Unitymedia VPN-Verbindung blockiert WakeOnLan (Magic-Packet)

[eflavour]

Servus,

vorweg die Infos zu meinem System:

Fritzbox: Unitymedia 6490
FritzOS: 06.50
IP: IPv4!

Ich habe meine VPN-Konfiguration wie folgt eingerichtet: https://avm.de/service/vpn/tipps-tr...ritzbox-unter-apple-ios-zb-iphone-einrichten/

Dies hat auch direkt auf anhieb funktioniert. Ich kann nun mit einem Klick eine VPN-Verbindung mit dem iPhone aufbauen.

So, jetzt kommt aber das Problem. Nachdem ich mich mit meinem iPhone eine VPN-Verbindung aufgebaut habe und mit einen meiner zwei WakeOnLan Apps (iNet WOL oder iShutdown) meinen kabelgebundenen PC wecken will, funktioniert das nicht. Irgendwie wird das Magic-Packet durch die VPN-Verbindung blockiert oder ignoriert. Wenn ich zu Hause im WLAN bin funktioniert dies perfekt, von außen via VPN leider nicht.

Da diese Rangehenweise aus technischer Sicht funktioniert, weiß ich, da ich es genauso mit meinem Firmennetzwerk mache. Dort ist allerdings ein Bintec Router im Einsatz, der auch IPSec nutzt.

Hat jemand ähnliche Erfahrungen gemacht? Oder hat jemand einen Lösungsansatz?

Danke im vorraus.

 

[Andreas1969]

Hast Du unter Netzwerkverbindungen in der Fritzbox für die entsprechenden Geräte überhaupt den Haken für
Wake On Lan gesetzt? :kratz:

Gruß Andreas

 

[koax]

Wake-On-LAN bezieht sich wie der Name schon sagt auf das lokale Netzwerk. Damit es auch aus dem Internet funktioniert (denn hier kommt ja der Router ins Spiel) müssen bestimmte weitere Gegebenheiten vorliegen, wie z.B. eine Portweiterleitung des UDP-Ports im Route rauf den Rechner und die Konfiguration der MAC-IP-Zuordnung per ARP.
Es ist wohl kein VPN-Problem sondern ein generelles Problem Deines Routers, der seinen ARP-Cache nach etlichen Minuten löscht. Vielleicht hast Du auch zusätzlich noch nicht mal eine Port-Weiterleitung eingerichtet.

Das Magic Packet geht an die öffentliche IP Deines Routers und beinhaltet die MAC-Adresse Deines PCs, es geht nicht an die lokale IP Deines PCs. Dein Router weiß aber die MAC-Adresse-IP-Zuordnung Deines Rechnerns nach einiger Zeit nicht mehr, wenn er aus ist. Daran ändert auch nicht eine IP-Rechner-Zuordnung im Router, wenn er sie hinsichtlich des Magic Packets nicht auswertet.

Bei einer Fritzbox bleibt Dir nur die Möglichkeit Dich aus der Ferne in das Web-Interface der Fritzbox einzuloggen und die dortige Weckfunktion zu benutzen oder auf das Magic Packet zu verzichten un der Fritzbox das Aufwecken generell bei jedem Netzverkehr für den Rechner zu gestatten.

Ich habe das Problem bei mir selbst so gelöst, dass ich meiner Fritzbox feste ARP-Einträge beigebracht habe.
Dem hat aber AVM inzwischen bei neueren Firmwares durch die Abschaltung des Telnet-Zugangs einen Riegel vorgeschoben, sodass man weitere Hürden überwinden musss.

Lesestoff:
https://www.edv-lehrgang.de/arp-befehl/
http://www.ip-phone-forum.de/showthread.php?t=247475
http://www.ip-phone-forum.de/showthread.php?t=284397

PS:
Seit einiger Zeit beherrschen die Busy-Boxen der Fritzbox-Firmware auch den Arp-Befehl. Ein Nachrüsten mit einer erweiterten Busybox oder einem zusätzlichen Arp-Befehl ist also nicht mehr erforderlich.
Allerdings hast Du das Problem, dass Du auf der nichteigenen Kabel-Fritzbox sowieso nichts ändern kannst.
Was noch ginge wäre ein Konstrukt mit einem weiteren kaskadierten Router hinter der Fritzbox, bei dem man dann beim Kauf darauf achten müsste, dass dieser (im Gegensatz zur Fritzbox) es erlaubt, permanente ARP-Einträge anzulegen.

