So richten Sie einen VPN-Zugang mit Fritz.Box 7490 (mit aktueller Firmware (6.8x) ein, die sich hinter einem Telekom Speedport Hybrid (DSL + LTE) ein.

~ 0 min
2017-03-25 12:05

Versuchanordnung /Versuchsaufbau

Nach dem Wechsel vom klassischen ISDN und DSL Anschluss bei der Versatel, zu dem rosa Riesen T-Com (T-Online) kann es Probleme mit der bis dato einwandfrei funktionierenden VPN-Verbindung geben, da die Fritz.Box sich hinter einem anderen lokalen Netzwerk (Speedport) befindet.
Dazu müssen folgende Vorraussetzungen erfüllt sein:

wir benötigen zwei "öffentliche IP-Adressen" (entweder als feste IP-Adresse mit bestellen, oder Dynds, oder no-ip)
das Programm von AVM um die VPN-Verbindung am PC zu erstellen

Vorbereitung

der Speedport Router sollte sich im selben Netzwerksegment befinden, wie die Fritz.Box auch. Allerdings sollte die IP-Adresse des Speedports ausserhalb des DHCP-Bereichs liegen. In unserem Beispiel bekommt der SpeePort die IP-Adresse 192.168.0.2. Der DHCP Server verteilt Adressen von 10-30.

Schritt 1

Mittels dem AVM-Konfigiruationsprogramm zuerst die Konfig-Datei für die beiden Boxen erzeugen, da es mit der in der FB eingebauten Routine zum Erzeugen von VPN Zugängen leider nicht funktioniert.

Schritt 2 Speedport einrichten

Im Hybrid-Speedport sollten mindestens die beiden Ports UDP 500 und 4500 als Portweiterleitung auf die FB zeigen, damit die VPN-Authentifizierung on der FB übernommen werden kann.
Für VoIP-Telefonie, was an der Fritz.Box erwendet werden soll, sind auch noch die Ports UDP 5070 und 5080 auf die FB umzuleiten. Außerdem ist eine LTE-Ausnahme für die Ports: 5060, 3478 und 3479 auf "Zielport" sinnvoll um Störungen ab der Telefonie der Fritz.Box zu vermeiden.

Schritt 3 Fritz.Box vorbereiten (hinter dem Speedport)

Die Fritz.Box bekommt sollte im selben Segment wie der SP-Router liegen, deshalb bekommt Sie die LAN-IP-Adresse: 192.168.0.1.
Der Internetzugang wird auf "Mitbenutzen einer vorhandenen DSL-Verbindung an LAN-1" gestellt und kann dort auf DHCP beziehen stehen bleiben.
(Damit erhält die Fritz.Box beim Anschluss on LAN-1 und dem SpeedPort, eine IP-Adresse ziwschen 192.168.0.10 und 192.168.0.20 vom Speedport, da es für Ihn ja nur irgendein Client ist) Da die beiden Geräte ja sowiso nonstop zusammen erbunden sind, wird sich die IP-Adresse (also die "öffentliche 192.168.0.x" auch nicht mehr ändern. Alternati könnte man in den Einstellungen der LAN-1 Internet-Zugang auf der Fritz.Box auch die IP-Adresse 192.168.0.9 festlegen. Diese ist dann extra ausserhalb des DHCP-Bereichs.

Schritt 5 DynDNS / no-IP

Der DynDns-Eintrag darf nicht in Fritz.Box eingerichtet werden, da diese sonst Ihre "öffentliche IP (192.168.0.9) meldet und diese IP aus dem Internet nicht zu erreichen wäre. Die Funktion DynDNS oder no-IP.org muss also auf dem Speedport eingerichtet werden, oder wenn es da Probleme gibt auf irgendeinem anderen Gerät, wie PC, Server, oder evt. auch auf der NAS (bei Sonology geht das zumindest)

Schritt 6 VPN einrichten

Sofern ein Ping auf die richtige DynDNS Adresse zumindest korrekt aufgelöst wird, auch wenn dieser keine Antwort sendet, kann mit der VPN-Installation begonnen werden.

Hier sollte man auf den Assistenten in der Fritz.Box verzichten, da das nicht wirklich zuverlässig arbeitet und die VPN-Verbindung dann oftmals nicht zu stande kommt. Mit dem AVM-Tool "Fritz!Box Ferzugang einrichten" können nun die beiden Config-Dateien erstellt werden und die jeweiligen Boxen geladen werden. Damit steht der VPN Tunnel, was sich leicht durch einen Ping auf die entfernte Fritz!Box überprüfen lässt.

Häufigste Fehler!

DynDNS ist nicht aktuell
Gerade der SpeedPort Hybrid Router scheint ab und zu mal Probleme beim "Aktualisieren seiner IP" zu haben.
Hier hilft das Ausweichen auf einen andern Host, der die DynDNS Daten aktalisiert, wie z.B. die NAS.

VPN-Verbindung wird nicht aufgbaut
IKE-Fehler / IKE Error 0x2027 oder Ursache 3 IKE-Fehler: besagt das der remote host nicht geantwortet hat, Ergo liegt der Fehler beim Nichtereichen des DYNDNS Namens. Auch hier liegt der Fehler bei der Aktualisierung des Dyndns Dienstes.

 

 
Durchschnittliche Bewertung 5 (1 Abstimmung)

Kommentieren nicht möglich