VPN-Verbindung zur FritzBox aufgebaut aber kein Zugriff

[Daedalus]

Hallo zusammen!

Ich bin neu hier im Forum und hab ein merkwürdiges Problem mitgebracht das ich nicht verstehe... die Ausgangssituation:

Ich habe eine Fritzbox 6490 Cable mit öffentlicher IPv4, mein Bruder hat ebenfalls eine Fritzbox 6490 Cable mit öffentlicher IPv4.
Beide Fritzboxen sind mit einer LAN-LAN-Kopplung dauerhaft verbunden. Hintergrund ist, ich betreibe in meinem Heimnetz einen RaspberryPi mit ioBroker und greife via ModbusTCP sowohl auf den Heizkessel bei mir zu Hause, als auch auf den Heizkessel meines Bruders zu. Das funktioniert problemlos.
Aus den mit ModbusTCP abgefragten Daten der beiden Heizanlagen stricke ich im ioBroker eine Visualisierung die auf einem Webserver auf dem RaspberryPi als Wesite dargestellt wird. Befinde ich mich mit meinem Mobiltelefon im WLAN meines Heimnetzes kann ich die Website mit der Visualisierung problemlos aufrufen.

Jetzt wärs schick das ganze auch unterwegs abrufen zu können, also: VPN-Verbindung von meinem Mobiltelefon zu meiner FritzBox einrichten. Das habe ich mit IPsec gemacht, die VPN-Verbindung wird vom Mobiltelefon als "verbunden" angezeigt (kleiner Schlüssel wird angezeigt) und in der Fritzbox als aktiv angezeigt.

Aber: Ich kann den Webserver auf dem RaspberryPi mit dem Browser des Mobiltelefons anscheinend nicht erreichen. Das merkwürdige ist: ein Ping vom Mobiltelefon (nur mobile Datenverbindung, VPN aktiv) zum RaspberryPi geht durch, ich bekomme Antwort.

Neben dem Webserver kann ich auch via VNC-Client auf dem Mobiltelefon direkt auf die Heizkessel zugreifen, im Heimnetz kein Problem. Mit mobiler Datenverbindung und verbundenem VPN scheint es mir als würden die VNC-Server der beiden Heizkessel die Verbindung annehmen (beide fragen nach dem VNC-Passwort), aber dann kommt nichts zurück.

Ich bin ratlos was das Problem sein könnte und hoffe ihr könnt mir nen Tipp geben woran das liegen könnte. Wenn noch Informationen benötigt werden, Screenshots aus der Fritzbox-Admin-Oberfläche zum Beispiel mache ich natürlich gern.


Lieben Gruß,
Martin

 

[Stationary]

Aktiviere mal in den Einstellungen Deiner VPN-Verbindung: „NetBIOS über diese Verbindung zulassen“, falls noch nicht geschehen. Könnte daran liegen.
Obwohl, die Einstellung ist für LAN-LAN relevant, wenn ich es mir richtig überlege.
Ansonsten lösche mal die VPN-Einstellungen für das Smartphone und setze die Verbindung neu auf.

 

[Daedalus]

In den Einstellungen der LAN-LAN-Kopplung ist das Häkchen bei

- NetBIOS über diese Verbindung zulassen (für Microsoft Windows Datei- und Druckerfreigaben)

gesetzt, aber die VPN-Verbindung vom Mobiltelefon geht ja zu meiner Fritzbox, nicht zu der gekoppelten Fritzbox.


In den Einstellungen vom "vpnuser" für die VPN-Verbindung vom Mobiltelefon zur Fritzbox finde ich die Option nicht. Hier sind alle Häkchen gesetzt bis auf "FRITZ!Box Einstellungen".


EDIT:
Eben gesehen du hast deinen Beitrag nochmal editiert, jepp, ist demnach nur für LAN-LAN relevant...
Die Verbindung hab ich schon zweimal neu aufgesetzt und mich dabei wie noch nie im Leben drauf konzentriert den Schlüssel richtig einzutippen.