 

[eflavour]

Danke für eure Antworten.

@koax: Ich muss dir leider in vielen Dingen widersprechen. Zum einen geht das Magic-Packet nicht an meine öffentliche Adresse, womit ich auch keine Port-Weiterleitung für WOL benötige.

Da ich nach der VPN-Verbindung durch den VPN-Tunnel in meinem lokalen Heimnetzwerk bin und eine lokale IP-Adresse zugewiesen bekomme, brauche ich keine deiner Schritte einrichten. Ich kann durch die VPN-Verbindung alle lokalen Netzwerkadressen und Ressourcen ansprechen. Egal ob Medienserver, Fritzbox-Oberfläche und andere Dienste. Ich bin quasi ein "lokales" Netzwwerkgerät.

Der Zugriff funktioniert tadellos auf die oben genannten Dienste, aber wie erwähnt, lässt sich das Magic-Packet nicht durchschleusen, da es in irgendeiner Art vom Router durch die VPN-Verbindung blockiert wird. In der App stehen sowohl die IP-Adresse als auch die zwingend benötigte MAC-Adresse. Außerdem befindet ich mich dort im Bereich LAN und nicht WAN.

Wie gesagt, in meiner Firmen-Netzwerkumgebung funktioniert es seit Jahren problemlos über diesen Weg, deshalb kann ich das iPhone und die Apps ausschließen.

Grüße

 

[tq1199]

Da ich nach der VPN-Verbindung durch den VPN-Tunnel in meinem lokalen Heimnetzwerk bin und eine lokale IP-Adresse zugewiesen bekomme, ...

OK, aber welches Interface (deines VPN-Tunnels) bekommt diese lokale IP-Adresse zugewiesen? Bist Du auch sicher, dass dieses Interface, "arpable" ist? D. h., auch mit Hilfe einer MAC-Adresse (wenn auch nur FF:FF:FF:FF:FF:FF) erreicht werden kann?

EDIT:

... oder teste mal, ob Du auf diesem "Interface", das Protokoll des Magic-Pakets sniffen könntest. Z. B.:

<i>
</i>:~ $ sudo tcpdump -vvveni tun0 ether proto 0x0842
tcpdump: expression rejects all packets

 

[eflavour]

Da ich nach der VPN-Verbindung durch den VPN-Tunnel in meinem lokalen Heimnetzwerk bin und eine lokale IP-Adresse zugewiesen bekomme, ...

OK, aber welches Interface (deines VPN-Tunnels) bekommt diese lokale IP-Adresse zugewiesen? Bist Du auch sicher, dass dieses Interface, "arpable" ist? D. h., auch mit Hilfe einer MAC-Adresse (wenn auch nur FF:FF:FF:FF:FF:FF) erreicht werden kann?

Also meine IPv4 Konfiguration ist wie folgt:

Fritzbox: 192.168.0.1
DHCP-Pool: 192.168.0.2 - .250

Ich bekommen bei jeder VPN-Verbindung die gleiche IP: 192.168.0.251. Jede lokale IP in meinem Netzwerk ist ansprechbar und pingbar.

Ich bin jetzt mal per Teamviewer auf meinem PC zu Hause drauf und auch per VPN verbunden und greife auf mein VPN-Gerät mit ping und arp zu:

C:\Users\HTPC>ping -4 192.168.0.251

Ping wird ausgeführt für 192.168.0.251 mit 32 Bytes Daten:
Antwort von 192.168.0.251: Bytes=32 Zeit=141ms TTL=63
Antwort von 192.168.0.251: Bytes=32 Zeit=148ms TTL=63
Antwort von 192.168.0.251: Bytes=32 Zeit=50ms TTL=63
Antwort von 192.168.0.251: Bytes=32 Zeit=52ms TTL=63

Ping-Statistik für 192.168.0.251:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 50ms, Maximum = 148ms, Mittelwert = 97ms

C:\Users\HTPC>arp -a 192.168.0.251

Schnittstelle: 192.168.0.3 --- 0x15
Internetadresse Physische Adresse Typ
192.168.0.251 9c-c7-a6-ff-20-81 dynamisch

C:\Users\HTPC>

 

[Gizeh775]

Unter Heimnetz -> Heimnetzübersicht -> Netzwerkverbindungen
bei dem gewünschten Rechner auf editieren und dann:

 

[tq1199]

Jede lokale IP in meinem Netzwerk ist ansprechbar und pingbar.

