Ich bekomme keine VPN-Verbindung zw. FB und iPhone hin.

[Pixhai]

Hallo, ich bekomme infach keine VPN-Verbindung zwischen der Fritzbox (7490) und meinem iPhone XS hin.
Mein Internetprovider ist 1und1 nach deren Aussage bekomme ich eine öffentliche IPv4.
Die Fritzbox sellt mir die Daten und den Shared Secret zur Verfügung. Wenn ich die Daten im iPhone eingebe, bekomme ich eine Fehlermeldung. Ich habe es mehrfach versucht. Um Tippfehler zu vermeiden habe ich die Daten ans iPhone geschickt und mit Copy/Paste eingefügt. Kann mir jemand helfen?

 

[Nilson]

Laut Screenshot bist du im WLAN. Wenn es das gleiche WLAN der VPN-Fritzbox ist, versuch mal mal über das Mobilnetz.
Bin mir nicht sicher ob die Fritzbox eingehende VPN-Verbindungen "von innen" zulässt.

 

[Looniversity]

Bin mir nicht sicher ob die Fritzbox eingehende VPN-Verbindungen "von innen" zulässt.

Bei meinen Versuchen war das in der Tat nicht der Fall.

Ich kommentiere hier aber vor allem um den Thread zu verfolgen, habe nämlich das gleiche Problem wie OP (nur auf Android).

 

[elefant]

Genau wie gesagt, du darfst nicht im eigenen WLAN sein.
Warum nutzt du die Cisco-App dafür? Versuch es einfach mal mit der iOS eigenen, damit geht es aufjedenfall!

 

[Gelöscht 871778]

nach deren Aussage bekomme ich eine öffentliche IPv4.

Kannst du das bitte verifizieren?

 

[Atkatla]

WLAN-Verbindung am Smartphone mal testweise deaktivieren und damit über das Mobilfunknetz von außen den VPN-Verbindungsaufbau neu testen.

 

[Maviapril2]

Warum nutzt du die Cisco-App dafür?

Das ist nicht die Cisco-App, das sieht einfach so aus in den iOS-Einstellungen

Beim Gruppennamen hast du auch den Namen eingetragen? In deinem Screenshot ist das Feld leer.

 

[Quattro]

Müsste bei Passwort, gruppenname und shared secret nicht auch was drin stehen?

 

[Gelöscht 871778]

Müsste bei Passwort, gruppenname und shared secret nicht auch was drin stehen?

Ja, muss alles ausgefüllt sein. Das iPhone zensiert aber beim Screenshot automatisch das Secret sowie Password, obwohl da eh nur Sternchen/Punkte drinstehen...

Gruppenname wird jedoch nicht zensiert, da muss OP noch mal den Benutzernamen eintragen.

 

[IchbinbeiCB]

Bin mir nicht sicher ob die Fritzbox eingehende VPN-Verbindungen "von innen" zulässt.

Hab das eben mal bei mir probiert mit VPN vom Wlan aus zu verbinden hat funktioniert. Geräte FB7590 und Sony Xperia XZ2 pro

 

[Gladiac782]

Wenn du alles richtig eingetragen hast, sollte es normalerweise gehen. Ich habe etwas recherchiert und gelesen, dass 1und1 wohl 2019 geplant hat alle Kunden auf DS-Lite umzustellen, dies dürfte im Jahr 2022 wohl abgeschlossen sein. Wirklich sicher bin ich mir aber nicht. Teilweise haben die Servicemitarbeiter bei den Providern wenig Ahnung und behaupten Dinge, die nicht so stimmen.

Die Fritzbox verhindert eine VPN-Verbindung von “innen“ nicht. Man kann auch aus dem heimischen Netzwerk eine VPN-Verbindung aufbauen.
Ich habe vorhin an meinem Android-Smartphone und iPad getestet, anstatt der Myfritz-Adresse die lokale private IP-Adresse als Server in den Einstellungen anzugeben. In der Regel ist die IP-Adresse der Fritzbox die 192.168.178.1 sofern du sie nicht geändert hast. Damit ließ sich auch eine VPN-Verbindung zur Fritzbox herstellen.

Wenn es mit der privaten IP-Adresse funktioniert, kannst du ja noch die öffentliche IP-Adresse als Server-Adresse angeben.

Sieh dazu die IPv4-Adresse über https://www.wieistmeineip.de/ nach. Das ist dann in jedem Fall die öffentliche IPv4-Adresse, die die entscheidende ist. Bei DS-Lite wird wahrscheinlich eine private IP-Adresse in der Fritzbox angezeigt, die dir dein Provider vergibt und dann per NAT in eine öffentliche IPv4-Adresse übersetzt.

Wenn das dann nicht funktioniert, hast du mit ziemlicher Sicherheit einen DS-Lite-Anschluss und damit keine Chance dich von außerhalb per VPN mit deiner Fritzbox zu verbinden, zumindest Stand jetzt.

Es gibt aber bereits für einige Fritzbox-Modelle Labor-Firmwares, die zusätzlich zu IPSEC Wireguard-VPN-Verbindungen ermöglichen. Damit funktionieren auch an reinen IPv6-Anschlüssen VPN-Verbinden zur Fritzbox und damit verständlicherweise auch an DS-Lite-Anschlüssen. Ob man eine Labor-Firmware einsetzt, sollte jeder selbst entscheide, der Weg zurück ist zumindest problemlos möglich.
Mit dem Thema habe ich mich noch nicht wirklich befasst, dazu einfach mal zu Fritzbox und Wireguard googeln und durchaus auch in der Suche bei YouTube eingeben. Es muss eine App runtergeladen werden und nach der Einrichtung auf der Fritzbox muss man nur noch einen QR-Code scannen. Das ist das, was ich bisher gesehen habe.

