VPN zwischen einer FritzBox und einem Blackberry 10 – es geht wohl doch

Heute habe ich mal wieder etwas Zeit gehabt und „rumprobiert“ und was soll ich sagen….:

Ich habe hier eine Fritz!Box 7390 und eine 7490 mir OS 6.50 im Einsatz. (*UPDATE: Dirk schreibt in den Kommentaren das auch die aktuellen Laborversionen für die 7360 funktionieren. Diese Laborversionen gibt es für 7362 SL, 7360, 3490 und 3390. Weitere Bestätigungen – vorallem für anderer Geräte stehen noch aus.*). Mein BlackBerry Device ist ein Classic mit OS 10.3.2.2474. In dieser Kombination ist nun erstmals eine VPN Verbindung zwischen einer FritzBox und einem BlackBerry 10 möglich.

Laborversion für die Fritzbox:

Hier (http://avm.de/fritz-labor/labor-fuer-fritzbox-7390/uebersicht/) gibt es die z.Z. aktuellen BETA (Labor) Versionen für die Fritzbox 7390 und hier (http://avm.de/fritz-labor/labor-fuer-fritzbox-7490/uebersicht/) für die Fritzbox 7490.

Konfiguration in der Fritzbox:

  1. In der Fritzbox eine neuen Benutzer anlegen oder einen vorhanden bearbeiten.FRITZ1
  2. Benutzername und Kennwort eingeben. Weiterhin ganz unten VPN auswählen. Anschließend auf OK klickenFRITZ2
  3. Nachdem die Fritzbox den Benutzer angelegt hat fragt die Box ob man die Einstellungen für die VPN Verbindungen für iOS oder Android anzeigen lassen will – ja das wollen wir!FRITZ3
  4. Es wird nun ein neues Fenster angezeigt. Hier sind wichtige Informationen für uns enthalten. Wichtig ist hier der in den Einstellungen für iOS angezeigte „Shared Secret:“. Dieses brauche wir später bei der Einrichtung des BB. Wichtig: Dieser Shared Secret wird NUR jetzt und hier in diesem Fenster angezeigt – also unbedingt notieren:FRITZ4

Damit geht es zu dein Einstellungen im BB:

  1. Unter Einstellungen – Netzwerke und Verbindungen – VPN wird ein neues VPN Profil angelegt:BB1BB2BB3
  2. Das neue Profil bekommt einen Namen. Der Servername ist die öffentliche Adresse der Fritzbox bzw. der DNYDNS oder MYFRITZ Name der Fritzbox. Wichtig ist nun der Gateway-TYP der Verbindung. Hier wird Cisco VPN 3000-Konzentrator ausgewählt:BB4
  3. Als nächstes muss der Gruppenbenutzername und das Gruppenkennwort eingegeben werden. Der Gruppenbenutzername ist einfach der Fritzboxbenutzername den man gerade eingerichtet hat. In unserem Beispiel hieß der Fritzbox Benutzer VPNUSER und das ist auch der Gruppenbenutzername. Das Gruppenkennwort ist das soeben notierte „Shared Secret“.BB5
  4. Scrollt man weiter herunter wird nun ein Benutzername und ein Kennwort verlangt. Auch hier ist der Benutzername wieder VPNUSER – wie schon oben der Gruppenbenutzername. Das Kennwort ist das Kennwort welches beim anlegen des Benutzers in der Fritzbox vergeben wurde. Ich habe hier in diesem Beispiel KENNWORTVPNUSER eingeben. BB6
  5. Alle weiteren Einstellungen bleiben so wie sie sind. Jetzt nur noch auf Speichern tippen. Damit erscheint das Profil in der Liste.BB7
  6. Nun das Profil „antippen“ und das BlackBerry baut eine Verbindung auf:BB8
  7. Ist diese erfolgreich wird dies durch ein „Balken“ Symbol hinter dem Profil….BB9und einem Schlüsselsymbol in der Statusleiste neben dem Mobilfunk Symbolen rechts dargestellt.BB10

 

Da man eine Fritzbox nicht wirklich tracen kann und damit die Fehlersuche bei VPN Verbindungen extrem schwierig ist kommt man nur durch ausprobieren zu einer Lösung. Ich hoffe nun das – was auch immer AVM in die BETA einfließen lassen hat – auch in den nachfolgenden BETA Versionen Bestand hat und letztendlich auch nach der BETA Phase weiterhin enthalten ist.

