Fritzbox 7590 VPN - kein Zugriff auf Netzwerkteilnehmer

D

DSSS1982

New member
Hallo zusammen,

auf meiner FB 7590 nutze ich (noch) zwei Möglichkeiten, um eine VPN-Verbindung zu meinem Heimnetz aufzubauen.
* Die alte Methode über IPSec
* die neue Methode über Wireguard

Früher konnte ich über IPSec von allen Geräten aus (Android, Windows-Desktop) auf meine Geräte im Heimnetz zugreifen, z.B. auf das Dateisystem meines NAS oder seine Benutzeroberfläche.
Geht heute nicht mehr. Auch nicht mehr mit Wireguard.

Ich habe auch schon in Wireguard versucht, über AllowedIP einen Zugriff auf mein NAS zu erreichen. Auch das klappt nicht.

Wireguard ist auf einem Client folgendermaßen konfiguriert:
Code: 
[Interface]
PrivateKey = ...
ListenPort = 51311
Address = 192.168.178.1/24
DNS = 192.168.178.1, fritz.box

[Peer]
PublicKey = ...
PresharedKey = ...
AllowedIPs = 192.168.178.1/32, 192.168.178.26/32
PersistentKeepalive = 25

.1 ist die FB und .26 ist das NAS.

Selbst wenn ich in
Code: 
AllowedIPs=0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
eintrage, klappt es nicht. Ich bekomme auch nur zur Fritzbox einen Ping (kann aber die Benutzeroberfläche mit https://192.168.178.1 nicht erreichen). Pinge ich das NAS an, kommt "Allgemeiner Fehler".

Wurde in der FB mit dem letzten Update etwas geändert, das einen Zugriff auf Geräte im Heimnetz generell unterbindet?
Oder habe ich in der Konfi der FB etwas nicht gesehen? Oder oder oder...?!


Ich brauche diesen Zugriff auf mein NAS von extern. Deswegen stehe ich gerade ziemlich hilflos da. Ich bin schon arg verwundert, dass der Zugriff auf beiden Wegen (IPSec und Wireguard) nicht mehr funktioniert.
 
Zuletzt bearbeitet:
Moinsen,
ich bin weder Wireguard-erfahren noch Spezi diesbezüglich...
Vom vielen stillen Mitlesen zum Thema habe ich aber 2, 3 Fragen:
- du hast einen Endpoint definiert (hier dann entweder die öffentliche IP oder der DynDNS des Routers plus benötigtem Port angeben)?
- wenn du den gesamten Traffic durch den Tunnel schicken willst, warum unter allowed IP nicht gleich die 0.0.0.0/0 als einzigen Eintrag setzen (beinhaltet ja quasi alles)?
:)
Wie gesagt, nur so auf die Schnelle...
 
Hallo,
ich habe mit WG auch meine ersten Erfahrungen gemacht.
Bin derselben Meinung wie @the other:

Allowed IPs auf 0.0.0.0/0 stellen (habe ich bei mir auch so und der gesamte Traffic läuft durch den Tunnel).
Was ich bei dir unter dem Eintrag "Peer" vermisse ist der Eintrag des Endpunktes (siehe Beispiel Screenshot [hier vermutlich mit einer festen IP vom ISP], oder wenn keine feste IP vom ISP, dann mit DynDNS).
1696877746963.png
 
Frank73 schrieb:
Hallo,
ich habe mit WG auch meine ersten Erfahrungen gemacht.
Bin derselben Meinung wie @the other:

Allowed IPs auf 0.0.0.0/0 stellen (habe ich bei mir auch so und der gesamte Traffic läuft durch den Tunnel).
Was ich bei dir unter dem Eintrag "Peer" vermisse ist der Eintrag des Endpunktes (siehe Beispiel Screenshot [hier vermutlich mit einer festen IP vom ISP], oder wenn keine feste IP vom ISP, dann mit DynDNS).
Anhang anzeigen 5245
Zum Vergrößern anklicken....

Sobald ich auf 0.0.0.0/0 stelle, habe ich keine Internetverbindung mehr. Der Eintrag eines Endpunktes hat leider ebenfalls keine Abhilfe geschaffen.

ich verstehe das nicht.

Noch was Komisches.

Auf meinem Android kann ich mit einer WG-VPN-Verbindung ich auf die Weboberfläche meines NAS zugreifen. Aber nicht auf das Dateisystem.
Auf meinem Laptop geht weder das Eine noch das Andere.
 
