VPN on-demand mit iOS - ich versteh's nicht ganz

Genau das war's! Vielen Dank!

Gruss,
tholle

Nein, wenn VPN aufgebaut ist, dann bist Du im lokalen Netz als wärest Du zu Hause. Wenn Du selbst keine Firewallregeln angelegt hast, kann es eigentlich zu keinen Problemen kommen.
Wie sieht das denn bei Dir aus? Hast Du neben dem DHCP Bereich auch noch feste IP-Adressen vergeben?
Wenn ja, sind die direkt im Anschluss hinter dem DHCP Bereich? Das ist ein Problem. Beim Anlegen der VPN Verbindungen reserviert die FB pro Verbindung ein IP direkt nach dem DHCP-Bereich. Ist hier drauf eine feste IP gebunden, gibt das starke Probleme.
Ebenso funktioniert es nicht, wenn Du dem Miniserver die Kommunikation ins Internet verbietest, dann lässt die Fritzbox auch die Kommunikation durch das VPN nach Außen nicht zu.
Neue Fritzbox? Neue Adressen? Neue Namen? Stimmen die Angaben in der Config noch??
sonst die Verbindung in der App mal trennen, App terminieren und Verbindung neu anlegen.

Gruß Sven

Hi Sven,
ist alles gut. Laeuft jetzt alles. Der MS blockiert maskierte IP's, wenn er auf "nur lokale Verbindungen zulassen" steht. Dann gehen auch keine gerouteten Anfragen an den MS. Das ist das ganze Geheimnis.
Und ja, ich habe natuerlich sowohl feste, als auch dynamische IP's vergeben. Das ist aber nicht das Problem gewesen. IP-Konflikte habe ich keine, das sind Sachen, die ich bei der Fehlersuche mit als Erstes checke. Als CCNA lernt man als aller erstes, das OSI-Modell von unter her zu betrachten. Das ist der Grund, warum ich hier in die Runde auch gefragt habe, ob evlt. in der Firmware der FritzBox etwas veraendert wurde. Von der Ebene her, war ich ja schon richtig, nur am falschen Kommunikationspunkt.

Gruss,
tholle

Hast Du möglicherweise den Server in der App neu erfasst?

Ich hatte auch mal Probleme, ich misste mich dann im LAN mal anmelden, dann zog die App sowohl die interne wie auch die externe Adresse und ab dann funktionierte es auch übers Mobilnetz.

Funktioniert bei mir bestens, seit 2-3 Wochen kann ich sogar über VPN ins internet über den DNS im Heimnetz. Früher konnte ich nur mit der IP die Geräte ansprechen. Und dabei habe ich nichts geändert, komisch...

Danke fuer den Hinweis. Bringt mich leider nur an den Ausgangspunkt meines Problems. Der APP-Aufruf nach dem Verbinden mit VPN endet in einem weissen Bild. Keine Fehlermeldung der APP oder sonst etwas. Einfach nur ein weisses Bild. Ich tippe ja schwer auf eine (Sicherheits-)Einstellung in der Fritzbox. Ist natuerlich schwer nachvollziehbar, mit einem mobilen Endgeraet.

Fuer Ideen, Einfaelle, Vorschlaege oder Hinweise bin ich natuerlich immer noch offen.

Gruss,
tholle

Du hast nicht etwa eine ios 10 beta auf dem iPhone?

Da hatte ich auch nur einen weissen Schirm ohne irgendwelche Meldungen...

Nope, ist 9.3.5 drauf.

Ich vermute mal, dass es am DNS liegt. Gib da mal die Adresse der Fritzbox an.

Als ersten DNS ist die Fritzbox eingetragen. Habe den 2. DNS trotzdem mal gelöscht, aber keine Besserung. Immer noch das selbe Verhalten.