Erfolgreich getestet Laborversionen:

84.06.36-31764 Beta, 84.06.36-31823 Beta, 84.06.36-31922 Beta

46 Gedanken zu „VPN zwischen einer FritzBox und einem Blackberry 10 – es geht wohl doch

    • Nein, leider gibt es z.Z. nur Laborversionen (BETA) für 7390 und 7490. Eventuell gibt es nach der Beta Phase eine neue OS Version für alle Fritzboxen.
      Das kann aber nur AVM beantworten. Wir wissen ja noch nicht einmal ob das VPN zum Blackberry „ausversehen“ funktioniert, oder ob es hier Änderungen im VPN Stack gibt die gewollt sind und die es später auch in die „Stabile“ Verisonen schaffen. AVM braucht man hierzu auch nicht zu fragen! Hier gibt es nur Standartantworten. Wenn man nicht gerade Kontakt zu einen Entwickler hat der etwas mehr „interes“ Wissen hat, erhält man keine Antwort und kann eben nur hoffen und abwarten. Ich sichere mir zumindestens immer schön alle verfügbaren BETA Versionen. Falls aus irgendeinen Grund die Änderungen des VPN Stacks NICHT in die entgültige OS Version übernommen werden sollten, arbeite ich weiterhin mit der Laborversion.

      Natürlich muss man auch sagen das dies wahrscheinlich im großen Umfang den Privatanwender betrifft. Bei unseren Kunden setzen wir ausschließlich LANCOM Router ein und hier ist das VPN ab Werk kein Problem.

      Gruß Thomas

    • Hey, super Beitrag!
      Habe damit endlich eine VPN-verbindung zwischen meiner 7390 und meinem Q10 hinbekommen.

      Allerdings habe ich jetzt das Problem, dass ich via VPN nur auf die internen Adressen (also interne IP der Fritzbox) und auf keine externen Adressen zugreifen kann. Die scheint meine Box nicht an den BlackBerry weiterzurouten.

      Hat jemand nen Plan woran das liegen kann? Ne passende Einsellung in der Box habe ich dazu nicht gefunden…. Bin etwas ratlos. So bringt’s mir ja nur die Hälfte…

      • Hallo.
        Das nur Interne Adressen erreicht werden können ist ein wenig komisch. Eigentlich ist die FB durch die VPN Verbindung das zentrale Gateway und sollte alle Verbindungen abwickeln.
        Bitte einmal die VPN Verbindung aufbauen und dann auf die drei Punkte unten rechts tippen. Dann auf „Statusdetails anzeigen“. Was steht bei „Subnetze“ und was steht bei „Primärer DNS“?

        • Hallo, habe das o.g. Problem inzwischen gelöst.
          Scheint ein bekanntes Probelm mit den Konfigs in der Fritzbox zu sein:

          Fritz!Box
          Internet > Filter > Listen
          NetBIOS-Filter und Teredo-Filter deaktivieren (übernehmen) und wieder aktivieren (übernehmen)

          Quelle:

          Seit dem kann ich problemlos aus dem Mobilfunknetz via VPN über die Fritzbox auf externe Adressen zugreifen.

          Nun habe ich aber ein neues Problem. Da ich ja das ganze nicht dauernd händisch ein und ausschalten möchte habe ich entsprechend die Einstellungen für’s automatische verbinden gesetzt. Sowohl über die Mobilfunknetze als auch über WI-FI.
          Mit dem Erfolg das ich nun weder interne noch externe Adressen aufrufen kann.
          Das geht erst wieder wenn die die Option für den automatischen VPN Aufbau über WI-FI deaktiviere.
          Dann baut der BB aber trotz eingeschaltetem und verfügbarem WI-FI eine Mobilfunkverbindung her.

          Wie krieg ich denn das nun wieder hin? Gestern ging das ganze auch über WI-FI von intern aus.

          • Hallo, keiner eine Idee?

            Habe inzwischen ein Android Device getestet. DAmit habe ich auch aus dem eigenen WLAN keine Probleme bei bestehender VPN Verbindung externe Adressen aufzurufen.
            Gehe daher davon aus das es nicht an der FritzBox generell liegen kann.

            Bleiben noch der BB oder die Settings, habe zwei unterschiedliche Nutzer für BB und Android eingerichtet. Wüsste aber nicht das ich hier was unterschiedliches gemacht hätte.

            Bin für jeden Tip dankbar der noch kommt…

            • Hallo, jetzt muss ich noch einmal nachfragen: Die VPN Verbindung soll automatisch aufgebaut werden wenn Sie im eigenen WLAN sind?
              Das man die Verbindung aufbauen möchte, wenn ich unterwegs – also im Mobilfunk – bin, kann ich ja noch nachvollziehen, aber im WLAN?
              Neben dem Sinn sehe ich da auch einige Problemchen: Über das VPN bekommt das Telefon eine IP aus dem gleichen Netzwerk indem es sich schon per WLAN befindet. Da das Routingstechnisch keinen Sinn machen, kann ich mir Vorstellen das Android dann die VPN ignoriert und über dei WLAN Schnittstelle mit den Geräten springt die es dort erreicht. Die VPN erzeugt ja im Gerät nur einen Priorisierten Gateway für das Interne Netz. Bin ich aber schon in diesem Netz muss ich NIX zu meinem Gateway schicken.

              • Hallo, absolut richtig! So richtig sinnig ist das natürlich nicht.

                Es ergab sich nur auf dem Hintergrund das ich die VPN Verbindung gerne automatisch aufbauen möchte (eigentlich nur wenn ich mich nicht im eigenen Wlan befinde).
                Das erschien mir am einfachsten mittels der „Autom. Verbinden“-Option in der VPN Einstellungsübersicht.
                Sobald ich aber die Option einschalte und dabei reicht es leider schon wenn ich es nur für die Mobilfunknetze tue, ignoriert mein BB meine verfügbare Wlan-Verbindung und stellt lediglich eine Mobilfunkverbindung her.

                Die korrekte Frage müsste also eigentlich lauten: Wie schaffe ich es in allen Netze (Mobil und fremde Wlan) automatisch eine VPN Verbindung aufzubauen ohne das, falls verfügbar, mein eigenes Wlan ignoriert wird?

                • Hallo,
                  wenn ich bei „Automatisch Verbinden“ nur „Verbindung über Mobilfunknetz herstellen“ einschalte und „Verbindung über Wi-Fi-Netzwerk herstellen“ ausgeschaltet lasse, dann baut er im Mobilfunk das VPN. Wenn ich in einen Bereich mit einem bekannten WLAN komme, dann baut er die VPN Verbindung ab wenn er eine ordentliche Internetverbindung über WLAN herstellen kann (IP, Gateway und DNS bekommen und Internet funktioniert).

                  Das funktioniert bei Ihnen SO nicht?

                  • Hallo, genauso ist es leider.

                    Option „Autom Verbinden über Mobilfunk“ ist aktiv. (sonst keine)
                    VPN wird aufgbaut, alles läuft bestens.

                    Komme ich dann in Reichweite meines zuhause WLANs, bleibt der VPN bestehen und die verfügbare WLAN-Verbindung wird nicht aufgebaut.
                    Auch nicht wenn ich manuell die „normale“ WLAN-Option aus- und wieder einschalte.

                    • sonst hat wohl keiner das Problem?

                      Bin bisher noch keinen Schritt weiter.

  1. Tja schade. Ich habe den AVM Support angeschrieben, ob es solch eine Beta auch für 7360 geben wird. Die Antwort war herrlich:
    Guten Tag Herr Xxxxxxxxx,
    vielen Dank für Ihre Anfrage an den AVM-Support.
    Leider liegen mir dazu keine Informationen vor.
    Gerne können Sie sich aber über Updates und andere Themen über den AVM-Newsletter informiert, den Sie auf der AVM-Internetseite http://www.avm.de unter „http://avm.de/service/newsletter/newsletter-anmeldung/“
    abonnieren können.
    Freundliche Grüße aus Berlin

  2. Aber trotzdem vielen Dank für deine Anleitung. Gibt es eigentlich irgendeine Ansage von AVM, warum man dem BlackBerry OS den VPN Zugang verweigert?

    • Nein, AVM verweigert nicht den Zugang. VPN ist eine „ziemlich” komplizierte Sache. Der Verbindungsaufbau durchläuft zwei Phasen. Während jeder Phase müssen neben Benutzername und Passwörter auch bestimmte Parameter wie Verschlüsselung, Hashwerte Algorithmus, Anzahl der Bits für die Hashwerte usw. stimmen. Hinzu kommen noch so Dinge wie Gültigkeit der Werte und wann neue ausgehandelt werden müssen. Das Problem ist nun bei der Fritzbox das diese VPN eigentlich nicht kann. Sie kann ganz bestimmt Sachen – mehr aber nicht. Man kann z.B. nirgends in diese verschiedenen Einstellungen eingreifen – zwar bedingt durch eine Konfig Datei, aber diese ist schlecht dokumentiert. Auf der anderen Seite ist das BlackBerry ein „Profi“ Handy wo der Hersteller davon ausgeht auch eine „Profi“ Gegenstelle für eine VPN Verbindung vorzufinden. Aus diesem Grund gibt es eben am Handy vorgefertigte Profile die man (die Benutzerinnen und Benutzer) wählen kann. Hinter jedem dieser Profile stehen eine ganz spezifische Zusammenstellung dieser verschiedenen Einstellungen der oben genannten Parameter und auch hier gilt: das BlackBerry ist hier keinen Deut besser als die Fritzbox! Man kann nichts (besser gesagt: nicht wirklich viel) einstellen. Nun ist in der BETA für die 7390 und 7490 eben etwas vom VPN Stack von AVM geändert worden und per Zufall passen die im Profil Cisco 3000 Konzentrator hinterlegten Parameter zur Fritzbox. Das Cisco ASA Profil oder auch die Juniper Profile die auf den ersten Blick auch XAUTH nutzen, funktionieren eben nicht.