Morgen probiere ich es vielleicht nochmal mit einem anderen Mobiltelefon, vielleicht liegts daran?

 

[blurrrr]

Fritzbox mal neugestartet? Zufällig noch ein anderes Gerät mit den gleichen VPN-Daten eingewählt?

 

[Daedalus]

Fritzbox neustarten hat nichts geändert, und ein anderes Gerät ist bestimmt nicht mit VPN eingewählt, ich probiere zum ersten mal aus das VPN hinzubekommen.

 

[Barungar]

Ein interessantes Phänomen zu dem mir spontan keine Idee kommt. Mein Ansatz wäre auf dem Pi ein tcpdump (im Hintergrund) mitlaufen zu lassen, dass alle IP-Pakete mit Ziel/Quelle VPN-IP des Mobiltelefons aufzeichnen soll. Dann würde ich auf dem Mobiltelefon das VPN starten und mal schauen, was am Pi so wirklich ankommt und was ab-/weggeht. Auch ob es Retransmissions usw. gibt...

 

[Boxenluder]

Ansonsten lösche mal die VPN-Einstellungen für das Smartphone und setze die Verbindung neu auf

Davor kann ich nur warnen, sofern eine bisher funktionierende VPN auf einem Android12 gelöscht wird. Zumeist wurden diese von Android11 her migriert und lassen noch IKEv1 zu. Unter Android 12 sind neue Verbindungen nur noch mit IKEv2 erstellbar, was die Fritz!Boxen 6490 mit Firmware 7.29 nicht können. Mit den aktuellen Laboren 7.39 sehr wohl, wobei auf Wireguard verzichtet werden muss, da die Kernel zu alt sind und AVM das nichtmehr patchen will/kann (Dasselbe gilt auch für die FB6590).

In der Fritzbox kann man einen User neu anlegen, sollte dann aber auf dem Android12 nur die Verbindung bearbeiten und nicht löschen!

Zu dem Problem würde ich mir mal die Access-List der VPN-Verbindungen auf beiden 6490 anschauen und wie der Webserver des Pi dort Berücksichtigung findet -oder ebend nicht?-

Den Abschnitt in der export-datei kannst du "bearbeitet" wieder in den 6490 importieren oder du nimmst den fbeditor von Pikachu für die Änderung der accesslist. Die Syntax wegen Komma und Semekolon beachten.

 

[Daedalus]

Ich weiß leider nicht wie und wo ich die Access-Liste einsehen kann. Aber es gibt Neuigkeiten...


Das Mobiltelefon mit dem ich es versucht habe sagt in den Geräte-Infos:
Build-Nummer: 12.0.0.158(C431E8R1P2)
EMUI-Version: 12.0.0

Wie schon geschrieben wird das VPN augenscheinlich aufgebaut aber es geht (ausser dem Ping ) nix durch.



Habe es dann eben mit einem zweiten Mobiltelefon versucht, dessen Android:
Androidversion: 13 TP1A.220624.014
MIUI-version: 14.0.1.0(TKWEUXM)

Hier wird die VPN-Verbindung vom Android nicht akzeptiert, es erscheint die Meldung "nicht sicher". Liegt vermutlich an der neueren Android-Version die ein VPN via IPsec mit geshartem key ablehnt. Ok, das ist dann so...



Habe inzwischen aber gelesen dass man auch mit der MyFritz-App ein VPN aufbauen kann und das hab ich auf beiden Android-Geräten jeweils über die App eingerichtet. Funktioniert automatisch mit einem Klick in der App wenn das Gerät im lokalen WLAN ist.

Auf dem ersten Gerät wie gehabt, auch die Verbindung wird in der FritzBox als aktiv angezeigt aber es geht nix durch.

Der wilde Teil der Geschichte: auf dem Gerät mit dem Android 13 wird die VPN-Verbindung über die MyFritz-App aufgebaut UND ich erreiche den Webserver auf dem Pi.

