Verständnisfrage FritzBox 7390 VPN

[juzunited]

Hallo, ich möchte von außerhalb auf das LAN der Fritz Box 7390 via VPN zugreifen. Habe entsprechend einer Anleitung Fritz Fernzugriff eingerichtet und das Programm gibt mir auch die Rückmeldung, dass es sich verbindet.
Nur wie geht es dann weiter? Ich sehe keine Geräte und bin auch im falschen IP bereich. (Laptop mit win8.1)

Interessanterweise variieren die

-IP Range des entfernten LAN, auf das ich zugreifen möchte,
-die bei Verbindungseigenschaften angezeigte lokale IP des entfernten PCs,
-und die in den cfg Dateien der VPN Einrichtung angegebenen IPs.

Wie bekomme ich das hin, dass ich auf ein Netzwerklaufwerk im Lan der FritzBox via VPN zugreifen kann. Ist es mit ShrewSoft VPN leichter einzurichten?

 

[h00bi]

Das VPN ist nicht Teil deines LAN sondern genau genommen ein eigenes Netz, daher auch andere IP Adressen.
Die Fritzbox übernimmt das Routing zwischen den beiden Netzwerken.
Wenn du alles richtig konfiguriert hast solltest du aus dem VPN alle Maschinen im LAN erreichen.

 

[blackshuck]

@ h00bi

Also wenn ich mein FritzVPN mache lande ich im selben Netz...


@ TE

welchen IP bereich hat dein Fritzbox und in welchem landest du beim VPN?
Wie ist der IP Bereich von dem Netzwerk, in dem du dich grade befindest?

 

[riff-raff]

Allerdings erreichst du die Geräte im entfernten Netz ausschließlich unter ihrer IP. (Also IP des Clienten auf welchem die Netzwerkfreigabe läuft)

Bsp:

Fritzbox: 192:168.1.1 / Externe IP des Provider
NAS: 192.168.1.2
VPN-Verbindung des Laptops: 192.178.1.1

Remote Router: 192.168.50.1 / Externe IP des Provider
Laptop: 192.168.50.2 sowie 192.178.1.1 via VPN

Vom Laptop erreichst du das NAS unter 192.168.1.2

Wichtig! Die Fritzbox und der entfernte Router dürfen nicht die gleiche Subnet haben!

Nutze möglichst den ShrewSoft und lege 2 Profile an: Volltunnel und Teiltunnel, je nach Einsatzszenario

 

[juzunited]

Muss ich angeben, dass der gesamte Traffic über die VPN verbindung laufen soll? Denn das habe ich nicht.

Da ich es zuerst vor Ort testen wollte, habe ich einem Laptop über mein Handy einen WLAn hotspot gegeben und es damit versucht. Im selben Netz kann man es ja nicht testen.

Wenn ich mich dann mit der LAN IP des Netzwerklaufwerks verbinden möchte, hat das nicht funktioniert.

Netzwerk vor Ort ist 192.168.0.xxx
Eigenschaften auf dem Laptop, der sich über mein Handynetz verbinden sollte IP: 192.168.43.xxx
IP in den cfg Dateien eingetragen: remote_virtualip = 192.168.178.201 usw.

 

[obi68]

Grundsätzlich gibt es Unterschiede die OS abhängig sind:

W10: https://avm.de/service/vpn/tipps-tr...-shrew-soft-vpn-client-einrichten-windows-10/
W8.1 und älter: https://avm.de/service/fritzbox/fri...ox-unter-Windows-einrichten-FRITZ-Fernzugang/

Youtube hilft auch weiter: https://www.youtube.com/watch?v=bVZKz0iLQoI

 

[riff-raff]

Auf der 7390 geht VPN einrichten eigentlich ganz einfach:
Benutzer anlegen -> Zugang über VPN gestatten.

Welchen DNS-Dienstleister nutzt du? MyFritz oder was "Klassisches"?

Ich schick dir nachher 2 Musterkonfigurationen, welche du nur durch die Daten für deine Benutzer austauschen musst.

 

[Raijin]

Prinzipiell kann ich nur dazu raten, das heimischen Subnetz zu ändern, wenn man per VPN von außen zugreifen will. Wenn man zB das klassische 192.168.178.0 Subnetz der Fritzbox verwendet und dann zB bei einem Kumpel ist, der ebenfalls eine Fritzbox hat und dasselbe Subnetz verwendet, wirst du nie auf deine Geräte daheim zugreifen können, weil zB die IP von deinem NAS (zB 192.168.178.123) stets lokal gesucht wird und nicht via VPN.