 

[IchbinbeiCB]

Die Fritzbox sellt mir die Daten und den Shared Secret zur Verfügung. Wenn ich die Daten im iPhone eingebe, bekomme ich eine Fehlermeldung

Wie sieht die IP-Zuweisung aus bei dir unter Internet -> Freigaben -> VPN für die Verbindung und wie schauts mit den Berechtigungen aus für den Benutzer ? Unter System FritzBox Benutzer stimmt da auch alles ?

Ergänzung (13. April 2022)

Ich habe vorhin an meinem Android-Smartphone und iPad getestet, anstatt der Myfritz-Adresse die lokale private IP-Adresse als Server in den Einstellungen anzugeben.

Ich hab dergleichen bei mir nicht angepasst bei meinem Test und konnte erfolgreich die VPN-Verbindung aufbauen obwohl ich im Wlan dabei drin war.

 

[Gelöscht 871778]

Ich habe etwas recherchiert und gelesen, dass 1und1 wohl 2019 geplant hat alle Kunden auf DS-Lite umzustellen, dies dürfte im Jahr 2022 wohl abgeschlossen sein.

Ich habe bis vor 4 Wochen einen 1und1-VDSL-Anschluss benutzt und hatte bis dahin kein DS-Lite. Fritzbox-VPN hat auch funktioniert

 

[IchbinbeiCB]

@Pixhai
wirst denn ordentlich auf deine Box weitergeleitet wenn versuchst den Weg über MyFritz zu gehen ?
Davon ab ergibt ne Auflösung deiner myfritzadresse, das beides hast sowohl IPv6 als auch IPv4.

 

[Gladiac782]

Wie sieht die IP-Zuweisung aus bei dir unter Internet -> Freigaben -> VPN für die Verbindung und wie schauts mit den Berechtigungen aus für den Benutzer ? Unter System FritzBox Benutzer stimmt da auch alles . Die Angaben, die man bekommt, was man im iPhone eingeben muss,

Die Angaben, die man bekommt zum Eintragen im iPhone oder Android-Smartphone bekommt man ja nur, wenn man alles vorige Notwendige gemacht hat, also Benutzer mit Kennwort angelegt hat usw. Daran wird’s wahrscheinlich nicht liegen.

 

[IchbinbeiCB]

Ich kommentiere hier aber vor allem um den Thread zu verfolgen

Das verfolgen eines Themas/Threads klappt auch ohne das man Kommentiert
Einfach wenn in ein Thema reingehst wo dich interessiert oben drüber dann auf Beobachten klicken

 

[Gladiac782]

Ich habe bis vor 4 Wochen einen 1und1-VDSL-Anschluss benutzt und hatte bis dahin kein DS-Lite. Fritzbox-VPN hat auch funktioniert

1und1 ist ja ein reiner Reseller.

Die letzte Meile gehört zwar normalerweise der Telekom, aber in den Vermittlungsstellen verbaut z.B. die Telefonica eigene Technik. 1und1 arbeitet mit mehren Anbietern zusammen, auch mit der Telekom und die bietet meines Wissens nach noch standardmäßig einen Dual-Stack-Anschluss an. Möglicherweise hängst du an einer Telekom-Leitung, bei VDSL-Vectoring bzw. Supervectoring gibts wohl ohnehin nur die Telekom aus technischen Gründen,

 

[norKoeri]

standardmäßig einen Dual-Stack-Anschluss an

Das Internet macht 1&1 selbst. Seit einigen Jahren wird bei Neu-Anschlüssen DS-Lite geschaltet. Aber man kann sich bis jetzt über den Support (Telefon-Hotline oder 1&1 eigenes Forum) einfach so auf Dual-Stack ohne Lite umschalten lassen. @Pixhai kannst Du mal in die Web-Oberfläche der FRITZ!Box gehen, auf der Übersicht überprüfen, ob Du DS-Lite hast?

 

[IchbinbeiCB]

@Pixhai oder hat dein Ipsec Schlüssel vielleicht iwelche Zeichen drin wo normal nicht über Tastatur am iphone eingeben kannst?

Ist mir jetzt gerade beim Testen so ergangen, hab Spaßeshalber meinem VPN-Benutzer mal das recht auf VPN Nutzung entzogen, daraufhin wurde die Verbindung mit den Daten auch verworfen, also Recht für VPN dem Benutzer wieder hinzugefügt und der neu generierte Ipsec Schlüssel, enthält nen Zeichen wie ne 0 nur mit nem länglichen Strich in dessen Mitte. Egal was ich an der Stelle Versuche 0, o, O egal immer Verbindungsfehlschlag.

Also wiederhole ich die Prozedur in der Hoffnung wieder nen Schlüssel zu bekommen, ohne so ein Zeichen wo sich bei mir nicht eingeben lässt am Smartphone.

Ergänzung (13. April 2022)

So Verbindung geht wieder erfolgreich nach dem der nochmals neu generierte Ipsec Schlüssel nicht mehr so ein kryptisches Zeichen drin hat

<- das war der vorherige neue(inzwischen aber wieder alte) mit dem es nicht geklappt hat ne VPN-Verbindung aufzubauen.

 

[Pixhai]

Gruppenname wird jedoch nicht zensiert, da muss OP noch mal den Benutzernamen eintragen.

Manchmal sieht man den Wald vor lauter Bäume nicht. 100 Augen sehen mehr als 2.
Ich hatte den Gruppennamen nicht eingegeben. Jetzt funzt es.
Vielen herzlichen Dank für eure Antworten.