VPN mit Hybrid-Anschluss (IPSec)

Bei mir funktioniert das DynDNS trotzdem in der FB.

Sorry jetzt erst richtig verstanden.

DynDns geht in der FB ?

und VPN auch?

DynDns kann eigentlich nicht funktionieren, es sei den die FB ist im Client Modus. Und dann sollte VPN nicht funktionieren.

DynDNS klappt nicht!

VPN Eingehend zur Fritzbox klappt zur Zeit auch nicht!!! Wegen dem IP-Protokoll ESP welches der Speedport bei eingehenden Verbindungen verwirft

Also entweder habe ich immer super Glück oder........

Nochmals........ 

Bei ein mir funktioniert VPN.

Ich habe auf einem PC die Fritz Software laufen und baue eine VPN Verbindung zu einer anderen FB 7390 auf. Dann nutze ich VNC . Funktioniert super.

Von meinen iPhones nutze ich weiterhin die VPN Verbindung zu meiner FB 7490.

Dort kann ich dann mir die Heizungsdaten ansehen, die PV Anlage oder die Kameras.

" If you can't explain it simply, you don't understand it well enough."
Albert Einstein

Also ich nutze VPN Hauptächlich um von Unterwegs aus mit dem Smartphone zu Hause ins Netzwerk zu kommen

habe ca. 3 Stunden rumprobiert inkl. mit öffnen der besagten 3 Ports

Habe auch versucht alle Ports an die FB7390 zu leiten also Port 1-65535

und nur ein Netzwerkkabel Kabel vom Hybrid LAN mit LAN 1 FB verbunden

was aber auch nicht ging

Ich finde der Speedport darf da noch richtig zulegen in den Funktionen

Ich hoffe auch eine vernünftige FW des Speedports Hybrid, und eigentlich habe ich keine Lust unmengen an Hardware hintereinander zu stöpseln und alles zu warten

Auch an Stromverbrauch denken... 

Achso, und was mir am Speedport Hybrid am meisten auf den Keks geht ist die ständige sofortige ausloggerei wenn man ein anderes Browserfenster öffnet, oder ein paar Sekunden nichts macht ebenfalls

Sicherheit OK, aber man kann alles übertreiben, man sollte dem Kunden die Möglichkeit geben die Zeit wenigstens zu verlängern und ein zweites Browserfenster braucht man mancham parallel, da sollte der Router einen nicht gleich raus schmeissen

Also ich kann 15 Fenster öffnen und werde nicht ausgelockt !

Die Speedport Hybrid Box baut die Verbindung ab, wenn nach einer gewissen Zeit keine Daten mehr gesendet werden. Und damit kommt es bei mir auch zu Problemen, weil sie von außen dann nicht mehr erreichbar ist!

Nebenbei: Kann ich in die SP Hybrid irgendwo Routen eintragen?

Hallo,

DynDNS klappt doch mit dem Speedport Hybrid selber völlig problemlos. Warum irgendwelche Experimente mit den Fritzboxen dahinter? Das einzige Manko: Der Speedport aktualisert die IPv6 Adresse des Tunnels nicht bei dyndns. Aber das ist ein anderes Thema.

Ein VPN Server mit Fritzboxen funktioniert auch hinter dem Speedport. Warum allerdings eine Portweiterleitung auf Port 53 (DNS) dafür erforderlich sein soll, wird mir nicht klar. Welche DNS Auflösung sollte die Fritzbox denn für Clients von außen zur Verfügung stellen? VPN Clients kommen ja über den Tunnel und nicht direkt von außen. Außerdem weiß niemand, dass da ein DNS Server lauscht, da eine Fritzbox ja üblicherweise nicht den DNS Server für eine Domain darstellt. Es wird also niemand gezielt DNS Requests an diesen Server schicken. Meines Erachtens fängt man sich mit der Portweiterleitung allenfalls eine Sicherheitslücke ein (Auch wenn auf der Fritzbox diesbezüglich nichts bekannt ist). Also ich brauche Port 53 nicht, und VPN funktioniert trotzdem.

Zum Thema ESP: Für den Verbindungsaufbau benötigt man zunächst IKE (UDP 500 bzw. 4500 mit MASQ). Der Speedport scheint über Stateful Traffic Inspection so clever zu sein, nach der IKE Phase dann auch die ESP Pakete für die VPN Gegenstelle durchzulassen. 

Also bei mir kommen keine ESP Pakete an!

Mein aufbau ist

Fritzbox 7490 -> Anschluss 16000RAM -> {INTERNET} -> DSL Hybrid Anschluss -> Speedport Hybrid -> Fritzbox 7490

Warum DNS weiß ich auch nicht steht aber auf der AVM Seite: http://avm.de/nc/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/publication/show/126_Firewall...