Auch mit dem arp-Protokoll? Z. B.:

<i>
</i>sudo arping -c 1 -I tun0 -s 10.4.0.1 10.4.0.6
arping: Device tun0 not available.

<i>
</i>:~ $ ping -c 2 10.4.0.6
PING 10.4.0.6 (10.4.0.6) 56(84) bytes of data.
64 bytes from 10.4.0.6: icmp_seq=1 ttl=77 time=21.8 ms
64 bytes from 10.4.0.6: icmp_seq=2 ttl=77 time=20.7 ms
--- 10.4.0.6 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 20.768/21.289/21.810/0.521 ms

 

[eflavour]

Unter Heimnetz -> Heimnetzübersicht -> Netzwerkverbindungen
bei dem gewünschten Rechner auf editieren und dann:

Ne, das ist nicht das was ich suche und auch nicht was ich vor habe. Ich möchte ja nicht aus dem Internet drauf zugreifen sondern durch die VPN-Verbindung.

 

[Gizeh775]

Unter Heimnetz -> Heimnetzübersicht -> Netzwerkverbindungen
bei dem gewünschten Rechner auf editieren und dann:

Ne, das ist nicht das was ich suche und auch nicht was ich vor habe. Ich möchte ja nicht aus dem Internet drauf zugreifen sondern durch die VPN-Verbindung.

Deine FritzBox weiß aber dass die VPN Verbindung von außen kommt, also blockt er sie vermutlich, hast du es denn getestet? Bei mir funktioniert es mit dem FritzBox VPN wunderbar.

 

[johnripper]

Bitte mal den anonymen Inhalt der entsprechenden ipsec.cfg

 

[eflavour]

Jede lokale IP in meinem Netzwerk ist ansprechbar und pingbar.

Auch mit dem arp-Protokoll? Z. B.:

<i>
</i>sudo arping -c 1 -I tun0 -s 10.4.0.1 10.4.0.6
arping: Device tun0 not available.

<i>
</i>:~ $ ping -c 2 10.4.0.6
PING 10.4.0.6 (10.4.0.6) 56(84) bytes of data.
64 bytes from 10.4.0.6: icmp_seq=1 ttl=77 time=21.8 ms
64 bytes from 10.4.0.6: icmp_seq=2 ttl=77 time=20.7 ms
--- 10.4.0.6 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 20.768/21.289/21.810/0.521 ms

Da ich momentan leider kein Linux bzw telnet Konsole im Netzwerk habe, habe ich mir das tool arp-ping.exe heruntergeladen (http://www.elifulkerson.com/projects/arp-ping.php).

Folgendes Ergebnis:

C:\>arp-ping 192.168.0.251
Reply that 9C:C7:A6:FF:20:81 is 192.168.0.251 in 1141.568ms
Reply that 9C:C7:A6:FF:20:81 is 192.168.0.251 in 1149.987ms
Reply that 9C:C7:A6:FF:20:81 is 192.168.0.251 in 1128.338ms
Reply that 9C:C7:A6:FF:20:81 is 192.168.0.251 in 1133.927ms

Ping statistics for 192.168.0.251/arp
4 probes sent.
4 successful, 0 failed.
Approximate trip times in milli-seconds:
Minimum = 1128.338ms, Maximum = 1149.987ms, Average = 1138.455ms

 

[eflavour]

Unter Heimnetz -> Heimnetzübersicht -> Netzwerkverbindungen
bei dem gewünschten Rechner auf editieren und dann:

Ne, das ist nicht das was ich suche und auch nicht was ich vor habe. Ich möchte ja nicht aus dem Internet drauf zugreifen sondern durch die VPN-Verbindung.

Deine FritzBox weiß aber dass die VPN Verbindung von außen kommt, also blockt er sie vermutlich, hast du es denn getestet? Bei mir funktioniert es mit dem FritzBox VPN wunderbar.

Damit ist nicht explizit WakeOnLan gemeint. Der Rechner würde starten sobald man jeden Port anspricht. Wenn ich z.B. über einen anderen Port den MedienServer via PortWeiterleitung anspreche, startet der Rechner.

 

[eflavour]

Bitte mal den anonymen Inhalt der entsprechenden ipsec.cfg

Wo sehe ich den Config-File?

 

[tq1199]

<i>
</i>Ping statistics for 192.168.0.251/arp 4 probes sent. 4 successful, 0 failed.
Approximate trip times in milli-seconds: Minimum = 1128.338ms, Maximum = 1149.987ms, Average = 1138.455ms

Dann könntest Du ja auch mal von der richtigen Stelle aus, mit dem tool "mc-wol" ( http://www.matcode.com/wol.htm " testen, ob Magic-Packets (ether proto 0x0842) durch den VPN-Tunnel ankommen.

