VPN Zugriff über Fritzbox an Zwangsrouter

Bei mir gleicher Netzwerkaufbau.

Hast du dem support mitgeteilt, dass die dir am "Zwangsrouter" eine portweiterleitung für port 1723 (VPN) auf die Frotzbox einrichten sollen?
Ansonsten hört dein vpn server zwar auf dem port, aber es kommt dort einfach nichts an.

Eine ähnliche portweiterleitung am "zwangsrouter" muss ja bereits für den miniserver eingerichtet worden sein, sonst würde es ja auch nie funktioniert haben.
Hast ja auch so geschrieben, dass es eine gibt.
Du hast jedoch nichts erwähnt, dass es eine auf die fritzbox (port 80, 1723, ...) gibt.

Ich kann genauso wenig wie du auf meinen router zugreifen. Die portweiterleitung musste auch mein support einrichten. wird bei dir nicht anders sein. Irgendwer muss das ja für den Miniserver auch gemacht haben.

Tja, kompliziert. Mein Internetprovider ist nicht der, der den Anschluss bereitstellt. Der Support hat mir damals lediglich diese IP mitgeteilt, welche vom Anschlussbereitsteller für Servicezwecke genutzt wird und anscheinend "offen" ist. Mein Internetprovider kommt auch nicht auf den Zwangsrouter bzw. weiß/bekommt die Zugangsdaten nicht.

Das einzige was ich gemacht habe, ist an der Fritzbox den Port des Miniservers weiterzuleiten und freizugeben und dann hat es funktioniert.
Aber zumindest scheint meine Logik zu stimmen. Wenn's gar nicht ginge, wäre es mit dem Miniserver bisher ja auch nicht gegangen. Sollte ich versuchen an der Fritzbox den 1723 Port freizugeben? Aber für wen und wohin? Kann man das denn global machen?

Hä? was soll an einer internen IP "alles offen" sein? 10.0.x.x
schon mal geschaut wohin du da gelangst? vielleicht zum webinterface vom router

Hab bei mir auch gleich mal nach 10.x.x.x suchen müssen. welche ip ist das bei dir? ist ja intern, darum kannst es ruhig verraten.
kann dir ja auch verraten dass mein satreceiver intern 195.168.0.115 hat bringt dir eh nichts.

@manueleltoro: Welche VPN Variante verwendest Du denn? TCP Port 1723 wird von PPTP verwendet. Falls Du IPSec VPN verwendest, dann werden UDP Port 500, 4500 verwendet.

Auf Deinem Zwangsrouter scheint es zumindest eine Portweiterleitung für TCP 80 zu geben, denn mit einer weiteren Weiterleitung auf Deiner Fritzbox an den MS kannst Du ja von Extern auf diesen zugreifen. Die Frage ist, welche Ports auf Deinem Zwangsrouter geöffnet bzw. an die IP-Adresse der Fritzbox weitergeleitet werden. Vielleicht ist Dein Zwangsrouter so eingestellt, dass alle (oder fast alle) Ports auf die IP-Adresse 10.0.0.17 weitergeleitet werden?

Um etwas mehr Licht ins Dunkel zu bringen, könntest Du ein paar Details Deiner VPN Konfiguration posten. Sofern die Fritzbox selbst die VPN Verbindung terminiert (was ich anhand Deiner Beschreibung annehme) und nicht ein dahinterliegender Loxberry in Deinem internen Netz, dann brauchst (und darfst) Du KEINE Portweiterleitung auf Deiner Fritzbox einrichten. Der Zwangsrouter muss die benötigten Ports natürlich weiterleiten, aber an dem kannst Du ja nichts ändern.

