VPN mit FritzBox und no-ip.com(dyndns)

Hallo!

Damit du die URL mit dem Browser aufrufen kannst, muß auf der Fritzbox überhaupt erstmal ne Webseite nach außen verfügbar sein. Hast du wie von mir geraten, mal das Webinterface nach außen freigegeben? Dann sollte das mit dem Browser gehen.

Und erst, wenn das funktioniert, solltest du dich mit VPN auseinandersetzen, denn du hast zwei Probleme:

  1. Ist die Fritzbox von außen überhaupt erreichbar?
  2. Wie bekommst du VPN zum Laufen?

Es bringt nichts, wenn du dich mit nicht funktionierendem VPN rumschlägst, wenn du nicht weißt, ob die Verbindung zur FB klappt.

IPv6 muss an allen Geräten aktiviert werden, sonst geht’s natürlich nicht. Für die Fritzbox:
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/573_IPv6-Unterstutzung-in-FRITZ-Box-einrichten/

1 Like

jetzt habe ich versucht:

  1. public ipv4 Adresse finden & pingen
    (in FritzBox UI unter Verbindungen->Internet ?)
    leider ist die IPV4-Adresse nicht zu finden!

  2. internet->Zugangsdaten-> ipv6 aktivieren
    Ergebnis:
    leider gibt es keine solche Einstellung in der FritzBox UI

  3. heimnetz -> netzwerk -> ipv6
    aktiviere dhcp6-Server, ula zuweisen, nur dns-server
    Ergebnis:
    Leider gibt es keine solche Einstellung in der FritzBox UI

(Siehe untere Bilder)

Dafür ist mir aufgefallen, dass meine FritzBox sagt:
IPV4-Status account temporär deaktiviert, IPV6-Status unbekannt
(steht seit langem so, mit diesem Text!)

Was sollte hier stehen?
Sollte ich DynDNS aktivieren oder deaktivieren?

Hi!

Oben rechts sind drei Punkte, da kannst du die erweiterte Ansicht aktivieren. Das ist per Default aus, und blendet dann einige Einstellungen aus.

grafik

Jetzt nochwas:

  • Unter Internet IPv4 steht: „verwendet einen DS-Lite-Tunnel“. Und das ist genau das Problem für IPv4. Dein Router hat keine aus dem Internet erreichbare IPv4. Stattdessen hat 1&1 einen „Router“, über den dein IPv4-Verkehr läuft. Von außen sieht man nur die IP dieses Routers, nicht die deiner FB.
  • Dein Account bei DynDns ist deaktiviert. Möglicherweise wittern die Betrug, weil die IPv4, die sie sehen, eben nicht von dir, sondern von 1&1 stammt.
    Weil ich übrigens auch immer solche Probleme habe, habe ich mir nen Account bei nem anderen Anbieter geholt, und habe den einmal manuell so eingestellt, daß er alles an [email protected] weiterleitet. Den ganzen Dyn-Kram lass ich dann über myfritz.net laufen.
2 Like

@sweber:

  1. Danke für die Hinweise, ich werde mal mit den FritzBox/DynDns/myfritz-Einstellungen ~spielen,
    bzw. die erweiterte Ansicht durchschauen

  2. welche VPN-Software nutzt/empfiehlst Du?
    (win10-builtin, ShrewSoft oder etwas anderes?)

  3. welchen DynDns-Anbieter nutzt/empfiehlst Du? Ist kostenpflichtig?
    Was kann Dein Anbieter besser/anders, als no-ip.com ?

  4. kennst Du eine Beschreibung, die beschreibt, wie die Masken Deiner bevorzugten VPN-Software für FritzBox manuell ausgefüllt werden müssen (mit Bildern wäre schön…)?
    (zB. Auth-Type, IPV4/6-Adressen mit oder ohne http-Prefix oder Port-Angabe, etc.)
    (vorzugsweise wie bei Dir, über myfritz, wenn empfehlenswert)

Um das zu beantworten solltest du erstmal rauslassen, wozu das ganze überhaupt dienen soll.

Das ist völlig egal - es wird ohne nutzbare IP eh’ nicht funktionieren. Also frag bei 1&1 nach, was die Zuweisung einer festen IP kostet. Und dann brauchst du logischerweise keinen Anbieter für eine dynamische IP mehr.

Hallo!