 

[eflavour]

<i>
</i>Ping statistics for 192.168.0.251/arp 4 probes sent. 4 successful, 0 failed.
Approximate trip times in milli-seconds: Minimum = 1128.338ms, Maximum = 1149.987ms, Average = 1138.455ms

Dann könntest Du ja auch mal von der richtigen Stelle aus, mit dem tool "mc-wol" ( http://www.matcode.com/wol.htm " testen, ob Magic-Packets (ether proto 0x0842) durch den VPN-Tunnel ankommen.

Ich habe das tool jetzt auf meinem Win10 in C:\

Wie genau kann ich das jetzt überprüfen? Gibt es da so eine Echtzeit-Überwachung?

 

[tq1199]

Wie genau kann ich das jetzt überprüfen? Gibt es da so eine Echtzeit-Überwachung?

Du könntest z. B. mit wireshark und so einem Filter "ether dst FF:FF:FF:FF:FF:FF and ether proto 0x0842" (oder gleichwertig) versuchen.

... oder nur "ether proto 0x0842" als Filter.

 

[eflavour]

Habe gesehen dass es unzählige WOL Packet Sniffer und WOL Packet Monitor Programme gibt. Teste mal ein paar davon.

Wireshark sagt mir was. Musste man da nicht noch spezielle Treiber installieren?

Ändert aber nichts daran, dass es nicht geht :/

 

[tq1199]

Ändert aber nichts daran, dass es nicht geht :/

Ja, denn jetzt geht es darum, ob deine VPN-Verbindung Magic-Packets bzw. das arp-Protokoll blockt.

Welches Interface wird in deinem LAN für (das bereits funktionierende) WakeOnLan genutzt und welches Interface (des aufzuweckenden Gerätes) soll für WakeOnLan im VPN genutzt werden?

 

[eflavour]

Ändert aber nichts daran, dass es nicht geht :/

Ja, denn jetzt geht es darum, ob deine VPN-Verbindung Magic-Packets bzw. das arp-Protokoll blockt.

Welches Interface wird in deinem LAN für (das bereits funktionierende) WakeOnLan genutzt und welches Interface (des aufzuweckenden Gerätes) soll für WakeOnLan im VPN genutzt werden?

Ich nutze immer das iPhone um das Gerät zu wecken. Sowohl lokal per WLAN, als auch aus der Ferne via VPN.

 

[tq1199]

..., als auch aus der Ferne via VPN.

OK, ... und funktioniert es mit dem iPhone aus der Ferne via VPN? Wenn nicht, dann musst Du zum testen was anderes/geeignetes als das iPhone nutzen.

 

[Fleischer]

Jetzt antworte ich leider sehr schwammig und kann meine Aussage auch nicht belegen, da ich die entsprechenden Threads nicht mehr finde.
(Diese waren aber m.W.n. im IPPF).

Ich hatte das gleiche Problem.
Das aufwecken per VPN-WOL hat immer sauber funktioniert.
Irgendwann auf einmal nicht mehr.

Dies hängt wohl mit einer Änderung in der Firmware der Fritzbox zusammen, die den Port 9 aus welchen Gründen auch immer blockt.
Wenn ich es richtig in Erinnerung habe trat das mit der FW 6.0 oder 6.5 auf.

Meine Lösung:
Ich wecke meine Rechner nun mit einer App die direkt auf die Fritzbox zugreift.
In dem Fall für iOS CheckMyBox.
Entsprechende Apps gibt es aber wohl noch wesentlich mehr.

Das funktioniert sehr gut.

Gruß
der Fleischer

Edith:
Doch noch gefunden:
http://www.ip-phone-forum.de/showthread.php?t=284397 (Falls jemand ein Problem mit einem Link ins IPPF hat diesen bitte wieder löschen)

 

[koax]

Doch noch gefunden:
http://www.ip-phone-forum.de/showthread.php?t=284397

Den hatte ich schon in meinem Beitrag aufgeführt (2. Beitrag im Thread).

 

[Fleischer]

@koax
stimmt, sorry,
ich hatte deinen Beitrag wohl gelesen, aber aus dem Kontext heraus keine Verbindung zu diesem Beitrag hergestellt.

Gruß
der Fleischer