Versuchsanordnung /Versuchsaufbau

Nach dem Wechsel vom klassischen ISDN und DSL-Anschluss bei der Versatel, zu dem rosa Riesen T-Com (T-Online) kann es Probleme mit der bis dato einwandfrei funktionierenden VPN-Verbindung geben, da die Fritz!Box sich hinter einem anderen lokalen Netzwerk (Speedport) befindet.
Dazu müssen folgende Voraussetzungen erfüllt sein:

Wir benötigen eine “öffentliche IP-Adresse” (entweder als feste IP-Adresse beim neuen Anbieter mit bestellen, oder DynDNS, oder no-ip)
das VPN-Programm von AVM, oder WireGuard, um die VPN-Verbindung am PC zu erstellen.

Vorbereitung

Der Speedport Router sollte sich im selben Netzwerksegment befinden, wie die Fritz!Box auch. Allerdings sollte die IP-Adresse des Speedports außerhalb des DHCP-Bereichs der Fritz!Box liegen. In unserem Beispiel bekommt der Speedport die IP-Adresse 192.168.0.2. Der DHCP Server in der Fritz!Box verteilt Adressen von 192.168.0.10 – 30.

Schritt 1

Mit dem ATM-Konfigurationsprogramm können wir zuerst die Config-Datei für die beiden Fritz!Boxen erzeugen, da es mit der in der FB eingebauten Routine zum Erzeugen von VPN Zugängen leider nicht funktioniert.

Schritt 2 Speedport einrichten

Im Speedport sollten mindestens die beiden Ports UDP 500 und 4500 als Portweiterleitung auf die Fritz!Box zeigen, damit die VPN-Authentifizierung von der FB übernommen werden kann.
Wenn in der Fritz!Box auch die VoIP-Telefonie verwendet wird, sind auch noch die Ports UDP 5070 und 5080 auf die FB umzuleiten.
Handelt es sich bei dem T-Com-Router um einen Hybrid-Router (mit LTE) ist außerdem ist eine LTE-Ausnahme für die Ports: 5060, 3478 und 3479 auf “Zielport” sinnvoll, um Störungen ab der Telefonie der Fritz!Box zu vermeiden.

Schritt 3 Fritz!Box vorbereiten (hinter dem Speedport)

• Die Fritz!Box bekommt sollte im selben Netzwerksegment wie der Speedport-Router liegen, deshalb bekommt Sie die LAN-IP-Adresse: 192.168.0.1.
• Der Internetzugang wird auf “Mitbenutzen einer vorhandenen DSL-Verbindung an LAN-1” gestellt und kann dort auf DHCP beziehen stehen bleiben.
• Damit erhält die Fritz!Box beim Anschluss an LAN-1 und dem Speedport,
  eine IP-Adresse zwischen 192.168.0.10 und 192.168.0.20 vom Speedport, da es für ihn ja nur irgendein Client ist un da die beiden Geräte ja sowieso nonstop zusammen verbunden sind, wird sich die IP-Adresse, also die “öffentliche 192.168.0.x” auch nicht mehr ändern.
• Alternativ könnte man in den Einstellungen der LAN-1 Internetzugang auf der Fritz!Box auch die IP-Adresse 192.168.0.9 festlegen. Diese ist dann extra außerhalb des DHCP-Bereichs.

Schritt 5 DynDNS / no-IP

Der DynDNS-Eintrag darf nicht in der Fritz!Box eingerichtet werden, da diese sonst Ihre “öffentliche IP (192.168.0.9)” meldet und diese IP-Adresse, aus dem Internet nicht zu erreichen wäre.

Die Funktion DynDNS oder no-IP.org muss also auf dem Speedport eingerichtet werden, oder wenn es da Probleme gibt auf irgendeinem anderen Gerät, wie PC, Server, oder evt. auch auf der NAS (bei Synology geht das zumindest)

Schritt 6 VPN einrichten

Sofern ein Ping auf die richtige DynDNS Adresse zumindest korrekt aufgelöst wird, auch wenn dieser keine Antwort sendet, kann mit der VPN-Installation begonnen werden.

Hier sollte man auf den Assistenten in der Fritz!Box verzichten, da das nicht wirklich zuverlässig arbeitet und die VPN-Verbindung dann oftmals nicht zustande kommt. Mit dem AVM-Tool “Fritz!Box Fernzuggang einrichten” können nun die beiden Config-Dateien erstellt werden und die jeweiligen Boxen geladen werden. Damit steht der VPN-Tunnel, was sich leicht durch einen Ping auf die entfernte Fritz!Box überprüfen lässt.

Häufigste Fehler!

DynDNS ist nicht aktuell
Gerade der Speedport Hybrid Router scheint ab und zu mal Probleme beim “Aktualisieren seiner IP” zu haben.
Hier hilft das Ausweichen auf einen andern Host, der die DynDNS Daten aktualisiert, wie z.B. die NAS.

VPN-Verbindung wird nicht aufgebaut
IKE-Fehler / IKE Error 0x2027 oder Ursache 3 IKE-Fehler: besagt das der remote host nicht geantwortet hat, Ergo liegt der Fehler beim Nichtreichen des DynDNS Namens. Auch hier liegt der Fehler bei der Aktualisierung des DynDNS Dienstes.

Empfehlungen zum Thema: Fritz!Box VPN

Remote Support Unterstützung

Sie trauen sich an dieses Thema nicht alleine heran, weil Ihnen dazu einfach das Fachwissen fehlt? Dann wird Ihnen ein persönlicher Coaching-Termin helfen, buchen Sie einen Remote-Support bei uns. In einem 1:1 Coaching zeige ich Ihnen per TeamViewer, wie es bei Ihnen funktioniert und gehe auf Ihre Fragen ein.