VPN - Telekom-AS und Speedport W721V

[SamjamROX]

Hallo liebe Community,

ich habe hier einen Telekom-Anschluss mit einem Speedport W721V und kann leider keine VPN-Verbindung zu einer Fritzbox 7490 aufbauen.
Der VPN-Zugang funktioniert jedoch an zwei anderen, ortsunabhängigen Anschlüssen (beide Vodafone - unterschiedliche Router) ohne Probleme. Ich kann die öffentliche IP- als auch die eingerichtet myFritz-Adresse anpingen.

Am Standort mit dem Telekom-Anschluss und einem Speedport W721V funktioniert lediglich das Pingen der IP-Adresse. Die myfritz-Adressse liefert keine Antwort. Diese wird jedoch für den Aufbau des VPN benötigt. Wenn ich beim Verbindungsaufbau die myFritz-Adresse durch die IP ersetze klappt es aber auch nicht. Weiss jemand woran dies liegen kann? Ist das ein Problem des Anschlusses oder des Routers Speedport W721v (hilft ggf. der Austausch des Routers durch eine Fritzbox)?

Cheers
Samjam

 

[Pichl_71]

Hallo Samjam,

das kann leider am Speedport liegen. Ich hatte ein ähnliches Problem bei einem Kunden, der Tarifbedingt von einem alten Speedport auf ein damals neueres Modell umsteigen musste (der alte war nicht VDSL-tauglich)
Ab da konnte er sich nichtmehr per VPN in seine Firma einwählen.
Ein Mitschnitt mit Wireshark zeigte zwar den korrekten VPN-Aufbau mit der Gegenstelle an, aber ab da gingen unergründlich keine Datenpakete mehr durch den Tunnel.
Vor 2 Wochen hat mich ein Bekannter angerufen, er könne mit seinem Speedport 724 Typ A keinen VPN in seine Firma aufbauen (Coronahomeoffice).
In beiden Fällen hat leider nur ein Wechsel auf einen anderen Hersteller, in diesem Fall AVM-FritzBox, geholfen.
Komisch find ich nur, dass der SP 721V ja eigentlich ein AVM-Gerät wäre mit Telekomgebrandeter Firmware.

Wenn du die Möglichkeit hast, probier statt dem 721 einen anderen Router oder fritze den 721 (gibt dazu anleitungen im Netz)

Eventuell hilft auch ein deaktivieren von IPv6 am Client-PC im Netz vom Speedport W721

Gruß Pichl

 

[SamjamROX]

Moin Pichl,

Danke für deine Rückmeldung.
So war auch mein erster Gedanke um das Problem ausfindig zu machen -> Fritzbox statt Speedport.

Sonst noch jemand eine Idee?

 

[cloudman]

W721V ist ja eigentlich eine Fritz!Box 7170
Hast du DSL-Lite ? Dann probier mal (Internet->Zugangsdaten->IPv6->IPv6-Unterstützung aktiv (Haken entfernen) an W721V falls es dort wie bei AVM benannt ist.
Extrem seltsam dass schon der myfritz.net name nicht aufgelöst werden kann. Hast du mal versucht ob du vielleicht nur eine IPv6 IP aufgelöst bekommst : ping -6 abc.myfritz.net

 

[Bodennebel]

Meines Wissens kann mit einem Speedport kein Site-2-Site-LAN aufgebaut werden.
Ist das überhaupt notwendig? Reicht es nicht ein Remote-Access-VPN zu verwenden? Sprich, derjenige mit dem Speedport installiert sich einen VPN-Client (AVM! Fritzfernzugang oder Shrew Soft VPN Client) und verbindet sich dann mit dem FritzBox-Netzwerk. S.a. diverse Artikel dazu unter https://avm.de/service/vpn/uebersicht/.

Ansonsten noch ein bisschen allgemeiner zum Thema VPN: https://www.elektronik-kompendium.de/sites/net/0512041.htm.

 

[hildefeuer]

Haben beide Router zufällig identische ip?

 

[Raijin]

Ich kann die öffentliche IP- als auch die eingerichtet myFritz-Adresse anpingen.

Am Standort mit dem Telekom-Anschluss und einem Speedport W721V funktioniert lediglich das Pingen der IP-Adresse. Die myfritz-Adressse liefert keine Antwort.

Das klingt für mich aber nach einem Problem, das noch vor dem VPN kommt. Eine myfritz-Adresse anpingen zu können, heißt absolut gar nichts. myfritz ist ein DDNS-Dienst, der die dynamische öffentliche IP einer Fritzbox auf eine myfritz-Domain legt. Wenn die Fritzbox aber kein Update macht und irgendwann eine neue öffentliche IP vom Provider bekommt, kann man unter Umständen nach wie vor die myfritz-Adresse anpingen, am anderen Ende sitzt dann aber ein anderer Kunde, der seinerseits eine neue IP bekommen hat, und zwar deine alte.

Daher bitte unbedingt die myfritz-Adresse mittels DNS-Abfrage prüfen, nicht mittels "Pingen geht".

