Welcher VPN-Client

[linuxnutzer]

Ich bin auf der Suche nach einem VPN-Client für Android 4.1.1,
Unterstützung für 2.3.6-7 mit tun.ko wäre ein Vorteil. Optimalerweise
sollte dann ein tun.ko zur Verfügung gestellt werden, ähnlich wie bei
Truecrypt mit EDS. Das wird es kaum geben, aber vielleicht doch.

Es gibt eine Reihe von Apps, die einem kostenpflichtigen VPN-Server zugeordnet sind. Ich möchte aber sipgate bzw. meinen eigenen am Linux-PC verwenden, eventuell auch eine Fritzbox.

Wo sind die Unterschiede bzw. wodurch unterscheiden sich die Apps?

NCP VPN Client (9,90€)
VpnCilla (4€)
VPNC Widget
strongSwan VPN Client
OpenVPN für Android

 

[ottosykora1]

bin da kein Experte, aber mit meinem billigen Simvalley mache ich VPN Verbindung zu unserem Server ohne etwas spezielles. Die Client SW ist shcon fest eingebaut.

Mit dem Motorola habe ich es noch nicht probiert, es ist aber auch da vorhanden was auch etwa im Windows vorhanden ist.

 

[marmag]

Ich nutze VPNCilla auf meinem Nexus 7 in Verbindung mit einer Fritzbox und bin sehr zufrieden.

 

[linuxnutzer]

@ottosykora1

Es hängt ganz davon ab, ob der Client zum Server passt.

@marmag

Gibt es da eine Möglichkeit wie beim VPNC Widget deutlich am Screen anzuzeigen, dass eine VPN-Verbindung aktiv ist?

 

[android-peter]

Hallo Linuxnutzer!

Zu deiner zweiten Frage:

NCP VPN Client, VpnCilla und strongSwan VPN Client sind Clients für IPsec-VPN.
OpenVPN ist ein VPN, welches auf SSL/TLS-Basis arbeitet. Also etwas völlig anderes.
Zum VPNC Widget kann ich nichts sagen, da nie genutzt, ich gehe aber ebenfalls von IPsec aus.

NCP ist eine etablierte Firma, welche seit langem u.a. gute VPN-Lösungen anbietet. Ich habe diesen Client auch genutzt, so lange wir für diese Firma die BETA-Tester spielen durften. Hat auch sehr gut funktioniert. Nur, der jetzige Preis ist mir die Sache nicht wert.

strongSWAN kenne ich seit langem aus der openSource-Scene. Aber nicht auf dem Androiden getestet. (Da damals der NCP-Client und VPNCilla kostenlos verfügbar waren ... .)

Von VPNCilla bin ich vom ersten Moment begeistert. Installiert, konfiguriert - und läuft seit dem ersten Startversuch. (Ist auch bei jemandem, der sich seit so vielen Jahren beruflich mit VPN befasst, zu erwarten ... .)
Hier habe ich nach den Testtagen gern die paar Euronen bezahlt.
Was mir auch besonders gefällt ist, dass der Entwickler sehr kooperativ ist, auf Anfragen antwortet und auf seiner Webseite eine gute Anleitung zur Konfiguration bereitstellt. Das ist für jemandem, der nicht so tief in der Materie steht, sehr wichtig.
Selbstverständlich hast du hier ein Widget und Einklickbedienung. Auch siehst du ständig den Status.

Wichtig ist noch zu wissen, dass (zumindest auf dem SGS3 unter 4.1.2, aber auch schon vorher unter 4.?.?)) das IPsec-VPN zur Fritz-Box auch mit dem hauseigenen VPN-Client problemlos funktioniert. Trotzdem würde ich jederzeit wieder VPNCilla kaufen!

Wichtig ist, dass du das VPN auch auf dem Server exakt konfigurierst.
Ein openVPN kannst du recht problemlos zu einem VPN-Server innerhalb des geNATteten Netzes durchreichen. Bei IPsec ist das eine Frickelei! Deshalb empfehle ich dir, bei einem IPsec-VPN als Endpunkt die Fritz-Box zu nehmen. Diese Konfiguration ist bei AVM sehr gut beschrieben. Und wenn du dann noch die kleinen Änderungen auf der Webseite von VPNCilla beachtest, muss es sofort funktionieren.
(Und nochmals: ich kann nur über meine Erfahrung mit meinem SGS3 berichten!)