Ändere dein Subnetz auf einen ungewöhnlichen IP-Bereich, um solchen Konflikten weitestgehend aus dem Wege zu gehen.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Das sind die Bereiche, die für private IP-Adressen reserviert sind (kommen also im www nicht vor). Obiges Fritz-Netz sollte man meiden, ebenso die ersten 192.168er (.0/.1/.2), weil die von anderen Herstellern als Standard verwendet werden (zB 192.168.2.0 bei Speedports). Nimm stattdessen zum Beispiel 192.168.117.0 oder gleich ganz was anderes wie 172.23.48.0. Ich wähle meine Subnetze daheim und bei meinen Eltern, etc. zB gerne nach Geburtstagen. Dann kann man sich das leichter merken

 

[riff-raff]

In der Fritzbox:

Heinetz -> Netzwerkeinstellungen -> IP Adressen -> IPv4-Adresse
Fritzbox-IP auf 192.168.XXX.1 ändern. Wähle hier was nach deinen Wünschen.
ACHTUNG: Alle Geräte in deinem LAN bekommen neue IPs, schau nach Festvergaben und Statischen IPs!

Internet -> Freigaben -> DynDNS
Einen DNS-Dienstleister deines Vertrauens nutzen

System -> Fritzbox-Benuter
Benutzer mit Passwort anlegen, Häckchen bei VPN (unten) und VPN-Einstellungen anzeigen, als PDF drucken. Hier den "PSK" bzw. "Shared Secret" merken

Shrewsoft VPN Client herunterladen und installieren (Version 2.2.2)

Mit dem Notepad eine Textdatei "Teiltunnel" erstellen, Endung von .txt auf .vpn ändern und öffnen

n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-dns-used:0
n:client-dns-auto:0
n:client-dns-suffix-auto:1
n:client-splitdns-used:0
n:client-splitdns-auto:1
n:client-wins-used:0
n:client-wins-auto:1
n:phase1-dhgroup:2
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
s:network-host:DYNAMISCHE IP
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk-xauth
s:ident-client-type:keyid
s:ident-server-type:address
s:ident-client-data:USER
b:auth-mutual-psk:PSKKEY
s:phase1-exchange:aggressive
s:phase1-cipher:auto
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:-1
s:policy-level:shared
s:policy-list-include:192.168.XXX.0 / 255.255.255.0
s:client-saved-username:USER

einkopieren und USERNAME, PSKKEY durch die VPN-Zugangsdaten ersetzen, DYNAMISCHE IP durch deine Domain und bei 192.168.XXX.0 die XXX durch die Zahl deiner Wahl. Speichern und im Shrew importieren. Dann im ShrewSoft die Verbindung nochmals bearbeiten. Unter
Authentification -> Credentials nochmal den Pre Shared Key überschreiben.

Analog geht das für den Volltunnel:

n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-dns-used:0
n:client-dns-auto:0
n:client-dns-suffix-auto:1
n:client-splitdns-used:0
n:client-splitdns-auto:1
n:client-wins-used:0
n:client-wins-auto:1
n:phase1-dhgroup:2
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
s:network-host:DYNAMISCHE IP
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk-xauth
s:ident-client-type:keyid
s:ident-server-type:address
s:ident-client-data:USER
b:auth-mutual-psk:PSKKEY
s:phase1-exchange:aggressive
s:phase1-cipher:auto
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:-1
s:policy-level:require
s:client-saved-username:USER

So hast du zwei Profile, eins wenn du bei einer vertauenswürdigen Remoteadresse bist und nur Zugriff willst und ein Profil wo alles durch den Tunnel geht für z.B. unsichere Remoteadressen wie Hotels im Ausland.

Edit: Die meisten Linux-Distris unterstützen mit ihren VPN-Clienten meist nativ die Verbindung nach IPSec mit IKE1. Android sowie iOS ebenfalls; deren Konfiguration ist in Hilfemenü der Fritzbox gut beschrieben.

 

[juzunited]

In der Fritzbox:

Heinetz -> Netzwerkeinstellungen -> IP Adressen -> IPv4-Adresse
Fritzbox-IP auf 192.168.XXX.1 ändern. Wähle hier was nach deinen Wünschen.
ACHTUNG: Alle Geräte in deinem LAN bekommen neue IPs, schau nach Festvergaben und Statischen IPs!

