Fritz 6490 kdg - VPN OK aber kein Inernet Routing möglich

[Krapotke]

Hallo Community
mein KD Zugang mit der Fritzbox 6490 läuft prima. Da ich aus dem Internet auf Dienste meines lokalen Netzes zugreifen muß habe ich mir einen VPN User eingerichtet. Mit dem Iphone kann ich problemlos z.B auf mein lokales NAS zugreifen.
Leider funktioniert jedoch die Anfrage nach Internetseiten nicht, da scheinbar das lokale Forwarding des VPN Servers in der Fritzbox nicht richtig konfiguriert wird.
Das funktioniert weder durch das Erzeugen eines VPN Users mit dem VPN CFG Konfigurator unter Win noch direkt in der Oberfläche der Fritzbox.
Was muß ich tun, damit ich von aussen über meinen VPN Zugang auf die Fritzbox auch Internetseiten angezeigt bekomme?

Ich habe keinen DSLite Zugang sondern eine echte IPV4 UND IPV6 Adresse. Das hat KD schon umgestellt.

Danke

[reneromann]

Das Weiterleiten des Traffics wie du es willst, d.h. komplettes Tunneln des Internetverkehrs wurde vom AVM-VPN noch nie direkt unterstützt.

Das hat nichts mit IPv4/IPv6/Dualstack zu tun, sondern liegt schlichtweg an der fehlenden Unterstützung innerhalb des VPN-Clients und den fehlenden Routen.
Denn für solche Funktionalität muss AM CLIENT erst einmal die Routing-Tabelle entsprechend umgebogen werden [das macht derzeit der Fritz-Client definitiv nicht - und auch andere Clients machen dies zumindest mit der Fritz-Config nicht ohne Weiteres] - und dann muss der Fritz auch noch beigebracht werden, dass die Anfragen, welche von dem Endgerät kommen, auch ordnungsgemäß genattet werden...

Warum du das machen willst, interessiert eigentlich nicht - du solltest nur bedenken, dass die Geschwindigkeit durch diese Aktion sehr begrenzt ist.
Da die Fritz per VPN so max. ca. 10 MBit/s schafft, wirst du auch nicht mehr schaffen -egal wieviel deine Leitung hergeben sollte.
Des Weiteren sollte dir auch bekannt sein, dass die Latenz daduch logischerweise ansteigt -und- das die erreichbare Datenrate insbesondere durch deinen Upload zu Hause begrenzt wird. Wenn's nicht gerade eine 100+ MBit/s-Leitung mit 6+ MBit/s Upload ist, würde ich von diesen Spielchen dringend abraten - bei 1..2 Mbit/s Upload kommt nämlich durch sowas hinten nicht viel mehr als DSL-Light bei raus [schließlich muss über deinen Upload zu Hause dann der Upload deines Endgeräts ins Internet PLUS der Download aus dem Netz zu deinem Endgerät abgewickelt werden].

[Tobi]

@reneromann: Deine Aussage kann ich nicht bestätigen.
Ich habe auf meiner Box zwei Accounts eingerichtet, einen um ins LAN zu kommen und einen, der den Internettraffic über die FB weiterroutet. Erstellt habe ich die Konfig vor einigen Jahren mit dem Windowstool und auf der 6360 genutzt, auf der 6490 mit 06.31er Firmware funktioniert es aber immernoch.

@Krapotke: Guck mal bitte in die .cfg Datei, meine beiden Accounts unterscheiden sich lediglich darin, dass im Abschnitt accesslist ein weiterer Eintrag (untere Zeile) bei dem Account ist, der den Traffic weiterleitet:

Code: Alles auswählen

accesslist = 
"permit ip 192.168.2.0 255.255.255.0 192.168.2.202 255.255.255.255", 
"permit ip any 192.168.2.202 255.255.255.255";

192.168.2.0/24 ist mein LAN-Netz, 192.168.2.202 ist die IP, die das Gerät erhält, welches sich von außen einwählt, dann von der FB bekommt.

[reneromann]

@Tobi:
Klar kann man durch Editieren der Konfig entsprechende zusätzliche Routen zum Endgerät pushen [nichts anderes macht der letzte Eintrag].
Jedoch wird dies seitens des AVM-Tools nicht unterstützt. Und ob das Endgerät damit klarkommt (sprich auch die Routingtabelle so umbiegt, dass aller Traffic -bis auf derjenige zur Fritz selbst- über den Tunnel geht), steht auf einem anderen Blatt.

[Tobi]

Wie bereits in meinem Ursprungspost geschrieben, stammt die Zeile aus einer Konfig, die ich mit dem Windowstool von AVM erstellen lies. Ist also alles "offiziell".

[Krapotke]

Hallo Leute
Vielen Dank für die guten und qualifizierten Antworten.
Bei mir wars auch so dass die mit dem Windows Tool erzeugte cfg kein Routing von Internet Traffic geroutet hat. Ich denke auch das sollte funktionieren mit ein wenig Nacharbeit an der cfg.
@ Tobi
Wie komme ich denn an die cfg in meiner FB ran?
Kannst du mir noch ein wenig mehr aus deiner cfg zeigen damit ich mit meiner vergleichen kann?

Mit den Einschränkungen zur Bandbreite werde ich zurecht kommen. Ich hab hier nen 200MBit Zugang
Danke

[reneromann]

Die Einstellungen in der Fritz lädst du "normalerweise" durch die CFG mit rein...

[Tobi]

Ich habe das "Fernzugang einrichten" Tool von AVM gerade nochmal testweise durchgespielt. Herunterladen kannst du es hier.
Wichtig ist, dass du beim Einrichten diesen Haken setzt:
[img]http://www.bilder-hosting.info/vorschau ... 63450o.png[/img]

Die CFG sieht dann in etwa so aus (Username, Kennwörter, IP Adressen müssten an deine Umgebung angepasst werden):

Code: Alles auswählen

/*
 * C:\Users\VM_User\AppData\Roaming\AVM\FRITZ!Fernzugang\meineFritte_dyndns_com\fritzbox_meineFritte_dyndns_com.cfg
 * Sat Feb 06 13:55:26 2016
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "iPhone";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        key_id = "iPhone";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SharedSecretKey";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "iPhone";
                        passwd = "Kennwort";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255", 
                             "permit ip any 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

[Krapotke]

Danke ich werds testen

[raxxis990]

Guten abend


ich habe genau das gleiche Problem ich komme mit meinem Iphone 6 ios 10.1. auf alle geräte in loacl ebene aber ich kann keine seiten über safari aufrufen

Config ist so wie deine gleiche ip usw .

hat jemand eine ahnung was es noch sein kann.?

Code: Alles auswählen

/*
 * C:\Users\Motte\AppData\Roaming\AVM\FRITZ!Fernzugang\fritz_box\fritzbox_fritz_box.cfg
 * Sun Jan 08 20:30:56 2017
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "ios";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        key_id = "ios";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "12345678909";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "ios";
                        passwd = "K5drvsej7@@";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255", 
                             "permit ip any 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF