Grundlegende Settings in der Fritz!Box für einen VPN Fernzugriff hinter einem Router/Modem

[Hergesheimer]

Hallo Forum,

ich versuche nun schon länger meine Fritzbox einzurichten und den angeschlossenen Enigma Receiver per Fernzugriff zu erreichen. Ich mache wohl schon Einiges falsch bei den Basiseinstellungen. Kann mir bitte jemand dabei helfen?

Zum Beispiel: Welche Betriebsart ist die beste? Mein Provider (KPN in Holland) zwingt mich den Router/Modem am Glassfaserzugang zu betreiben, dieser lässt nur minimale Änderungen zu. Ist es nun besser die Fritzbox als Router zu oder als IP Client zu betreiben? Und schliesse ich diese direkt an einen Lanport des Thomson Routers’ oder an die Time Capsule, die ich danach betreibe an?

Mir ist auf gefallen, dass ich die MyFritz Zugangsdsten für den VPN mit Serveradresse etc. nur beim Setup als Router bekomme. Ich habe Ports gemäß der Fritzbox Website im Router freigeschaltet: UDP 53, 500 und 4500.

Ich würde gerne erst einmal die richtige Grundeinstellung für die Fritzbox haben um sie hinter dem Router zu betreiben und dann ein VPN zu errichten. Über eine eventuelle nicht vorhandene öffentliche IP Adresse muss man dan später nachdenken.

Ihr merkt, da ist nicht viel Wissen meinerseits vorhanden. Darum: Herzlichen Dank für ein paar gute Tips.

 

[till69]

UDP Ports 500 und 4500 ist schonmal richtig, 53 ist nicht nötig.

Es kann sein das im IP-Client Modus kein VPN möglich ist ... ausprobieren

Ohne öffentliche IP? Also DSLite? Mit DSLite soll eine LAN-LAN Kopplung mit FritzOS 7.10 endlich möglich sein.

Eine Menge Hürden ... OpenVPN über TCP wäre hier evtl. die bessere Wahl.

 

[Andreas_]

Als IP-Client kann die Fritzbox nicht routen. Damit kann sie kein VPN erstellen.

 

[Raijin]

Ich würde gerne erst einmal die richtige Grundeinstellung für die Fritzbox haben um sie hinter dem Router zu betreiben und dann ein VPN zu errichten. Über eine eventuelle nicht vorhandene öffentliche IP Adresse muss man dan später nachdenken.

Ne, so läuft das nicht. Wenn sichergestellt ist, dass du eine eigene IPv4 hast oder FritzVPN mittlerweile in der neuesten Firmware auch mit DSlite bzw IPv6 funktioniert wie @till69 angedeutet hat, kannst du dich um die eigentliche Einrichtung der VPN-Verbindung machen.

Andersherum ist das einfach nicht sinnvoll, weil du ggfs Stunden mit dem Setup verbringst, um dann hinterher festzustellen, dass das gar nicht möglich ist...

Wenn die Fritzbox zB hinter einem weiteren Router sitzt, muss geprüft werden ob dieser auch die nötigen Ports an die Fritzbox durchreicht sofern die Kiste nicht ggfs nur als Modem läuft. In den fortgeschrittenen Einstellungen hat die Fritzbox auch eine Capture Funktion (bitte danach googlen oder ggfs hier auf einen Fritzbox-Nutzer warten). Damit kannst du dann checken ob eine Vernindung von außen überhaupt an der Fritzbox ankommt. Wenn ja, steht dem VPN nichts im Wege; wenn nicht, hast du keine eigene öffentliche IP oder der Thomson leitet nicht weiter.

 

[Hergesheimer]

Vielen Dank an Euch. Werde mal die Capture Funktion ausprobieren. Ich weiss jetzt, dass ich die Fritzbox auf Router stellen muss. Danke nochmals

 

[Datax]

Hier ein Info-Link wie du bei einer FritzBox den Netzwerkverkehr mitscheiden kannst (die besagte Capture-Funktion):

https://www.schnatterente.net/technik/fritzbox-traffic-aufzeichnen

Kurz gesagt folgende URL aufrufen und sich dann einloggen:
http://fritz.box/html/capture.html

Dort kannst du dann mitschneiden,
ob bei einem VPN-Einwahl-Test auf UDP-Port 500 (IKE) überhaupt etwas ankommt.

