VPN mit FritzBox und no-ip.com(dyndns)

Hallo Experten,

Ich möchte eine VPN-Verbindung zu meinem Fritz!Box 7362 SL einrichten, hierzu habe ich

• einen Benutzer in der Fritz!Box UI eingerichtet, mit Freigabe für VPN
• myfritz eingerichtet (MyFRITZ!-Internetzugang URL wird angezeigt (kann aber direkt ohne dyndns nicht funktionieren))
• einen Account in no-ip.com angelegt, incl. ein neues dyndns Domain (frei)
• den dyndns Account in der in der Fritz!Box UI eingetragen

Auf dem Client probierte ich

1. mit den Win10 Boardmitteln eine VPN-Verbindung zu öffnen
   bzw.
2. mit der Windows-Anwendung „Fernzugang einrichten“ von Fritz!Box eine VPN-Verbindung zu öffnen
   bzw.
3. mit der Anwendung shrewsoft eine VPN-Verbindung einrichten und zu öffnen

Leider schlagen all meine Versuche fehl, und ich weiß nicht warum?
(die Fehlermeldung sagt, dass der Client die VPN-Adresse nicht auflösen kann)
Leider habe ich keine exakte Beschreibung für die Einrichtung mit meiner Fritz!Box & dyndns & Windows im Internet gefunden.

Meine Fragen:

Wie kann ich feststellen, warum die VPN-Verbindung nicht zustande kommt?
Gibt es eine Beschreibung für die Einrichtung, die auf meinen Fall passen könnte (mit dyndns & Windows)?
Welche der 3 Versuche auf der Client-Seite ist am empfehlenswertesten (win10, Fernzugang-Einrichten oder shrewsoft)?

Für einen Hinweis wäre ich sehr dankbar!
Ilona

Dann behebe diesen Fehler.

Weißt du, was eine IP ist? Weißt du, wie du deine eigene IP feststellen kannst? Kennst du die IP, die deine Fritzbox benutzt? Von wo aus wolltest du die VPN-verbindung aufbauen?

Hallo,
eigentlich läuft der VPN über das MyFritz-Konto ohne zusätzlichen Dyn-DNS Anbieter.
Aber: Bekommt dein Router überhaupt eine öffentliche IPv4-Adresse zugewiesen? Viele Netzbetreiber haben aus Mangel an Adressen auf CG-NAT umgestellt.

https://avm.de/service/fritzbox/fritzbox-7362-sl/wissensdatenbank/publication/show/49_VPN-Verbindung-zur-FRITZ-Box-unter-Windows-einrichten-FRITZ-Fernzugang/

Hallo,
myfritz läuft nur dann ohne dyndns, wenn ich eine öffentliche ipv4-Adresse bekommen habe. Mein FritzBox hat keine öffentliche ipv4-Adresse, deshalb benötige ich dyndns.
Ausgabe in der MyFritz Oberfläche:
hxxp://privet.bplaced.net/temp/noipv4.png
(ipv6 können die meisten Browser nicht)

Die von Dir genannte URL kenne ich, diese beschreibt aber die Konfiguration über dyndns/no-ip.com nicht…

Wie kann ich meine VPN-Adresse über dyndns betreiben bzw. wie sollte ich welche der drei oben genannten VPN-Clients konfigurieren?

Hallo,

zu Deinen Fragen:

• ich kenne die IP-Adresse meiner FritzBox, aber diese ist aber nicht öffentlich erreichbar,
  deshalb benötige ich ja dyndns/no-ip.com !

• Die Adresse von no-ip.com kann ich mittels Browser auch erreichen.

• Die VPN-Verbindung möchte ich vom Rechner meines Freundes aus aufbauen.

Wie kann ich meine VPN-Adresse über dyndns betreiben bzw. wie sollte ich welche der drei oben genannten VPN-Clients konfigurieren?

myfritz-Meldung wegen der nicht öffentlich erreichbaren ipv4-Adresse:
hxxp://privet.bplaced.net/temp/noipv4.png

UI in no-ip.com:
hxxp://privet.bplaced.net/temp/no-ip.com.png
(aber interessanterweise die hier genannte IP-Adresse 80.155.156.194 antwortet nicht…? (verwirrt))

(„xx“ in den URLs ist eigentlich „tt“)

Dann kennst du sie nicht.

Deine Fritzbox hat zwei IP-Nummern - eine interne und eine selbstverständlich von außen erreichbare. Sonst würde es gar keinen Internetzugang geben. Diese Adresse kann sich aber alle 24Stunden und/oder bei einem neuen Einwahlversuch der Fritzbox ändern.

Also schau nochmal genauer nach.

sehr guter Punkt,
klingt logisch!

Ich werde nachschauen, wie meine IPV4-Adresse heute aussieht
(wahrscheinlich wie hier: hxxps://praxistipps.s3.amazonaws.com/fritzbox-ip-adresse-aendern_0da77c59.jpg )

und mit ping prüfen, ob ich diese IP-Adresse vom Rechner meines Freundes erreichbar ist.

Nein, das ist genau die falsche, interne, private IP.
Du findest die externe IP unter Verbindungen - Internet.
Aber nur dann, wenn die Fritzbox auch direkt mit dem Internet verbunden ist und nicht noch ein zweiter Router dazwischen hängt.

Richtig, das sagt sie ja selber.
Das heißt, dass da ein weiteres Gerät mit NAT-Funktion zwischen der FritzBox und dem Internet liegt.

Du wirst über IPv6 arbeiten müssen. Da kann ich dir nicht helfen, dafür bin ich zu alt.

Das ist für viele Kunden leider nicht der Fall.
Einige Anbieter haben zu wenig öffentliche IP-Adressen und setzen daher „carrier grate NAT“ (kurz: CG-NAT) ein. Eine öffentliche IP-Adresse wie 80.12.71.13 wird dann mittels NAT auf zum Beispiel 10.12.0.0/16 umgesetzt. Dann bekommt ein Router plötzlich eine 10.12.78.192 als WAN-IP, was eben eine nicht vom Internet erreichbare IP-Adresse ist.
Wenn ein DynDNS-Anbieter durch den Aufruf der FritzBox nun die 80.12.71.13 als öffentliche IP-Adresse erkennt, so laufen Aufrufe dieser IP automatisch ins Leere - denn der Router, in dem das NAT von 80.12.71.13 auf 10.12.0.0/16 umgesetzt wird, kann mit den unaufgefordert eintreffenden Paketen nichts anfangen und verwirft diese.

ich glaube, ich benötige gar keine öffentliche/dauerhafte ipv4-Adresse,

weil sich die Fritzbox automatisch mit dem dyndns-Anbieter verbindet.

Hier ist das zugehörige Konfigurationsfenster:

hxxps://images.tecchannel.de/bdb/396727/840x473.png

(diese Konfiguration in der Fritzbox UI habe ich auch eingestellt)

Du benötigst eine IP-Adresse, unter der deine FritzBox vom Internet aus exklusiv erreichbar ist.
Der Screenshot der Fritzbox-Meldung zu Myfritz zeigt aber, dass dein Anbieter dir scheinbar KEINEN solche IPv4 Adresse zuweist.
Zwischen der Fritzbox und dem Internet liegt ein weiterer Router!
Entweder bei dir im Haus, oder im Netz des Anbieters.

Wie heißt dein Anbieter, wie heißt der Vertrag genau? Ist die Fritzbox direkt mit dem Anschluss verbunden oder ist da noch ein anderes Gerät dazwischen?

(Magenta ZuHause M und Magenta Regio ZuHause M - das macht einen großen Unterschied!)

bei mir liegt kein Router vor der FritzBox.
Mein Anbieter: 1&1 mit DSL-100 (Details hier: https://www.dslweb.de/1und1-dsl-100.php )
Kann man mit diesem Vertrag eine dyndns-VPN-Verbindung herstellen?
(eigentlich müsste gehen, wenn auf der UI für dyndns eine Konfigurationsmöglichkeit gibt!)

Mir kommt es so vor, als ob deine Fritzbox eine uralte Benutzeroberfläche hätte. Kann es sein, dass da das eine odere andere Update fehlt?

Hi!