      Kleiner Nebenschauplatz: Bei unseren frühen Versuchen eine VPN Verbindung zwischen einem LANCOM Router und einen BlackBerry herzustellen sind wir zum Beispiel auf die Problematik gestoßen das der LANCOM Router in der Grundeinstellung Passwörter mit erweiterten Sonderzeichen erzeugt. Diese Sonderzeichen wollte das BlackBerry partout nicht akzeptieren. Allen schon darauf zu kommen war ein Akt! Zum Glück können wir am LANCOM alles „Tracen“ und so den Fehler finden. Unserer Anleitung war weit vor der offiziellen Anleitung von LANCOM online – wie konnten also auch noch nicht einmal googeln. Wenn man auf beiden Seiten der Verbindung Geräte hat die einen keinen Einblick in irgendwelche Logfiles bieten, ist das ein reines Glücksspiel.

      Alles etwas komplizierter – leider!

  3. Vielen Dank für die Erklärung. Hab den Beitrag übrigens im bb10qnx.de Forum verlinkt, dass möglichst viele User in den Genuss deiner Entdeckung kommen.

    Gruß Dirk

  4. Vielen Dank – endlich bekomme ich eine VPN Verbindung vom Z10 zur 7390 zu stande, was unter Android-Geräten reibungslos funktioniert hat.
    Da ich alles schon mal eingerichtet hatte musste ich nur den Konzentrator auswählen und es lief auf Anhieb.

    • Wohl schon, denn bis jetzt funktioniert es auch mit den aktuellen BETA Version, es scheint als wenn es kein Zufall ist. Es sind jetzt insgesamt für die 7390 3 weitere Versionen erscheinen die ich Installiert habe und bei allen funktioniert es weiter.

  5. Aus aktuellem Anlass: Funktioniert VPN auch mit dem offiziellen Release 6.50?

    Viele Grüße und Danke für diese geniale Sisyphusarbeit. 🙂

    • Hallo, leider kann ich dazu nichts sagen weil ich hier eine 7390 habe und diese hat noch kein neues Release bekommen. Soweit ich sehe ist die 7390 immernoch in Beta.

      Grüße.

  6. Vielen Dank für den Tipp, darauf habe ich schon lange gewartet.. 🙂

    Mit meinem Q5 tritt nur folgendes Problem auf:
    Für den VPN-User kann ich kein Passwort hinterlegen.
    Der Menüpunkt fehlt komplett. Dafür muss ich ihn beim Verbindungsaufbau händisch eingeben.
    Was habe ich übersehen ?

    Grüße aus Berlin
    Michael

    • Hallo Michael,
      Du meinst das Du auf dem Q5 kein Passwort für den Benutzer speichern kannst? Das ist aber ziemlich komisch. Das einzige was mir einfällt ist das du „Hardware Token“ eingeschaltet hast. Schau nochmal nach und lege zur Not noch einmal ein komplett neues VPN Profil auf dem Q5 an.
      Hängt das Q5 an einem BES, oder ist das ein komplett privates Handy?

      Grüße

  7. Danke für die Anleitung. Ich versuche bereits seit 1 Jahren eine VPN Verbindung mit meiner Fritzbox und meinem Blackberry herzustellen.
    Bis jetzt war ich erfolglos.
    Dank der Anleitung habe ich es hingekriegt.

  8. Seit kurzem gibt es Laborversionen auch für folgende Boxen: 7430, 7362 SL, 7360, 7272, 3490, 3390 und 3370. Hier gibt es die Laborversionen der genannten Fritzboxen.

  9. Bei der Fritzbox 7360 mit dem aktuellen Beta aus dem Labor funktioniert es jetzt!
    Mit dem Passport und – haltet euch fest – auch dem PlayBook!

