VPN zickt

Oder ganze Subnetze? Denn wenn es nur ein Gerät ist, dann ist die Netzmaske 255.255.255.255 wohl richtig, denn es beschreibt ein Netz von genau einem Gerät.
Dass du nur auf die Geräte nur in deinem Heimnetz zugreifen kannst, liegt wohl an der fehlender Route in der Fritzbox - bekommt dein Gerät beim VPN eine IP aus dem Netzbereich der Fritzbox?
Wenn es klappt, dann sollte durchaus das gesamte Internettraffic durch den VPN Tunnel gehen und so z.B. An öffentlichen WLANs nicht abgehört werden...

Aber ohne genau in dein configfile zu schauen kann man keine Diagnose stellen...

Würde ich die Subnetmaske auf .255 wäre es ein Netz mit 0 Rechnern.

Intern habe ich die IPs alle mit 192.168.2.xxx konfiguriert.

.1 ist dabei die Fritzbox.
.2 der Repeater

Die Rechner sind dann weiter oben und der DHCP von der Fritzbox vergibt nur in einem kleinen Bereich für Smartphones und Tablets etc.

Das VPN-Gerät wird per 192.168.2.150 angemeldet.

Kann ich irgendwo kontrollieren ob der VPN-Tunnel korrekt eingerichtet ist oder muss ich den gezielt einstellen?

Gruß

Kaizen

also die 255.255.255.255 als Subnetzmaske ist meines wissens nach richtig da nur ein nur ein Engerät verbunden werden soll.
wenn du an den Router und den Repeater ran kommst funktioniert der VPN schonmal. Ich vermute das die Fritzbox VPN verbindungen nicht wir der ins Internet zurück routet.
davon mal abgesehen ist es meiner Meinung nach sowieso etwas unlogisch sich erst aus dem Internet irgendwo einzuwählen um von da aus wieder ins Internet zu gehen. (Okay, Sicherheit ist ne Begründung)
Beim PC und beim Iphone/Ipad gibt es eine Einstelllung das die VPN-Verbindung für alle Daten genutzt werden soll allerding ist diese einstellung bei IOS normal aus und muss extra aktiviert werden.

Genau. Sicherheit soll der Grund sein

Z.B. an einem öffentlichen Hotspot wie sie KD angeboten werden. Kd empfiehlt sogar eine VPN-Verbindung aufzubauen.

^^das klingt bei dir alles irgendwie verwirrend (unlogisch...)

bei KD und VPN muss ich immer direkt an IPv4 zu IPv6 denken... das wird aktuell umgestellt und ab da an haben viele kunden probleme mit der verbindung...
was bei dir aber sache ist weiss ich grade wirklich nicht...

Nene. Mit IPv4 und IPv6 hat es gar nix zu tun.

Nur mit der Sache dass mir die FritzBox bei einer bestehenden VPN-Verbing zu meinen Androiden aus dem Internet nichts weiterleitet, wenn ich am Androiden eine beliebige Inet-Adresse eingebe.

Poste doch mal dein configfile aus der Fritz.box für das VPN, natürlich mit anonymisierten Angaben, sonst ist es Raten im Dunkeln.

Guten Morgen!

Hab mich gerade nochmal an mein Problem gesetzt und es in den Griff bekommen.

Wie ich schon weiter oben erwähnte, hatte mir das AVM-Tool "Fritz!Fernzugang einrichten", bei der eingegebenen IP der Fritz!Box (192.168.2.1) immer nur eine Subnetmaske von "255.255.255.255" zugelassen und folgendes in das Konfig-File geschrieben.

accesslist =
"permit ip 192.168.2.1 255.255.255.255 192.168.2.150 255.255.255.255",
"permit ip any 192.168.2.150 255.255.255.255";

Mit dieser Konfig konnte ich keinerlei VPN-Verbindung aufbauen.

Windows hingegen hat mir die vor Jahren immer schon mit 255.255.255.0 angezeigt und entsprechend habe ich die auch in der Box konfiguriert.

Also war ich hingegangen und hatte die Konfig-Datei etwas von Hand nachbearbeitet und folgendes draus gemacht.

accesslist =
"permit ip 192.168.2.1 255.255.255.0.0 192.168.2.150 255.255.255.0",
"permit ip any 192.168.2.150 255.255.255.0";

Im Glauben das wäre nun richtig, konnte ich zwar eine Verbindung zur Fritzbox aufbauen und auf diese und meinen Fritz!Repeater zwar zugreifen, doch immer wenn ich eine Adresse im Netz aufrufen wollte, kamen keinerlei Daten.

Jetzt habe ich eben nochmal mit dem Fritz!Fernzugang-Tool etwas herumgespielt und folgendes probiert.