Erstmal als Tipp:

Du kannst einstellen, daß das Konfigurationsmenü deiner FB aus dem Internet aufrufbar ist, bei mir unter Internet > Freigaben > Fritzbox-Dienste.
Damit hast du eine recht einfache Webseite, und kannst abseits von VPN erstmal testen, ob deine FB erreichbar ist. Denn sonst schlägst du dich mit zwei Problemen gleichzeitig rum.
Achte aber auf ein sicheres Passwort, außerdem wird davon abgeraten, diese Option zu aktivieren. Zum Testen ist das aber ganz gut.

grafik775×310 16.6 KB

Weiter:

Die IPv4-Adressen sind knapp, deshalb macht man das mit dem IPv6 ja überhaupt.
Und um auf einen Rechner übers Internet zugreifen zu können, müssen beide Seiten IPv6 oder IPv4 können. Aber… wenn jetzt jeder ne IPv6 und ne IPv4 bekommt, ändert das an der Knappheit ja auch nix.
Dagegen hilft dann DS-Lite. Heißt: Du bekommst eine echte „Internet-IPv6“, unter der deine FB aus dem Netz erreichbar ist. Daneben bekommst du zwar auch eine IPv4, mit der hängst du aber hinter einem Router deines Anbieters. Heißt: Wenn du auf einen Webserver zugreifen willst, der nur IPv4 unterstützt, dann geht deine Anfrage an den Router deines Anbieters, der dann stellvertretend den Webserver kontaktiert, und die Antwort an dich zurück leitet. Der Vorteil ist, daß dein Provider nur eine einzige „Internet-IPv4“ benötigt, und die dann von allen seinen Kunden genutzt wird. Der Nachteil ist: Wenn irgendwer auf deine FB zugreifen will, hat er von außen nur die „Internet-IPv4“ dieses Routers. Und weil der nicht weiß, daß man sich mit deiner FB verbinden will, landet die Anfrage in Nirgendwo.

Lange Rede, kurzer Sinn: Du müßtest mal rausfinden, wie „echt“ deine IPs überhaupt sind.

Übrigens, NoIP hat mit der Geschichte wenig zu tun. Das ist nur dafür da, deine FB unter einer schönen URL erreichen zu können, auch, wenn sich die IP ändert. MyFritz macht das auch, die URL ist aber nicht schön, sondern Buchstabensalat.
Zum Testen der Verbindung reicht anfangs die IP, ob man danach dann Illona.no-ip.com oder orkjdzflaudsxouwurstsalatiloeklz.myfritz.net nutzt, ist egal.

Der hat letztes Jahr angefangen, alle Kunde auf DS-Lite umzustellen.
Deine FritzBox bekommt daher keine aus dem Internet erreichbare IPv4-Adresse.
Du musst für den VPN zwingend IPv6 einsetzen.
Das geht meines Wissens ab FritzOS 7.10.
Für deine FritzBox 7362 SL sollte 7.12 verfügbar sein.
Aktualisiere die Box, vergiss den no-ip-Account (dafür ist Myfritz da) und nutze IPv6 für den VPN.

jetzt habe ich die IPV6-Adresse gefunden (glaube ich):

(auf dem Bild, unten, im Abschnitt „Internetzugriff auf die FRITZ!Box“)
Die IPV6-IP URL funktioniert im Browser nicht, … warum?

Dann diese in Windows10 VPN eingetragen
(‚nur‘ IPV6 und auch die vollständige https.//… URL auch probiert).
Ergebnis sind diese Fehlermeldungen:

bzw.

Was mache ich falsch?

P.S: die referenzierten Bilder funktionieren, die muss man in einem neuen Browsertab öffnen…

Kannst du die Bilder nicht direkt hier hochladen?
Klick auf das siebte Symbol („Landschaft im Bilderrahmen“) oberhalb des Eingabefeldes.

Zum Thema IPv6: Ich bin 47. Ich muss nicht mehr jeden Sch**ß lernen.

Hier sind die Bilder, hochgeladen (anscheinend werde ich auch älter, … den Button bis jetzt nicht gesehen)

fritz-myfritz661×733 23.3 KB

ipv6.in.browser1150×896 35.5 KB

vpnttmpt11280×930 24.6 KB

vpnttmpt21069×930 20.5 KB

leider komme ich mit diesem Problem nicht weiter:
egal, welche der 3Möglichkeiten ich nutze (Fritz-Fernzugang, Windows-VPN oder ShrewSoft),
wird die VPN-Verbindung nicht aufgebaut
(mit oder ohne no-ip.com dazwischengeschaltet)

Gibt es evtl. eine 4-te Möglichkeit, eine VPN-Verbindung mit meiner FritzBox/MyFritz aufzubauen?