8
VPN Client hinter der AVM FritzBox verbindet sich nicht
Hallo,
ich habe ein Notebook mit einem VPN client (iRAS4) eines großen brittischen Konzern mit dem ich mich in das Netzwerk des Konzerns einwählen kann. Jetzt habe ich das Problem, dass es von einem Stadtort aus funktioniert und von einem anderen aus nicht.
Standort 1: Büro
Router AVM Fritzbox 7050
Provider 1und1 (DSL6000)
von diesem Stadtort aus funktioniert die Verbindung ohne Problem. Ich habe noch 5 Weiter Kolegen die sich auch gleichzeitig über diese Verbindung einwählen können.
Stadort 2 : mein Nachbar
Router AVM Fritzbox 7170 (unverändert)
Provider 1und1 (DSL 384)
Hier kann keine Verbindung aufgebaut werden.
Stadort 3: zuhause
Router AVM Fritzbox 7170 (mit open VPN zu einem FLI4L)
Provider 1und1 (DSL 384)
Hier kann auch keine Verbindung aufgebaut werden. Bevor ich die FritzBox eingesetzt habe hatte ich einen FLI4L und konnte die Verbindung problemlos aufbauen.
Zum Fehler selbst habe ich bei dem zuständigen HelpDesk des Konzerns angerufen. Dort wurde mit gesagt das der Fehler 619 daraufhindeutet das von meinem Router nicht alle Ports durgelassen werden. Dann habe ich folgende Liste der benötigten Ports bekommen.
Service Comment
47(GRE) GRE Cert Auth
50(ESP) IPSec Neg
TCP/1723 PPTP
UDP/500 IKE
UDP/1701 L2TP
UDP/4500 NAT-T
Es ist wohl so, dass der VPN Client die Gegenstelle erreichen kann, aber sich nicht Zertifizieren kann.
Da der unterschied zwischen dem funtionierenden und den nicht funtionierenden Stadtorten die Art der FritBox ist würde ich vermuten, dass in der neueren FritzBox etwas von 1und1 so verändert wurde, dass nicht mehr alle Ports zur Verfügung stehen.
Weis jemand wie ich auch die neuere FritzBox so einstellen kann, dass es wieder funtioniert?
Danke
Mofaklaus
ich habe ein Notebook mit einem VPN client (iRAS4) eines großen brittischen Konzern mit dem ich mich in das Netzwerk des Konzerns einwählen kann. Jetzt habe ich das Problem, dass es von einem Stadtort aus funktioniert und von einem anderen aus nicht.
Standort 1: Büro
Router AVM Fritzbox 7050
Provider 1und1 (DSL6000)
von diesem Stadtort aus funktioniert die Verbindung ohne Problem. Ich habe noch 5 Weiter Kolegen die sich auch gleichzeitig über diese Verbindung einwählen können.
Stadort 2 : mein Nachbar
Router AVM Fritzbox 7170 (unverändert)
Provider 1und1 (DSL 384)
Hier kann keine Verbindung aufgebaut werden.
Stadort 3: zuhause
Router AVM Fritzbox 7170 (mit open VPN zu einem FLI4L)
Provider 1und1 (DSL 384)
Hier kann auch keine Verbindung aufgebaut werden. Bevor ich die FritzBox eingesetzt habe hatte ich einen FLI4L und konnte die Verbindung problemlos aufbauen.
Zum Fehler selbst habe ich bei dem zuständigen HelpDesk des Konzerns angerufen. Dort wurde mit gesagt das der Fehler 619 daraufhindeutet das von meinem Router nicht alle Ports durgelassen werden. Dann habe ich folgende Liste der benötigten Ports bekommen.
Service Comment
47(GRE) GRE Cert Auth
50(ESP) IPSec Neg
TCP/1723 PPTP
UDP/500 IKE
UDP/1701 L2TP
UDP/4500 NAT-T
Es ist wohl so, dass der VPN Client die Gegenstelle erreichen kann, aber sich nicht Zertifizieren kann.
Da der unterschied zwischen dem funtionierenden und den nicht funtionierenden Stadtorten die Art der FritBox ist würde ich vermuten, dass in der neueren FritzBox etwas von 1und1 so verändert wurde, dass nicht mehr alle Ports zur Verfügung stehen.
Weis jemand wie ich auch die neuere FritzBox so einstellen kann, dass es wieder funtioniert?
Danke
Mofaklaus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 78273
Url: https://administrator.de/contentid/78273
Printed on: April 19, 2024 at 11:04 o'clock
8 Comments
Latest comment
DU selber musst sicherstellen, das die AVM Fritzbox 7170 oder deine anderen Fritzboxen dir die vom Helpdesk angegebenen VPN Protokolle in die Port Weiterleitungstabelle der FB eingetragen sind ! Ist das nicht geschehen ist es klar das nichts funktioniert mit dem VPN Zugang. Per default sind diese Listen natürlich leer....
Ferner solltest du bedenken, das du mit dieser Weiterleitungstabelle eine statische Beziehung auf eine feste IP Adresse dort konfigurierst !!!
Den VPN Client dann per DHCP mit Adressen zu versorgen ist dann weniger gut, denn ändert sich eine IP Adresse am VPN Client durch die Dynamik von DHCP ist's aus mit dem VPN !
Fazit: Port Weiterleitung einrichten auf die Client IP und diese statisch und ausserhalb der DHCP Range des Routers (ggf. IP Adresskonflikt !) konfigurieren sollte dein Problem schnell lösen !
Nochwas: Der Helpdesk hat dir eine Schrotschussliste geschickt. Wenn du nur PPTP als VPN Protokoll benutzt dann reicht der Port TCP 1723 und das GRE Protokoll mit der Nummer 47.
Alles andere ist für IPsec VPNs.
Leider teilst du uns ja auch nicht mit welches VPN Protokoll du bzw. dein Client für den VPN Zugang benutzt
Ferner solltest du bedenken, das du mit dieser Weiterleitungstabelle eine statische Beziehung auf eine feste IP Adresse dort konfigurierst !!!
Den VPN Client dann per DHCP mit Adressen zu versorgen ist dann weniger gut, denn ändert sich eine IP Adresse am VPN Client durch die Dynamik von DHCP ist's aus mit dem VPN !
Fazit: Port Weiterleitung einrichten auf die Client IP und diese statisch und ausserhalb der DHCP Range des Routers (ggf. IP Adresskonflikt !) konfigurieren sollte dein Problem schnell lösen !
Nochwas: Der Helpdesk hat dir eine Schrotschussliste geschickt. Wenn du nur PPTP als VPN Protokoll benutzt dann reicht der Port TCP 1723 und das GRE Protokoll mit der Nummer 47.
Alles andere ist für IPsec VPNs.
Leider teilst du uns ja auch nicht mit welches VPN Protokoll du bzw. dein Client für den VPN Zugang benutzt
Hallo aqui,
an der FritzBox wo es läuft habe ich keine Weiterleitung eingerichet. Ist auch nicht möglich, da sich ja mehrer Client über eine FB einwählen.
Aber zuhause wo ich nur mit einem client bin habe ich das auch schon versucht alle Ports die mir das HelpDesk genant hat auf meinen Client zu forwoden. Aber das hat auch nicht geholfen.
Ich verstehe leider auch nicht wofür das gut sein soll, der request geht doch vom Client aus, wiso soll da ein Portforward helfen. Das ist doch nur für anfragen die reinkommen. Ich würde das so verstehen, dass einer der Ports nicht weitergeleitet wird. Entweder aus outgoing oder als incomming request.
Mache ich da einen gedanken fehler?
Das verwendetet VPN Protokoll ist mir leider auch nicht bekannt.
Gruß
mofaklaus
an der FritzBox wo es läuft habe ich keine Weiterleitung eingerichet. Ist auch nicht möglich, da sich ja mehrer Client über eine FB einwählen.
Aber zuhause wo ich nur mit einem client bin habe ich das auch schon versucht alle Ports die mir das HelpDesk genant hat auf meinen Client zu forwoden. Aber das hat auch nicht geholfen.