Hier noch einen Möglichkeit für "advanced Troubleshooting", um festzustellen, was Dein Zwangsrouter weiterleitet: Du könntest z.B. mit der URL http://fritz.box/html/capture.html von intern ein Paketmitschnitt auf Deiner FritzBox starten, dort das WAN/Internet Interface auswählen und Pakete aufzeichnen. Dann mit einem anderen PC im Internet (der NICHT in deinem LAN/WLAN ist) per nmap ein Portscan auf Deinen öffentlich erreichbaren FQDN (Dyn-DNS Namen) durchführen. Die öffentliche IP-Adresse dieses PCs kannst Du z.B. über die URL "www.wieistmeineip.de" herausbekommen. Den Paketmitschnitt der Fritzbox dann stoppen und mit Wireshark auswerten. Dort kannst Du die öffentliche IP-Adresse des PCs mit dem Portscan im Feld Filter mit "ip.addr==1.2.3.4" eintragen (1.2.3.4) musst Du natürlich durch die IP-Adresse ersetzen. Wenn Ports von Deinem Zwangsrouter weitergeleitet werden, dann solltest Du Pakete sehen.

Du könntest mit Deinem iPhone ebenfalls die URL www.wieistmeineip.de aufrufen, einen Paketschnitt wie oben angegeben starten und dann das VPN starten. Mit dem entsprechenden Filter im Wireshark solltest Du Pakete sehen.

Gruß Jan

Hallo Jan, danke für den ganzen Input, werde ich am Wochenende mal versuchen.

Ich habe gestern Abend noch getüftelt und gegoogelt und einen interessanten "interim" Workaround gefunden, vielleicht könnt ihr auch daraus schließen was das Problem ist.

Die Konstellation bzw. das eigentliche Problem ist wie folgt: Wie schon beschrieben, der Zwangsrouter hängt an der Glasfaser und baut ein 10.0.0.xxx Netz auf. Die Fritzbox nimmt sich das Internet über LAN1/WAN und verteilt es intern weiter über 192.168.0.xxx. Die Fritzbox hinter dem Zwangsrouter sieht die öffentliche IP nicht und sendet nur die interne des Zwangsrouters (eben die 10.0.0.17) an den DynDNS Dienst, weshalb ich extern natürlich keinen Zugriff erhalte. Auch im Interneteintrag in der Fritzbox steht diese IP als externe IP. Wie Jan schreibt, hat der Zwangsrouter auf 10.0.0.17 wohl mindestens den 80er Port offen, vielleicht sogar weitere, werde ich wie gesagt testen. Habe gestern eine Weile nach einem Workaround gesucht, sodass die Fritzbox doch irgendwie die öffentliche Adresse am Zwangsrouter sieht - diesen scheint es allerdings nicht zu geben.

Zudem konnte ich mich gestern Nachmittag auf einmal nicht mehr von meinem Handy extern mit dem Miniserver verbinden (über Loxone DNS Dienst und Port Forwarding). Das erste Mal seit über einem Monat. Zuhause habe ich dann gemerkt, dass sich wohl meine öffentliche IP geändert hat, aber der Loxone dyndns Dienst immer noch die vorhergehende gemeldet hat. Versuchsweise in der Config dann die aktuelle IP eingegeben und alles läuft wieder. Natürlich möchte ich nicht jedesmal wenn sich die IP ändert das manuell nachtragen, grad weil ich auch nicht weiß wie oft das passiert. Ich frage mich auch wie das bisher funktioniert hat, da das System seit Mitte Februar läuft und ich mal davon ausgehe, dass sich die IP seitdem mehrmals geändert hat. Zum Beispiel war heute morgen wieder eine andere als gestern Abend.

Mein Workaround:
Ich betreibe an der Fritzbox auch eine Synology NAS auf welche ich extern (noch) per Synology eigenem DynDNS Dienst und Port Forwarding zugreife. Lustigerweise aktualisiert dieser Dienst immer korrekt die öffentliche IP, obwohl die NAS - genauso wie der Miniserver - hinter der Fritzbox liegt. Habe nun den DynDNS der Synology beim Miniserver eingetragen und siehe da, die öffentliche IP wird auch heute morgen korrekt aktualisiert. Dieser Workaround funktioniert also, aber dafür muss meine NAS non-stop laufen, was ich eigentlich nicht möchte. Der Zugriff gelang erst als ich meine NAS heute morgen hochgefahren habe und sich der DDNS wohl aktualisiert hat.

Habe dann testweise ein VPN on demand mit der Fritzbox und dem synology DDNS aufgebaut und es klappt problemlos. Wunderbar! Nur bleibt eben das Problem, dass ich die NAS nicht immer laufen lassen will.