Beim hinteren teil habe ich Portweiterleitungen UDP 53, 500 und 4500 beim Speedport Hybrid zur Fritzbox 7490 eingerichtet. Es kommt keine VPN Verbindung zwischen den beiden Fritzboxen zustande. Wenn ich den Speedport Hybrid Router wegnehme und die Fritzbox 7490 direkt an den DSL Anschluss anschließe. Klappt die Verbindung wieder! Es ist anzumerken, dass die Fritzbox 7490 hinter dem Speedport Hybrid eine Internet Verbindung hat, da Clients über die Fritzbox ins Internet gehen und eine IP Adresse aus der Fritzbox erhalten.

Warum geht es denn bei Dir und bei meinem bekannten nicht??? Auch ein Paketsniffer hat nur die UDP Pakete angezeigt die brav von dem Speedport Hybrid zur Fritzbox weitergeleitet werden. Aber eine Verbindung kommt trotzdem nicht zu stande!!! Es scheint doch am ESP zu liegen. Bei der Gegenstelle Fritzbox 7490 kommen auch alle Verbindungen an die aus der Fritzbox 7490 über den Hybrid Router gehen. Es kommt trotzdem nicht zu einer vollständigen Koppelung!

---

@UHXSPOD2PCKH schrieb:

Also bei mir kommen keine ESP Pakete an!

---

Woher weißt du das?

---

@UHXSPOD2PCKH schrieb:

Fritzbox 7490 -> Anschluss 16000RAM -> {INTERNET} -> DSL Hybrid Anschluss -> Speedport Hybrid -> Fritzbox 7490

---

Das ist eine LAN<->LAN Kopplung. Gibt es in dem Szenario überhaupt eine klare Zuweisung, welche Box der Server und welche der Client ist? Ich glaube nicht. Ist NAT-T für den Fall sauber aktiviert? Das muss ggf. von Hand in der Konfiguration vorgenommen werden. Wird der Aggressiv Mode menutzt? Der Main Mode wird in einem Szenario mit NAT Router nicht funktionieren.

Ich nutze für eine Road-Warrior Konfiguration, wo ja immer die Box der Server ist und NAT-T für die Clients aktiv ist.

---

@UHXSPOD2PCKH schrieb:

Warum geht es denn bei Dir und bei meinem bekannten nicht???

---

Es könnte auch ein Problem der IP Konfiguration sein. Ist die Konsistent für alle Fälle? Die Box hinterm Speedport ist NAT-Router über IP? Ihr habt die Konfiguration neu erstellt, um die neuen IP-Settinngs zu erücksichtigen? Bei der AVM IPSec Implementierung gehören die Subnetz-Informationen mit zu den Credentials für die Zugänge. Ändert sich das, wie hinter einem anderen Router nahezu zwangsläufig, dann funktioniert die Verbindung nicht mehr.

Ich vermute ein Problem mit NAT-T oder ein Problem aus de Zusammenspiel der geänderten IP-Konfiguration mit den Zugangsdaten.

---

@UHXSPOD2PCKH schrieb:

Also bei mir kommen keine ESP Pakete an!

 

Mein aufbau ist

 

Fritzbox 7490 -> Anschluss 16000RAM -> {INTERNET} -> DSL Hybrid Anschluss -> Speedport Hybrid -> Fritzbox 7490

 

Warum DNS weiß ich auch nicht steht aber auf der AVM Seite: http://avm.de/nc/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/publication/show/126_Firewall...

 

Beim hinteren teil habe ich Portweiterleitungen UDP 53, 500 und 4500 beim Speedport Hybrid zur Fritzbox 7490 eingerichtet. Es kommt keine VPN Verbindung zwischen den beiden Fritzboxen zustande. Wenn ich den Speedport Hybrid Router wegnehme und die Fritzbox 7490 direkt an den DSL Anschluss anschließe. Klappt die Verbindung wieder! Es ist anzumerken, dass die Fritzbox 7490 hinter dem Speedport Hybrid eine Internet Verbindung hat, da Clients über die Fritzbox ins Internet gehen und eine IP Adresse aus der Fritzbox erhalten.

---

Port 53 weiterzuleiten macht keinen Sinn, denn es will niemend von aussen DNS-Anfragen an deine Fritzbox stellen.

Aus meiner Sicht sind nur Port 500 und 4500 per statische Portweiterleitung zu konfigurieren.

Mein Smart VPV Client kommt bis "authentifizieren", dann sollte "authentifiziert" kommen, statt dessen "Port wurde getrennt" .....

