VPN Konfigurtaionsfehler

[gschoen57]

Hallo zusammen,
ich hoffe ich bin hier richtig in diesem Forum.

ich habe auf meiner FritzBox 7590 VPN eingerichtet, wie im Internet beschrieben: Benutzer anlegen, VPN ankreuzen,
alles andere macht die FritzBox alleine. myfritz-Konto habe ich ebenfalls.
Dann habe ich auf meinem iPhone alles gem. Anleitung eingetragen:
Unter "Einstellungen" - "VPN" WVPN hinzufügen die ensptrechenden Daten aus der FritzBox
übernommen. Wenn ich nun auf "Verbinden" gehe, also den Schiebeschalter nach rechts schiebe
dauert es ca 10 Sekunden (in denen neben dem Wort "Status" "Verbinden" steht, dann
blitzt kurtz "Trennen" auf und es kommt die Fehlermeldung
VPN-Verbindung - Ein Konfiguratiosfehler ist aufgetreten.

Ich habe das hier bereits in einigen Threads, den MAC betreffend gefunden, für
das iPhone aber noch nicht.

Weiß zufällig jemand, was da falsch läuft??

 

[Wuchtbrumme]

Hallo zusammen,
ich hoffe ich bin hier richtig in diesem Forum.

ich habe auf meiner FritzBox 7590 VPN eingerichtet, wie im Internet beschrieben: Benutzer anlegen, VPN ankreuzen,
alles andere macht die FritzBox alleine. myfritz-Konto habe ich ebenfalls.
Dann habe ich auf meinem iPhone alles gem. Anleitung eingetragen:
Unter "Einstellungen" - "VPN" WVPN hinzufügen die ensptrechenden Daten aus der FritzBox
übernommen. Wenn ich nun auf "Verbinden" gehe, also den Schiebeschalter nach rechts schiebe
dauert es ca 10 Sekunden (in denen neben dem Wort "Status" "Verbinden" steht, dann
blitzt kurtz "Trennen" auf und es kommt die Fehlermeldung
VPN-Verbindung - Ein Konfiguratiosfehler ist aufgetreten.

Ich habe das hier bereits in einigen Threads, den MAC betreffend gefunden, für
das iPhone aber noch nicht.

Weiß zufällig jemand, was da falsch läuft??

nein, wie auch. Du musst das untersuchen, je nachdem, was da passiert. So aus der Ferne, ohne zu wissen, was Du gemacht hast, ohne Logs und Konfigurationsdateien ist eine Antwort nur durch reines Raten möglich. Da kannst Du auch zu einer Wahrsagerin gehen, die die Karten lesen soll. So funktioniert Technik nicht.

 

[gschoen57]

Tja, dann hat sich's damit auch. Logs und Konfigurationsdateien gibt es m.W. auf dem iPhone nicht,
und in den Ereignissen auf der Fritzbox steht ebenfalls nichts drin.

 

[Wuchtbrumme]

hast Du einen Mac? Wenn man dort Dienstprogramme/Konsole öffnet und dann das Gerät anklickt, Streaming startet, sollte man eigentlich in Fast-Echtzeit die Logmeldungen verfolgen können.

Darüberhinaus hat es eigentlich so viele Anleitungen, insbes. von AVM selbst, denen man nur sklavisch folgen muss und es funktioniert dann nach Schema F.

 

[Librar]

Nur mal kurz eingeworfen. Das Fritz!box-VPN funktioniert nur mit IPV4.
Bei mir bedeutete das, dass ich nach dem Wechsel zur Deutschen Glasfaser das Fritz!box-VPN nicht mehr nutzen konnte, da sie dort DS-lite einsetzen.
Wenn Du bei einem Internetanbieter bist, der DS-Lite einsetzt und das Fritz!box-VPN nutzen möchtest, hast Du leider verloren.

Was ist DS-Lite und wie funktioniert es? | FRITZ!Box 7590

Was ist ein DS Lite Tunnel? Kann die FRITZ!Box am DS Lite Internetzugang eingesetzt werden? ✓ Hier finden Sie alle Antworten.

avm.de

 

[ottomane]

Guter Punkt.

und in den Ereignissen auf der Fritzbox steht ebenfalls nichts drin.

