Fritzbox Site-to-Site-VPN - Zugriff nur aus einer Richtung? (2024)

W

WildGuy

Member
  • Freitag um 21:54
  • #1

Hallo,

ich habe ein Problem mit einem VPN-Tunnel einer Fritzbox. Ruft man aus dem Fritzbox einen Dienst auf der Gegenseite auf, funktioniert es einwandfrei, nur von der Gegenseite kommt man nicht an die Dienste im Netz der Fritzbox. Ping funktioniert sowohl in die eine, als auch in die andere Richtung.

Von der Gegenseite habe ich versucht auf folgende Dienste im Netz der Fritzbox zuzugreifen:

- Webinterface Fritzbox
- Webinterface Synology
- CIFS Synology

Nichts davon hat funktioniert, aber ich bin mir auch nicht sicher, ob ich nicht eventuell einen Fehler in der VPN-Konfiguration habe, welche ich in die Fritzbox importiert habe. Hier mal die erstellte Konfiguration:

Code:

vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "vpn"; always_renew = yes; keepalive_ip = 192.168.200.1; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = X.X.X.X; remote_virtualip = 0.0.0.0; localid { ipaddr = Y.Y.Y.Y; } remoteid { ipaddr = X.X.X.X; } mode = phase1_mode_idp; phase1ss = "dh15/aes/sha"; keytype = connkeytype_pre_shared; key = "mysupersecretsharedkey"; cert_do_server_auth = no; use_nat_t = yes; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.100.0; mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 192.168.200.0; mask = 255.255.255.0; } } phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; accesslist = "permit ip any 192.168.200.0 255.255.255.0"; } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";}// EOF

Ich habe es so verstanden, dass die Zeile "accesslist" nach dem Prinzip: "Ziel Quelle" funktioniert. Somit sollte "any" für die Fritzbox-Seite stehen und der Eintrag dahinter für das Netz der Gegenstelle, aber irgendwie scheint das nicht zu funktionieren. Ich hatte auch mal zu Testzwecken "any" durch "192.168.100.0 255.255.255.0" ersetzt, aber das hat auch keine Besserung gebracht.

Mich wundert, dass ein Ping allerdings sehr wohl vom Netz der Gegenstelle in das Netz der Fritzbox kommt, alles andere aber nicht. Ich habe leider keinen großen Einfluss auf die Gegenstelle, so dass ich dort nicht in die Logdateien schauen kann. Es ist dort aber soweit "alles" erlaubt und mit meiner OPNsense-Firewall (die ist auch mit der gleichen Gegenstelle verbunden) funktioniert alles einwandfrei.

Habe ich eventuell einen Fehler in der oben stehenden Fritzbox-Konfiguration? Vielen Dank vorab!

W

WildGuy

Member
  • Gestern um 14:16
  • #3

Hier mal Informationen zur Konfiguration der Gegenstelle, mehr kann ich da leider nicht liefern und habe auch keinen Einblick in die Logs:

- IKEv1
- beide Phasen aes256/sha512/modp3072(DH15), Lifetime je 3600
- NAT-T
- DPD (daher merkt die Gegenstelle auch immer, dass der Tunnel weg ist, im Gegensatz zur Fritzbox)

Die Gegenstelle ist auch für alle anderen gleich konfiguriert. Mit meiner OPNsense funktioniert der Zugriff egal wie und egal in welche Richtung. Bei der obigen Konfiguration für die Fritzbox funktioniert zwar der Weg vom Fritzbox-Netzwerk zum Netzwerk der Gegenstelle, aber andersherum nicht. Firewall auf der Gegenstelle kann ich definitiv ausschliessen, von daher muss es irgendwas um die Fritzbox rum sein.

@Stationary: Vielen Dank für Deine Antwort! Es wird IPSec (IKEv1) genutzt, die Fritzbox wählt sich bei der Gegenstelle ein. Beide Endpunkte haben ganz normale öffentliche IPv4-Adressen, die haben sich bisher auch nicht geändert. Die Verbindung wird aufgebaut, Ping funktioniert auch in beide Richtungen, nur aus dem Netz der Gegenstelle kann man nicht auf das Netz der Fritzbox zugreifen.

Dazu kommt mittlerweile aber auch das Problem, dass die Fritzbox dann teilweise die Verbindung verliert (sagt jedenfalls die Gegenstelle), die Fritzbox ist aber der Meinung, dass die Verbindung noch bestehen würde. Da dachte ich eigentlich, dass so ein Problem mit den Parametern always_renew und keepalive_ip nicht vorkommen sollte.

Habe grade noch ein paar Meldungen in der Fritzbox gefunden: 0x2027. Laut AVM wäre das ein Timeout, ich bin aber derweil die ganze Zeit mit meiner OPNsense zur gleichen Gegenstelle verbunden und da gibt es keinerlei Probleme. Ebenso bin ich via Benutzer-VPN mit der besagten Fritzbox verbunden, auch da gibt es keine Probleme. Lediglich das Site-to-Site-VPN (Fritzbox zur Gegenstelle) ist grade der Meinung, dass es sich nicht verbinden kann und gibt diesen Timeout-Fehler aus.

W

WildGuy

Member
  • Gestern um 16:57
  • #4

Neue Erkenntnis: Bin mal runter auf DH2 (da die Benutzer-Einwahlverbindung anscheinend auch DH2 nutzt).

Resultat: Trotz "enable = yes;" in der VPN-Config hat die Fritzbox nichtmal mit dem Auge gezuckt, sondern einfach garnichts gemacht. Im Log war auch "garnichts" zu finden (keine Fehler, nichts). Was direkt auffällig war: Trotz dem Parameter, war nach dem Import der Config der Haken zwecks Aktivierung erst garnicht gesetzt. Scheint fast so, als würde die Fritzbox bei DH2 schlichtweg den Dienste verweigern. Trotz nachträglicher Aktivierung und versuchtem Zugriff auf das Netz der Gegenstelle hat die Fritzbox einfach nichts gemacht, dementsprechend war auch nichts in den Ereignissen der Fritzbox zu finden, lediglich die VPN-Einwahlen meines Benutzers waren zu sehen.

Nun habe ich die Config wieder auf DH15 umgestellt, beim Import war sofort der Haken vorhanden und die Verbindung wurde auch sofort aufgebaut.

W

WildGuy

Member
  • Heute um 00:00
  • #5

Es scheint auch noch das Problem zu geben, dass die Einstellung mit dem keepalive nicht funktioniert? Die Verbindung bricht ab, die Gegenstelle weiss das auch, nur die Fritzbox scheint das nicht zu interessieren, nach einiger Zeit ohne Verbindung steht der Tunnel dann irgendwann wieder, das ganze spielt sich in unterhalb einer Stunde ab. Lasse ich aber vom Netz der Fritzbox dauerhaft einen Ping auf die interne IP der Gegenstelle laufen, bricht die Verbindung nicht ab. Der Ping lief vorhin knapp 3 Stunden ohne Unterbrechung durch. Sollte der keepalive-Eintrag in der Fritzbox-Config nicht genau das bezwecken?

blurrrr

Well-known member
  • Heute um 00:06
  • #6

Hi,

WildGuy schrieb:

Habe ich eventuell einen Fehler in der oben stehenden Fritzbox-Konfiguration?

auch wenn die letzte Fritzbox-S2S-Config bei mir schon 15+ Jahre her ist, für mich sieht die Config auf den ersten Blick eigentlich ganz ok aus... Sicher, dass das Problem nicht doch am Remote-Standort besteht?

WildGuy schrieb:

Sollte der keepalive-Eintrag in der Fritzbox-Config nicht genau das bezwecken?

Theoretisch schon, via keepalive wird normalerweise in regelmässigen Abständen ein Ping an das angegebene Ziel geschickt, so dass immer ein wenig Traffic durch den Tunnel fliesst.

Du musst dich einloggen oder registrieren, um hier zu antworten.