Wenn du keine Lust für eine eigene Konfiguration oder auch Probleme hast, dann suche mal ein wenig im Forum. Ich habe eine komplete (Muster-)Konfiguration für die Fritz-Box gepostet, welche folgende drei gleichzeitig zu betreibende VPN beinhaltet:
- von einem Linux-Rechner oder auch einer WinDOSe per Shrew-Client, nur ins LAN
- dito, aber aller Traffic vom Client (auch Internet) übers VPN
- vom Androiden mit allem Traffic (LAN und Internet) übers VPN.

Ich betreibe u.a. damit aus dem Urlaub im Ausland meine gesamte Telefonie über meine heimische Flatrate und bin auch darüber zu erreichen (Fritz-App Phone machts möglich) ... .

Falls du weitere Fragen hast, gerne.

MfG Peter

 

[marmag]

VpnCilla zeigt die Verbindung sehr deutlich in der Benachrichtigungsleiste an.

 

[linuxnutzer]

@marmag: Die Benachrichtigungsleiste fällt deutlich weniger auf als wie das Widget und ist beim Ideatab sehr schlecht sichtbar (liegt am Display selbst) bzw. oft gar nicht, da die Hülle des Tablet die Taskleiste verdeckt, wenn man durch das Drücken am Eischaltknopf oben die Lasche nach unten gedrückt hat. Bis jetzt konnte mir noch keiner eine App nennen, die die Taskleiste nach oben gibt. Da ist das Widget schon deutlich auffälliger. Siehe Fotos.

 

[linuxnutzer]

@android-peter.

Grundsätzlich funktioniert es bei mir mir der Fritzbox und mit Sipgate. Die Frage ist nur, ob ich vielleicht was schlecht konfiguriert habe.

Du meinst also die Frtizbox und strongSWAN sollen sich vertragen?

 

[marmag]

OK, dann Versuch vpnc widget, ist vom selben Entwickler. Es ist aber etwas schwerer zum einrichten, zumindest kam es mir so vor. Es hat natürlich noch den Vorteil, das es kostenlos ist.

Gesendet von meinem Nexus 7 mit Tapatalk 2

 

[linuxnutzer]

Ich sehe bei der Einrichtung keinen großen Unterschied zwischen dem Widget und VPNCilla, außer, dass VPNCilla mehr Optionen hat. Der Entwickler empfiehlt aber aus Gründen, die ich nicht verstehe, VPNCilla zu verwenden. Es könnte natürlich auch eine verkaufsfördernde Empfehlung sein. Gekauft habe ich VPNCilla, also würde ich es auch gerne verwenden. Wenn es darauf ankommt, dann soll es funktionieren. Die Einrichtung fand ich ziemlich einfach. Netbios habe ich rausgeworfen, der Rest ist default.

Woran erkennt man in der Konfiguratonsdatei, dass alles verschlüsselt wird. Da gibt es beim Fritzboxprogramm zum Erstellen dieser Textdatei eine Checkbox.

In der Hilfe von VPNCilla stehen ein paar Dinge, die ich nicht gemacht habe, es funktioniert aber und ich habe Angst etwas zu verschlimmbessern.

 

[android-peter]

Du meinst also die Frtizbox und strongSWAN sollen sich vertragen?

Davon habe ich kein Wort geschrieben. Ich habe lediglich erwähnt, dass strongSWAN ebenfalls ein IPsec-VPN ist. Und dass ich es auf dem Androiden nicht getestet habe.
Auch bei den IPsec-VPN gibt es große Unterschiede. Sowohl was die Konfigurationsmöglichkeiten, als auch die sonstigen technischen Möglichkeiten betrifft. So hat zum Bsp. AVM die Nutzung asymmetrischer Schlüssel bei seinem VPN "rausgepatcht" (oder nicht mit reingenommen). Etwas, was ich sehr vermisse.