Hi, ich hatte Myfritz verwendet, die feste ip davon kann ich ja bestimmt auch für diese methode nutzen?
Jedenfalls würde ich ungern die IP Range im Heimischen Fritznetz verändern. Da sind Drucker, Server und andere Geräte und das könnte (kleines Büro) einfach zuviel Aufwand bzw. Problempotential beinhalten. Geht es nicht mit dem vorhandenen IP-Bereich?

 

[Raijin]

Natürlich kannst du auch bei einem der Standard-Subnetze bleiben (zB 192.168.178.0). Das Problem dabei habe ich oben beschrieben. Sobald du draußen in einem Netzwerk bist, das dasselbe Subnetz nutzt, wirst du keines deiner Geräte via VPN erreichen. Berufsbedingt wohne ich zB gerade für ein halbes Jahr in einem kleinen Hotel in Bayern. Hier verrichtet eine Fritzbox ihren Dienst - auf Standardeinstellung. Von hier aus könnte man also nicht via VPN auf ein NAS zugreifen, dass ebenfalls in einem Standard-Fritzbox-Netzwerk daheim steht.

Wie sehr dich das betrifft, musst du selbst wissen. Via Mobilfunk wirst du zB nie in so einem Subnetz sein. In einem Internetcafe, Hotel oder eben bei einem Kumpel ist die Gefahr schon höher. Wie oft das bei dir vorkommt, kann ich schlecht beurteilen.

Zur Subnetzänderung: Normalerweise beziehen ja die meisten Geräte ihre IP sowieso via DHCP. Das heißt, denen ist das egal ob sie vom Router nu die 192.168.178.123 zugewiesen bekommen oder eben die 172.27.1.123. Nur bei Peripherie- bzw. Infrastruktur-Geräten (Drucker, L3-Switches, Server, etc.) kommt das wirklich zum Tragen. Dort muss man die meist statisch eingestellte IP einmalig von Hand ändern. Wenn aber auch diese Geräte via DHCP ihre IP beziehen (und im DHCP eine entsprechende Reservierung vorliegt), dann bekommen die auch immer dieselbe IP und merken auch nix davon - außer dass man zB die Netzwerkdrucker an einem PC neu einrichten muss, weil die per IP angebunden werden.

In einem "kleinen Büro" ist das aber im worst case 2 Stunden Arbeit. Ob sich die investierte Zeit lohnt oder nicht, musst du selbst entscheiden. Die Problematik ist dir nun bekannt und wenn du nur Kumpels mit Speedports hast und selten in Hotels bist, ist das Konfliktpotential natürlich geringer.

 

[juzunited]

Ja, wie gesagt das Subnetz ist ja bereits nicht mehr dieses Standard FritzBox Netz mit der 178 drin.
Also werde ich es mal mit deinen Dateien versuchen. Dann melde ich mich nochmal, sobald ich ein Ergebnis habe.
Danke schonmal!

 

[Raijin]

Weiter oben las ich was von 192.168.0.0. Das wäre noch schlimmer. Genau wie .1.0 und .2.0

 

[riff-raff]

Ich mach das wie Raijin ebenfalls über die Geburtsjahre. Aktuell betreibe ich 3 Fritzboxen in der LAN-LAN-Kopplung (7390, 7490, 7170) und nutze zusätzlich von diversen Subnetzen aus Client-LAN-Verbindungen.

Die Fritzboxen sind jeweils unter 192.168."Gebutsjahr_des_Anschlussinhabers".1 erreichbar. Bisher hatte ich keine Probleme mit der Erreichbarkeit.

Da wohl die meisten Router Subnetze nach folgenden Schemata
192.168.1.X
192.168.2.X
192.168.0.X
192.168.178.X
192.168.168.X
192.168.100.X
aufbauen sollte man diese meiden. Was ich bisher noch nicht zum Laufen bekommen hab ist die DNS-Auflösung über die Netze hinweg, sodass ich z.b. mein NAS eben auch unter "NAS" und nicht "192.168.X.2" erreiche. Das ist aber nur ein Schönheitsfehler, mehr nicht.

 

[juzunited]

danke nochmal. es hat funktioniert!

falls es probleme geben sollte, müssen halt die fernnutzer ihr netz anpassen, das ist wesentlich unproblematischer. klar, wenn man in einem hotel ist oder ähnliches, wird das schwierig ist aber erstmal kein szenario..