  10. Leider ist mein WLan seit der Installation der Beta Version unter aller S….. Streame ich ein Internetradiosender bricht der Stream nach spätestens 1 Minute ab. Nicht schön. Ich glaube ich spiel die offizielle Version wieder drauf

    • Direkt mal an AVM melden. Das sind mit Sicherheit Probleme beim Multicast über WLAN. Solche Probleme hatten sie auch mal bei den Repeatern diese konnten Multicast im Repeaterbetrieb aber nicht als Brigde über LAN angeschlossen. Es ist eine Beta und AVM ist mit Sicherheit über jedes Feedback dankbar!

  11. Feedback ist gesendet. Dabei ist mir aufgefallen, dass die Laborversion für die 7630er nicht mehr angeboten wird. Scheint also allgemeine Probleme gegeben zu haben.

  12. bei mir ist plötzlich am Z30 das VPN-Profil verschwunden! Keine Ahnung, was da passiert ist… Hat bis jetzt prima funktioniert. Muss ich es wohl oder übel neu einrichten.

    • Bitte mal das Gerät neu starten. Ich habe soetwas auch schon mehrfach bei den WiFi und VPN Profilen gehabt und nach einem Neustart ist alles wieder gut.

  13. hab es neu eingerichtet, geht aber nicht. Error – Cant´t resolve the VPN Gateway hostname. Please try… steht im Protokoll. Könnte das ein Problem mit Myfritz sein?

    • Mit Sicherheit! Ich habe in letzter Zeit auch immer wieder mal Probleme mit MyFritz. Dieses hat dann 1 bis 2 Tage Probleme. Die Box meldet sich dann nicht bei MyFritz an damit ist der MyFritz Name auch nicht mit der aktuellen IP versehen. Da ich das auch täglich brauche und es funktionieren muss, sind wir nun auf einen anderen DynDNS Anbieter gewechselt. MyFritz macht ja im Grunde nichts Anderes, ja es bietet noch eine Vorgeschaltete Webseite die meine ganzen Fritzboxen auflistet und ja mit MyFritz bekommen ich auch eine IPv6 DynDNS, aber wenn es nicht läuft brauche ich das Ganze nicht. Man sieht das übrigens auch in der Box. Der kleine Punkt ist dann nicht grün….
      Wir verwende nun SPDNS. Dieser Dienst läuft extrem zuverlässig und hat auch kein „Sie müssen sich jeden Monat einmal bei uns einloggen, sonst sperren wir Ihren Account“. Hier gibt es eine Anleitung für die FritzBox.

    • Ja! Man generiert sich bei SPDNS einen neuen „DNS“ Namen. Bei MyFritz ist das ja ziemlich kryptisch. Ganz viele Buchstaben und Zahlen und ewig lang. Das dient wohl der Verschleierung. Bei SPDNS kann man sich faktisch den gleichen Namen geben – also alles was vor „.myfritz.net“ steht. Man kann sich aber auch ein leichter zu merkenden ausdecken. Wie „MICHAHOME.SPDNS.DE“. Wenn dieser Name noch frei ist und man das Ganze wie in der Anleitung beschrieben einrichtet, sollte es laufen. AVM hat SPDNS noch nicht in die Liste der vorgegebenen DynDNS Anbieter eingebaut – aber die Box unterstützt einen Benutzerdefinierten Anbieter und hier gibt man die Daten ein. Übrigens zu finden unter Internet – Freigaben – DynDNS.
      Unter Internet – Online Monitor sieht man dann auch die ganzen Informationen, also ob MyFritz „Grün“ ist und ob das SPDNS funktioniert und aktiv ist.

      Danach einfach im Profil vom Blackberry den MyFritz Namen gegen den neuen von SPDNS austauschen und fertig.

  14. Deine Anleitung ist perfekto!!!!!!! Sauguuuuuuuut!!!
    SPDNS hatte ich zum Glück schon auf meiner 7490 konfiguriert,
    Nach Anletung meinen Passport eingerichtet
    Lief nach nicht mal gefühlten 5 Minuten!!!
    Super Danke

    • Hallo, vielen Dank für die Rückmeldung. Mit so einer VPN Verbindung ist irgendwie alles „runder“ – oder? Es ergeben sich soviele weitere Möglichkeit.
      SPDNS ist wirklich ein klasse Dienstleister. Ich bin sehr zufrieden damit und hatte noch nie Probleme – zumindest habe ich diese dann nicht bemerkt.
      Weiterhin viel Spaß!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.