Woran erkennt man in der Konfiguratonsdatei, dass alles verschlüsselt wird.

An den dortigen Routingeinträgen. Vergleiche mit meinen Beispielkonfigurationen (oder kopiere sie einfach und mache ein paar Anpassungen an den relevanten Stellen).

Auf einem PC kannst du das sehr schön (mit einem Sniffer wie wireshark, aber auch) mit einem grafischen Tool wie "EtherApe" sehen. Je nach den Routingeinträgen kannst du sehen, ob der Traffic ins Internet direkt vom Client abgeht, oder ob alles über das VPN geroutet wird und dann der Traffic von der heimischen Fritz-Box ins Internet läuft.
Leider kenne ich auf dem Androiden ggw. noch keine derartigen Tools. Da bin ich noch "neu".

Zu den möglichen Widgets kann ich nichts sagen. Ich mag keine Widgets ... . (Ja, das sind die Ansichten eines "älteren Herren". Bin ich ja auch ... .)

In der Hilfe von VPNCilla stehen ein paar Dinge, die ich nicht gemacht habe,

Ja, das stimmt.
So bietet der VPNCilla-Client z. Bsp. zusätzlich zum statischen "VPN-Schlüssel" noch die Authentisierung mit Benutzername und Passwort, also ein zweites PW(!), an. Muss man nicht nutzen, ist aber empfehlenswert. Aber das steht alles in meinen Muster konfigurationen.


MfG Peter

 

[linuxnutzer]

> Auch bei den IPsec-VPN gibt es große Unterschiede.

Genauso ist es, insofern wäre es natürlich hilfreich zu wissen, ob schon jemand strongSWAN mit der Fritzbox zum Laufen bekommen hat. Ich habe nur gefunden, dass jemand Freetz installiert hat und dort dann den strongSWAN-Server. Ich will aber den vorhandenen VPN-Server der FB nutzen.

Ich probiere irgendeine der "meine IP"-Webseiten, zB http://ip-lookup.net/ Das sagt aber noch nichts darüber aus, ob der gesamte Traffic darüber läuft. Ich habe gerade keinen Windows-PC um einen Screenshot vom entpsrechenden Kästchen zu machen. Da stand irgendwas in der Richtung, öffentlicher Hotspot oder ähnlich. So wie ich es verstanden habe, geht es um die Übertragung der Login-Daten am VPN-Server.

Schau dir mal https://play.google.com/store/apps/details?id=com.overlook.android.fing und https://play.google.com/store/apps/details?id=net.fidanov.landroid an, das fand ich ganz praktisch um nach Problemen im lokalen Netzwerk zu suchen. Ich frage mich gerade, woher ich bei einer früheren Installation ein nmap hatte. Vielleicht ist da was dabei, kann es aber auswendig nicht sagen.

 

[android-peter]

Eine Möglichkeit ist auch, vom Handy aus www.wieistmeineip.com aufzurufen. Dann musst du die IP des Routers sehen. Aber, nochmals, ausschlaggebend sind die korrekten Routingeinträge.

Danke für den Hinweis auf fing. Sieht gut aus. Ob ich nmap auf dem Mäuseklavier nutzen will, weiß ich noch nicht. Sonst gehört es zu meinen Standardwerkzeugen.

Auf meiner arg gefreetzten 7390 habe ich openVPN installiert, nutze es aber seit Kauf des Handys nicht mehr. Stehe auch sonst auf IPsec, allerdings mit richtigen Geräten.

Getippselt per Tapatalk 2 auf meinem SGS3.

 

[linuxnutzer]

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "USER";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        key_id = "USER";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "KEY";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "USER";
                        passwd = "PASSWD";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255", 
                             "permit ip any 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Schau bitte mal, ob man da was noch einschränken kann. Ich verwende VPN für SIP und für ein paar Webcams.

 

[android-peter]

Bitte vergleiche selber. Du willst doch ... .