Sieht also tatsächlich aus als wäre die FritzBox unschuldig und es liegt am Android auf dem ersten Gerät, so wie du geschrieben hattest.

Die Hoffnung ist dass AVM für meine 6490 Cable (die ist schon aus der Wartung wenn ichs richtig weiß...) trotzdem noch ein Firmware-Update bereitstellt... Oder ein neues Telefon besorgen mit aktuellem Android... Oder ne neue FritzBox... oder,oder,oder...

Aber ich komme erstmal mit wenigstens einem Mobilfunkgerät via VPN in mein Heimnetz. Was (noch?) nicht geht ist dann über diese VPN-Verindung per VNC zum per LAN-LAN-Kopplung ja eigentlich auch erreichbaren Kessel meines Bruders zu kommen. Das ist erstmal halb so wild, aber vielleicht findet sich dafür auch noch eine Lösung.


Auf jeden Fall schonmal Danke für eure Unterstützung!
Martin

 

[Boxenluder]

Ich weiß leider nicht wie und wo ich die Access-Liste einsehen kann

Wie bereits beschrieben, findest du die dazu erstellten VPN-Credentials in der *.export-Datei. Mit einem Linuxkonformen Editor e.g. Notepad++ kannst du suchen und den Abschnitt als Datei speichern. Dort findest du auch die accesslist

Ein Bsp.aus einer 6490 mit 2 VPN-User

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "Pi";
                boxuser_id = 10;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "$$$$-Ausblenden";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$-Ausblenden";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "$$$$-Ausblenden";
                        passwd = "$$$$-Ausblenden";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.178.201 255.255.255.255";
                app_id = 0;
        } {
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "Mimi";
                boxuser_id = 11;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.202;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "$$$$-Ausblenden";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$-Ausblenden";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "$$$$-Ausblenden";
                        passwd = "$$$$-Ausblenden";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.202;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.178.202 255.255.255.255";
                app_id = 0;
        }
}

Mit korrekter Syntax kannst du eine so abgeänderte vpn.txt als VPN-Verbindung importieren. Die verschlüsselten $$$$.... können auch als Klartext gespeichert sein. Beides versteht die 6490. Nur beim Veröffentlichen xxx-en, da (fast-)jeder das decrypten kann und Zugriff bekäme.

Zu den Androiden: Die kostenpflichtige APP VPNCilla (14 Tage kostenloses Trial) beherrscht noch IKEv1. Nur die interne VPN-funktion, unterstützt bei neu einzurichtenden Verbindungen ausschliesslich IKEv2 unter Android >=12. Deshalb hüte ich meine 2 alten Verbindungen wie ein Augapfel und ändere nur die keys bzw. User und dydndns um auf unterschiedliche Fritzboxen zugreifen zu können.

Bist du dir sicher, daß ihr beide eine öffentliche IP habt?

Ich habe eine Fritzbox 6490 Cable mit öffentlicher IPv4, mein Bruder hat ebenfalls eine Fritzbox 6490 Cable mit öffentlicher IPv4

Deine Tests über MyFritz zeugen eher von DS-Lite (zumindest bei einer der beteiligten 6490) und der IPv6-Schiene.
In den jeweiligen MyFritz-Accounts siehst du ja, ob IPv6 aktiviert bzw. bekannt. Ansonsten mal in beiden Heimnetzen
https://ipv6-test.com aufrufen. Dort siehst du, was am jeweiligen Anschluss eingestellt/möglich ist.

Nachtrag: Bei wenigstens einer öffentlichen IPv4, kann eine LAN-LAN-Verbindung eingerichtet werden. Der Tunnel wird dabei immer von der DS-Lite-Seite aufgebaut (als Initiator) und von der IPv4-Seite angenommen (als Responder). Verfügen beide Seiten über IPv4, können Tunel wechselseitig aufgebaut werden.

 

[Daedalus]

Bist du dir sicher, daß ihr beide eine öffentliche IP habt?