  1. Mit nem Rechner greife ich nicht von außen auf mein Netz zu. Früher hab ich das mal gemacht, und meines Wissens das eingebaute VPN verwendet - von Linux natürlich. Heute nutze ich VPN auf dem Handy, wenn ich im Ausland bin, und „dieses Video in deinem Land nicht verfügbar“ ist. Aber auch hier nutze ich das native VPN von Android. Sorry :wink:
  2. Wenn du dir no-ip.com anschaust, wirst du bei der freien Version feststellen, daß du dich alle 30 Tage oder so auf deren Webseiten einloggen, und irgendwo drauf klicken mußt. Wenn nicht, ist dein Account / deine Domain weg. Das kannst du gegen $25/Jahr vermeiden.
    Zu Anfangszeichen war dnydns.com o.ä. der führende/einzige Anbieter von sowas, möglicherweise haben die auch den Begriff geprägt. Irgendwann wollten die die kostenlosen Nutzer loswerden, und haben auch mit der 30-Tage-Sache angefangen. Daneben mußte man seine IP in regelmäßigen Abständen aktualisieren, aber wenn man immer die gleiche IP hatte, galt das als Missbrauch, und man flog raus. Für Kabel-Kunden, deren IP sich selten, aber eben manchmal änderte, war das ätzend.
    Nun ist ja nichts dagegen einzuwenden, etwas Geld für sowas zu zahlen.
    Als ich 1998 meine erste Email-Adresse bei GMX registrieren wollte, brauchte ich über ne halbe Stunde, um eine freie zu finden. Sie sollte meinen Namen beinhalten, nicht mit Zahlen oder Geburtsjahren verziert sein, und eben auch seriös sein.
    Wenn ich heute ne Domain mit diesen Kriterien haben will, muß ich schon seeeehr kreativ sein. So kreativ, daß die Domain dann doch keinen erkennbaren Bezug zu mir hat.
    Kurzum, ich bin bei anydns.info gelandet. Ist mit 12€/Jahr recht günstig, und weil es ein kleiner Anbieter ist, habe ich meine Wunsch-Domain bekommen.
    Anydns lässt sich in der FB auch einrichten, damals hatte ich aber immer mal wieder Probleme damit. Letztlich leite ich diese Domain heute an die Myfritz-Domain weiter, muß da also gar nichts aktualisieren. (Es sei denn, ich bekomme ne neue FB, denn die kryptische Domain von MyFritz wird dann neu erzeugt) Die FB aktualisiert ausschließlich MyFritz. Und so läuft das seit Jahren stabil.
    Mit der Methode könnte ich mir für ggf. noch weniger Geld ne echte Domain holen, aber… ich hab jetzt ne ser prägnante, einfach zu merkende Domain, die ich auf anderem Wege nicht bekommen würde.
  3. Wie gesagt, nativ mit Android…
Typ: IPSec Xauth PSK
Serveradresse: 
IPSec-ID: 
Vorinstallierter IPSec-Schlüssel: 
DNS-Suchdomain: (leer)
DNS-Server: 192.168.178.1 (Interessant, keine IPv6. Möglicherweise kann das VPN kein IPv6)

Wieso zum Teufel darf ich meinen Beitrag nach wenigen Minuten nicht mehr ändern?

Die Serveradresse ist die Domain, die IPSec-ID ist der Account-Name auf der FB, der Schlüssel ist das längere „Passwort“, das die FB einem in den VPN-Einstellungen zeigt.

ich glaube das Problem lokalisiert zu haben:
meine FritzBox bei 1&1 nutzt DS-Lite!
Laut
https://avm.de/service/fritzbox/fritzbox-6340-cable/wissensdatenbank/publication/show/1611_Was-ist-DS-Lite-und-wie-funktioniert-es/
ist der Zugriff von außen auf meine FritzBox via IPV4 nicht möglich.
Laut dieser Webseite ist

  1. Eine Lösung via PCP wird von 1&1 noch nicht unterstützt
    und
  2. Eine Lösung via IPV6 ist meistens nicht unterstützt
    (no-ip.com wird dort nicht erwähnt…)

Folgerung:
ich befürchte, es gibt keine Möglichkeit in meinem Fall, eine VPN-Verbindung zu meiner FritzBox aufzubauen…!?

:frowning: :frowning: :frowning:

Kann meine Einschätzung stimmen oder gibt es doch ein Workaround?

Tut mir leid, das ist falsch.
Nicht DU hast das Problem lokalisiert, sondern ich.
Vor neun Tagen:

Helfen kann ich dir bei IPv6 leider nicht. Dafür bin ich zu alt. (Hab ich auch schon geschrieben)

@X_Strom : sorry, Du hast natürlich Recht!

jetzt habe ich ein IPV6-DynDns erstellt, basierend auf diesem Tutorial:


dann in FritzBox eingetragen
Update-URL:http://dynv6.com/api/update?hostname=<domain>&token=<username>&ipv4=<ipaddr> http://dynv6.com/api/update?hostname=<domain>&token=<username>&ipv6=<ip6addr>&ipv6prefix=<ip6lanprefix>“
(genauso, mit dem Leerzeichen und mit den ‚<‘ und ‚>‘-Zeichen)
Domainname:p.dynv6.net
Benutzername: „9QEyJ2ncDUfjCuJr6R“
Kennwort: „none“ //wirklich, diese 4 Buchstaben

Ergebnis:

  1. FritzBox sagt: DynDns IPV6-Verbindung aktiv
  2. p.dynv6.net“ im Browser funktioniert nicht („Seite wurde nicht gefunden“) Sollte dies funktionieren?
    (https://p.dynv6.net:27895/myfritz?user=p (port 27895 wird von myfritz genutzt) funktioniert auch nicht)
  3. VPN in Windows10 kann keine Verbindung herstellen
    Woran könnte das liegen?
    Sollte ich etwas anders konfigurieren?

dynipv6.net“ empfiehlt die Nutzung von https://github.com/chriv/dynephant
Ich habe nicht verstanden, warum? Brauche ich dieses Tool? Wann und wo soll ich das Tool ausführen?