Start --> cmd
--> nslookup blabla.myfritz hier.die.ip.vom.lokalen.internetrouter
--> nslookup blabla.myfritz 8.8.8.8

Das machst du bitte insbesondere am Standort des Speedports. Beides sollte auf die öffentliche IP der Fritzbox auflösen. Diese musst du natürlich aktuell in der entsprechenden Fritzbox nachschauen, um vergleichen zu können.

Zur Gegenprobe dieselben Befehle an einem anderen Standort durchführen, der deiner Meinung nach funktioniert.


Erst wenn sichergestellt ist, dass die Namensauflösung von blabla.myfritz funktioniert, kann man sich um die VPN-Verbindung kümmern. Vorher besteht die Gefahr, dass du den Fehler im VPN suchst, wenn er aber schon zuvor beim DNS liegt...


Zum VPN kann ich nur sagen, dass ich mir nicht vorstellen kann, dass es tatsächlich am Speedport liegen sollte. Ich nutze selbst Speedports seit Jahren und habe über 10 VPNs in Benutzung (private wie berufliche). Da ist alles dabei, von OpenVPN auf Standard-Port und mit TCP 443 über wireguard bis hin zu IPsec für die Firma. Letzteres nutzt die Fritzbox ja auch, wenn auch etwas älter, und mir wäre nicht bekannt, dass der Speedport da etwas blocken sollte.

 

[Bodennebel]

Ich nutze selbst Speedports seit Jahren und habe über 10 VPNs in Benutzung

Ich nehme an, alles Remote-VPN-Verbindungen. Da hat der Speedport dann mit der VPN-Verbindung nichts zu tun, der VPN-Tunnel wird ja dann vom PC/Gerät hinter dem Speedport initiiert.

 

[Raijin]

Das ist doch hier nicht anders, weil Speedports gar keine VPN-Funktion haben, weder als Client noch als Server. Ergo hat der Speedport auch bei @SamjamROX nix mit dem VPN zu tun - abgesehen davon, dass er die Pakete durchreicht.

So wie sich der Fall liest, sitzt der Client hinter einem Speedport und kann keine Verbindung zu einer Fritzbox mit aktiviertem VPN-Server herstellen. Wenn dem tatsächlich so ist, handelt es sich aus Sicht des Speedports um eine ausgehende Verbindung und die sollte eigentlich überhaupt nicht geblockt werden, egal welcher Port verwendet wird.

 

[SamjamROX]

Erstmal Danke für eure Antworten.

@cloudman:
Eine Einstellung für die IPv6 Unterstützung kann ich im Speedport leider nicht finden.
Ich weiss was Du meinst und kenne diese Einstellung bei den entsprechenden Fritzboxen.

@hildefeuer:
Nein, die Router haben keine identischen IP-Adressen.

@Bodennebel und Raijin:
Vielleicht habe ich mich bei der Titelauswahl ein wenig falsch ausgedrückt. Sorry, weil zuerst dachte ich es liegt am VPN bzw der Konfiguration.

Richtig, am Standort des Speedports handelt es sich um eine aussgehnde Verbindung.

Das Problem habe ich wohl identifizieren können -> Anschluss läuft über IPv6 und IPv4 ist nicht vorhanden.
Da muss ich mich jetzt wohl an die Telekom wenden.

Besten Dank euch!

 

[Tom_123]

Hi,

meines Wissens schaltet die Telekom weiterhin Dual Stack. Hast du die Routereinstellungen geprüft, sodass er beide Adressen per DHCP anfordert?

 

[Bodennebel]

Schaue Dir mal die Seiten 80 ff. (insbesondere S. 90) im Handbuch des Speedport W721V an (https://www.telekom.de/hilfe/downloads/bedienungsanleitung_speedport_w721v.pdf) an. Eventuell sind die IP-Adresseinstellungen auf dem PC hinterm Speedport nicht korrekt (irgendwas manuell eingestellt, IP v4/v6 deaktiviert).

 

[hildefeuer]

Wieso, wenn der Client im VPN mit einem Router via ipv6 verbunden ist, geht fritz vpn doch auch.
Das kann man jederzeit an einem Kabel-Deutschland Anschluss testen. Die haben alle nur ipv6.
Nur der Router, wo die VPN hin geht muss ipv4 haben. Dort ist dann ja auch myfritz quasi als dyndns am laufen.
Ich habe selbst ein vpn mit einer 7490 am laufen via 1&1 dual Stack. Den Haken raus genommen für ipv6, verbindet meine 7490 via ipv4 und es läuft auch an Kabel-Deutschland Routern mit Client Einwahl.
Ich habe verschiedene offene WLANs getestet und nur ein einziges gefunden wo fritzvpn nicht funzt. Das ist das WLAN von einer Bäckereikette Bertermann. Da nehme ich an, das alle Filialen schon per VPN angebunden sind und die dortigen WLAN Hotspots im VPN laufen.
Eine VPN in einer VPN funzt wohl nicht. Bei diesem WLAN ist auffällig, das als Lokation Minden angezeigt wird, obwohl man nicht dort ist. Dort ist aber die Zentrale.
Spechen wir hier eigendlich von der Deutschen Telekom oder von der Slovak Telekom, a. s ?wg des Titels?