Deine Tests über MyFritz zeugen eher von DS-Lite (zumindest bei einer der beteiligten 6490) und der IPv6-Schiene.

Ja, da bin ich sicher, habe aber die von dir genannte Seite aufgerufen und die sagt IPv6 "Not supported". Für das Heimnetz meines Bruders gilt das gleiche, ist auch IPv4.

Die LAN-LAN-Kopplung steht ja bereits und funktioniert, d.h. aus meinem Heimnetz heraus erreiche ich beide Kessel unter ihren privaten IP-Adressen. Lediglich vom Mobiltelefon mit aktiviertem VPN zu meiner Fritzbox erreiche ich den entfernten Kessel nicht. Aber das brauche ich zum einen nicht unbedingt, zum anderen glaube ich irgendwo gelesen zu haben dass das prinzipiell nicht geht, also per VPN zur FritzBox1 und dann weiter per LAN-LAN zu Geräten im Heimnetz der FritzBox2.

Mit korrekter Syntax kannst du eine so abgeänderte vpn.txt als VPN-Verbindung importieren. Die verschlüsselten $$$$.... können auch als Klartext gespeichert sein. Beides versteht die 6490. Nur beim Veröffentlichen xxx-en, da (fast-)jeder das decrypten kann und Zugriff bekäme.

Das heißt ich könnte so theoretisch eine funktionierende VPN-Verbindung in meine FritzBox importieren die beide Mobilgeräte akzeptieren und verwenden können?

 

[Boxenluder]

Poste doch einfach mal den Abschnitt der accesslist für den VPN-User auf deiner 6490 und der des Bruders.

Du kannst dann die entsprechende Accesslist erweitern, sodass du als VPN-User auf deiner Fritzbox auch kompletten Zugriff auf das Heimnetz der brüderlichen 6490 bekommst.

Einfacher wäre es, du würdest auf der brüderlichen 6490 für dich einen weiteren VPN-User einrichten, und somit aus dem Mobilfunknetz direkt dort aufschlagen.

Für deine Zwecke würde ich mal den fbeditor versuchen (falls die2FA noch abgeschaltet bzw. abschaltbar) und die accesslist um ein weiteres "permit ip"-Pärchen ergänzen. Du kannst es durch ein Komma getrennt anfügen vor dem letzten Semekolon.

Die Syntax im Groben "permit ip Quell-IP Netzmaske Ziel-IP Netzmaske" wobei 0.0.0.0 auch durch any ersetzt werden kann.

Solche Pärchen kannst du über Netzmaske steuern oder eben auch auf eine dezidierte Ziel-IP eines Pärchens -hier der brüderliche Kessel oder ein Raspi- im brüderlichen Heimnetz.

Damit kann man Berechtigungen recht fein granuliert steuern, wenn man möchte.

Wichtig nur, falls du etwas falsch machst, die funktionierenden *.export-Dateien gut sichern und wegpacken.

Falls du seinerzeit die AVM-Zusatzsoftware zur Erstellung der VPN-Konfigs verwandt hast, dort auch die ggfs. versteckten Pfade bzw. Konfigs sichern.

 

[Daedalus]

Hier ist der Abschnitt aus meiner 6490 mit vier Einträgen, die LAN-LAN-Kopplung, der vpnuser und dann die MyFRITZ!App Einträge der beiden Mobiltelefone.

Die LAN-LAN-Kopplung funktioniert, wie schon erwähnt mit der Einschränkung dass ich (von dem Android 13 Mobiltelefon aus) mit aktiver VPN-Verbindung (die der MyFritzApp) in mein Heimnetz komme, von dort aber nicht via LAN-LAN weiter zu Geräten im Heimnetz des Bruders. Aber das ist erstmal nicht so wichtig, ggf. wie du schreibst dann eine VPN-Verbindung zur FritzBox meines Bruders einrichten wenn ich das noch brauche.
Oder die Access-Liste erweitern, das wäre wenns klappt natürlich eleganter. Dazu müsste der zusätzliche Eintrag in meine FritzBox und/oder in die meines Bruders rein? Editieren des .export-files geht nur mit dem von dir verlinkten FBEditor?