Fritzbox Site-to-Site-VPN - Zugriff nur aus einer Richtung? (2024)

FAQs

Wo finde ich die VPN Einstellungen FritzBox? ›

Klicken Sie im fritz. box/-Menü auf System und FritzBox-Benutzer. In der Liste klicken Sie neben "MyFritz-Konto" auf das Stift-Symbol. Klicken Sie nun ganz unten auf VPN-Einstellungen anzeigen.

Welches VPN Protokoll nutzt FritzBox? ›

VPN auf Fritzbox mit WireGuard

Doch neben IPSec und OpenVPN wird inzwischen auch das Protokoll WireGuard unterstützt, das eine höhere Geschwindigkeit bietet, sowie eine einfachere Bedienung.

Wie viele VPN Verbindungen kann die FritzBox? ›

Boxen, in denen maximal 20 VPN-Verbindungen eingerichtet sind.

Was bringt eine VPN Verbindung zur FritzBox? ›

AVM VPN bietet einen sicheren Fernzugriff auf Ihre FRITZ!Box. Das bedeutet, dass Sie sich von überall auf der Welt mit Ihrem Heimnetzwerk verbinden und auf Ihre FRITZ!Box zugreifen können, als ob Sie zu Hause wären.

Wie erstelle ich einen VPN Tunnel? ›

  1. Öffnen Sie auf dem Gerät die Einstellungen.
  2. Tippen Sie auf Netzwerk & Internet. VPN. Wenn Sie die Option nicht finden können, suchen Sie nach "VPN". ...
  3. Tippen Sie auf das gewünschte VPN.
  4. Geben Sie Ihren Nutzernamen und Ihr Passwort ein.
  5. Tippen Sie auf Verbinden. Wenn Sie eine VPN-App verwenden, wird diese geöffnet.

Was ist besser IPsec oder WireGuard? ›

WireGuard ist schneller als IKEv2/IPsec, bietet eine stärkere Verschlüsselung und verwendet eine viel kleinere Codebasis. Für die meisten Nutzer wird WireGuard immer die bessere Option sein. IKEv2/IPsec könnte deine bevorzugte Option sein, wenn du ältere Verschlüsselungsmethoden verwenden möchtest.

Wie VPN in FritzBox einrichten? ›

3 VPN-Einstellungen in FRITZ!Box importieren
  1. Klicken Sie in der Benutzeroberfläche der FRITZ!Box auf "Internet".
  2. Klicken Sie im Menü "Internet" auf "Freigaben".
  3. Klicken Sie auf die Registerkarte "VPN".
  4. Klicken Sie auf "VPN-Verbindung hinzufügen".

Wie sicher ist das VPN der FritzBox? ›

Abhängig vom verwendeten Kennwort, sind die VPN-Verbindungen der Fritz!Box sehr sicher. Es sind keinerlei Ports über das Internet geöffnet und Unbefugte können sich nicht verbinden. Fritz!Box-Router unterstützen IPsec mit den Protokollen AH und/oder ESP.

Kann FritzBox OpenVPN? ›

Auch andere, von Internet-Anonymisierungsdiensten verwendete Verfahren (z.B. OpenVPN), werden von der FRITZ!Box nicht unterstützt.

Welche Ports muss ich für VPN freigeben? ›

Welche Ports sind am besten für VPN? Eines der am häufigsten verwendeten Ports für VPN-Traffic ist Port 1194, der vom OpenVPN-Protokoll verwendet wird. Viele VPN-Anbieter bieten jedoch auch die Möglichkeit, andere Ports zu verwenden, wie z.B. Port 443 (für HTTPS-Verkehr) oder Port 80 (für HTTP-Verkehr).

Kann über VPN nicht auf FritzBox zugreifen? ›

Klicken Sie auf "Erweiterte Einstellungen zum Netzwerkverkehr". Aktivieren Sie die Option "Gesamten Netzwerkverkehr über die VPN-Verbindung senden". Klicken Sie zum Speichern der Einstellungen auf "Übernehmen" und bestätigen Sie die Ausführung zusätzlich an der FRITZ!Box, falls Sie dazu aufgefordert werden.