Moinsen,
ist auf dem NAS ggf. eine Firewall aktiv und falsch eingestellt?
Hast du mal versucht, statt 2 einzelner Allowed IPs den gesamten Bereich als Allowed einzutragen (also 192.168.178.0/24)?
Sind die Netze unterschiedlich (Netzwerk AUS dem du dich einwählst ungleich Netzwerk IN das du dich einwählen möchtest)?
 
the other schrieb:
Moinsen,
ist auf dem NAS ggf. eine Firewall aktiv und falsch eingestellt?
Hast du mal versucht, statt 2 einzelner Allowed IPs den gesamten Bereich als Allowed einzutragen (also 192.168.178.0/24)?
Sind die Netze unterschiedlich (Netzwerk AUS dem du dich einwählst ungleich Netzwerk IN das du dich einwählen möchtest)?
Zum Vergrößern anklicken....
Hi,

* auf dem NAS ist keine Firewall aktiv
* 192.168.178.0/24 führt dazu, dass beim Ping anstatt "allgemeiner Fehler" "Zeitüberschreitung der Anforderung" gemeldet wird
* Natürlich sind die Netze unterschiedlich. Ist das nicht der Sinn eines VPN? Oder habe ich die Frage falsch verstanden? Ich bin gerade nicht zu Hause und möchte Zugriff auf mein NAS. Also ist mein Endgerät in einem anderen Netz als das NAS zu Hause.

So sieht die Konfi gerade aus:


Code: 
[Interface]
PrivateKey = xxx
ListenPort = 51311
Address = 192.168.178.1/24
DNS = 192.168.178.1, fritz.box

[Peer]
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 192.168.178.0/24
Endpoint = xxx.myfritz.net:51311
PersistentKeepalive = 25
 
Was könnte denn der Grund dafür sein, dass auch der Zugriff über IPSec nicht mehr funktioniert? Das ist ja die zweite Baustelle.
 
Moinsen,
da kann ich aktuell auch nur raten: welche Android Version wird denn genutzt?
Wenn diese zu alt ist, dann kann es auch sein, dass das neue Fritz OS eine aktuelle IPsec Version liefert, diese aber ggf. nicht kompatibel zur Version des Handys ist...
BTW: ja, welche Konfiguration hast du denn auf der Fritzbox vorgenommen? Da sind ja AFAIK noch drei Checkboxen die angewählt werden können, u.a. NetBIOS usw., auch die Option den gesamten Verkehr durch den Tunnel zu leiten...
 
Ah sorry ich bin davon ausgegangen das das bei Client auch geht. NetBIOS kannst du aber auch generell deaktivieren um es mal zu testen wird aber vermutlich nichts ändern.
 
Moinsen,

DSSS1982 schrieb:
Natürlich sind die Netze unterschiedlich. Ist das nicht der Sinn eines VPN? Oder habe ich die Frage falsch verstanden?
Zum Vergrößern anklicken....
Ja, ich hab es aber auch blöd formuliert...
Ich meinte, dass bei vpn üblicherweise die IP Bereiche der beiden Netzwerke unterschiedlich sein sollten. Also nicht dass du aus einem 192.168.1.0/24 versuchst per VPN in ein Netzwerk mit gleichermaßen Adressbereich zu kommen.

Mich macht nur immer noch stutzig, dass es weder mit ipsec noch wireguard gehen will, besonders weil ja ersteres schon mal lief. Was hat sich geändert?
Also nochmal für mich vergesslichen Menschen:
Welche fritz OS?
Welche Android Version?
Was läuft auf dem Laptop?
Erreichst du mit der genutzten dyndns auch wirklich im ersten Schritt deinen Router bzw das Zielgerät?
 
the other schrieb:
Moinsen,
da kann ich aktuell auch nur raten: welche Android Version wird denn genutzt?
Wenn diese zu alt ist, dann kann es auch sein, dass das neue Fritz OS eine aktuelle IPsec Version liefert, diese aber ggf. nicht kompatibel zur Version des Handys ist...
BTW: ja, welche Konfiguration hast du denn auf der Fritzbox vorgenommen? Da sind ja AFAIK noch drei Checkboxen die angewählt werden können, u.a. NetBIOS usw., auch die Option den gesamten Verkehr durch den Tunnel zu leiten...
Zum Vergrößern anklicken....
Auf der Fritzbox kann man da nichts konfigurieren. Weder bei WireGuard noch IPSec kann man etwas am NetBios ändern oder Checkboxen anklicken.
the other schrieb:
Moinsen,


Ja, ich hab es aber auch blöd formuliert...
Ich meinte, dass bei vpn üblicherweise die IP Bereiche der beiden Netzwerke unterschiedlich sein sollten. Also nicht dass du aus einem 192.168.1.0/24 versuchst per VPN in ein Netzwerk mit gleichermaßen Adressbereich zu kommen.

Mich macht nur immer noch stutzig, dass es weder mit ipsec noch wireguard gehen will, besonders weil ja ersteres schon mal lief. Was hat sich geändert?
Also nochmal für mich vergesslichen Menschen:
Welche fritz OS?
Welche Android Version?
Was läuft auf dem Laptop?
Erreichst du mit der genutzten dyndns auch wirklich im ersten Schritt deinen Router bzw das Zielgerät?
Zum Vergrößern anklicken....
Die IP Bereiche der beiden Netze (es sind ja sogar drei Netze, denn das Smartphone ist ja auch in einem anderen Netz) sind unterschiedlich.

Das Einzige, was sich geändert hat, ist das Fritz!OS. Wie ich sagte, taucht das Problem auf seit Wireguard im Spiel ist.

Fritz!OS-Version 7.57.

Android 13

Auf dem Laptop läuft WIN10 Prof. Version 22H2 B 19045.3448

Der Router und mein NAS sind über DynDNS im ersten Schritt erreichbar. Es liegt 100 prozentig nicht am DynDNS. Auch nicht an MyFritz.


Ich habe mittlerweile auch mal Wireguard überall deaktiviert bzw deinstalliert und es mit IPSec alleine versucht. Auch das klappt nicht mehr. Dann habe ich in den IPSec-Einstellungen alle Benutzer gelöscht und nur meinen komplett neu angelegt. Auch das hat nichts gebracht.
 
Zuletzt bearbeitet:
Moinsen,
so ich hab es eben mal bei mir hier versucht. Vorgegangen bin ich nach dieser Anleitung von AVM https://avm.de/service/vpn/ipsec-vpn-zur-fritzbox-unter-android-einrichten/

Setting:
fritzbox mit 7.57 > testuser angelegt, dann IPsec nach Anleitung eingerichtet...also alle Schritte wirklich genau so ohne Extras.
Zugriff von Android 13 Handy aus dem Mobilfunknetz auf die Fritzbox funktioniert sofort (wie gewohnt), ich komme direkt über den Browser durch den VPN Tunnel auf die Anmeldeseite der Fritzbox (mit der LAN IP), also alles so wie es soll.
Mangels Geräten im Fritzbox LAN (kein NAS o.a.) keine weitere Testung, da aber der Zugriff auf die Anmeldeseite der Fritzbox selber problemlos klappt (wie gesagt mit ihrer LAN IP), scheint das so zu tun wie erwartet...

Ich traue mich dann nachher erstmalig an eine testweise wireguard Einrichtung und sag Bescheid, ob das auch tut...

Von daher kann ich bzgl IPsec deine Problematik nicht reproduzieren, sorry (bzw. zum Glück ;))....
 
the other schrieb:
Moinsen,
so ich hab es eben mal bei mir hier versucht. Vorgegangen bin ich nach dieser Anleitung von AVM https://avm.de/service/vpn/ipsec-vpn-zur-fritzbox-unter-android-einrichten/

Setting:
fritzbox mit 7.57 > testuser angelegt, dann IPsec nach Anleitung eingerichtet...also alle Schritte wirklich genau so ohne Extras.
Zugriff von Android 13 Handy aus dem Mobilfunknetz auf die Fritzbox funktioniert sofort (wie gewohnt), ich komme direkt über den Browser durch den VPN Tunnel auf die Anmeldeseite der Fritzbox (mit der LAN IP), also alles so wie es soll.
Mangels Geräten im Fritzbox LAN (kein NAS o.a.) keine weitere Testung, da aber der Zugriff auf die Anmeldeseite der Fritzbox selber problemlos klappt (wie gesagt mit ihrer LAN IP), scheint das so zu tun wie erwartet...

Ich traue mich dann nachher erstmalig an eine testweise wireguard Einrichtung und sag Bescheid, ob das auch tut...

Von daher kann ich bzgl IPsec deine Problematik nicht reproduzieren, sorry (bzw. zum Glück ;))....
Zum Vergrößern anklicken....
Dann musst Du Deine Signatur ändern 😜 Da stehen ne DS920 drin und ein Raspy ... 🙃🤣

Danke Dir für Deine Mühe. Bin mal gespannt was bei Deinem Test rauskommt.
 
