von Dett18:
wenn ich richtig liege habe ich diese Anleitung abgearbeitet
Offenbar hast du irgendwo einen Fehler drin, sonst würde es ja gehen.
Oder du erfüllst eine der gegebenen Anforderungen nicht die im Artikel stehen. Prüfe das nochmal.

Gruß
Gruß
Bitte warten ..
Mitglied: aqui
15.02.2017 um 13:34 Uhr
Eigentlich ja ein Selbstgänger, denn das FB Netz bekommt man mit 3 Mausklicks in 5 Minuten zum Fliegen.
Vermutlich 2 mögliche Fehler:
  • IP Adressierung ist falsch oder teilweise falsch. Broadcast Bytes wie 255 sollte man besser vermeiden !
  • Der TO hat einen DS-Lite Anschluß am DSL, damit sind IPsec VPNs nicht möglich.

Als grundlegenden Test solltest du erstmal checken ob die die beiden öffentlichen IP Adressen auf dem DSL Port gegenseitig problemlos erreichbar sind. ( Ping).
DynDNS bedeutet immer Gefahr, denn wenn da nur irgendwas schiefgeht das eine Seite nicht auflösen kann usw. dann schlägt der Tunnelaufbau fehl.
Die IP Adressierungen ist auch etwas wirr oben, denn es sind immer nur Hostadressen statt Netze angegeben. Nehmen wir mal an das es 192.168.250.0 /24 und 192.168.255.0 /24
Bitte warten ..
Mitglied: Dett18
15.02.2017 um 20:12 Uhr
Ich glaube den fehler gefunden zu haben,
das Programm Fritz-Fernzugang hat durch meine IP Adressierung eine Subnetzmaske
mit 36-255.255.255.255 gemacht, tatsächlich habe ich aber wie alle auch die subnetmaske 24-255.255.255.0,
das habe ich nun in der Konfig.cfg geändert. Leider ist mein Dyndns gerade wegen vieler IP erneuerungen für 24 Stunden gesperrt,
so das ich es erst später Testen kann ob es dann funktioniert..
Schönen Abend noch
Gruß
Detlef
Bitte warten ..
Mitglied: aqui
16.02.2017, aktualisiert um 09:38 Uhr
Eine 36 Bit Maske wäre ja auch kompletter Blödsinn denn das ist rechnerisch bei einer max. 32 Bit-igen Maske ja gar nicht möglich !
Eine Maske 255.255.255.255 ist eine Host Maske und hat max. 32 Bit. ( 4 mal 8 Bit)
Fatal wenn das Programm so einen gravierenden Fehler macht in der Maskierung. Da ist es dann klar das das niemals klappen kann.
Die 24 Bit Maske 255.255.255.0 ist auf alle Fälle richtig für dich !
Damit sollte es dann aber sicher klappen !
Bitte warten ..
Mitglied: the-buccaneer
17.02.2017 um 08:23 Uhr
Hi Detlef!

In der von Michi verlinkten und von dir abgearbeiteten AVM-Anleitung wird die Software "FritzFernzugang einrichten" nicht mal erwähnt...

Wenns wieder nicht klappt, kannst du ja mal die vpn.cfg posten. Selbst mit der /32 Maske sollte aber ein Verbindungsaufbau möglich sein. Nur das dahinterliegende Netz wäre nicht erreichbar. Ich befürchte fast, da ist noch ein Fehler drin...
Buc
Bitte warten ..
Mitglied: Dett18
17.02.2017 um 15:11 Uhr
Hallo the-buccaneer,

hier ist die cfg zur Garten Box, die gleiche existiert umgegehrt zur Wohnung, ich komme nach wie vor nicht per VPN an die Box, bzw
die Boxen verbinden sich nicht miteinander, sodas ich bereits Graue Haare bekomme. Vieleicht muss ich doch mal alle IPs der Boxen ändern.
Die eigentliche Box IP habe ich mal daneben geschrieben.
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "istdrin.myfritz.net";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "istdrin.myfritz.net";
localid {
fqdn = "istdrin.myfritz.net";
}
remoteid {
fqdn = "istdrin.myfritz.net";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "ist OK";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.255.229;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.250.219; Box IP ist 192.168.255.230
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.250.219 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";

Es müsste nun alles nach AVM richtlinie eingestellt sein da ich es noch mals geprüft hatte.
Mal sehen ob doch ein fehler drin ist.
Gruß Detlef
Bitte warten ..
Mitglied: the-buccaneer
17.02.2017 um 15:29 Uhr
remotehostname = "istdrin.myfritz.net";
localid {
fqdn = "istdrin.myfritz.net";
}
remoteid {
fqdn = "istdrin.myfritz.net";