Ich verstehe leider auch nicht wofür das gut sein soll, der request geht doch vom Client aus, wiso soll da ein Portforward helfen. Das ist doch nur für anfragen die reinkommen. Ich würde das so verstehen, dass einer der Ports nicht weitergeleitet wird. Entweder aus outgoing oder als incomming request.
Mache ich da einen gedanken fehler?
Das verwendetet VPN Protokoll ist mir leider auch nicht bekannt.
Gruß
mofaklaus
Wenn du noch nicht einmal weisst welches VPN Protokoll du nutzt wird es sehr schwierig.
VPN Protokolle bestehen in der Regel aus einem Bündel an Einzelprotokollen. Dein VPN Request geht zwar raus aber der VPN Server baut dann von sich aus eine Verbindung auf auf einem anderen Port oder Protokoll (GRE z.B. bei PPTP) die dann an deiner NAT Firewall ankommt, die lässt aber nichts durch was du nicht in der Weiterleitungsliste definiert hast !
Deine Annahme ist also nicht ganz richtig !
Ohne das du dein VPN Protokoll genau kennst ist eine qualifizierte Hilfestellung fast unmöglich !
Da hast du den eigentlich nur noch eine Chance einen Packet Sniffer wie den www.WIRESHARL.org oder MS NetMonitor auf dem Rechner zu installieren und mal einen verbindungsaufbau mitzuschneiden um zu sehen wo es genau hakt und vor allen Dingen zu sehen welches Protokoll du benutzt !
VPN Protokolle bestehen in der Regel aus einem Bündel an Einzelprotokollen. Dein VPN Request geht zwar raus aber der VPN Server baut dann von sich aus eine Verbindung auf auf einem anderen Port oder Protokoll (GRE z.B. bei PPTP) die dann an deiner NAT Firewall ankommt, die lässt aber nichts durch was du nicht in der Weiterleitungsliste definiert hast !
Deine Annahme ist also nicht ganz richtig !
Ohne das du dein VPN Protokoll genau kennst ist eine qualifizierte Hilfestellung fast unmöglich !
Da hast du den eigentlich nur noch eine Chance einen Packet Sniffer wie den www.WIRESHARL.org oder MS NetMonitor auf dem Rechner zu installieren und mal einen verbindungsaufbau mitzuschneiden um zu sehen wo es genau hakt und vor allen Dingen zu sehen welches Protokoll du benutzt !
Hallo,
also wenn er nur VPN Client ist, dann muss er keine Ports freigeben. Die Ports müssen lediglich auf dem VPN Server freigegeben werden!
Das Problem scheint woanders zu liegen, wo genau weiß ich abeer auch nicht
also wenn er nur VPN Client ist, dann muss er keine Ports freigeben. Die Ports müssen lediglich auf dem VPN Server freigegeben werden!
Das Problem scheint woanders zu liegen, wo genau weiß ich abeer auch nicht
Hallo aqui,
wenn du sagst, dass der Server nach dem Request selbst eine Verbindung aufbaut zum client, wie so funtioniert es dann um Büro im NAT mit 5 Usern die alle die gleiche verbindung aufbeuen. Und warum hat es bei mir zuhause funktioniert als ich noch den FLI4L hatte (auch ohne Veiterleitung)
Im übrigen kann ich von zuhaue mit dem selben Notebook eine Verbindung VPN über einen Getgear Router in Büro aufbauen.
Nichts für ungut aber das mit der Portweiterleitung zum Cient kann nicht sein. Ich habe auch schon an anderer stelle Oben VPN verbindung im NAT aufbauen können. Hat auch immer ohne Weiterleitung funktioniert.
Gruß
mofaklaus
wenn du sagst, dass der Server nach dem Request selbst eine Verbindung aufbaut zum client, wie so funtioniert es dann um Büro im NAT mit 5 Usern die alle die gleiche verbindung aufbeuen. Und warum hat es bei mir zuhause funktioniert als ich noch den FLI4L hatte (auch ohne Veiterleitung)
Im übrigen kann ich von zuhaue mit dem selben Notebook eine Verbindung VPN über einen Getgear Router in Büro aufbauen.
Nichts für ungut aber das mit der Portweiterleitung zum Cient kann nicht sein. Ich habe auch schon an anderer stelle Oben VPN verbindung im NAT aufbauen können. Hat auch immer ohne Weiterleitung funktioniert.
Gruß
mofaklaus
Danke marinux
Wie gesaht das mit der Portweiterleitung kann irgendwo nicht sein.
Ich wermute, das 1und1 einen der Ports, den ich benötigt, für die configuration verwendet. Ich meine mal lesen zu haben, dass 1und1 bei den neuen Fritzboxen die möglichkeit hat Einstellung vorzunehmen über die DSL-Leitung. Da brauchen die ja einen Port um auf die Box zukommen von aussen.
Kann das jemand bestätigen?? und wenn ja wo und wie kann ich den port wieder frei machen.
Gruß
Bruno
Wie gesaht das mit der Portweiterleitung kann irgendwo nicht sein.
Ich wermute, das 1und1 einen der Ports, den ich benötigt, für die configuration verwendet. Ich meine mal lesen zu haben, dass 1und1 bei den neuen Fritzboxen die möglichkeit hat Einstellung vorzunehmen über die DSL-Leitung. Da brauchen die ja einen Port um auf die Box zukommen von aussen.
Kann das jemand bestätigen?? und wenn ja wo und wie kann ich den port wieder frei machen.
Gruß
Bruno
Das siehst du falsch...diese Systeme haben ein funktionierendes VPN Passthrough. Sofern die eine offene TCP 1723 Session haben forwarden sie rückwärts eingehende GRE Verbindungen automatisch an die IP Quelladresse der TCP 1723 Session, deshalb funktioniert das auch ohne das Laien dann Port Weiterleitung angeben müssen.....
Der eine Router kann das eben der andere nicht. Ist vielleicht ein Firmware Problem ?!
Das Router über die DSL Leitung fernadministriert werden können ist bekannt. Die ct hatte in einer der letzten Ausgaben einen Artikel dazu.
Wer sowas natürlich im Setup seines Routers zulässt ist selber Schuld !! Das feature gehört natürlich abgeschaltet was jeder verantwortungsbewusste Netzbetreiber sofort machen sollte natürlich !
Dazu gehört ebenso der UPnP Support, der auf einem Router nichts zu suchen hat.
Der eine Router kann das eben der andere nicht. Ist vielleicht ein Firmware Problem ?!
Das Router über die DSL Leitung fernadministriert werden können ist bekannt. Die ct hatte in einer der letzten Ausgaben einen Artikel dazu.
Wer sowas natürlich im Setup seines Routers zulässt ist selber Schuld !! Das feature gehört natürlich abgeschaltet was jeder verantwortungsbewusste Netzbetreiber sofort machen sollte natürlich !
Dazu gehört ebenso der UPnP Support, der auf einem Router nichts zu suchen hat.
Danke erst einmal für den Gedankenanstoß !
Bingo, Volltreffer. Unter den erweiterten Einstellungen - System - Netzwerk - Anbieter-Deinste einfach alle Haken raus und schon funtioniert auch die VPN Verbindung wieder !
Zudem wird die "TÜV zertifizierte Firewall" dadurch auch wirklich sicherer. Bin ich der Herr der Sicherheit, oder der Provider ? Die default Einstellungen von 1&1 mögen für den DAU bequem sein, aber Sciherheit ist was anderes.
Jedenfalls ist das Problem gelöst, Danke
Bingo, Volltreffer. Unter den erweiterten Einstellungen - System - Netzwerk - Anbieter-Deinste einfach alle Haken raus und schon funtioniert auch die VPN Verbindung wieder !
Zudem wird die "TÜV zertifizierte Firewall" dadurch auch wirklich sicherer. Bin ich der Herr der Sicherheit, oder der Provider ? Die default Einstellungen von 1&1 mögen für den DAU bequem sein, aber Sciherheit ist was anderes.
Jedenfalls ist das Problem gelöst, Danke