Falls nicht, dann dann wurde entweder durch den Client,
der die Einwahl macht, nicht deine aktuelle öffentliche IP-Adresse angesprochen oder
das Gerät vor deiner FritzBox (falls es nicht im reinem Modem- oder Bridging-Modus läuft)
nattet die VPN-Ports nicht zur FritzBox durch.

Ob deine öffentliche IP-Adresse auf dem Gerät vor deiner FritzBox oder auf der FritzBox selbst liegt,
kannst du in der FritzBox-Oberfläche am Besten unter "Internet" --> "Online-Monitor" überprüfen.

Dort werden ganz oben bei "Internet, IPv4" und "Internet, IPv6" die öffentlichen (falls Gerät vor der FritzBox ein Modem oder Bridging-Gerät ist) oder privaten IPs (falls Gerät vor der FritzBox ein Router ist) der FritzBox angezeigt.

 

[Hergesheimer]

Hallo Datax, lieben Dank. Werde mir Deine Tips heute abend mal genauer ansehen und ausprobieren.

 

[Hergesheimer]

Ich kann nun mich über WLAN mit dem Fritzbox VPN verbinden aber nicht über 4G. Kann das an der nicht vorhandenen öffentlichen IP liegen? Lieben Dank.

 

[Datax]

Mit welcher IP-Adresse verbindest du dich denn bei der VPN-Einwahl?

 

[Raijin]

aber nicht über 4G. Kann das an der nicht vorhandenen öffentlichen IP liegen?

Klar. Deswegen meinte ich ja, dass das der erste Schritt ist, weil du dir jetzt die Mühe gemacht hast, das VPN einzurichten, um dann festzustellen, dass es nicht klappt. Die öffentliche IP ist die Grundvoraussetzung und wenn das nicht sichergestellt ist, brauchst du dir keinen Kopp um VPN machen - sofern FritzVPN nicht wie oben angedeutet wurde mittlerweile auch via DSLite bzw. IPv6 läuft.

 

[brainDotExe]

Ohne öffentliche IP? Also DSLite? Mit DSLite soll eine LAN-LAN Kopplung mit FritzOS 7.10 endlich möglich sein.

Ich verstehe nicht so genau was AVM da geändert hat.
LAN-LAN Kopplungen haben schon längere Zeit funktioniert, wenn nur eine Seite eine öffentliche IPv4 Adresse hat.

Der Eintrag im Changelog

VPN LAN-LAN Kopplung einer FRITZ!Box am DS-Lite-Anschluss zu IPv4-Gegenstellen ermöglicht

sagt auch wenig dazu aus.

 

[holdes]

VPN LAN-LAN Kopplung einer FRITZ!Box am DS-Lite-Anschluss zu IPv4-Gegenstellen ermöglicht

Klingt für mich genau nach dem was sowieso schon immer ging, eine Seite hat feste IPv4 bzw. DynDNS und der einwählende nutzt DS-Lite.

 

[till69]

Zumindest an meinem DSLite MNet Anschluss funktioniert die LAN/LAN Verbindung zum IPv4-Server nicht (FritzOS 7.01 auf einer 3490, Server 7362SL). Verbindung wird zwar hergestellt, Daten gehen aber nicht durch.

 

[holdes]

Da wir hier von IPSec reden ist das ganze durchaus komplex, bei meinen Routern (prof. Geräte) ist das Debuggen natürlich leichter aber wenn dein Tunnel hier aufgebaut wird und nix durchgeht riecht das für mich nach einem Phase2 Problem oder es fehlen einfach die Routen. Die Fritten haben doch auch Routing Tabellen die man ändern kann, passiert da was wenn du das Netz der gegenüberliegenden Stelle mit angibst?

 

[Hergesheimer]

Raijin hat schon Recht. All der Aufwand um rauszufinden, dass die Adresse keine öffentliche ist. Werde mich mal schlau machen, ob es eine Alternative gibt.

Ihr seid ein Super Forum. Vielen vielen Dank!!

 

[till69]

...aber wenn dein Tunnel hier aufgebaut wird und nix durchgeht riecht das für mich nach einem Phase2 Problem oder es fehlen einfach die Routen.

