Canni 11 Geschrieben 18. Oktober 2015 Melden Teilen Geschrieben 18. Oktober 2015 (bearbeitet) Hallo zusammen, ich verbinde mich zu verschiedenen Fritzboxen a) per Fritzbox VPN-Client und B) mit dem IPhone (IPSec). Das klappte bisher immer problemlos (egal ob 2G, 3G, LTE oder verschiedene WLAN-Netze). Nun versuche ich das gleiche aus einem großen Netzwerk heraus und habe damit Probleme: die VPN-Verbindung lässt sich in allen Fällen herstellen. Danach ist aber keine der Adressen im Zielnetz erreichbar (auch kein Ping). Wenn ich am IPhone einen Netzwerkscan bei aktiver VPN-Verbindung mache, bringt er mir auch nicht wie sonst üblich die Frage, ob ich das WLAN oder das VPN scannen will, sondern scannt direkt das WLAN. Wenn ich in die Einstellungen gehe, sehe ich, dass eine private IP des VPN-Netzwerkes wie gewünscht zugewiesen wurde. Woran kann das liegen? Ich hatte soetwas noch nie. Entweder VPN geht garnicht durch (z.B. wegen Portsperrungen) - oder die Verbindung kann hergestellt werden und dann komme ich aber auch auf die IP-Adressen im Zielnetz. Oder liegt hier ein Adresskonflikt vor? (WLAN-IP: 134.xx.xxx.xxx / VPN-IP der Fritzbox: 192.168.110.XXX). Oder ein NAT-Problem? PPTP zu einem Windows-Server funktioniert übrigens. Danke für Eure Einschätzungen! bearbeitet 18. Oktober 2015 von Canni Zitieren Link zu diesem Kommentar
tsaenger 12 Geschrieben 18. Oktober 2015 Melden Teilen Geschrieben 18. Oktober 2015 Hi, Hatte auch mal ähnliches Problem. Musste die FB nach einrichtung des VPNs neustarten. Hast du das gemacht? Gruß Tobias Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 18. Oktober 2015 Autor Melden Teilen Geschrieben 18. Oktober 2015 Hi, ja, mehrfach. Das Problem besteht auch mit 3 Fritzboxen. Die Frage ist doch: ist die Fritzbox das Problem oder das Gast-WLAN? Immerhin klappt VPN ja aus allen anderen Netzwerken, die ich bislang getestet habe. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 18. Oktober 2015 Melden Teilen Geschrieben 18. Oktober 2015 Befindest Du evtl. im gleichen Segment wie das Zielnetz? 192.168.178.0/24 auf beiden Seiten beispielsweise. Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 19. Oktober 2015 Autor Melden Teilen Geschrieben 19. Oktober 2015 Hallo, nein, wie geschrieben habe ich im WLAN eine IP im Stil 134.xx.xxx.xxx und im VPN die 192.168.110.XXX. Wer hat noch eine Idee? Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 19. Oktober 2015 Melden Teilen Geschrieben 19. Oktober 2015 Die VPN-IP kann nicht mit der zu Hause identisch sein? Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 19. Oktober 2015 Autor Melden Teilen Geschrieben 19. Oktober 2015 hmmm wie meinst? Die öffentliche IP? Das ist eine dynamische, die ist auch nicht identisch. Meine DHCP-IP im (fremden) WLAN (von dem aus ich die Probleme habe, über VPN auf mein Heimnetzwerk zuzugreifen): 134.xx.xxx.xxx (Subnet: 255.255.240.0) Meine via VPN zugeteilte IP: 192.168.110.XXX (Subnet: 255.255.255.0) IP-Adresse vom Zielrouter: dynamisch, dürfte aber einerlei sein, da das Problem so bei zwei Routern nachgestellt werden kann (1 x Vodafone- und 1 x Telekom-DSL-Anschluss). Oder liegt das Problem darin, dass ich im "Problem-WLAN" eine öffentliche IP-Adresse zugeteilt bekomme? Vielen Dank für Eure Mühe! Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 19. Oktober 2015 Melden Teilen Geschrieben 19. Oktober 2015 (bearbeitet) Mach doch mal ein 'route print' vor und nach dem VPN-Aufbau. Wie sehen die aus? https://technet.microsoft.com/de-de/library/bb490991.aspx bearbeitet 19. Oktober 2015 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 19. Oktober 2015 Melden Teilen Geschrieben 19. Oktober 2015 (bearbeitet) hmmm wie meinst? Die öffentliche IP? Das ist eine dynamische, die ist auch nicht identisch. Meine DHCP-IP im (fremden) WLAN (von dem aus ich die Probleme habe, über VPN auf mein Heimnetzwerk zuzugreifen): 134.xx.xxx.xxx (Subnet: 255.255.240.0) Meine via VPN zugeteilte IP: 192.168.110.XXX (Subnet: 255.255.255.0) IP-Adresse vom Zielrouter: dynamisch, dürfte aber einerlei sein, da das Problem so bei zwei Routern nachgestellt werden kann (1 x Vodafone- und 1 x Telekom-DSL-Anschluss). Du hast auf beiden Seiten eine öffentliche IP und eine private. Einmal ist es 192.168.110.xxx, wie lautet das private Segment auf der anderen Seite? bearbeitet 19. Oktober 2015 von Sunny61 Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 19. Oktober 2015 Melden Teilen Geschrieben 19. Oktober 2015 Er kann auf der anderen Seite auch nur eine öffentliche Adresse haben. Eine private Adresse ist kein Muss. Daher die Frage nach der Routingtabelle. Ohne mehr Details geht es hier nicht weiter. Es sei denn, jemand hat eine brauchbare Glaskugel. Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 19. Oktober 2015 Autor Melden Teilen Geschrieben 19. Oktober 2015 Wie geschrieben, in meinem privaten Netzwerk ist das Segment 192.168.110.XXX - und im "Problem-WLAN" ist öffentliche IP = private IP - das meinte ich oben mit fehlendem NAT. Die 134.xx.xxx.xxx ist dort meine WLAN-IP (internes Netz) und gleichzeitig die öffentliche IP (herauszufinden z.B. über www.wieistmeineip.de). Hier meinte ich ja, ob dies das Problem für die Fritzbox sein kann? Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 19. Oktober 2015 Melden Teilen Geschrieben 19. Oktober 2015 Woher sollen wir das wissen? Ohne Details können wir nur raten. Ein Blick auf die Routingtabelle mit und ihn VPN-Verbindung und ein Traceroute auf ein Ziel im VPN könnten für den Anfang helfen... Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 25. Oktober 2015 Autor Melden Teilen Geschrieben 25. Oktober 2015 Hallo Daniel, hallo zusammen, sorry, dass es etwas gedauert hat. Vorweg: ich konnte das Problem unter Verwendung des Shrew Soft VPN-Client eingrenzen bzw. beheben, eine Lösung für das IPhone (die mir sehr wichtig ist) steht noch aus, ich hoffe, ihr könnt mir helfen. Das Problem hat wohl in der Tat etwas mit NAT zu tun. Wenn ich im Shrew Soft VPN-Client unter "NAT Traversal" die Standardeinstellung ("enabled") belasse, tritt das bekannte Problem auf (Verbindung wird hergestellt, aber im Zielnetz wird nichts erreicht / nichts ist anpingbar). Wenn ich umstelle auf "force-rfc", dann funktioniert alles wunderbar! Die Netzwerkadministratoren des Netzwerkes, in dem ich die Probleme habe, haben mir erneut bestätigt, dass a) kein NAT Anwendung findet (d.h. interne IP = öffentliche IP ... man habe genügend öffentliche IP-Adressen) und b) keine Sperren für IPSec o.ä. vorhanden sind (was sich ja mit meiner Erfahrung bestätigt). Nachfolgend "route print" (wie gewünscht) im WLAN, aber ohne aktive VPN-Verbindung: =========================================================================== Schnittstellenliste 0x1 ........................... MS TCP Loopback interface 0x2 ...00 22 fb 28 ba 8a ...... Intel(R) WiFi Link 5100 AGN - Paketplaner-Minipo rt 0x3 ...00 21 70 f4 49 8c ...... Intel(R) 82567LM Gigabit Network Connection - Pa ketplaner-Miniport =========================================================================== =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 0.0.0.0 0.0.0.0 134.93.95.254 134.93.92.104 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 134.93.80.0 255.255.240.0 134.93.92.104 134.93.92.104 20 134.93.92.104 255.255.255.255 127.0.0.1 127.0.0.1 20 134.93.255.255 255.255.255.255 134.93.92.104 134.93.92.104 20 169.254.0.0 255.255.0.0 134.93.92.104 134.93.92.104 20 224.0.0.0 240.0.0.0 134.93.92.104 134.93.92.104 20 255.255.255.255 255.255.255.255 134.93.92.104 3 1 255.255.255.255 255.255.255.255 134.93.92.104 134.93.92.104 1 Standardgateway: 134.93.95.254 =========================================================================== Ständige Routen: Keine Nun "route print" im WLAN, bei aktivem VPN und Einstellung "NAT Traversal" im Shrew Soft VPN-Client auf "enable": =========================================================================== Schnittstellenliste 0x1 ........................... MS TCP Loopback interface 0x2 ...00 22 fb 28 ba 8a ...... Intel(R) WiFi Link 5100 AGN - Paketplaner-Minipo rt 0x3 ...00 21 70 f4 49 8c ...... Intel(R) 82567LM Gigabit Network Connection - Pa ketplaner-Miniport 0x20005 ...aa aa aa 29 4c 00 ...... Shrew Soft Virtual Adapter - Paketplaner-Min iport =========================================================================== =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 0.0.0.0 0.0.0.0 134.93.95.254 134.93.92.104 120 0.0.0.0 0.0.0.0 192.168.100.201 192.168.100.201 1 92.74.192.2 255.255.255.255 134.93.95.254 134.93.92.104 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 134.93.80.0 255.255.240.0 134.93.92.104 134.93.92.104 20 134.93.92.104 255.255.255.255 127.0.0.1 127.0.0.1 20 134.93.255.255 255.255.255.255 134.93.92.104 134.93.92.104 20 169.254.0.0 255.255.0.0 134.93.92.104 134.93.92.104 20 192.168.100.0 255.255.255.0 192.168.100.201 192.168.100.201 30 192.168.100.201 255.255.255.255 127.0.0.1 127.0.0.1 30 192.168.100.255 255.255.255.255 192.168.100.201 192.168.100.201 30 224.0.0.0 240.0.0.0 134.93.92.104 134.93.92.104 20 224.0.0.0 240.0.0.0 192.168.100.201 192.168.100.201 30 255.255.255.255 255.255.255.255 134.93.92.104 134.93.92.104 1 255.255.255.255 255.255.255.255 192.168.100.201 3 1 255.255.255.255 255.255.255.255 192.168.100.201 192.168.100.201 1 Standardgateway: 192.168.100.201 =========================================================================== Ständige Routen: Keine Jetzt "route print" im WLAN, bei aktivem VPN und Einstellung "NAT Traversal" im Shrew Soft VPN-Client auf "force-rfc": =========================================================================== Schnittstellenliste 0x1 ........................... MS TCP Loopback interface 0x2 ...00 22 fb 28 ba 8a ...... Intel(R) WiFi Link 5100 AGN - Paketplaner-Minipo rt 0x3 ...00 21 70 f4 49 8c ...... Intel(R) 82567LM Gigabit Network Connection - Pa ketplaner-Miniport 0x30005 ...aa aa aa b0 09 00 ...... Shrew Soft Virtual Adapter - Paketplaner-Min iport =========================================================================== =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 0.0.0.0 0.0.0.0 134.93.95.254 134.93.92.104 120 0.0.0.0 0.0.0.0 192.168.100.201 192.168.100.201 1 92.74.192.2 255.255.255.255 