Wie soll eine Verbindung zustande kommen, wenn Remote ID und local ID gleich sind?

phase2remoteid {
ipnet {
ipaddr = 192.168.250.219; Box IP ist 192.168.255.230
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.250.219 255.255.255.0";

Auch hier ist noch Chaos drin.
Vorschlag: Du erstellst mittels "Fernzugang einrichten" 2 neue Konfigurationen mit den richtigen Daten (DynDNS und IP Ranges) und spielst diese dann jeweils auf der Box ein, oder du verwendest die verlinkte Anleitung von AVM.
Gruß
Buc
Bitte warten ..
Mitglied: aqui
17.02.2017, aktualisiert um 15:50 Uhr
Wie soll eine Verbindung zustande kommen, wenn Remote ID und local ID gleich sind?
Das ist auch der Kardinalsfehler. Kein Wunder das IPsec daran scheitert, denn das würde ja 2 identische Hostnamen implizieren die es niemals im TCP/IP geben darf ! Klassischer Anfängerfehler...
Adressen sind immer einzigartig. Das gilt auch für DynDNS Adressen.
Kein Wunder also das das scheitert. Steht aber auch alles in der AVM Anleitung. Man sollte doch mal etwas lesen
https://avm.de/service/vpn/uebersicht/
Bitte warten ..
Mitglied: Dett18
17.02.2017 um 15:58 Uhr
Hallo Buc,

Die Remote ID und Local ID sind natürlich nicht gleich, hatte das hier nur so eingtragen, Lokal ID ist korekt eingetragen
und Remote ID natürlich auch.
Sorry für die verwirrung

alle Dyndns Daten sind richtig eingegeben, wurden nur hier fürs Forum entfernt und durch istdrin ersetzt.
Bei der Box IP habe ich einen schreibfehler drin, die Box IP ist natürlich 192.168.250.220 und nicht 192.168.255.230
komme schon beim schreiben hier völlig durcheinander.

Gruß
Detlef
Bitte warten ..
Mitglied: Dett18
17.02.2017 um 18:02 Uhr
Hallo Buc,

habe bei der entfernten Box die IP geändert, und schon steht die VPN verbindung zwischen beiden Boxen.
Beide Punkte sind nun entlich Grün .

Wenn ich jetzt aber meinen Datei Explorrer öffne sehe ich nur leider mein entferntes Netzwerk nicht, ich bin davon ausgegangen
das ich dann das Netzwerk sehen kann, oder ist das nicht so ??

Gruß
Detlef
Bitte warten ..
Mitglied: BitBurg
LÖSUNG 17.02.2017 um 18:12 Uhr
Hallo Detlef,

ich hoffe, du kannst auf dem Bild halbwegs was erkennen:

fb - Klicke auf das Bild, um es zu vergrößern

Wenn FB1 die Adresse 192.168.250.220 mit der Maske 255.255.255.0 hat, dann ist das die IP-Adresse 220 im Netz 192.168.250.0. Das Netz trägst du bei phase2localid ein. Die anderen Einträge entsprechend.

Auf FB2 nach dem gleichen Prinzip. Netz 192.168.255.0 bei phase2localid und so weiter. Die Accesslisten darfst du nicht vergessen. Mit den Identitäten in deinem Beispiel würde es übrigens auch funktionieren.

BB
Bitte warten ..
Mitglied: Dett18
17.02.2017 um 19:20 Uhr
Hallo BitBurg,

vielen Dank, das funktioniert auch, habe meine alten IP Adressen wieder Aktiviert.
Bei den IP Adressen wäre ich im leben nicht darauf gekommen am ende einfach eine 0 ein zu geben.
Aber nun sind die Boxen miteinander verbunden.
Müsste ich im Datei Explorrer nicht auch unter Netzwerk, das entfernte Netzwerk sehen ??
Hintergrund ist, das wenn ich am 2 Anschluss also im Garten bin, möchte ich auch auf das entfernte Netzwerk zugreifen können,
speziell auf den Mediaserver der ja eigentlich angezeigt werden müsste, oder liege ich da falsch ??
Ich hatte bei der ganzen suche wegen meiner verbindung mal eine Abbildung im Internet gesehen, wo im Explorrer alle verbindungen angezeigt wurden.