Was ich nun nicht verstehe und ich hoffe ihr könnt mir da weiterhelfen:
- Wieso sieht der Synology DDNS Dienst die öffentliche IP und aktualisiert sie korrekt?
- Wieso sieht der Loxone-eigene DNS Dienst anscheinend die IP nicht (oder nicht mehr) und aktualisiert sie nicht korrekt?
Wie gesagt hängen beide, Miniserver und NAS, an der Fritzbox hinter dem Zwangsrouter. Dann wäre auch noch die Frage ob der Loxone DNS Dienst auch weiterhin läuft, wenn ich VPN nutze und somit nur den internen DNS Namen im Miniserver als externe Adresse eintrage...

Mein Ziel wäre VPN on demand für den Miniserver und die NAS zu benutzen und dabei den Loxone DNS Service zu nutzen (da der Miniserver sowieso kontinuierlich läuft). Der DNS Dienst der Fritzbox fällt wie oben erwähnt ja leider flach bei der Konstellation.

Falls es euch hilft meine Fritzbox sieht die Öffentliche IP obwohl ich ein Modem mit eigenem IP Bereich vorgeschaltet habe.
Fritzbox Plugin auf dem Loxberry V1 mit:

So, da es mit dem DynDNS Dienst des NAS funktioniert hat, ist ja nun auch klar, das der Provider nichts blockt, sonst hättest Du so auch kein VPN aufbauen können.
Warum der Loxone DynDNS nicht mehr geht kann ich Dir nicht sagen, doch ein DynDNS Dienst muss Deine öffentliche Adresse nicht kennen. Er verbindet sich schließlich mit dem Server des DynDNS und da kommst Du mit der öffentlich Adresse an. Er kennt also Deine öffentliche Adresse auf jeden Fall.
Nur gut, dass Jan den Port 1723 schon auf geklärt hat, das wäre ja nie der Lösungsweg geworden.
So wie ich das sehe, hast Du einfach irgendwo Murks in Deiner Konfiguration. Tragen wir also mal zusammen:
Wenn Du den DynDNS Dienst des NAS nutzt, geht das VPN. Der DynDNS Dienst übersetzt ja nur einen fqdn zu einer IP. VPN Client fragt die IP ab und baut die Verbindung zu der entsprechenden IP auf. Damit wird korrekt von der öffentlichen IP zur Fritzbox durchgeroutet. Nimmst Du einen anderen DynDNS Dienst geht es nicht. Das heißt, dass wahrscheinlich der VPN Client die IP nicht herausfinden kann. DynDNS von Loxone kannst Du hier eh vergessen, da diese Dir keine IP Adresse liefert, sondern eine Web-Weiterleitung. In wieweit MyFritz hier behilflich ist, kann ich nicht sagen. Warum Du über LoxoneDynDNS auf den MiniServer zugreifen konntest? Ganz klar, der MiniServer ist eine Webseite und die ist ja durch die Web-Weiterleitung des LoxoneDynDNS erreichbar.
Ich weiß nicht wie MyFritz arbeitet, doch die meisten DynDNS Server mögen es nicht wenn die IP zu oft aktualisiert wird. Daher werden die DynDNS Dienste eigentlich nur getriggert wenn sich die öffentlich IP geändert hat. Da hier aber die "öffentliche IP" eigentlich nur eine Adresse eines Transfernetzes ist die immer bleibt, könnte es sein, dass sich MyFritz auch nicht aktualisiert. Obwohl ich AVM schon zutraue solche Konfigurationen einzukalkulieren. Fakt wird sein, dass Du ein VPN aufbauen kannst, wenn Du die aktuelle öffentliche IP als VPN Server nutzt. Demnach musst Du Dir nur Gedanken darüber machen, wie Du an die IP kommst. Das wird wohl schon problematischer. Da die ja anscheinend selbst nicht wissen was sie tun, wird es wohl sinnlos sein zu versuchen den Router in den BridgeMode zu bekommen. In diesem Fall wäre dann nämlich die öffentlich IP direkt an der Fritte. Alex, dieser Befehl fragt auch nur die Fritzbox ab und Du bekommst dort die IP angezeigt, die auch die Fritzbox als externe IP angibt. Wahrscheinlich hast Du Deinen Router in den Bridgemode bekommen.
Alles Andere ist schwierig. Klar, die öffentlich IP herauszubekommen ist kein Problem, doch nicht Du brauchst die IP, sondern der DynDNS Client. Der müsste nämlich erkennen, wenn sich die IP ändert. Es wird Dir wohl nichts anderes übrig bleiben als MyFritz richtig in Gang zu bringen, oder erstmal mit dem DynDNS Dienst des NAS vorlieb zu nehmen. Wie sieht denn der Domainname von MyFritz aus, den Du dann als VPN Server einträgst??