HUAWEI YAL-L21 ist das ältere Mobiltelefon mit Android 12, hier gabs das merkwürdige Verhalten dass die Verbindung aufgebaut wird aber nix durchgeht (vpnuser und MyFritzApp).

Xiaomi 21081111RG ist das Gerät mit Android 13, hier lehnt Android die vpnuser-Verbindung ab, aber die MyFritzApp VPN-Verbindung funktioniert.

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "LAN LAN Kopplung";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "xxxxx.myfritz.net";
                keepalive_ip = 192.168.178.1;
                localid {
                        fqdn = "$$$$xxxxx";
                }
                remoteid {
                        fqdn = "$$$$xxxxx";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$xxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0";
                app_id = 0;
        } {
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "vpnuser";
                boxuser_id = 10;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.10.201;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "$$$$xxxxx";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$xxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "$$$$xxxxx";
                        passwd = "$$$$xxxxx";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.10.201;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.10.201 255.255.255.255";
                app_id = 0;
        } {
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "MyFRITZ!App (HUAWEI YAL-L21)";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.10.202;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "$$$$xxxxx";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$xxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "$$$$xxxxx";
                        passwd = "$$$$xxxxx";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.10.202;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.10.202 255.255.255.255";
                app_id = 33;
        } {
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "MyFRITZ!App (Xiaomi 21081111RG)";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.10.203;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "$$$$xxxxx";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$xxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "$$$$xxxxx";
                        passwd = "$$$$xxxxx";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.10.203;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.10.203 255.255.255.255";
                app_id = 73;
        }

An das .export-file der FritzBox meines Bruders komm ich ich erst heut Abend ran.

Falls du seinerzeit die AVM-Zusatzsoftware zur Erstellung der VPN-Konfigs verwandt hast, dort auch die ggfs. versteckten Pfade bzw. Konfigs sichern.

Meinst du mit AVM-Zusatzsoftware die MyFritzApp auf den Mobiltelefonen mit denen ich die beiden VPN-Verbindungen eingerichtet habe?


Auf jeden Fall ein dickes Dankeschön für deine Unterstützung!

 

[Boxenluder]

mit der Einschränkung dass ich (von dem Android 13 Mobiltelefon aus) mit aktiver VPN-Verbindung (die der MyFritzApp) in mein Heimnetz komme, von dort aber nicht via LAN-LAN weiter zu Geräten im Heimnetz des Bruders.

Genau das ist der Punkt. Die VPN-Verbindung wird nicht mit der internen VPN-Funktion des Xiaomi konfiguriert, sondern über die MyFritzAPP, die ähnlich wie die VPNCilla-APP mit IKEv1 umgehen kann. Dabei fungiert der MyFritz-Service imho nicht nur als schlichter DynDNS-Service, sondern kann wohl auch mit der Umsetzung von IPv6 (wird zumeist in Mobilfunknetzen genutzt) auf IPv4 und den Einstellungen der beteiligten Frtz!Boxen umgehen.

Da in den aktuellen Labor-Firmwares 7.39 respektive 7.5x-Releases die vpn.cfg bei Version 3 angekommen ist, bin ich mir nicht ganz sicher, welche Änderungen in deiner vpn.cfg akzeptiert werden.

Zur Syntax ein Bsp. von AVM, wo es um die Verkettung mehrerer VPN-LAN-LAN-Netze geht.

https://avm.de/service/wissensdaten...-IP-Netzwerke-hinter-der-FRITZ-Box-zugreifen/

Das Ganze lässt sich natürlich auch auf einzelne IPs respektive Clients anwenden, wobei nach meiner Erinnerung, bei nicht konformer Syntax, die VPN.txt nicht importiert wird über das GUI.

Wenn des Bruders Kessel Bsp.-weise die 192.168.178.15 (fest) hat, könntest du für die Fritz-APP ein dezidiertes permit-Pärchen aufsetzen und versuchen.

 "permit ip 192.168.10.203 255.255.255.255 192.168.178.15 255.255.255.255"

Somit kannst sehr genau steuern, welche IP aus deinem Heimnetz auf alle oder ebend nur bestimmte IPs des brüderlichen Heimnetzes Zugriff bekommt. Das geht zum Einen über die Netzmaske und/oder Einzelpärchen aneinandergereit und nur durch ein Kommata getrennt. Am Ende steht dann das Semekolon.

Nur bitte sorgsam zuvor die *.export bzw. den vpn.cfg-Abschnitt wegpacken und als Reserve jeweils den Fernzugang aktiviert halten, falls du nicht gleichzeitig physisch Zugriff auf beide 6490 hast.
Gleichfalls gilt es zu bedenken, daß die einmal aktivierte 2FA
-(in neueren Firmwares automatisch aktiviert und nichtmehr abschaltbar ist, sofern nicht übernommen beim Firmware-Update oder "Import einer *.export-Datei" nach einem Werksreset)-
gerade bei VPN und Nutzerrechten eine AUTH-APP benötigt oder eine physische "Knöpfchen-Drück-Person".

Vorab solltest du aber prüfen, ob auf beiden Boxen die Option mit der gegenseitigen Kommunikation erlaubt ist.

Eigentlich ist durch

 "permit ip any 192.168.178.0 255.255.255.0"

des Bruders Heimnetz freigegeben. Auch für die Fritz!APP 192.168.10.203. Ich schätze, da klemmt es an dem MyFritz-Service?

Ich nutze einen anderen DynDNS und die Android-implementiere VPN-Funktion und komme damit sowohl auf eine enfernte 6490 und u.a. auf eine dortige einfache WLAN-Cam (D-Link DCS T8000), die mal in einem Smarthome-Konvolut über war.

Aktuell, auch wenn die 6490/6590 Wireguard nicht unterstützen, sieht man die IKEv2-Unterstützung in den 6490-Laborfirmwares.

vpncfg {
        vpncfg_version = 3;
        global {
                wg_listen_port = 0;
        }
        connections {
                enabled = yes;
                editable = no;
                use_ikev2 = no;
                conn_type = conntype_user;
                name = "Tester 0";
                boxuser_id = 11;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                remoteip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 192.168.173.201;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "$$$$";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$...";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "$$$$...";
                        passwd = "$$$$...";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.173.201;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.173.201 255.255.255.255";
                app_id = 0;
                wg_persistent_keepalive = 0;
                wg_slave_network = 0.0.0.0;
                wg_slave_mask = 0.0.0.0;
                wg_hide_network = no;
                wg_fulltunnel = no;
                wg_configured = no;
        } {
                enabled = no;
                editable = no;
                use_ikev2 = no;
                conn_type = conntype_user;
                name = "Tester1";
                boxuser_id = 12;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = ::;
                remoteip = ::;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 192.168.173.202;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "$$$$...";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$...";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "$$$$...";
                        passwd = "$$$$...";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.173.202;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.173.202 255.255.255.255";
                app_id = 0;
                wg_persistent_keepalive = 0;
                wg_slave_network = 0.0.0.0;
                wg_slave_mask = 0.0.0.0;
                wg_hide_network = no;
                wg_fulltunnel = no;
                wg_configured = no;
        }
}

Weiter oben in der export wird auf die accesslist-version 4 hingewiesen, was auch Auswirkungen auf die "handgeschnitzen" VPN.cfg`s haben kann.
Inwieweit die Version der MyFritz!APP (Android) daran beteiligt ist bei dir, kann ich nur vermuten. U.U. hilft ein Downgrade via APK.
Meines Wissens kann die APP jeweils nur eine Fritz!Box verwalten, was dann die Verwendung für die eigene und brüderliche Box erschwert.
Falls die beiden 6490 freie/eigene Boxen sind (in dem Fall ist der Update-Punkt im GUI sichtbar), könnte eine aktuelle Laborversion schon das Android12-Problem elegant lösen. Zur Not kann man über den Bootloader auf die 7.29 zurückschalten.
Der Link sollte ja bekannt sein.
https://download.avm.de/inhaus/MOVE21NL1/6490Cable/FRITZ.Box_6490_Cable-07.51-103117-Inhaus.image

Nur mal als Anschaungsmaterial zu dem Update-Punkt und den beiden Partionssets für die Firmwares

Meinst du mit AVM-Zusatzsoftware

Das meiste lässt sich mittlerweile ja im GUI einstellen bzw. generieren. Die AVM-Software https://avm.de/service/vpn-neu/downloads/ ist/war ja vorwiegend für Windows-Clients gedacht, wobei wohl auch LAN-LAN-cfg`s damit erstellbar sind.

Da die 64Bit-Version lange aufsich warten ließ, bin ich vor langer Zeit auf den Shrew-Soft-Client [/code]umgestiegen, der auch unter W10 macht, was er soll.

 

[Daedalus]

Der Vollständigkeit halber hier jetzt auch die vpncfg der zweiten FritzBox:

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "LAN LAN Kopplung";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "xxxxx.myfritz.net";
                keepalive_ip = 192.168.10.1;
                localid {
                        fqdn = "$$$$xxxxx";
                }
                remoteid {
                        fqdn = "$$$$xxxxx";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$xxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.10.0 255.255.255.0";
                allowed_vpn_clients {
                        ipaddr = 192.168.178.87;
                        mask = 255.255.255.255;
                } {
                        ipaddr = 192.168.178.91;
                        mask = 255.255.255.255;
                } {
                        ipaddr = 192.168.178.89;
                        mask = 255.255.255.255;
                }
                landevice_uids = "landevice8741", "landevice1377",
                                 "landevice1309";
                app_id = 0;
        }

Die VPN Verbindung, also die LAN-LAN-Kopplung, dürfen im Heimnetz des Bruders nur drei Geräte verwenden:
192.168.178.87 ist mein Laptop im anderen Heimnetz
192.168.178.89 ist das FritzPowerline über das der Kessel Zugang zum Heimnetz bekommt, das hatte ich ganz vergessen!
192.168.178.91 ist der Kessel

Vorab solltest du aber prüfen, ob auf beiden Boxen die Option mit der gegenseitigen Kommunikation erlaubt ist.

Da muss ich mal suchen wo ich das finde...


Aber wenn ich das jetzt richtig verstehe müsste ich, den beiden access-Listen nach, eigentlich auch mit dem vpnuser oder den MyFritzApp-Freigaben (192.168.10.201/2/3) bis zum Kessel im anderen Netz kommen.
Vielleicht spuckt uns aber auch das PowerLine in die Suppe, das hatte ich komplett verdrängt dass es das auch noch gibt, anders bekomme ich den Kessel aber nicht online, weil WLAN kann er nicht. Um das zu testen kann ich aber beim nächsten Besuch mal ein langes Netzwerkkabel in den Keller legen. Wenn das an der Stelle wenigstens Abhilfe schafft kann ich mir überlegen wie ich ein Netzwerkkabel dauerhaft in den Keller verlegen kann...

Die FritzBoxen sind Leihgaben vom Provider, also kein Eigentum, auf dem Reiter Neustart kann ausser neu starten nichts ausgewählt werden. Damit bin ich wohl vom Provider abhängig welche Firmware bereitgestellt wird... Naja, freundlich fragen kostet ja nix.
Wenn die noch nicht freigegebene Labor-Firmware deiner Meinung nach das Problem schon lösen könnte wärs auf jeden Fall einen Versuch wert denke ich.
Das Erlauben von Änderungen an der FritzBox durch eine "Knöpfchen-drück-Person" vor Ort ist mir bekannt, da dran solls im Fall des Falles aber nicht scheitern, da genügt ein Anruf wenn der Knöpfchendrücker denn auch zuhause ist.