(die IPV6-Adresse überstimmt mit der myfritz-IPV6-Adresse)

Welche Einstellung habe ich noch nicht richtig gemacht?

Was war jetzt der konkrete Grund nicht den Dienst von myfritz zu nutzen?

Der kann IPv6 und ist total schmerzlos, wenn man von den kryptischen Adressen mal absieht.

Aber das dürfte bei einem VPN ja egal sein.

meine myfritz-ipv4/ipv6-Adressen scheinen aus dem Internet nicht erreichbar zu sein,
deshalb dachte ich, dieses Problem mit der FritzBox-VPN-Konfiguration und einem ipv6-DynDns-Anbieter umgehen zu können.
(in FritzBox eingestellt: MyFritz + Internet->Freigaben->VPN-Einstellungen + DynDns)

Leider scheinen die ipv6-DynDns-Anbieter auch auf die myfritz-Adressen zu vertrauen.!?

Habe ich eine Einstellung übersehen?
Ist die Ausgabe des Browsers beim Zugriff auf meine myfritz-ipv6-Adresse normal?

Ich kann Deine Schlussfolgerung so nicht teilen. Möglicherweise funktioniert IPv6 bei Dir nicht. Man könnte testen, aber dafür braucht man halt valide Daten.

Ich habe von 1&1 eine routbare IPv4 Adresse bekommen, aber myfritz.net funktioniert für mich sowohl mit der IPv4 als auch mit der IPv6 Adresse. Ich habe die Vermutung, dass IPv6 auch bei Dir tut …

Möglicherweise funktioniert IPv6 bei Dir nicht.

Was meinst Du mit „bei Dir“?

… die FritzBox(-Einstellungen)?
… den VPN-Client?
… den DynDns-Anbieter?
… 1&1?

Man könnte testen,

Wie kann man dies testen?

aber dafür braucht man halt valide Daten.

Welche Daten wären benötigt?

Du könntest mit Deiner Vermutung Recht haben,
weil ja die myfritz-ipv6-url und in FritzBox die VPN-Einstellungen fehlerfrei zu sein scheinen…
Wie finde ich den Fehler?

Könnte man mit myfritz-ipv6 auf ipv6-dyndns ganz verzichten?
(wäre natürlich cool und viel einfacher!)

Nein, solltest du nicht brauchen. Dieses Tool kann benutzt werden, um die IP-Adresse bei dem Dyn-Anbieter zu aktualisieren. Das lässt du ja die FritzBox machen, und das ist auch gut so. Denn von außen willst du dich per VPN mit der Fritzbox verbinden, nicht mit deinem PC.

Ich frage nochmal:
Hast du mal, wie ich geschrieben habe, die Administration der FB von außen zugelassen? Dann müsstest du deine FB via http://dynipv6.net bzw. https://dynipv6.net erreichen (von außen! Von innen geht das oft nicht)
Erst, wenn das klappt, solltest du dich mit VPN rumschlagen.

Dich, @Ilona_4e3dae bzw. die Rechner, mit denen Du versuchst zu spielen.

Man kann testen, ob „von außen“ Dein hostname, etwa xxxx.myfritz.net zu irgendwas auflöst. Sowohl für IPv4 (A) als auch für IPv6 (AAAA):

https://www.heise.de/netze/tools/dns/

Man kann mal mit ping testen: https://www.heise.de/netze/tools/ping/ sowohl die numerische IPv4-Adresse (bei DS-Lite eher irrelevant) als auch die IPv6-Adresse.

Mal zumindest ein gültiger Hostname, also etwa xxxx.myfritz.net

Ja, ich kann nicht erkennen, was an ipv6-dyndns besser sein könnte als an myfritz.net. Myfritz.net kann jedenfalls IPv6.

Ja, gerade kommt mir das so vor wie jemand fragt „Warum bekommt mein Flugzeug keinen Looping hin?“ und das Problem ist gerade, dass der Tank komplett leer ist …

2 Like

Hallo sweber,

die Administration der FB von außen zugelassen?

hier sind die Einstellungen, die ich vorgenommen habe:
Sollte ich noch eine Einstellung ändern?

Hallo Sebastian,

ich habe die Heise-Tools ausprobiert, aber aus den Ergebnissen werde ich nicht schlau:

  1. die myfritz-Adresse kann aufgelöst werden (AAAA)
  2. die myfritz ipv6-ip kann nicht aufgelöst werden
  3. die heise-ping-funktion funktioniert nicht für die myfritz-Adresse
  4. die heise-ping-ipv6-funktion funktioniert für die myfritz-ipv6-Adresse
  5. im Browser, beide myfritz-Adressen (ipv4 & ipv6) schlagen fehl (Seite nicht gefunden, Bilder weiter oben in diesem Thread)
    Ist das ein Fehler?