134.93.95.254 134.93.92.104 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 134.93.80.0 255.255.240.0 134.93.92.104 134.93.92.104 20 134.93.92.104 255.255.255.255 127.0.0.1 127.0.0.1 20 134.93.255.255 255.255.255.255 134.93.92.104 134.93.92.104 20 169.254.0.0 255.255.0.0 134.93.92.104 134.93.92.104 20 192.168.100.0 255.255.255.0 192.168.100.201 192.168.100.201 30 192.168.100.201 255.255.255.255 127.0.0.1 127.0.0.1 30 192.168.100.255 255.255.255.255 192.168.100.201 192.168.100.201 30 224.0.0.0 240.0.0.0 134.93.92.104 134.93.92.104 20 224.0.0.0 240.0.0.0 192.168.100.201 192.168.100.201 30 255.255.255.255 255.255.255.255 134.93.92.104 134.93.92.104 1 255.255.255.255 255.255.255.255 192.168.100.201 3 1 255.255.255.255 255.255.255.255 192.168.100.201 192.168.100.201 1 Standardgateway: 192.168.100.201 =========================================================================== Ständige Routen: Keine Wie kann ich den VPN-Clienten am IPhone dazu bringen, sich ebenso zu verhalten? Meines Wissens nach kann man VPN-Verbindungen am IPhone ja auch vom PC aus (per Config-Datei) konfigurieren, ggf. gibt es da einen äquivalenten Parameter? Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 25. Oktober 2015 Melden Teilen Geschrieben 25. Oktober 2015 (bearbeitet) Hi, der Admin der Fritzboxen sollte noch mal überlegen, was er Dir sagt. Die FB kann nur NAT und natürlich muss man NAT-T machen. Warum der Default-Wert nicht passt, kann ich Dir auch nicht sagen. Vielleicht hat der Admin an der VPN-Konfig rumgespielt. "Force-RFC" bewirkt, dass die RFC-Version von NAT-T verwendet wird. Oder es liegt an der verwendeten Firmware-Version: http://rays-blog.de/2013/11/28/127/windows-7-mittels-shrew-soft-vpn-client-per-vpn-mit-fritzbox-7390-fritzos-6-verbinden/ Wenn das IPhone nicht geht: Bitte den Admin, eine neue Config zu erzeugen, die nicht angetastet wird. Am Besten direkt in der GUI der FB (geht bei neueren Firmwares). Für ein IPhone wird eine andere Konfiguration benötigt. Bei IOS vielleicht mal hier lesen: http://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unter-apple-ios-zb-iphone-einrichten/ Bei Android würde ich VPNCilla nehmen. bearbeitet 25. Oktober 2015 von zahni Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 27. Oktober 2015 Autor Melden Teilen Geschrieben 27. Oktober 2015 Hallo Zahni, danke für Deine Hilfe, aber ich glaube wir reden aneinander vorbei :-) Die Fritzbox (es sind insg. 3 verschiedene an 3 verschiedenen Anschlüssen) ist in "meinem" Netzwerk. Da bin sozusagen ich der Admin. Rumgespielt wurde nichts an den VPN-Verbindungen, habe die auch schon neu angelegt. Die Fritzboxen sind per myfritz erreichbar, sie bekommen vom Provider (Vodafone oder Telekom) jeweils eine dynamische öffentliche IP-Adresse. Das Problem tritt aus dem fremden WLAN heraus auf, wenn ich von dort aus mich per IPhone IPSec zu einer meiner drei Fritzboxen verbinden will. Im fremden WLAN bekomme ich eine öffentliche IP-Adresse, es wird dort kein NAT betrieben (ja, habe ich sonst auch noch nie gesehen, aber die haben wohl genug öffentliche IP-Ranges). Kann es wirklich sein, dass damit die Fritzbox nicht klarkommt? Wie können wir das Problem lösen? Ist mir wirklich sehr wichtig. (Im Shrew Soft VPN-Client genügt die Änderung oben genannter Einstellung, aber eine vergleichbare Einstellung im IPhone-IPSec-Client ist mir unbekannt)?! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.