Gruß Sven

Das Gerät, welches dafür sorgt, dass der Dyn-DNS Eintrag aktualisiert wird, muss nicht selbst die öffentliche (dynamische) IP-Adresse haben. Hierfür bietet wahrscheinlich jeder Dyn-DNS Dienst eine URL, wo die eigene öffentliche IP-Adresse abgefragt werden kann, z.B. über http://checkip.dyndns.org oder www.wieistmeineip.de

Der Webserver nimmt dafür die IP-Adresse des Absenders, so wie diese beim Empfänger ankommt und stellt sie auf der Webseite dar. Die ursprüngliche (und möglicherweise private) IP-Netze kann dabei mehrmals durch NAT (Network Address Translation) umgesetzt worden sein. Der DynDNS-Agent fragt also so eine URL wie http://checkip.dyndns.org ab, schneidet die IP-Adresse aus und vergleicht diese mit der vorherigen IP-Adresse. Wenn sich die IP-Adresse geändert hat, dann wird die neue IP-Adresse per Dyn-DNS Update registriert.

Warum der Loxone CloudDNS Dienst bei DIr nicht mehr richtig funktioniert, dass kann ich Dir auch nicht sagen. Solange der MS auf das Internet zugreifen kann und einen DNS Server kennt, sollte auch der Dienst funktionieren. Das ist unabhängig davon, ob Du das VPN verwendest. Dadurch blockierst Du ja nicht den Internet-Zugriff des MS.

Naja, ganz unabhängig vom VPN ist das nicht. Der CloudDNS funktioniert nur, wenn er auch als externe Adresse eingetragen ist. Ist er dort nicht eingetragen, meldet er sich auch nicht mehr bei Loxone an. Da man bei VPN aber immer die internen Adressen angeben muss, dürfte der CloudDNS so bei keinem funktionieren.

Ja, funktionieren tut die App mit CloudDNS (ebenso wie mit anderen Dyn-DNS Diensten) nur, wenn die URL für die externe Adresse richtig eingetragen ist. Bei VPN-on-Demand steht hier der interne Name, um den Aufbau des VPN Tunnels zu triggern.

Der MS wird den CloudDNS Eintrag meines Wissens weiterhin aktualisieren, wenn der MS bei Loxone registriert ist. Das ist unabhängig von der externen Adresse. Die URL http://dns.loxonecloud.com/"MAC-ADRESSE-DES-MINISERVERS" zeigt daher weiterhin auf die eigene öffentliche IP-Adresse bzw. Loxone macht einen HTTP Redirect auf diese IP-Adresse. Wenn man aus Sicherheitsgründen das Port-Forwarding abschaltet, dann funktioniert natürlich der Zugriff nicht mehr.

Hallo, ich habe ähnliche Probleme, habe allerdings gar keinen Plan, es scheitert schon an der Portweiterleitung.
Ich habe eine Speedport Hybrid vor einer Fritzbox 7590, meinen Port vom Miniserver haben ich von meinem Loxononkel auf 8090 gestellt bekommen. Lokal läuft das alles, allerding komme ich nicht mehr von unterwegs auf meinen Miniserver. Ich weiss das ist wieder lächerlich für Euch, aber ich komme echt nicht weiter. All die Dinge die ich hier im Forum gefunden habe, habe ich angewendet, aber mit Sicherheit falsch.
Gibt es vll die Chance das irgendjemand, sich mal 5 Minuten Zeit für mich nimmt und mir das per Team Viewer erklären kann?

VPN habe ich auch eigenständig Probiert, das Endet genau so im Nirvana.

Danke für Eure Hilfe
Steffen