Huhu,

gibt es neuere Infos zum Firmware Update, also wann es kommt und was es verbessert wegen VPN

Es ist von einer Fritzbox 7390 zu dem Hybrid Router in Punkto VPN ein massiver Rückschritt

Bevor jemand mich falsch versteht, ich möchte von ausserhalb auf mein Heimnetzwerk zugreifen, dass heisst die Fritzbox stellt VPN zur Verfügung, stellt diese also ohne einen PC oder ähnl. her, von ausserhalb natürlich ein IOS Device wie z.B. Iphone

Ich hoffe da kommt so was....

Da braucht nichts kommen, wenn du deine Fritz weiter benutzt - das geht jetzt schon auch hinter dem SP-H.

Bzgl. der Infos: Nein man weiß weder genau was kommt noch wann.

Nein, geht eben nicht, selbst "alle" Ports zu öffnen am Speedport brachte kein Erfolg, und damit bin ich nicht allein

Ich verfolge den Thread ja schon eine Weile... es gibt hier des öfteren Einwürfe, dass es gehen würde, in irgendeiner Weise nachvollziehbar begründet ist das aber nicht. Die Telekom selbst sagt ja nur, dass ihr keine Einschränkung bekannt sei und geht auf das Thema gar nicht weiter ein.

Ich habe es sowohl mit dem iPhone als auch mit dem iPad in Verbindung mit einer Fritzbox 7390  hinzer dem SP-H getestet. Es geht ohne Probleme  - das haben auch schon mehrere Leute geschrieben.

Der Speedport bietet aktuell selbst kein VPN aber durchleiten geht problemlos (zumindest mit IPSEC).

Tja dann geht es bei dir eben...

bleib dabei, bei mir nicht...

Ohne Speedport geht mein VPN mit allen Devices

FB7390 hinter  Speedport (alle Ports offen) geht nicht....

Ich hab nur 500 und 4500 offen und die Konfiguration über die Fritz Fernzugangssoftware erstellt.

 Die Werte in <> habe ich natürlich durch Quatsch ersetzt.

z.B. so:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "iPhone/iPad-Alles";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.203;
                remoteid {
                        key_id = "<name>";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "<preshared>";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "<benutzername>";
                        passwd = "<blabla>";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.203;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 192.168.181.2 255.255.255.255 192.168.178.203 255.255.255.255",
                             "permit ip any 192.168.181.203 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Hallo, 

ich habe seit zwei Tagen Hybrid und habe mich sofort darum bemüht meine Fritzbox(7270) zum laufen zu bekommen. Ich habe mich durch diesen und andere Thread gearbeitet, aber bekomme es nicht zum laufen.

Könnte jemand bitte eine kurzr Schritt für Schritt Anleitung posten, wie er/sie es geschafft hat das VPN läuft?

Vielen dank schonmal im voraus

Gruß

Also ich habe einen oVPN auf DD-wrt eines RT-AC66U hinter dem Speedport gehängt:

Kein Problem.

Dann habe ich den Server2012R2 einen VPN Server installiert und konfiguriert hinter dem Speedport:

Kein Problem.

Das einzige was mich Sorgen macht: Der Speedport kann keine feste IP vergeben. Nun habe ich im Internet gelesen der detektiert welche Geräte schon selber eine IP im Range haben und erkennt dann die Geräte automatisch als Semi-Static.

Bis jetzt klappt es und bleibt die Portfowarding funktionieren...

Die andere Frage waere, weil ich dies mit den Clients nicht testen kann, Router-VPN ist wegen der CPU Leistung sehr eingeschraenkt, ob auch VPN sowohl DSL als LTE nutzt oder ob die Telekom bei eingehenden VPN Verbindungen standard die 2Mbps Upstream der DSL Leitung nimmt?

Vielleicht hilft es jemanden ein wenig: Ich stelle im Speedport Hybrid im Routermenü unter "Internet" "nur DSL" ein, wenn ich per VPN ins Büro muss. Das läuft - langsam - aber immerhin.

Danach switche ich wieder zu DSL + LTE - man will ja auch streamen etc.

Ich weiß, dass man für einzelne Geräte im Netzwerk das auch als Regel einrichten könnte - bei mir hat es nicht geklappt und ich hatte keine Zeit, mich damit weiter zu beschäftigen.

Gruß

Fred

Bei mir gehts auch nicht , alles was mit VPN und SSL tunnel zu tun hat geht nicht, Ports die freigegeben sind ignoriert er völlig , Techniker meinte das das ein bekanntes Problem sein und auf eine Reaktion seitens Huawei gewartet wird. So wie man entweder nur dsl oder lte nutz funktioniert alles bestens.

Gruß

Das gleiche wurde mir Anfang des Jahres ebenfalls mitgeteilt... Warten auf Firmware Update vom Hersteller