// ACHTUNG, nur ein Template. Unbedingt die Keys durch welche mit entsprechender Länge austauschen. Empfohlen: 64 Byte
// Multikonfiguration mit drei VPN für folgende VPN-Clients.
// - Shrew-Client für Linux und die WinDOSe, jeweils nur zum Zugang zum LAN bzw. LAN und Internet
// - iPod oder VPNCilla (Android), Zugang zum LAN und Internet (also ges. Traffic übers VPN!)
// Empfohlen: die IP-Range des eigenen LAN ändern (hier: 192.168.188.0), um Probleme mit fremden Zugängen zu vermeiden.
// Jedes VPN übergibt dem Client eine eigene IP => dadurch Mehrfachzugriff möglich
// Die Kommentare entsprechen den Einstellungen der einzelnen VPN-Clients
// Der Entwickler von VPNCilla liefert eine sehr gute Beschreibung auf seiner Seite!


vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "vpn_lan";            //PC => DynDNS, nur LAN, fuer Linux und Windows, Shrew-Client
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.188.201;    // eine IP außerhalb der DHCP-Range der Box
                remoteid {
                        user_fqdn = "vpn_lan";        // oder Mailadresse usw.
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "password_vpn_lan";            // Key, gültig von: JJMMDD bis JJMMDD, ÄNDERN!
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.188.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.188.0 255.255.255.0 192.168.188.201 255.255.255.255";
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = "vpn_internet";            //PC => DynDNS, LAN und Internet, fuer Linux und Windows, Shrew-Client
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.188.202;
                remoteid {
                        user_fqdn = "vpn_internet";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "password_vpn_internet";            // Key, gültig von: JJMMDD bis JJMMDD, ÄNDERN!
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.188.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip any 192.168.188.202 255.255.255.255";
       
           } {
        enabled = yes;
                conn_type = conntype_user;
                name = "smartphone";                // i.pod/VPNCilla => DynDNS, LAN und Internet, Cisco-Client
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.188.203;      // freie IP aus DHCP-Range
                remoteid {
                        key_id = "smartphone";         // anpassen => "Group Id", "IPSecID" bzw. "Gruppenname"
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "password_smartphone";        // Key, gültig von: JJMMDD bis JJMMDD ("Group Password", "IPSecSecret" bzw. "Shared Secret", je nach Client), ÄNDERN!
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;            
                use_cfgmode = no;
                xauth {
          valid = yes;
            username = "user";                // anpassen => "Benutzername", "XAuthUsername" bzw. "Account"
            passwd = "passpass";               // anpassen => "Passwort des Benutzers" "XAuthPassword" bzw. "Kennwort"
                }
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.188.203;    // anpassen, gleiche IP wie oben remote_virtualip
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";  // angepasst auf .../no-pfs
                accesslist = 
                             "permit ip 0.0.0.0 0.0.0.0 192.168.188.203 255.255.255.255";
                            // anpassen (2 x 0.0.0.0 sowie Addresse wie bei remote_virtualip)
                             
                                              
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

 

[linuxnutzer]

Der Unterschied zu den Default-Werten des Frizbox-Konfigurationsprogramms ist folgender. Netbios hatte ich deaktiviert.

dont_filter_netbios = yes;

dont_filter_netbios = no;

Netbios brauche ich nicht, also habe es deaktiviert

use_xauth = no;

use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "USER";
                        passwd = "PASSWD";
                }

Erklär mit bitte, warum du xauth nicht verwendest

use_cfgmode = no;

use_cfgmode = yes;

Was bewirkt use_cfgmode?

phase2localid {
ipnet {
ipaddr = 192.168.188.0;
mask = 255.255.255.0;
}
}

phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }

Das hier scheint mir wesentlich zu sein, obwohl mir auch nicht klar ist, was da genau passiert. Du verwendest also eine IP außerhalb des Fritzbox-Netzes. Wie greifst du dann auf Geräte im Fritzbox-Netz zu?

phase2ss = "esp-all-all/ah-none/comp-all/pfs";

phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";

Was bedeutet pfs?

accesslist =
"permit ip 192.168.188.0 255.255.255.0 192.168.188.201 255.255.255.255";

accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255", 
                             "permit ip any 192.168.178.201 255.255.255.255";

Ich verstehe den Unterschied bei den Berechtigungen nicht.

