VPN-Konfiguration L2TP/IPSec an der FritzBox

robwedel

Benutzer
Mitglied seit
28. Mai 2020
Beiträge
17
Punkte für Reaktionen
2
Punkte
3
Hallo zusammen,

habe heute erstmals versucht, das VPN auf meiner DS723+ einzurichten.

VPN Server installiert und L2TP/IPSec standardmäßig konfiguriert
Da keine Firewall an der Diskstation eingerichtet ist, sofort weiter zu meiner FritzBox 7590 (Firmware 8.0 nagelneu seit gestern!)
Jetzt auf der FritzBox in die Systemsteuerung - Internet - Freigabe - Portfreigaben

Die erste Freigabe auf Port 1701 mit UDP wie erwartet - LED leuchtet grün
Die zweite und dritte Freigabe auf den Ports 4500 und 500 lassen sich nicht einfach setzen. Sie bekommen zwar eine grüne LED, es erscheint aber ein Hinweis "Für diese Freigabe wurden andere Ports extern vergeben als von ihnen gewünscht."
Aus meiner Sicht werden von der FritzBox willkürlich Ports jenseits von 57000 vergeben. Auch Aktualisieren bringt keine Abhilfe.

Ein Versuch nach sauberer VPN-Konfiguration innerhalb der Windows11-Einstellungen eine Verbindung herzustellen endet nach offensichtlichem Timeout mit der Meldung "Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist.

Es handelt sich beim Client um ein aktuell gehaltenes Win11-System, das erst 2023 installiert wurde (kein Update von Win10).
Habe beim Suchen mit Google nur altes Zeug aus 2022 gefunden, das auf ganz anderen Voraussetzungen basiert. Kann davon nichts brauchen...
 

Uwe96

Benutzer
Mitglied seit
18. Jan 2019
Beiträge
1.148
Punkte für Reaktionen
111
Punkte
83
Warum nutzt du nicht den WPV der Fritzbox? Da gehört der VPN Server auch hin.
Und dann noch am besten Wrieguard.
 
  • Like
Reaktionen: Stationary

Mahoessen

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
1.069
Punkte für Reaktionen
216
Punkte
83
und dann den VPN Zugriff von Außen! (bei Fritz!Box Gastnetzwerk)aufbauen und testen.
 

robwedel

Benutzer
Mitglied seit
28. Mai 2020
Beiträge
17
Punkte für Reaktionen
2
Punkte
3
@Uwe96: Unter "fritzbox wpv" ist nichts bei Google zu finden. Was soll das sein? Und Wireguard brauche ich nicht, ich will die Protokolle nicht analysieren, das soll nur laufen.

@Mahoessen: Hast du eigentlich gelesen, was mein Problem ist? Die Portfreigabe zickt rum. Das ist das primäre Problem, das erst gelöst werden muss. Mal sehen, ob ich in einem AVM-Forum weiterkomme.
 

Uwe96

Benutzer
Mitglied seit
18. Jan 2019
Beiträge
1.148
Punkte für Reaktionen
111
Punkte
83
Sollte natürlich VPN heißen. Keine Ahnung wieso ich sowas geschrieben habe.
Wireguard ist halt einfacher und vor allem schneller
Da sind dann auch keine Port Freigaben nötig!
 

robwedel

Benutzer
Mitglied seit
28. Mai 2020
Beiträge
17
Punkte für Reaktionen
2
Punkte
3
@Uwe96: verschreiben tun wir uns alle ständig.
Ich hab das Thema jetzt mal bei heimnetz.de eingekippt. Mal sehen, ob da ein FritzBox-Experte anbeißt.

Danke dir.
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.941
Punkte für Reaktionen
1.262
Punkte
194
Ist zwar keine direkte Lösung für Dein Problem, aber der VPN-Server wäre besser auf der Fritzbox aufgehoben. Dann mit Wireguard, das läuft damit auch etwas schneller.
Wenn Du meinst, daß die Fritzbox willkürlich Ports vergibt, dann sieh doch in der FB mal nach, welche Ports wie verwendet werden (unter Diagnose>Sicherheit).
Port 4500 wirst Du nicht setzen können, weil die FB den reserviert für das eigene IPSec IKEv2 (ist ein anderes Protokoll als L2TP/IPSec). Port 500 ist auch bereits für IKE belegt.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.859
Punkte für Reaktionen
1.147
Punkte
288
Port 4500 wirst Du nicht setzen können, weil die FB den reserviert für das eigene IPSec IKEv2
und kann man so was nicht abschalten?


Ich habe mal auch so was machen müssen, dann habe ich alles irgednwie abgeschaltet und dann ging alles plötzlich. War aber auf einer älteren FB
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.859
Punkte für Reaktionen
1.147
Punkte
288
aber das wird ja kaum dann funktionieren, L2TP verlangt eben diese Ports, ich wüsste nicht wie man es dann einrichten soll
 

Uwe96

Benutzer
Mitglied seit
18. Jan 2019
Beiträge
1.148
Punkte für Reaktionen
111
Punkte
83
Kann man die nicht ändern? Wie gesagt, ich nutze fir FB als VPN Server. Da braucht man keine Ports einstellen.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.169
Punkte für Reaktionen
1.133
Punkte
194
Hast du den sonst nen VPN Server an deiner Fritzbox aktiv?

Eigentlich sollten AVM die Ports noch selbst anders vergeben.



Und wie der rest schon sagte . Der VPN Server gehört auch auf die Fritte
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.941
Punkte für Reaktionen
1.262
Punkte
194
Wir klären das gerade auf heimnetz.de
Er hat da noch eine IPSec IKEv2 Verbindung zu einem Mobilgerät auf der Fritzbox eingerichtet. D.h. die FB blockiert 500 und 4500 für das eigene VPN. Wenn es unbedingt diese Ports sein sollen, dann muß die IPSec IKEv2 Verbindung gelöscht werden. Alternativ kann der L2TP/IPSec Server auf andere Ports umkonfiguriert werden, das geht aber bei der DS soweit ich mich erinnere nicht.
https://avm.de/service/wissensdaten...eren-Herstellers-im-FRITZ-Heimnetz-einsetzen/
Das Mobilgerät kann dann auf Wireguard umgelegt werden.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: robwedel

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.169
Punkte für Reaktionen
1.133
Punkte
194
Na da hatte ich ja ne richtige Vermutung.

Aber verstehe nicht warum er da nicht einfach ne Verbindung darüber dann macht.
 

robwedel

Benutzer
Mitglied seit
28. Mai 2020
Beiträge
17
Punkte für Reaktionen
2
Punkte
3
Endlich was zu tun am Wochenende. So wird das nie was mit dem Sport. Immer nur vor der Kiste und konfigurieren, testen, konfigurieren, testen.
Das geht schon Jahrzehnte so. Bin ja schon fast Rentner. Nur noch 2 Jahre Endspurt. Aber IT ist halt einfach geil...
 
  • Haha
Reaktionen: Kachelkaiser


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat