DS-Lite-Tunnel - Fritz Fernzugang baut keine VPN Verbindung auf

[fanky-online]

Ich bin hier aktuell an einem Internetanschluss mit DS-Lite-Tunnel (Fritzbox 6591 Cable). Ich möchte zu meiner Fritzbox Zuhause an einem Telekom-Anschluss mit Fritzbox 7390 und ipv4 Adressse per FRITZ!Fernzugang zugreifen. Das funktioniert leider nicht. Kommt keine Fehlermeldung. Laut AVM sollte das eigentlich gehen
https://avm.de/service/fritzbox/fri...-FRITZ-Box-am-DS-Lite-Internetzugang-moglich/

Wenn ich einen anderen Internetanschluss nutze, funktioniert die VPN-Verbindung auch, nur eben müber den DS-Lite-Tunnel nicht. Hat jemand das gleiche Problem oder sogar eine Lösung?

 

[Jasmin83]

Ja hatte das selbe problem, die lösung war Dual Stack zu bestellen, seit dem hat es dann funktioniert.

 

[Demon_666]

Das hängt meines Wissens nach mit dem DS-Lite zusammen, da du darüber keine eindeutige IPV4-Adresse erhälst. Du musst bei deinem Internetanbieter auf Dual-Stack umstellen lassen...
Edit: zu langsam

 

[easy.2ci]

An deiner Fritzbox zuhause hast du eine native IPv4 Addresse?

Dann solltest du auch von einem DS-Lite Anschluss darauf zugreifen können. Ausgehende Verbindungen in IPv4 sind ja am DS-Lite möglich.

 

[Tada100]

Ich möchte zu meiner Fritzbox Zuhause an einem Telekom-Anschluss mit Fritzbox 7390 und ipv4 Adressse per FRITZ!Fernzugang zugreifen.

"Auch mit FRITZ!Fernzugang und anderen VPN-Programmen können Sie an einem DS-Lite-Internetzugang Verbindungen zu VPN-Servern herstellen, die unter einer öffentlichen IPv4-Adresse erreichbar sind.

Lediglich eingehende VPN-Verbindungen, beispielsweise mit FRITZ!Fernzugang oder einem Smartphone, zu einer FRITZ!Box an einem DS-Lite-Internetzugang sind nicht möglich. "

Quelle;: avm.de


Das wirt wohl nix ohne Dualstack, wie bereits oben erwähnt.

 

[Harry Bo]

Das hier mal lesen:
https://www.borncity.com/blog/2019/09/17/11-dsl-kundschaft-wird-auf-dual-stack-lite-umgestellt/

 

[snaxilian]

@Tada100 Die eingehende VPN-Verbindung geht aber beim TE zu einer Fritzbox mit öffentlicher IPv4 Adresse. Die Fritzbox am DS-Lite Anschluss macht ja auch nur ausgehend die Verbindung auf.
Setzt natürlich voraus, dass der TE tatsächlich an seinem DSL-Anschluss mit 7390 eine öffentliche IPv4 Adresse hat und nicht wie @Harry Bo vermutet auch umgestellt wurde.

 

[brainDotExe]

@snaxilian hat es richtig erfasst. Ausgehende Verbindungen sind bei DS-lite möglich.

Interessant wäre die (detaillierte) Fehlermeldung...

 

[fanky-online]

Wow, danke für die vielen Antworten.

@Tada100
Setzt natürlich voraus, dass der TE tatsächlich an seinem DSL-Anschluss mit 7390 eine öffentliche IPv4 Adresse hat und nicht wie @Harry Bo vermutet auch umgestellt wurde.

Ja, hatte ich ja geschrieben und bestätige ich gerne noch mal: der DSL-Anschluss mit 7390 hat eine öffentliche IPv4 Adresse.

@snaxilian hat es richtig erfasst. Ausgehende Verbindungen sind bei DS-lite möglich.

Interessant wäre die (detaillierte) Fehlermeldung...

Im Fritz!Fernzugang Journal steht folgendes:
05.03.2020 11:33:25 Verbindung zu Zuhause xxx.myfritz.net aufbauen.
05.03.2020 11:33:45 Verbinden zu Zuhause xxx.myfritz.net schlug fehl. Zeitüberschreitung: Die Gegenstelle konnte nicht erreicht werden.

Wenn ich mein Handy mit mobile Daten als WLAN hotspot benutze und nicht das lokale Netzwerk mit dem DS-Lite Anschluss, funktioniert der Fritz!Fernzugang problemlos.