Also seh ichs richtig dass an den vpncfg's nix mehr zu drehen ist weil die benötigten permits ja schon drin sind?
Besonders glücklich war ich nicht die MyFritzApp benutzen zu müssen, und dass das Ding wie du schreibst auch nur eine FritzBox verwalten kann, ich also nicht ohne weiteres damit ein zweites VPN zu der anderen Fritzox einrichten kann, verstärkt diesen Eindruck nur noch.

Dann ruf ich morgen früh gleich bei meinem Provider mal an und frag ob man da was machen kann mit der neuen Firmware...

Riesigen Dank und lieben Gruß,
Martin

 

[Boxenluder]

Hast du denn Mal eine cfg ohne die 3 VPN-Clients versucht? Nach meinem Verständnis gestattet du diesen Zugriff auf dein 10er Netz was einschränkend auf 192.168.10.201/2/3 wirken kann, da die den Tunnel ja in Gegenrichtung aufbauen. Falls Recht in Erinnerung hat die "engste" Regel in der acceslist Vorrang. In dem Fall würde ich den Zugang mit der Fritz!APP in des Bruders Box einrichten. Dann solltest du von aussen auch in dein 10er Netz kommen.
Ansonsten gibt es ja auch Netzwerkspezialisten hier, die mich ggfs. berichtigen.

 

[Daedalus]

Hast du denn Mal eine cfg ohne die 3 VPN-Clients versucht?

Eben probiert, ich habe in der LAN-LAN-Kopplung der anderen FritzBox das Häkchen bei "nur bestimmte Geräte nutzen die VPN Verbindung" rausgenommen, das Ergebnis ist leider das gleiche, vom Mobiltelefon komme ich über das VPN und dann der LAN LAN Kopplung nicht zum Gerät im anderen Heimnetz.

In dem Fall würde ich den Zugang mit der Fritz!APP in des Bruders Box einrichten. Dann solltest du von aussen auch in dein 10er Netz kommen.

Das kann ich beim nächsten Besuch ausprobieren, dazu muss das Telefon dort im WLAN sein. Aber du denkst "andersrum" könnte es besser funktionieren? Also VPN zur anderen Fritzbox und von dort in mein Heimnetz? Kann ich ausprobieren, aber das wär ja schon ein Umweg für die meisten Anfragen die vom Mobiltelefon kommen, der RasPi mit der Visualisierung etwa befindet sich ja in meinem Heimnetz.

 

[Boxenluder]

Naja. Die Übertragung von Messwerten und die Visualisierung dürften imho die jeweiligen Uploads zwischen den Boxen nicht übermäßig beanspruchen, sodaß der finale Upload auf dein Smartphone nach "draußen" idS kaum eine übergebührliche Belastung darstellt, egal, ob dies auf deiner oder des Bruders Box angestoßen wird.
Was du nochmal testen kannst ist, ob du aus einem fremden WLAN -vorzugsweise IPv4- Zugriff bekommst. Ich habe gelegentlich Probleme mit dem Standard-APN der Telekom, wobei ein Umschalten auf Vodafone dank Dual-SIM sofort funktioniert.

 

[Daedalus]

Habs gestern ausproiert mit der VPN-Verbindung (MyFritzApp) zur Box meines Bruders. Gleiches Ergebnis, so erreiche ich die Geräte in seinem Heimnetz, die Geräte in meinem aber nicht mehr. Aus nem dritten WLAN heraus das mal zu probieren steht noch aus, mache ich bei Gelegenheit.
Ansonsten bleibt ja noch der Versuch die Labor-Firmware zu bekommen, mal schauen was da bei rauskommt.
Auf jeden Fall ist das Hauptproblem ja gelöst: Ich komme mit einem meiner Mobilgeräte per VPN in mein Heimnetz.

Ein riesen Dankeschön für die Unterstützung!!!