Wenn Dein VPN aufgebaut wird und sogar automatisch "on-demand", sich der MS über den Browser im iPhone erreichen lässt, dann fallen viele Fehlerquellen weg. Probier mal die externe Adresse in der Config zu löschen. Das VPN kannst Du ja auch manuell aufbauen. Funktioniert die App dann? Bei mir wird ein eigenes Subnet für VPN verwendet, d.h. die IP-Adressen nicht aus dem "LAN" ausgeschnitten. Wenn das auch bei Dir der Fall ist und der MS per VPN erreichbar ist, dann passt das Routing. Wenn es nur die interne URL gibt, dann sollte es für die Loxone App eigentlich kein Unterschied machen, ob die Verbindung direkt über WLAN oder über VPN läuft. Eigentlich bleibt dann nur die externe Adresse, so dass die App nicht mehr auf die interne umschaltet. Das hatte ich ja bereits in Post #38 vermutet. Um hier weiterzukommen, empfehle ich Dir die App "Mocha Ping lite", wo Du eine IP-Adresse oder DNS Namen anpingen und auflösen lassen kannst. Der externe Name sollte eigentlich nie aufgelöst werden können und dient nur als Trigger.

Gruß Jan

Wenn man den Hostname loescht, traegt der MS einen default-Hostname ein. In meinem Fall war etwas nach dem Schema lxXXXX. Aendert aber am Verhalten der APP ueber VPN leider nichts. Hostname habe ich wieder auf den alten gesetzt. Der MS ist sowohl ueber via VPN pingbar, als auch per DNS asprechbar. Heisst, auf Netzwerkebene kann der Fehler nicht liegen, wenn der Name sowohl mit als auch ohne Suffix (ms_hostname.fritz.box, ms_hostname) korrekt aufgeloest wird. Und wie gesagt, der Ping geht sowohl zur IP als auch zum Hostname durch. Es muss entweder an der App, oder der Fritzbox liegen, dass die irgendwie, irgendwo den Websocket sperrt. Denn, reines HTTP auf den MS (Webinterface via Safari aufgerufen) geht ohne jegliche Einschraenkung oder Verzoegerung.

Uebrigens, die IP, die beim Aufbau des VPN vergeben wird, stammt nicht aus einem VLAN sondern ist direkt aus dem Netz, in welchem der MS, und alle meine anderen Geraete haengen.
Routingprobleme zwischen verschiedenen Netzen kann man also auch ausschliessen.

Ich weiss nicht mehr weiter.

Gruss und Danke schon mal bis hier her.
tholle

Ich glabube, es macht auch langsam Sinn, zu diesem Thema einen eigenen Thread zu eroeffnen, um diesen hier nicht zu kapern. Denn der automatische VPN-Aufbau, wie er hier beschrieben ist, funktioniert ja.

Dann muss das aber an der Cablebox liegen. Ich habe auch die 7490 und da ist alles gut. Wie gesagt, ich nutze aber auch nicht den Standardport. Wenn die FB auf dem 80-er tatsächlich irgendwas filtern sollte, könntest Du da so ja umgehen.

Gruß Sven

Ich nutze den Standard-Port mit meiner 7490, aber vielleicht verhält sich die Cablebox da anders. Da VPN verschlüsselt ist und die Debugging-Möglichkeiten im iPhone begrenzt sind, könntest Du es mit einem Paketmitschnitt im LAN über die Fritzbox versuchen: fritz.box/html/capture.html . Den kannst Du mit Wireshark ansehen und zumindest auf der Seite des MS überprüfen, welche Pakete ankommen und was der MS zurücksendet.

Gruß Jan

Es gibt Neuigkeiten in meinem Fall, wenn auch etwas Verstoerende. Der Zugriff via VPN auf den MS klappt aus einem fremden WLan heraus aber, und das ist ziemlich verrueckt, nicht aus dem T-Moblie-Mobilfunknetz. Ich bin jetzt noch ratloser als vorher...

Jemand eine Idee oder einen Geistesblitz?

thx und Gruss,
tholle