Fritz 6490 kdg - VPN OK aber kein Inernet Routing möglich

In diesem Forum dreht sich alles um die bei Vodafone Kabel Deutschland bzw. Vodafone West oder im Rahmen der O2-Tarife über Kabel verwendeten AVM-Produkte, insbesondere der WLAN-Router mit integriertem Kabelmodem, der als FRITZ!Box vertrieben wird. Speedprobleme bitten wir im entsprechenden Forum zu behandeln, wenn ihr Ursprung nicht auf AVM-Produkte zurückzuführen ist!
Forumsregeln
Forenregeln


Bitte gib bei der Erstellung eines Threads im Feld „Präfix“ an, ob du Kunde von Vodafone Kabel Deutschland („[VFKD]“), von Vodafone West („[VF West]“) oder von O2 über Kabel („[O2]“) bist.
Außerdem gib bitte an, ob es sich bei deiner FRITZ!Box um eine Leihbox von Vodafone („[Leihbox]“) oder eine Kaufbox („[Kaufbox]“) handelt.
Krapotke
Newbie
Beiträge: 3
Registriert: 27.01.2016, 20:28

Fritz 6490 kdg - VPN OK aber kein Inernet Routing möglich

Beitrag von Krapotke »

Hallo Community
mein KD Zugang mit der Fritzbox 6490 läuft prima. Da ich aus dem Internet auf Dienste meines lokalen Netzes zugreifen muß habe ich mir einen VPN User eingerichtet. Mit dem Iphone kann ich problemlos z.B auf mein lokales NAS zugreifen.
Leider funktioniert jedoch die Anfrage nach Internetseiten nicht, da scheinbar das lokale Forwarding des VPN Servers in der Fritzbox nicht richtig konfiguriert wird.
Das funktioniert weder durch das Erzeugen eines VPN Users mit dem VPN CFG Konfigurator unter Win noch direkt in der Oberfläche der Fritzbox.
Was muß ich tun, damit ich von aussen über meinen VPN Zugang auf die Fritzbox auch Internetseiten angezeigt bekomme?

Ich habe keinen DSLite Zugang sondern eine echte IPV4 UND IPV6 Adresse. Das hat KD schon umgestellt.

Danke
reneromann
Insider
Beiträge: 4908
Registriert: 28.06.2015, 13:26

Re: Fritz 6490 kdg - VPN OK aber kein Inernet Routing möglich

Beitrag von reneromann »

Das Weiterleiten des Traffics wie du es willst, d.h. komplettes Tunneln des Internetverkehrs wurde vom AVM-VPN noch nie direkt unterstützt.

Das hat nichts mit IPv4/IPv6/Dualstack zu tun, sondern liegt schlichtweg an der fehlenden Unterstützung innerhalb des VPN-Clients und den fehlenden Routen.
Denn für solche Funktionalität muss AM CLIENT erst einmal die Routing-Tabelle entsprechend umgebogen werden [das macht derzeit der Fritz-Client definitiv nicht - und auch andere Clients machen dies zumindest mit der Fritz-Config nicht ohne Weiteres] - und dann muss der Fritz auch noch beigebracht werden, dass die Anfragen, welche von dem Endgerät kommen, auch ordnungsgemäß genattet werden...

Warum du das machen willst, interessiert eigentlich nicht - du solltest nur bedenken, dass die Geschwindigkeit durch diese Aktion sehr begrenzt ist.
Da die Fritz per VPN so max. ca. 10 MBit/s schafft, wirst du auch nicht mehr schaffen -egal wieviel deine Leitung hergeben sollte.
Des Weiteren sollte dir auch bekannt sein, dass die Latenz daduch logischerweise ansteigt -und- das die erreichbare Datenrate insbesondere durch deinen Upload zu Hause begrenzt wird. Wenn's nicht gerade eine 100+ MBit/s-Leitung mit 6+ MBit/s Upload ist, würde ich von diesen Spielchen dringend abraten - bei 1..2 Mbit/s Upload kommt nämlich durch sowas hinten nicht viel mehr als DSL-Light bei raus [schließlich muss über deinen Upload zu Hause dann der Upload deines Endgeräts ins Internet PLUS der Download aus dem Netz zu deinem Endgerät abgewickelt werden].
Tobi
Fortgeschrittener
Beiträge: 124
Registriert: 03.05.2012, 10:22
Wohnort: Hannover
Bundesland: Niedersachsen

Re: Fritz 6490 kdg - VPN OK aber kein Inernet Routing möglich

Beitrag von Tobi »

@reneromann: Deine Aussage kann ich nicht bestätigen.
Ich habe auf meiner Box zwei Accounts eingerichtet, einen um ins LAN zu kommen und einen, der den Internettraffic über die FB weiterroutet. Erstellt habe ich die Konfig vor einigen Jahren mit dem Windowstool und auf der 6360 genutzt, auf der 6490 mit 06.31er Firmware funktioniert es aber immernoch.

