Solved
VPN an Fritz!Box Fw 7.27 funktioniert nur bedingt
4 years ago
Hallo Community,
Nach dem Update der FB 7590 auf Firmware 7.27 habe ich - da ich in den Release-Infos von Verbesserungen las - mal wieder die VPN -Anbindung von Android über MyFritz getestet.
Nichts (was vorher funktionierte) ging mehr. Weder das FB -eigene VPN , noch OpenVPN auf einen zweiten Server (durch den FB -Router).
Deshalb habe ich zunächst die MyFritz-Konto-Funktionalität und die Berechtigungen der verwendeten Nutzer geprüft. Alles OK. Der verwendete Nutzer, der Zugriffsrecht aus dem Internet hat, ist auch VPN -berechtigt.
Verlauf MyFritz- VPN : Die Einstellungen habe ich aus der FB -Anleitung in die Einstellungen meines Android-11-Pixel5 kopiert und exakt abgeglichen (Server ist die MyFritz-Adresse). Die Verbindung konnte nicht aufgebaut werden. ABER: Wenn ich WLAN am Smartphone aus und einschaltete, wurde in einem 3-Sekunden-Zeitfenster nach Umschaltung unter WLAN die Verbindung etabliert. Dann habe ich statt der MyFritz-Adresse (die ja ansonsten für in- und externen Zugriff einwandfrei funktioniert) die aktuelle IPv4 eingetragen. Danach war VPN per WLAN und LTE möglich. Allerdings funktionierte der Zugriff aufs LAN nicht vollständig wunschgemäß.
Verlauf bei OpenVPN: Der Zugriff funktioniert über ein DynDNS-Adressbereitstellung. Die Freigaben in der FB für die Portweiterleitung sind gesetzt und haben auch immer funktioniert. Nun nicht mehr. Nachdem ich einen externen Nicht-Standardport (x statt 1194) und TCP statt UDP verwendet habe, konnte die Freigabe wieder verwendet werden und OpenVPN baut wieder einen Tunnel auf. FB verweigert ja die Mehrfachverwendung von internen Ports (was ich nur bei externen verstehen kann) in den Portweiterleitungen.
Hat jemand ähnliche Probleme? Wie habt ihr sie womöglich gelöst?
Meine Ziele:
- UDP und TCP sollten funktionieren.
- Auch der Zugriff über den externen VPN -Standardport (1194 UDP) sollte gleichzeitig für MyFritz- VPN und OpenVPN möglich sein.
- Der Zugriff über dynamische IPs (speziell MyFritz) MUSS wie spezifiziert funktionieren.
- Bei etabliertem MyFritz- VPN -Tunnel soll der Zugriff auf alle LAN-Adressen ungehindert funktionieren.
Für Lösungen und Anregungen jeder konstruktiven Art bin ich dankbar.
Jochen Kuhla
3257
13
This could help you too
2 months ago
in
39
0
3
792
0
4
in
2341
0
3
4 years ago
Weder das FB -eigene VPN
Die funktioniert definitiv sogar beides entweder VPN Fritzbox oder MyFritz App mit der 7.27
3
Answer
from
4 years ago
@Thunder99 : Vielen Dank für Ihre Mühe. Vielleicht lassen wir doch noch andere zu Wort kommen.
@lejupp : Da ist natürlich was dran. Wahrscheinlich habe ich hinter MyFritz einfach mehr vermutet als einen simplen IP-Dynamisierer. Sinnvoll wäre dann natürlich, wenn man die Portzuweisung (für das integrierte VPN ) beeinflussen könnte. OpenVPN lässt zumindest freie Port-Auswahl für den VPN -Dienst zu.
@olliMD : Da haben Sie wohl recht.
Answer
from
4 years ago
Bei mir läuft openvpn auf einem völlig unkanonischen Port. Das empfielt sich schon deshalb, weil dann ein Angreifer das Gateway nur findet wenn er vorher einen Portscan macht und alle offenen Ports auf seine Lücke hin testet.
Answer
from
4 years ago
Bei mir läuft openvpn auf einem völlig unkanonischen Port. Das empfielt sich schon deshalb, weil dann ein Angreifer das Gateway nur findet wenn er vorher einen Portscan macht und alle offenen Ports auf seine Lücke hin testet.
Bei mir läuft openvpn auf einem völlig unkanonischen Port. Das empfielt sich schon deshalb, weil dann ein Angreifer das Gateway nur findet wenn er vorher einen Portscan macht und alle offenen Ports auf seine Lücke hin testet.
Genau. Das geht über die Port-Weiterleitung in den Fritz-Freigaben (WAN auf OpenVPN-Server). Für die Auswahl des internen OpenVPN-Ports ist dieses Argument aber nicht relevant. Der darf durchaus dem Standard entsprechen. Nur eben nicht bei Fritz! Denn die FB greift 1194 UDP ( VPN -Standard) sogar intern ab und öffnet ihn mandatorisch sperrangelweit nach außen. Das ist genau das Problem.
Unlogged in user
Answer
from
4 years ago
Wie soll das denn gehen, woran soll die Box erkennen ob ein eingehendes Paket für das MyFritz- VPN -Gateway oder für das OpenVPN-Gateway bestimmt ist?
0
4 years ago
Für Lösungen und Anregungen jeder konstruktiven Art bin ich dankbar.
Für Lösungen und Anregungen jeder konstruktiven Art bin ich dankbar.
Das ist ja nun ein AVM-Thema, da dürfte AVM der bessere Ansprechpartner sein.
6
Answer
from
4 years ago
[...] Die Fritz!-Regel: "Keine Mehrfachverwendung von internen Ports"[...]
[...] Die Fritz!-Regel: "Keine Mehrfachverwendung von internen Ports"[...]Also eine Regel ist das bestimmt nicht, bestenfalls ein Bug. Ich habe hier eine 7580, zwei hohe hintereinanderliegende TCP-Ports sind intern auf den jeweils gleichen, hohen, Port an zwei verschiedenen Maschinen weitergeleitet. Dort lauscht jeweils der SSHd. Das läuft absolut problemlos
Answer
from
4 years ago
@alle Das Problem ist doch nur teilweise gelöst. Eine Beobachtung würde ich von den Fritz- VPN -Nutzern im Forum gerne bestätigt oder widerlegt haben, vielleicht gibt es ja einen Tipp, das Problem zu umgehen:
Wenn ich in den VPN -Einstellungen meines Pixel5 (Android 11) die MyFritz-Adresse als Server eintrage (so sieht es die Anleitung vor), kann keine Verbindung hergestellt werden. Auch andere Dyn-Adressen versagen. Eine Verbindung kann nur mit der aktuellen IPv4 hergestellt werden.
Die MyFritz-Adresse an sich ist aber valide. Der Oberflächenzugang und der Ping sind positiv. Sogar wenn ich statt meiner gewöhnlichen DynDNS-Adresse in der OpenVPN-Konfiguration die MyFritz-Adresse eintrage, erhalte ich Zugriff. Es scheint, als ob die FB (7590 Fw7.27) die dynamische Notation anders als die native Form verarbeiten würde, und als ob noch eine weitere Information (Zertifikat oder Port-Angabe) fehlte. Wenn ich die LetsEncrypt-Zertifikat-Authentifizierung abschalte, oder den Standard-Port in der Server-Angabe der VPN -Konfiguration ergänze, bewirkt das allerdings keine Besserung.
Also: hat jemand Erfahrung unter Android 11 und Fw 7.27 mit der Verwendung der MyFritz-Adresse für den VPN -Zugang?
Bin für alle konstruktiven Tipps dankbar!
Answer
from
4 years ago
@alle
So, nach umfangreichen Recherchen, Anfragen und Tests ist es jetzt klar (...). Unter Android 11 gibt es bekannte Probleme mit dem VPN -Tunneling von Pixel zu Fritzbox. Wenn das Android 11-Gerät einen APN (Access Point Name) verwendet, der auch IPv6 unterstützt, kann die MyFritz-Adresse nicht so aufgelöst werden, dass die FB eine VPN -Anfrage verarbeiten kann. AVM sieht die Ursache in Android 11, wahrscheinlich zeigen alle Beteiligten da mit allen Fingern einer Hand auf die jeweils Anderen.
Zwei Lösungen:
1) Anlage eines zusätzlichen APN -Eintrags im Smartphone, in dem nur folgende Einträge gegenüber dem v6 geändert werden:
APN : internet.telekom
Benutzername: t-mobile
Passwort: tm
Authentifizierungstyp: PAP
APN -Typ: default,supl
APN -Protokoll IPv4
Diese Definition kann dann bei Bedarf aktiviert werden. Ist sie aktiv, ist der IPv6-Verkehr ins Internet abgeschaltet!
2) Verwendung der MyFritz-App für den Tunnelaufbau. Das funktioniert, allerdings sind die Konfigurationshintergründe intransparent, der Nutzer kann nicht ausgewählt werden und die Verbindung scheint nicht wirklich stabil zu sein.
Ich habe wegen der besseren Konfigurierbarkeit, der höheren Stabilität und der deutlich besseren plattformübergreifenden Verwendbarkeit (Fritz und Windows mögen sich nicht) die OpenVPN-Variante zum Standard gemacht. Das hilft allerdings nur, wenn man die OpenVPN-Infrastruktur im Heimnetz verfügbar hat.
Unlogged in user
Answer
from
Accepted Solution
accepted by
4 years ago
@alle
So, nach umfangreichen Recherchen, Anfragen und Tests ist es jetzt klar (...). Unter Android 11 gibt es bekannte Probleme mit dem VPN -Tunneling von Pixel zu Fritzbox. Wenn das Android 11-Gerät einen APN (Access Point Name) verwendet, der auch IPv6 unterstützt, kann die MyFritz-Adresse nicht so aufgelöst werden, dass die FB eine VPN -Anfrage verarbeiten kann. AVM sieht die Ursache in Android 11, wahrscheinlich zeigen alle Beteiligten da mit allen Fingern einer Hand auf die jeweils Anderen.
Zwei Lösungen:
1) Anlage eines zusätzlichen APN -Eintrags im Smartphone, in dem nur folgende Einträge gegenüber dem v6 geändert werden:
APN : internet.telekom
Benutzername: t-mobile
Passwort: tm
Authentifizierungstyp: PAP
APN -Typ: default,supl
APN -Protokoll IPv4
Diese Definition kann dann bei Bedarf aktiviert werden. Ist sie aktiv, ist der IPv6-Verkehr ins Internet abgeschaltet!
2) Verwendung der MyFritz-App für den Tunnelaufbau. Das funktioniert, allerdings sind die Konfigurationshintergründe intransparent, der Nutzer kann nicht ausgewählt werden und die Verbindung scheint nicht wirklich stabil zu sein.
Ich habe wegen der besseren Konfigurierbarkeit, der höheren Stabilität und der deutlich besseren plattformübergreifenden Verwendbarkeit (Fritz und Windows mögen sich nicht) die OpenVPN-Variante zum Standard gemacht. Das hilft allerdings nur, wenn man die OpenVPN-Infrastruktur im Heimnetz verfügbar hat.
0
Unlogged in user
Ask
from