Nee ... ich hab ja DUAL STACK ... damit geht die exakt gleiche Config ... stelle ich meine FB auf DSLite geht kein Ping mehr durch ... zurück auf Dual Stack ... alles bestens ... keine Ahnung ob M-Net oder AVM hier was verbockt. Neuer Test wenn 7.10 rauskommt

 

[holdes]

Oh Verzeihung, echter Dual Stack ist natürlich außen vor aber dann klingt es irgendwie tatsächlich nach Firmware.

 

[Datax]

Ich kann nun mich über WLAN mit dem Fritzbox VPN verbinden aber nicht über 4G. Kann das an der nicht vorhandenen öffentlichen IP liegen? Lieben Dank.

Ja, daran wird es liegen.

Voraussetzung dafür, eine VPN-Verbindung zur FritzBox aufzubauen,
ist eine öffentliche IPv4-IP-Adresse. Sagten die Kollegen ja hier auch bereits.

Zitiert von der AVM-Webseite:
"1 Zugriff nur mit öffentlicher IP-Adresse möglich
Der Aufbau einer VPN-Verbindung zur FRITZ!Box ist nur möglich, wenn die FRITZ!Box beim Herstellen der Internetverbindung vom Internetanbieter eine öffentliche IPv4-Adresse erhält.
Wenn die FRITZ!Box eine private IPv4-Adresse erhält, ist der Aufbau von VPN-Verbindungen nicht möglich.
Ob die FRITZ!Box über eine öffentliche oder eine private IPv4-Adresse verfügt, können Sie wie in der Anleitung Adressbereich der IPv4-Adresse der Internetverbindung bestimmen beschrieben ermitteln."

Link dazu:
https://avm.de/service/fritzbox/fri...eine-VPN-Verbindung-zur-FRITZ-Box-herstellen/

Mit einer öffentlichen IPv4-Adresse direkt auf der FritzBox klappt es auf jeden Fall.

Kommst du denn auch auf die Weboberfläche des Modem/Router-Geräts, das vor der FritzBox angeschlossen ist?

Da könntest du ja dann nachschauen, welche öffentlichen IP-Adressen dir zur Verfügung stehen.
Ansonsten einfach beim Provider mal nachfragen, das ist natürlich auch möglich.

Falls auf dem Gerät vor der FritzBox eine öffentliche IPv4-Adresse liegt, dann hast du die Möglichkeit (falls du auf dieses Gerät drauf kommst und dort Änderungen konfigurieren kannst) die UDP-Ports 500 und 4500 zur FritzBox durchzureichen, um eine VPN-Verbindung zur FritzBox aufbauen zu können. Das ESP-Protokoll muss ebenfalls zur FritzBox durchgereicht werden. Bei Routern wie beispielsweise Telekom-Speedport-Geräten soll es angeblich ausreichen die UDP-Ports 500 + 4500 durchzureichen, für das ESP-Protokoll müsse man angeblich keine zusätzliche Regel erstellen. Ob die Speedports das automatisch machen (vermute ich mal ^^)!?

Auf jeden Fall brauchst du wie gesagt eine öffentliche IPv4-Adresse. Falls du eine hast und diese auf dem Modem/Router-Gerät vor der FritzBox liegt, dann ist wie oben beschrieben noch das Problem zu lösen die VPN-Ports + ESP durchzureichen. Der Bestfall wäre deshalb, dass dieses Modem/Router-Gerät in einen Bridging-Modus umgestellt wird (falls möglich), damit die FritzBox eigenständig die Einwahl macht und selbst die öffentliche IPv4-Adresse bekommt und dadurch dann direkt über das Internet erreichbar ist.

Wenn auch das nicht machbar ist, dann könnte ein (Linux/Windows)-Server im Internet als VPN-Gateway herhalten, wo dann beispielsweise ein OpenVPN- oder ein WireGuard-Server aufgesetzt wird.

Nach extern (also in Richtung "Internet") kannst du auch an einem DS-Lite-Anschluss IPv4-Endpunkte ansprechen, deshalb klappt der Aufbau mit einem VPN-Gateway im Internet auf jeden Fall.