Gruß
Detlef
Bitte warten ..
Mitglied: aqui
18.02.2017, aktualisiert um 00:14 Uhr
nicht darauf gekommen am ende einfach eine 0 ein zu geben.
Das bezeichnet immer das IP Netz selber ! Alle Hostbits der Adresse auf 0
Müsste ich im Datei Explorrer nicht auch unter Netzwerk, das entfernte Netzwerk sehen ??
Nein ! Denn der Winblows Naming Service basiert auf UDP Broadcasts und die können im TCP/IP nie über Router übertragen werden. Simpelste Grundlage TCP/IP !
Du kannst aber kinderleicht eine feste Zuordnung machen indem du das statisch in die hosts oder lmhosts Datei einträgst.
Guckst du auch hier:
http://www.administrator.de/index.php?content=104978#396040
Gilt natürlich auch noch bis Win 10
oder liege ich da falsch ??
Da liegst du falsch ! Siehe oben...
Bitte warten ..
Mitglied: the-buccaneer
18.02.2017 um 01:02 Uhr
Ist ja fast geschafft...
Kommst du denn nun vom Garten auf die Wohnzimmerkiste, wenn du deren IP im Explorer direkt eingibst?
Dann trage sie in die Hosts Datei ein um auch den Namen aufzulösen.

Oder hast du den Fall, dass kein Traffic läuft trotz "grüner Lämpchen" (dat jibbet auch...)

Deine IP 192.168.255.x würde ich wirklich vermeiden wollen. Das (.255) ist eine Broadcastadresse, die macht was anderes.
Wenn @aqui sagt, dass es eine schlechte Idee ist, ist es bei Netzwerkfragen meist eine gute Idee das zu berücksichtigen.

Warum sind die 254 davor liegenden Ranges schlechter?

Buc
Bitte warten ..
Mitglied: BitBurg
19.02.2017, aktualisiert um 09:54 Uhr
Detlef,
Zitat von Dett18:
Müsste ich im Datei Explorrer nicht auch unter Netzwerk, das entfernte Netzwerk sehen ??
Hintergrund ist, das wenn ich am 2 Anschluss also im Garten bin, möchte ich auch auf das entfernte Netzwerk zugreifen können, speziell auf den Mediaserver der ja eigentlich angezeigt werden müsste, oder liege ich da falsch ??
Über die IPSec-Verbindung werden nur Daten aus den Netzen übertragen, die bei phase2localid und phase2remoteid eingetragen wurden. IP Pakete müssen also als Quelle und Ziel immer Adressen aus den beiden Netzen enthalten.

Wenn du im Datei Explorer (PC im Garten) auf Netzwerk klickst, dann sendet er keine Anfrage an Adressen im anderen Netz (Wohnung). Es werden Anfragen ins lokale Netz und an eine Multicastadresse gesendet, jedoch nicht an Adressen die den Einstellungen der FB entsprechen. Was du im Internet gesehen hast, wurde mit hoher Wahrscheinlichkeit mit einem anderen Protokoll gemacht.

Eine Namensauflösung kann man allerdings machen, wie ja Aqui und Buccaner bereits schrieben. Den Rest (UDP Broadcast, Broadcastadresse) kannst du allerdings ignorieren.

Was den Zugriff auf den Mediaplayer angeht, kann ich dir leider gar nicht helfen. Meine Kenntnisse in dem Bereich sind leider rudimentär bis gar nicht vorhanden.

BB
Bitte warten ..
Ähnliche Inhalte
Router & Routing
FritzBox VPN (LAN-LAN Kopplung) kein Zugriff auf HTTPS Adressen (2)

Frage von 132932 zum Thema Router & Routing ...

Netzwerke
gelöst VPN Verbindung WIndows Rechner via FritzBox Fernzugang - Kein Internet

Frage von garack zum Thema Netzwerke ...

Router & Routing
FritzBox VPN Namensauflösung klappt nicht mit internem DNS Server (2)

Frage von Unheilgott zum Thema Router & Routing ...

Windows Server
gelöst Site to Site VPN (Kein Zugriff von Client auf Remote Server) (3)

Frage von subsee zum Thema Windows Server ...

Neue Wissensbeiträge
Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(1)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(38)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
POS Hardware und alternativen zu Raid 1? (21)

Frage von Brotkasten zum Thema Festplatten, SSD, Raid ...

Viren und Trojaner
Verschlüsselungstrojaner simulieren (18)

Frage von AlbertMinrich zum Thema Viren und Trojaner ...

Windows 10
Windows 10 Home "Netzlaufwerk nicht bereit" (11)

Frage von Oggy01 zum Thema Windows 10 ...

SAN, NAS, DAS
+100tb Storagelösung (10)

Frage von Data-Fabi zum Thema SAN, NAS, DAS ...