 

[android-peter]

So, jetzt von mir noch einige letzte Bemerkungen dazu.

1. Das Thema des Threads war "Welcher VPN-Client". Davon entfernen wir uns immer mehr. Zur Einrichtung von VPN auf der Fritz-Box und zu Konfigurationsfragen gibt es bereits andere Threads hier zum Nachlesen. Oder noch viel mehr im IP-Phone-Forum.
2. Mit der von mir geposteten Konfiguration laufen auf einigen Fritz-Boxen (bei mir, meinem Sohn, Freunden usw.) bereits seit mehreren Jahren stabil und im Dauerbetrieb. Ich gestatte dir, die von mir erarbeitete Konfiguration zu nutzen, aber niemand zwingt dich dazu. Du kannst gern selbst etwas entwickeln. Hat sogar den Vorteil, dass du gezwunden bist, dich dabei in die entsprechenden Dokumente einzulesen.
3. Das AVM-Konfigurationsprogramm kenne ich nicht, brauche ich nicht und will ich auch nicht benutzen. Deshalb auch dazu keine Antwort.
4. Es handelt sich, wie bereits gepostet, um drei verschiedene Konfigurationen mit unterschiedlichen Optionen. Daher die Unterschiede ... .
5. Auch warum ich mein komplettes Netzwerk auf einen anderen IP-Bereich gelegt habe, habe ich sogar in den Kommentaren beschrieben. Stell dir nur mal vor, ich bein bei einem Freund in einem WLAN, welches von einer Fritz-Box bereitgestellt wird. Damit haben beide endpunkte die gleiche IP ... .

MfG Peter

 

[linuxnutzer]

Das Thema des Threads war "Welcher VPN-Client". Davon entfernen wir uns immer mehr

Das ist in diesem Forum kein Problem, ich wurde schon mehrmals gerügt und mein Thread verschoben, wenn ich in so einer Situation einen neuen Thread anfing. Ganz im Gegnteil, das ist ein _hilfs_orientiertes Forum und da kann es dir passieren, dass ein Mod ein Nebenthema mit einem eigenem Thread wieder in den "Hauptthread" vermengt. Ich glaube du liest, dass ich darüber nicht sehr glücklich bin.

Mit der von mir geposteten Konfiguration laufen auf einigen Fritz-Boxen (bei mir, meinem Sohn, Freunden usw.) bereits seit mehreren Jahren stabil und im Dauerbetrieb. Ich gestatte dir, die von mir erarbeitete Konfiguration zu nutzen, aber niemand zwingt dich dazu.

Das bringt mich nicht weiter. Meine Konfiguration läuft _auch_ und ich möchte wissen, was du warum besser machst. Diese Antwort bist du mir leider schuldig geblieben.

Das AVM-Konfigurationsprogramm kenne ich nicht, brauche ich nicht und will ich auch nicht benutzen. Deshalb auch dazu keine Antwort.

Dieses Konfigurationsprogramm erstellt nur nach ein paar Angaben eine Datei, die syntaktisch richtig ist und vermutlich möglichst universell funktioniert. Man muss dieses Programm sicher nicht verwenden, wenn man weiß was man tut. Ich bin noch weit davon entfernt. Wenn du dich auskennst, dann verstehe ich nicht, warum du nicht kurz auf den Unterschied hinweist. Die Auswirkungen der einzelnen Parameter herauszufinden ist nicht leicht, zumindest kam ich durch Suchen nach den Optionen nicht viel weiter. Auch kann man bei einem Anwender nicht davon ausgehen, dass die Tiefen eines Netzwerks verstanden werden.

Dann beschreibe doch die unterschiedlichen Szenarien, wann was warum verwendet wird. Das ist doch der Kern der Sache. Die Konfiguration ist doch eine Folge davon. Es ist für einen Laien nicht ganz einfach da "reverse engineering" zu betreiben, was die Konfiguration dann im "real life" bedeutet.