Kann man 2 VPN gleichzeitig nutzen? ›

Kann ich zwei VPNs gleichzeitig verwenden? Ja, und so einfach geht's: Verwende dazu die Flashrouters-App. Richte ein VPN auf deinem Router ein.

Ist FritzBox 7590 VPN fähig? ›

So funktioniert's. Um über die Fritz!Box 7590 in das Firmennetzwerk zu gelangen, fungiert diese als VPN-Client, der sich mit einem VPN-Server verbindet. Dazu muss zunächst der Administrator des VPN-Servers in der Firma eine VPN-Client-Verbindung für die Fritz!Box einrichten.

Ist VPN im eigenen WLAN sinnvoll? ›

Eine VPN-Verbindung sorgt dafür, dass Ihre Daten hier geschützt sind. Im Heimnetzwerk und anderen privaten Netzwerken ist Ihre Privatsphäre weniger gefährdet. Doch auch hier können Sie fremden Blicken ausgesetzt sein, und wenn es nur Unternehmen sind, die Ihr Nutzerprofil erstellen, um Ihnen mehr Produkte zu verkaufen.

Hat man mit VPN besseres Internet? ›

Ein VPN kann auch Ihre Internetgeschwindigkeit verbessern, indem es die Anonymität Ihrer IP-Adresse erhöht. Dadurch wird es für Internetanbieter schwieriger, Ihre Surfgewohnheiten zu verfolgen und Ihre Geschwindigkeit zu drosseln. 5. Ein VPN kann Ihnen auch helfen, Verzögerungen beim Online-Spielen zu verringern.

Wo finde ich VPN Einstellungen? ›

Wählen Sie Start > Einstellungen > Netzwerk & Internet > VPN aus. Wählen Sie neben der VPN-Verbindung, die Sie verwenden möchten, verbinden aus. Wenn Sie dazu aufgefordert werden, geben Sie Ihren Benutzernamen und Ihr Kennwort oder andere Anmeldeinformationen ein.

Wo finde ich den VPN Zugang? ›

Ein VPN auf einem Android Handy einrichten
  1. Wählen Sie zunächst im Auswahlmenü Ihres Handys die App “Einstellungen”.
  2. Wählen Sie die Option VPN – wird diese noch nicht angezeigt versuchen Sie es unter “mehr” oder “Netzwerk & Internet”.
  3. Nachdem Sie “VPN” ausgewählt haben, sehen Sie oben rechts ein “+”.
Feb 19, 2024

Hat FritzBox eine VPN? ›

Mit WireGuard können Sie mit Ihrer FRITZ!Box auch eine VPN-Verbindung zu einem Internet-Anonymisierungsdienst (VPN-Anbieter) herzustellen, sofern dieser WireGuard-Verbindungen unterstützt.

Hat die FritzBox einen VPN? ›

Doch die Fritzbox bietet VPN-Unterstützung für den sicheren Zugriff von unterwegs auf Ihr Heimnetzwerk. Sie können auf die Konfiguration der Fritzbox zugreifen, auf NAS-Speicher oder Dateifreigaben auf heimischen Rechnern, auf Drucker oder Smart-Home-Geräte.

References

Top Articles
Latest Posts
Article information

Author: Dean Jakubowski Ret

Last Updated:

Views: 5598

Rating: 5 / 5 (50 voted)

Reviews: 81% of readers found this page helpful

Author information

Name: Dean Jakubowski Ret

Birthday: 1996-05-10

Address: Apt. 425 4346 Santiago Islands, Shariside, AK 38830-1874

Phone: +96313309894162

Job: Legacy Sales Designer

Hobby: Baseball, Wood carving, Candle making, Jigsaw puzzles, Lacemaking, Parkour, Drawing

Introduction: My name is Dean Jakubowski Ret, I am a enthusiastic, friendly, homely, handsome, zealous, brainy, elegant person who loves writing and wants to share my knowledge and understanding with you.