Moinsen,
so, noch kurz Zeit gehabt....
also eben dann noch erstmalig wireguard auf der Fritzbox eingerichtet für den Einzelzugriff per smartphone.
Auch hier alles nach Originalanleitung von AVM: https://avm.de/service/vpn/wireguard-vpn-zur-fritzbox-am-smartphone-oder-tablet-einrichten/

Ebenfalls mit einer 7.57er Fritzbox, ebenfalls mit einem Android13 Handy, eingerichtet per QR Code...funktioniert aus dem Mobilfunknetz ebenfalls sofort, auch hier direkter Browserzugriff auf die Anmeldeseite der Fritzbox per LAN IP verfügbar.
Kann also deine Problem auch hier nicht nachvollziehen, da es ebenfalls analog zur Anleitung so geht, wie beschrieben.

Raspi und NAS sind jeweils NICHT im Fritzbox LAN IP Bereich, dahinter (auch in der Signatur :p) steht noch ne Firewall, die ihre eigenen IP Bereiche in VLANs aufspannt, dort sind die Geräte dann untergebracht...aber da wollte ich für den schnellen Test nicht ran (und das entspräche ja auch nicht deinem setting)...;)
will dich nicht demotivieren, hat beides je 5 Minuten gedauert, fertig. Irgendwas ist da bei deinem setting nicht ok...

Anschluss bei dir? Dualstack? ds lite?
 
the other schrieb:
Moinsen,
so, noch kurz Zeit gehabt....
also eben dann noch erstmalig wireguard auf der Fritzbox eingerichtet für den Einzelzugriff per smartphone.
Auch hier alles nach Originalanleitung von AVM: https://avm.de/service/vpn/wireguard-vpn-zur-fritzbox-am-smartphone-oder-tablet-einrichten/

Ebenfalls mit einer 7.57er Fritzbox, ebenfalls mit einem Android13 Handy, eingerichtet per QR Code...funktioniert aus dem Mobilfunknetz ebenfalls sofort, auch hier direkter Browserzugriff auf die Anmeldeseite der Fritzbox per LAN IP verfügbar.
Kann also deine Problem auch hier nicht nachvollziehen, da es ebenfalls analog zur Anleitung so geht, wie beschrieben.

Raspi und NAS sind jeweils NICHT im Fritzbox LAN IP Bereich, dahinter (auch in der Signatur :p) steht noch ne Firewall, die ihre eigenen IP Bereiche in VLANs aufspannt, dort sind die Geräte dann untergebracht...aber da wollte ich für den schnellen Test nicht ran (und das entspräche ja auch nicht deinem setting)...;)
will dich nicht demotiveren, hat beides je 5 MInuten gedauert, fertig. Irgendwas ist da bei deinem setting nicht ok...

Anschluss bei dir? Dualstack? ds lite?
Zum Vergrößern anklicken....
Ja gut. Auf die Anmeldeseiten komme ich beim Android auch. Aber beim Laptop nicht.

Die Einrichtung dauerte bei mir nicht länger. Inklusive Löschen waren das vlt 5 Minuten.

Keine Ahnung was da los ist.

Ich werde den AVM-Support kontaktieren.

Danke Dir auf jeden Fall!!
 
Moinsen,
ich reaktiviere auch gleich mal ein altes Raspi und hänge das dort direkt an die Fritzbox...mal sehen, ob ich da dann aufschalten kann. Dauert aber, nebenbei muss ja auch noch die Lohnarbeit getan werden... ;)
 
Moinsen,
sag mal, wenn du es mit dem Laptop (erfolglos) versuchst: die windows firewall Einstellungen sind korrekt? Das ist ja nun auch oft ein Stolperstein, dass überall im Netzwerk gesucht wird nach Fehlern, es am Ende aber mal wieder die böse Windows firewall gewesen ist...

Ergänzung: in meiner wireguard Konfig ist übrigens auch die 0.0.0.0/0 enthalten, das sorgte ja (so ich recht erinnere) bei dir auch für Probleme...
Alles mal bei dir löschen und komplett von Null aus starten?
 
Wenn wir gerade beim Testen sind. Ich hab zwar ein iPhone aber IPSec und Wireguard möglich inklusive Zugriff auf NAS und auch als Netzlaufwerk tut es wie es soll.

WIN 10 PC mit WireGuard das gleiche IPSec hier nicht getestet.

Dein Laptop ist aber nicht mehr im WLAN der FB während du VPN anmachst und testest?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 51 (Mitglieder: 4, Gäste: 47)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.656
Beiträge
47.578
Mitglieder
4.299
Neuestes Mitglied
D'argo

Teilen

Zurück
Oben