Ich finde zB nie einen Grund, warum man xauth nicht verwenden soll, bin aber gern lernfähig. Ich verwende zB auch keine Passworte wenn möglich, sondern lieber Schlüsselpaare. Das scheint aber nicht möglich zu sein.

Auch warum ich mein komplettes Netzwerk auf einen anderen IP-Bereich gelegt habe, habe ich sogar in den Kommentaren beschrieben

Ich kann deinen Vorstellungen nicht ganz folgen, gelesen habe ich es. Ich habe zwar hinter meiner Fritzbox auch ein weiteres Netz, doch da kommt man von außen bewusst nicht ran. Im Fritzbox-Netz (192.168.178.) sind die "Devices" an die ich via VPN ran will, das sind IP-Kameras, USB-Stick an der FB und SIP. Wären die IP-Kameras in einem anderen Netz, dann hätte ich ein 3. Netz und dann sehe ich das schon ziemlich kompliziert, eine 3.NIC, weitere IP-Tables-Regeln, etc. Ich sehe da keinen Vorteil, das Android-Device in ein anderes Netz zu legen. Aber ok, bei dir mag das eine gute Idee sein. Ich würde aber gerne wissen, warum das beim von mir beschriebenen Szenario durch ein weiteres Netz verbessert werden könnte. Ich will auf alle Geräte im Fritzbox-Netz von außen zugreifen können.

Stell dir nur mal vor, ich bein bei einem Freund in einem WLAN, welches von einer Fritz-Box bereitgestellt wird.

Wo ist das Problem (frage ich ganz höflich und ahnungslos)? Wie stellst du sicher, dass "deinen" IP-Bereich nicht zufällig dein Freund verwendet? Die Fritzbox bei deinem Freund hat eine andere IP bzw. Dynhost als bei dir. Baust du ein VPN vom Handy via UMTS auf, dann landest du bei deiner FB. Bist du im WLAN deines Freundes, sehe ich auch keinen Unterschied. Auch von der Datensicherheit sollte es kein Problem sein, sonst könntest du es nicht von einem öffentlichen Hotspot verwenden. Ich kenne die Grenzen bzw. Schwachpunkte von Ipsec aber nicht und vielleicht gibt es da etwas, auf das man aufpassen muss. Deswegen diskutiere ich ja.

 

[android-peter]

Hi,

ich will mich deswegen so langsam ausklinken, weil ich mit meinen zeitlichen Möglichkeiten etwas haushalten muss. Ich gehe von 06:00 bis 15:00 ++ Arbeiten, bin Moderator in zwei Foren und habe "nebenbei" noch Familie und einen Hund. Und wenn ich 04:40 aufstehe, muss ich 22.00 in die Kiste. OK?

Was ich "besser"(?) mache?
Eigentlich nur, dass ich Konfiguration anhand vorhandener Dokumente für IPsec (und ein klein wenig Erfahrung) selbst erarbeitet, und dabei viele Rückschläge erlitten habe, weil AVM bestimmte Parameter eben nicht verwendet hat. Zum Bsp. bei der Verwendung asymm. Schlüssel. Und alles das musste ich eben austesten, auf die Box laden, usw.
Dann ist es eben eine Multikonfiguration - sie kann komplett importiert und bei Bedarf auch durch Entfernung der Haken im Umfang reduziert werden. Die Möglichkeiten habe ich genannt. BTW: das dritte VPN läuft nicht nur mit dem Androiden, sondern auch mit dem iDingens.
Und ich habe auch die Möglichkeiten der einzelnen Clients ausgelotet.
Ob das alles wirklich "besser" ist, weiß ich nicht. Es ist ein Angebot! (Und ich habe auch keinesfalls etwas dagegen, wenn jemand der etwas davon versteht, mir weitere Hinweise oder auch Kritik gibt.)

> Dann beschreibe doch die unterschiedlichen Szenarien, wann was warum verwendet wird.
Ich dachte, das hätte ich getan, und wenn es in den Kommentaren in der conf ist.