Klingt so, als würde die FritzBox gar nicht erreicht werden. Andernfalls müsste da irgendetwas im Log stehen. Spricht für das IPv6-Problem, evtl. aber auch Domain falsch oder sowas.

 

[Marcel Bresink]

War das iPhone vielleicht fälschlicherweise noch mit dem WLAN dieser Fritzbox verbunden?

Für einen vernünftigen VPN-Test muss am iPhone WLAN aus- und Mobilfunk eingeschaltet sein.

 

[gschoen57]

Ich habe mich mal erkundigt: Bin ja bei "Deutsche Glasfaser" und bekomme zwar neben der IPv6 auch eine IPv4
Adresse. Diese ist von außerhalb nicht anpingbar und somit auch nicht öffentlich. D.h. ich habe lediglich einen
IPv6 Anschluss (warum ich die IPv4-Adresse überhaupt noch bekommen versteht ich eigentlich auch nicht,
sie macht ja keinen Sinn) und somit, was VPN betrifft erstmal verloren.

Es gibt aber eine Möglichkeit es trotzdem zu realisieren (habs aber selbst jetzt noch nicht ausprobiert,
aber wenn jemand hier auch auf der Suche ist ....)

VPN und Glasfaser

kostet aber dann 35 Euro im Jahr.

 

[ottomane]

(warum ich die IPv4-Adresse überhaupt noch bekommen versteht ich eigentlich auch nicht,
sie macht ja keinen Sinn

Doch, damit du auch IPv4-Adressen ansurfen kannst. Deine IPv4-Adresse wird von DG noch einmal auf eine öffentliche IPv4 umgenattet (CGN).

kostet aber dann 35 Euro im Jahr.

Ich habe das in Benutzung. Wenn man einen eigenen Server im Internet hat, kann man das auch kostenlos realisieren - ein paar Linux-Kenntnisse und einen kleinen VPN-Rechner (z.B. rPI) im Heimnetz vorausgesetzt.

 

[Marcel Bresink]

Man kann auch auf das nächste Software-Update der Fritzbox warten. In Zukunft wird wahrscheinlich der VPN-Server in der Fritzbox vom Verfahren "L2TP over IPSec" auf "WireGuard-VPN" umgestellt.

Das hat den Vorteil, dass es wesentlich schneller ist und auch mit IPv6 erreicht werden kann. Der Nachteil ist, dass Apple-Geräte das nicht mit Bordmitteln unterstützen. Man braucht die (kostenlose) WireGuard-App.

 

[ottomane]

Das sind ja mal gute Nachrichten!

Gut wäre dann noch, wenn die FritzBox dann auch Weiterrouten würde. Das macht sie nämlich im Moment nicht, sodass die Geräte dahinter nicht erreichbar sind. Vielleicht ist das aber auch eher Feature als Bug.

 

[Onslaught]

AVM sagt derzeit noch

AVM unterstützt jedoch die Entwicklung des Port Control Protocols (PCP), mit dem VPN-Verbindungen zur FRITZ!Box und andere eingehende IPv4-Verbindungen über DS-Lite möglich sein werden. Das Port Control Protocol muss auch vom Internetanbieter unterstützt werden. Erste Anbieter von DS-Lite-Internetanschlüssen könnten PCP im Laufe des Jahres unterstützen.

Bis wireguard auf der Fritte kommt, wird's noch was dauern. AVM liebt wohl ipsec zu sehr...🙄

Laut Heise ist wireguard wohl für Fritzos 7.50 vorgesehen, wir sind gerade bei 7.29

Beta-Firmware für Fritzbox 7590: Krasse VPN-Beschleunigung mit WireGuard

AVMs FritzOS-Vorschau 7.39 leitete im c't-Labor Daten mit dem WireGuard-VPN viel schneller durch als mit dem alten IPsec-VPN.

www.heise.de

Und wer die Laborfirmware testen möchte, auf ner 7590, kann das hier tun:

Frisch aus der Entwicklung | AVM Deutschland

Dieses FRITZ! Labor enthält neue Funktionen frisch aus der Entwicklung und erlaubt heute schon einen Ausblick auf zukünftige FRITZ!OS-Funktionen des nächsten großen Updates.

avm.de

 

[ottomane]

Unterm Strich betrachtet kann man kaum fassen, wie kaputt und mies implementiert das Internet im Jahre 2022 ist.

Dass es mit v6 noch schlimmer wird haben auch nicht alle erwartet

 

[Scotch]

Gut wäre dann noch, wenn die FritzBox dann auch Weiterrouten würde. Das macht sie nämlich im Moment nicht, sodass die Geräte dahinter nicht erreichbar sind.

Versteh' ich nicht: Wenn der Tunnel zur FB steht, bist du im LAN - natürlich routet dann die FB weiter, sonst würdest du doch keinerlei Geräte im Zielnetz erreichen können?!

Dass es mit v6 noch schlimmer wird haben auch nicht alle erwartet

IPv6 != DS-Lite; viele IPv6 "Probleme" sind heute (noch) DS-Lite Baustellen. Was nicht heißen soll, das ein echter DS keine Baustellen hat... Ich krieg' meine UDM z.B. immer noch nicht dazu, das Präfix von NetCologone korrekt zu delegieren... Da bin ich heilfroh, dass wenigstens IPV4 "idiotensicher" funktioniert.

IPv6 funktioniert in wesentlichen Teilen ziemlich "grundsätzlich" anders als IPv4, das ist finde ich 'ne steile Lernkurve - und ich bin bestimmt kein Netzwerk-Newbie. Ich mein', gefühlt 90% haben das Konzept von Subnetzen und Segmentierung bis heute nicht verstanden und können VLAN und Subnetz nicht voneinander trennen und ab sofort sollen sie mit Präfix-Delegation klar kommen? 😂

 

[ottomane]

Versteh' ich nicht: Wenn der Tunnel zur FB steht, bist du im LAN - natürlich routet dann die FB weiter, sonst würdest du doch keinerlei Geräte im Zielnetz erreichen können?!

Wenn ich so darüber nachdenke, war es wohl nicht so. Aber es gab irgendeine störende Einschränkung. War es, dass UDP und/oder Multicast bei VPN-Nutzung nicht geroutet werden konnten? Es ist zu lange her, sorry, aber es hat mich eine Menge Flüche gekostet.

IPv6 != DS-Lite; viele IPv6 "Probleme" sind heute (noch) DS-Lite Baustellen.

Ja, weiß ich. Mein Gejammer war auf diese Dauerbaustellen bezogen, die ja laut einigen Leuten unnötig werden sollten. In Wirklichkeit hat sich das Gebastel mancherorts vervielfacht.

Ich mein', gefühlt 90% haben das Konzept von Subnetzen und Segmentierung bis heute nicht verstanden und können VLAN und Subnetz nicht voneinander trennen

90%? Naja, kommt auf die Grundgesamtheit an. Mit den Kombigeräten haben Cisco und Co. den Leuten keinen Gefallen getan. Wie soll man denn so noch die OSI-Layer auseinanderhalten, wenn das alles in einer Kiste passiert?

 

[Scotch]

War es, dass UDP und/oder Multicast bei VPN-Nutzung nicht geroutet werden konnten?

UDP ist das egal, Multicast wird grundsätzlich nicht über Netzwerk-/Segmentgrenzen geroutet. Das hat aber nichts mit VPN zu tun.

 

[ottomane]

Multicast wird grundsätzlich nicht über Netzwerk-/Segmentgrenzen geroutet.

Das ist mir klar. Mit IGMP ist das aber was anders. Wie gesagt, ich weiß nicht mehr, was das eigentliche Problem war und es spielt ja hier auch überhaupt keine Rolle.

 

[Scotch]

Ja, IGMP ist was völlig anderes. Hat aber auch was mit Multicast zu tun. Schön, das wir darüber geredet haben 😉

 

[matzl]

Man braucht die (kostenlose) WireGuard-App.

Die momentan leider absolute Grütze ist. Aber das wird dann hoffentlich wieder besser.

 

[bekl101]

Wiso Grütze?
ich habe WireGuard im Docker auf einem Pi als Server laufen und keine Probleme mit dem iOS Client.