 

[dj-melo]

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[snaxilian]

Dann grenzen wir den Fehler mal ein:

• Funktioniert die DNS Auflösung korrekt wenn du an der Fritzbox mit DS-Lite hängst? Sprich bekommst im Mobilfunknetz wie auch im DS-Lite Netz die gleiche IP für xxx.myfritz.net (Ist ja am Ende nix anderes als ein dyndns Dienst)..
• Haben die beiden internen Subnetze der zwei Fritzboxen unterschiedliche IP-Bereiche?
• Die beiden Hilfeseiten von AVm schon komplett abgearbeitet und Fehlerquellen eliminiert? https://avm.de/service/fritzbox/fri...eine-VPN-Verbindung-zur-FRITZ-Box-herstellen/ sowie https://avm.de/service/fritzbox/fri...126_Firewall-fur-FRITZ-Fernzugang-einrichten/

 

[brainDotExe]

Ergänzend zum Prüfen der Namensauflösung auch mal schauen ob ein Ping durch kommt.

 

[fanky-online]

Dann grenzen wir den Fehler mal ein:

• Funktioniert die DNS Auflösung korrekt wenn du an der Fritzbox mit DS-Lite hängst? Sprich bekommst im Mobilfunknetz wie auch im DS-Lite Netz die gleiche IP für xxx.myfritz.net (Ist ja am Ende nix anderes als ein dyndns Dienst)..

Ich habe jeweils ein ping auf xxx.myfritz.net gemacht. Ja, es wird in beiden fällen die gleiche IP 80.132.x.x zurückgegeben.

Dann grenzen wir den Fehler mal ein:

• Haben die beiden internen Subnetze der zwei Fritzboxen unterschiedliche IP-Bereiche?

Ja, hier habe ich 192.168.178.x, zuhause 192.168.3.x

• https://avm.de/service/fritzbox/fri...eine-VPN-Verbindung-zur-FRITZ-Box-herstellen/ sowie https://avm.de/service/fritzbox/fri...126_Firewall-fur-FRITZ-Fernzugang-einrichten/

Ja, was zutrifft habe ich soweit überprüft. Bei der Windows Firewall weis ich nicht, wie ich "ESP ("Encapsulated Security Payload", IP-Protokollnummer 50) " freischalte, aber das müsste doch ohnehin frei sein, weil sonst würde es mit der Handyverbindung doch auch nicht klappen.

 

[brainDotExe]

Da die IPv4 Pakete bei DS-lite in IPv6 Pakete gepackt werden, kann es sein dass du die MTU manuell senken musst.
Hast du im VPN Client dazu die Option?

https://community.unitymedia.de/categories/internet/question/vpn-verbindungsproblem

Edit: Es sollte reichen die MTU im VPN Client anzupassen und nicht, wie in einigen Beiträgen aus dem Vodafone Forum, für alle Adapter.

 

[fanky-online]

Danke. Im Fritz!Fernzugang kann ich keinen MTU Wert ändern. Deshalb habe ich für den Adapter gemacht, geändert von 1500 auf 1300. Geht trotzdem nicht. Jetzt habe ich statt Fritz!Fernzugang das Tool ShrewVPN ausprobiert, dort konnte man direkt den MTU Wert ändern. Auch mit dem Client geht es nicht, er bringt den fehler
bringing up tunnel ...
negotiation timout occurred

Ping geht, wie schon geschrieben, durch
Ping wird ausgeführt für xxx.myfritz.net [80.132.x.x] mit 32 Bytes Daten:
Antwort von 80.132.x.x: Bytes=32 Zeit=24ms TTL=55
Antwort von 80.132.x.x: Bytes=32 Zeit=22ms TTL=55

 

[brainDotExe]

Stellt die MTU auch mal runter auf 1200 oder 1100.
Bzw. versuche die optimale MTU zu deiner Gegenstelle zu finden:
https://kb.netgear.com/de/31507/Fes...outer-mithilfe-eines-Ping-Tests-1479991120725

Statt den yahoo Host, nimmst du beim Ping aber deine MyFritz Adresse.

 

[fanky-online]

hab es mit MTU 1200 und 1100 ausprobiert. Geht nicht. "optimale MTU" ist laut des verlinkten Artikel 1460, damit habe ich es auch versucht. Ohne erfolg

 

[brainDotExe]

Probier mal die Einstellungen von der Lösung hier:
https://forum.vodafone.de/t5/Archiv...DS-Lite-nicht-möglich-Cable-6490/td-p/1627560

 

[fanky-online]

Probier mal die Einstellungen von der Lösung hier:
https://forum.vodafone.de/t5/Archiv-Internet-Geräte/VPN-DS-Lite-nicht-möglich-Cable-6490/td-p/1627560

Hab es probiert, leider geht es nicht, Fehler wieder: negotiation timout occurred

Danke noch mal an alle. Aber langsam glaube ich, dass es doch einfach nicht geht.

 

[pepsifreak]

negotiation timout occurred

Das Problem könnte sein, dass das Gateway nicht auf Shrews Aufforderung zur
Verbindung reagiert . Ich vermute, dass Sie auf der
Registerkarte Authentifizierung / Lokale Identität in der Shrew-Konfiguration die falschen Einstellungen vorgenommen haben .

Das Gateway sieht, dass eine Anfrage von einer Identität eingeht, die es nicht
kennt, und löscht die Anfrage.