1. Mit einem anderen PC (Linux oder auch WinDOSe) in mein Heimnetz, dort ist alles möglich, was ein Client in meinem Netz eben kann. Ins Internet gehe ich mit diesem Client über seine UMTS-Verbindung oder jede andere, die er gerade hat. Genutzt wird der Shrew-Client, den es für beide OS gibt. (Mac ?) Der Shrew-Client bietet mehrere Profile, mit denen ich einfach auswählen kann.
2. Genau wie oben, aber sämtlicher Traffic geht übers VPN. Ist zwar auf meinen Uplink (1 Mbit/s) begrenzt, aber IMHO notwendig, wenn ich offene WLAN nutzen muss (Hotel, oder in meinem Lieblingsurlaubsland wo 100 Mbit/s selbst in Ferienhäusern und offenes WLAN allgemein üblich ist). Ich möchte ja meine (Foren-)Passwörter nicht breitstreuen. So manches offene WLAN wurde nicht zur Freude der Gäste eingerichtet, sondern zur Freude der hinterfo****** (Bayrisches Schimpfwort) Betreiber.
3. Und diese Konfiguration ist für Smartphones bestimmt. Hier schicke ich sämtlichen Traffic übers VPN. Genutzt hauptsächlich, wenn ich im Ausland über meine heimische Flatrate telefonieren will. Aber alles andere auch, was ich eben mit dem Smartphone dort mache. Selbstverständlich wäre auch eine vierte Konfiguration möglich, worüber ich eben nur mein eigenes Netz erreiche. Aber das habe ich noch nie gebraucht, deshalb auch nicht eingerichtet.

> Ich finde zB nie einen Grund, warum man xauth nicht verwenden soll,
Wer sagt das?
In den ersten beiden Konfigurationen verwende ich diesen zusätzlichen (!) Mechanismus nicht, weil der Shrew-Client das nicht kann (zumindest in der Version, die ich damals genutzt habe. Ober es jetzt geht, weiß ich nicht). Ich habe mich also bewusst eingeschränkt. Ist aber bei meinen drei (!) 64Byte langen und aller drei Monaten gewechselten Schlüsseln auch kein echtes Problem. VPNCilla (und der Stock-Client auf dem SGS3 und dem iDingens) kann es, also ist es in der dritten Konfiguration drin.

Zum geänderten IP-Bereich:
Bei einem VPN müssen sich die beiden VPN-Endpunkte in unterschiedlichen Netzen befinden. Also auf dem Handy die IP aus dem Mobilfunknetz und auf der anderen Seite die interne IP des Routers. Und wenn ich in einem - nicht dem eigenen! - Homenetz mit einer Fritte bin, dann bekommt das Gerät 2x die IP der Box zu sehen, also 192.168.178.1 . Und das Gerät hat auch die aus dem dortigen Homenetz erhaltene IP aus dem gleichen Subnetz, also aus 192.168.179.0 . Und das führt eben zu Problemen.
Beim Routing kannst du nur aus einem Subnetz in ein anderes Subnetz routen.
Und um diesem Problem aus dem Weg zu gehen, habe ich meinem kompletten eigenen Homenetz ein "unübliches" Subnetz verpasst. Also eben 192.168.188.1. Selbstverständlich erhalten alle Rechner, das NAS, der Netzwerkdrucker, das Webradio ... und natürlich auch das Smartphone eine IP aus diesem Bereich. Einmal so eingerichtet, merkst du davon nichts. Die üblichend Router haben alle einen anderen Bereich, die .188. ist mir nirgendwo aufgefallen. OK?

So, ich denke mal, dass ich alle Fragen einigermaßen beantwortet habe.
Mein Hund will nach dem Abendbrot noch mal raus - und meine Frau möchte heute auch noch ein paar Worte mit mir wechseln.

MfG Peter

 

[linuxnutzer]

Danke! Ich bin zwar nicht überall deiner Meinung bzw. verstehe die Situation, wo es sinnvoll ist, aber nachdem deine Zeit knapp ist, muss das nicht vertieft werden. Widme dich deiner Familie und nochmals danke!