Die Fritz!Box hatte ich diesmal statt mit der 192.168.2.1 (wie in ihr konfiguriert) mal mit 192.168.2.0 angegeben. Bei dieser IP hat mir das Tool komischerweise eine wesentlich größere Auswahl an Submasken zur Auswahl gelassen. Also mal die genommen, die auch eingestellt ist (255.255.255.0). Wieso ich hier angeblich mehr zur Auswahl habe wie bei der .1-IP ist mir schleierhaft

Jedenfalls habe ich dann diese Konfigdatei auch mal gespeichert und meine geänderte dann mit dieser Test-Datei verglichen. Die einzige Stelle die sich unterschied, war wieder die obige. Hier stand nun drin:

accesslist =
"permit ip 192.168.2.0 255.255.255.0 192.168.2.150 255.255.255.255",
"permit ip any 192.168.2.150 255.255.255.255";

Also habe ich mein korrigiertes Konfig-File (also das, mit dem ich wenigstens die Verbindung aufbauen konnte), nochmal etwas nachkorrigiert entsprechenden Endungen der Submasken und dieses dann mal in die Fritz!Box geladen.

Siehe da, plötzlich funktioniert es alles genauso wie es soll.

NUR, wieso macht es jetzt einen so gewaltigen Unterschied aus, ob für das externe Gerät .0 oder .255 drin steht???

Als ich damals anfing, mir mein Netzwerk hier aufzubauen, las ich, das alle Rechner im gleichen Netz (das Smartphone wäre ja bei einer VPN-Verbindung im gleichen Netz), auch alle die gleiche Submaske haben müssen.

Gruß

Kaizen

Hallo zusammen!

Der Fall "VPN zickt" ist endgültig gelöst.

Hab mich den ganzen Morgen nochmal mit dem Thema beschäftigt.

Nach verzweifelter Umstellung des ganzen Netzwerks hier, dachte ich eigentlich, das Problem wäre gelöst und ich könnte endlich das Tool korrekt benutzen, machte mir die Fritzbox wieder einen Strich durch die Rechnung. grmpf

Das Tool gab mir bei der IP 192.168.0.0 korrekt die Subnetzmaske 255.255.255.0 frei zur Auswahl.

Wenn ich allerdings in der Fritzbox die IP auf 192.168.0.0 stellen wollte, zickte diese wiederum bei der SNM herum, wenn ich diese auf 255.255.255.0 stellte

Also wieder alles zurückgestellt auf die alte Einstellungen.

Also nochmal dem "Fritz!Box Fernzugang"-Tool gewidmet.

Es heißt dort:

IP-Netzwerk xxx.xxx.xxx.xxx

An dieser Stelle hatte ich immer die IP der Fritzbox eingegeben. Also die 192.168.2.1

Dies war DER Fehler, der mich in den letzten Tagen tierisch Nerven kostete.

An dieser Stelle muss die 192.168.2.0 rein, dann klappt auch die korrekte Auswahl der SNM.

Auch der VPN-Zugang klappt genauso wie er soll, mit Weiterleitung der Daten aus dem Internet.



Das war ein Akt.

an alle die sich an der Sache beteiligt haben.

Beste Grüße

Kaizen73

seit Fritz!OS 06.00 ist die ganze Konfiguration über das entsprechende Config-Tool überflüssig.
Hier werden direkt auf der Fritz!Box Oberfläche die entsprechenden Daten erfasst und die VPN-Daten per Anleitung in Android oder iOS Geräte eingetragen.

Das erleichtert das Ganze ungemein...

Ist zwar keine Hilfestellung aber ein gut gemeinter Rat:

Verwende nur VPN Dienste mit Zertifikatauthentifizierung, am besten 2048 oder 4096bit Zertifikate, das ist ungemein sicherere als eine Authentifizierung via Benutzer/Passwort, zwar etwas komplizierter einzurichten, und bei Verlust des Client Zertifikates auch kritisch, aber es würde die Sicherheit ungemein erhöhen.

Am besten:

AES256bit, CBC Encrypt-Mac, 4096bit Zertifikat Client/Server, Auth TLS und wenn du magst dann noch User und Passwort oder Token.

@****im

Weiß ich. Die 7390, die ich nicht mehr nutzen kann, durch die Zwangs-6360 hatte auch schon FritzOs 6.00. Aber die 6360 hat halt aktuell nur 5.50. Sonst wäre es deutlich leichter gewesen. Mal gespannt wielange es bei KD dauert, bis die OS6.0 schicken. Es hat sich ja doch sehr viel getan.

@**********dSexy

Leider bietet mir das Konfig-Proggi in der Hinsicht leider nichts an. Aber mir reicht es auch so. Aber bei der Sicherheit hast Du auf jeden Fall Recht.