@Krapotke: Guck mal bitte in die .cfg Datei, meine beiden Accounts unterscheiden sich lediglich darin, dass im Abschnitt accesslist ein weiterer Eintrag (untere Zeile) bei dem Account ist, der den Traffic weiterleitet:

Code: Alles auswählen

accesslist = 
"permit ip 192.168.2.0 255.255.255.0 192.168.2.202 255.255.255.255", 
"permit ip any 192.168.2.202 255.255.255.255";
192.168.2.0/24 ist mein LAN-Netz, 192.168.2.202 ist die IP, die das Gerät erhält, welches sich von außen einwählt, dann von der FB bekommt.
Tarif: GigaZuhause 50
Router: HomeBox 6591 (FW 07.57)
Fritz!Fon MT-F
Fritz!Dect 200
reneromann
Insider
Beiträge: 4908
Registriert: 28.06.2015, 13:26

Re: Fritz 6490 kdg - VPN OK aber kein Inernet Routing möglich

Beitrag von reneromann »

@Tobi:
Klar kann man durch Editieren der Konfig entsprechende zusätzliche Routen zum Endgerät pushen [nichts anderes macht der letzte Eintrag].
Jedoch wird dies seitens des AVM-Tools nicht unterstützt. Und ob das Endgerät damit klarkommt (sprich auch die Routingtabelle so umbiegt, dass aller Traffic -bis auf derjenige zur Fritz selbst- über den Tunnel geht), steht auf einem anderen Blatt.
Tobi
Fortgeschrittener
Beiträge: 124
Registriert: 03.05.2012, 10:22
Wohnort: Hannover
Bundesland: Niedersachsen

Re: Fritz 6490 kdg - VPN OK aber kein Inernet Routing möglich

Beitrag von Tobi »

Wie bereits in meinem Ursprungspost geschrieben, stammt die Zeile aus einer Konfig, die ich mit dem Windowstool von AVM erstellen lies. Ist also alles "offiziell". :wink:
Tarif: GigaZuhause 50
Router: HomeBox 6591 (FW 07.57)
Fritz!Fon MT-F
Fritz!Dect 200
Krapotke
Newbie
Beiträge: 3
Registriert: 27.01.2016, 20:28

Re: Fritz 6490 kdg - VPN OK aber kein Inernet Routing möglich

Beitrag von Krapotke »

Hallo Leute
Vielen Dank für die guten und qualifizierten Antworten.
Bei mir wars auch so dass die mit dem Windows Tool erzeugte cfg kein Routing von Internet Traffic geroutet hat. Ich denke auch das sollte funktionieren mit ein wenig Nacharbeit an der cfg.
@ Tobi
Wie komme ich denn an die cfg in meiner FB ran?
Kannst du mir noch ein wenig mehr aus deiner cfg zeigen damit ich mit meiner vergleichen kann?

Mit den Einschränkungen zur Bandbreite werde ich zurecht kommen. Ich hab hier nen 200MBit Zugang :-)
Danke
reneromann
Insider
Beiträge: 4908
Registriert: 28.06.2015, 13:26

Re: Fritz 6490 kdg - VPN OK aber kein Inernet Routing möglich

Beitrag von reneromann »

Die Einstellungen in der Fritz lädst du "normalerweise" durch die CFG mit rein...
Tobi
Fortgeschrittener
Beiträge: 124
Registriert: 03.05.2012, 10:22
Wohnort: Hannover
Bundesland: Niedersachsen

Re: Fritz 6490 kdg - VPN OK aber kein Inernet Routing möglich

Beitrag von Tobi »

Ich habe das "Fernzugang einrichten" Tool von AVM gerade nochmal testweise durchgespielt. Herunterladen kannst du es hier.
Wichtig ist, dass du beim Einrichten diesen Haken setzt:
[img]http://www.bilder-hosting.info/vorschau ... 63450o.png[/img]

Die CFG sieht dann in etwa so aus (Username, Kennwörter, IP Adressen müssten an deine Umgebung angepasst werden):

Code: Alles auswählen

/*
 * C:\Users\VM_User\AppData\Roaming\AVM\FRITZ!Fernzugang\meineFritte_dyndns_com\fritzbox_meineFritte_dyndns_com.cfg
 * Sat Feb 06 13:55:26 2016
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "iPhone";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        key_id = "iPhone";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SharedSecretKey";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "iPhone";
                        passwd = "Kennwort";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255", 
                             "permit ip any 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
Tarif: GigaZuhause 50
Router: HomeBox 6591 (FW 07.57)
Fritz!Fon MT-F
Fritz!Dect 200
Krapotke
Newbie
Beiträge: 3
Registriert: 27.01.2016, 20:28

Re: Fritz 6490 kdg - VPN OK aber kein Inernet Routing möglich

Beitrag von Krapotke »

Danke ich werds testen :-)
raxxis990
Newbie
Beiträge: 42
Registriert: 11.01.2015, 12:41

Re: Fritz 6490 kdg - VPN OK aber kein Inernet Routing möglich

Beitrag von raxxis990 »

Guten abend


ich habe genau das gleiche Problem ich komme mit meinem Iphone 6 ios 10.1. auf alle geräte in loacl ebene aber ich kann keine seiten über safari aufrufen

Config ist so wie deine gleiche ip usw .

hat jemand eine ahnung was es noch sein kann.?

Code: Alles auswählen

/*
 * C:\Users\Motte\AppData\Roaming\AVM\FRITZ!Fernzugang\fritz_box\fritzbox_fritz_box.cfg
 * Sun Jan 08 20:30:56 2017
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "ios";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        key_id = "ios";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "12345678909";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "ios";
                        passwd = "K5drvsej7@@";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255", 
                             "permit ip any 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF