[HOWTO] VPN mit FritzBox

[Bloodsaw]

@ Feyanil

Beim loggen kommt es drauf an welche Android Version du benutzt.
Bei -4.1.x müsste derzeit aLogCat noch funktionieren, da sind für dich die Einträge vom racoon interessant. Bei 4.2.x benötigt man dafür allerdings root-rechte, man bekommt in aLogCat wirklich nur noch ganz oberflächliche Logs ausgelesen.

Was AVM betrifft, muss man leider sagen, dass sie es da nicht einfach haben.
Erstmal hast du die Fragmentierung der Versionen. Da muss man dann für jede Version schauen, wann etwas an den beteiligten Komponenten geändert wurde. Dann, und das ist das schlimmste, macht jeder Hersteller eigene Anpassungen am Android. Nur Geräte die unter Googles Namen laufen, siehe Nexus, laufen mit fast unüberarbeiteten ROMs von Google. Daher kann ich AVM schon verstehen das sie Ihren Support dort etwas einschränken, sonst haben sie bald eine ganze Abteilung die sich nur mit VPN und Android beschäftigt.

Interessant währen die IP-Configs die du hast, während der Tunnel aufgebaut ist. Nur leider ist mir derzeit noch kein Weg bekannt dies bei dem Stock Android Client auszulesen.

Letzten Endes macht das tun.ko Modul ja nichts anderes als sich als Netzwerkadapter am Kernel dazwischen zu schließen. So geht alles was vom Kernel ins "Internet" bzw. "LAN" geht erstmal durch den virtuellen Adapter und geht dann erst über den Wlan/3G-Adapter raus.

 

[ThePhantom79]

Hi,
ich habe ein Asus TF700T (Android 4.1.1 Jelly Bean) und bin nach AVM Anleitung (VPN-Verbindung mit Android) vorgegangen, um mich von einem entfernten WLAN zu Hause einzuwählen (Fritzbox 7390). Das Pad verbindet sich auch erfolgreich, und ich sehe auch das Schlüsselsymbol unten in der Leiste. Ich kann aber auf nichts zu Hause zugreifen. Wenn ich zB meine Fritzbox IP in den Browser eintippe, nutzt er wohl nicht die VPN-Verbindung, sondern die WLAN-Verbindung und ich komme auf den Router des lokalen WLANs (der die gleiche IP hat, wie meine Fritzbox daheim).
Woran liegt das? Auch wenn das WLAN im gleichen Netzwerk liegt (192.168.0.x), dachte ich, dass das Pad (da ich den Haken "Nutze VPN für ALLE Verbindungen" angehakt habe) grundsätzlich über meine VPN-Verbindung geht.
Oder ist noch irgendetwas anderes falsch?

Gruß
ThePhantom

 

[rauke]

Im gleichen Netzwerk sollte es nicht liegen.

 

[Sleepydog]

Nach 2 Tagen, die mich unendlich Nerfen gekostet haben, und ich mir auch 100% sicher war, daß ich eigentlich nichts falsch gemacht hatte, gehts jetzt endlich mit meinem HTC One mit Onboard VPN zur Fritzbox.

Die Anleitung bei AVM ist erstmal korrekt, bis auf die IP der Box, die man bei Android unter den erweiterten Optionen eintragen muß (je nachdem was ihr sonst noch machen wollt, müsst ihr halt die config anpassen).

Vielleicht der entscheidente TIP für alle , bei denen es nicht geklappt hat, obwohl sie alles in diesem Forum Thread Geschriebene beachtet haben:

Ich habe z.B. die Fritzbox 7240 mit der offiziellen Firmware FRITZ!Box 7240 FRITZ!OS 05.22 (73.05.22). Wie gesagt, hat das ganze erstmal nach Anleitung nicht geklappt.

In meiner Verzfeiflung habe ich mir einfach die FRITZ!OS 05.29-24296 BETA 73.05.29-24296 aufgespielt.
An der eigentlichen Konfiguration habe ich danach nichts mehr geändert.
-> Es hat nach dem Booten auf anhieb geklappt !

Betas für eure Box sind ja hier FTP bei AVM .

Da in den Firmware Notes nichts dergleichen über VPN steht (nur Repeater Verbesserungen etc.), gehe ich davon aus, daß es nicht an der Firmware selbst lag...

Was ich probiert hatte:
- Ein Reset der Box, hat bei mir übrigens garnichts gebracht.

Was ich nicht probiert habe:
- die gleiche Firmware nochmal drüber gebügelt, vielleicht reicht das ja aus.
- Zurücksetzen der Werkseinstellungen

Ich vermute einfach mal stark, daß das ein Bug der Box ist. Eine zusätzliche Info im How-to bei AVM was in diesem Fall zu tun ist, wäre glaube ich wirklich in Betracht zu ziehen.

 

[se7en]

Hi,
ich habe ein Asus TF700T (Android 4.1.1 Jelly Bean) und bin nach AVM Anleitung (VPN-Verbindung mit Android) vorgegangen, um mich von einem entfernten WLAN zu Hause einzuwählen (Fritzbox 7390). Das Pad verbindet sich auch erfolgreich, und ich sehe auch das Schlüsselsymbol unten in der Leiste. Ich kann aber auf nichts zu Hause zugreifen. Wenn ich zB meine Fritzbox IP in den Browser eintippe, nutzt er wohl nicht die VPN-Verbindung, sondern die WLAN-Verbindung und ich komme auf den Router des lokalen WLANs (der die gleiche IP hat, wie meine Fritzbox daheim).
Woran liegt das? Auch wenn das WLAN im gleichen Netzwerk liegt (192.168.0.x), dachte ich, dass das Pad (da ich den Haken "Nutze VPN für ALLE Verbindungen" angehakt habe) grundsätzlich über meine VPN-Verbindung geht.
Oder ist noch irgendetwas anderes falsch?

Gruß
ThePhantom

Ich zitiere mal von weiter oben:

Was aber AVM vergessen hat, bei Android 4 muss man zusätzlich noch die Fritzbox Adresse unter "DNS-Server" eintragen.
Sonst können www Adressen von Android nicht mehr aufgelöst werden sobald das VPN verbunden ist.

Ich mache mich in den nächsten Tagen auch an das Problem und werde berichten wie weit ich komme :/

 

[rauke]

Gleiches Netz geht aber nicht! Das VPN-Netz muss ein anderes Netzwerk sein. Sprich, wenn du in einem 192.168.0.0 Netzwerk bist und deine Fritz.Box per VPN zu verbinden beabsichtigst, dann darf dieses Netz deiner Fritz.Box nicht ebenfalls im 192.168.0.0 Netz liegen.
Problem ist dann nämlich, dass es dann Adresskollisionen gibt - zwei Geräte könnten/haben so die selbe IP-Adresse.

 

[se7en]

Aber das hat doch mit dem DNS Eintrag in den erweiterten VPN-Einstellungen nichts zu tun.

Ob man wirklich nicht zwei gleiche Adressen haben darf bei diesem Szenario kann ich mir aber schon vorstellen, wäre aber doof, denn u.U. kann man das ja garnicht beeinflussen

 

[boblike]

Und was fuer Moeglichkeiten bietet so eine VPN verbindung mit meiner Box?

 

[redfox]

Es gibt die wundervolle App Fritz Fon. Mit Hilfe dieser App ist es möglich das Handy als Festnetztelefon im heimischen Wlan zu verwenden. Das VPN bietet die Möglichkeit der App das Verbinden von überall zu ermöglichen, sodass du auch mitten in der Stadt über HSPA über deinen Festnetzanschluss zu Hause zu telefonieren.
Außerdem bietet dir so ein VPN vollverschlüsselung, sodass du auch in fremden WLANs online banking nutzen kannst oder Facebook sorgenfrei zu nutzen (Facebook Cookie klauen und so ) Der WLAN Betreiber "sieht" dann auch nicht was du machst, da er nur verschlüsselte Pakete "sieht". In Schulen oder Firmen werden zudem ganz gern mal Seiten wie Facebook und Youtube gesperrt, nicht jedoch VPNs, sodass du diese Seiten dann immernoch übers VPN aufrufen kannst.

 

[voldemort]

Hallo,

mein Kontakt zum (ansonsten eigentlich guten) AVM-Support war nicht hilfreich, kurze und lapidare Antwort: Das Problem sei nicht bekannt, Fremdprodukte würden nicht supportet.

Nach langen Experimenten funktioniert bei mir (Android 4.xx):

1. DNS-Server beim Client eingetragen (es geht sowohl die lokale IP der FritzBox als auch der DNS-Server des Providers)

2. Konfigurationsdatei geändert:
accesslist = "permit ip any 192.XXX.XXX.0 255.255.255.0";

Funktioniert auf Nexus 7 und HTC One S.

Auf dem HTC wird auch die FritzApp Fon-Verbindung aufgebaut (verwende die Laborversion).

FritzBox ist eine 7390 mit OS 5.50

Gruß
voldemort

 

[Siutsch]

[...]

Bin da auch am fummeln, komme aber noch nicht weiter.

2 Fragen:

1.
Muss in der Konfigurationsdatei "fritzbox_XXXXXX.cfg" bei
accesslist = "permit ip any 192.XXX.XXX.0 255.255.255.0";
tatsächlich 192.XXX.XXX.0 eingetragen werden?

Also am Ende wirklich eine "0"? Und sind die "X"e nur Platzhalter oder
müssen Sie durch die IP-Daten des lokalen Netzes ersetzt werden?

Rauke hatte in Post #186 ja:
permit ip 0.0.0.0 0.0.0.0 192.168.178.202 255.255.255.0";
stehen (192.168.178.202 dann die Ziel-IP des Phones im lokalen Netz),
also statt "any" "0.0.0.0 0.0.0.0".


2.
Darf das WLAN, in dem sich das Phone eingewählt nun im gleichen IP-Bereich sein, wie die Fritz-Box oder nicht?

Ich habe das Netz der FritzBox auf 192.168.0.x und im WLAN, von dem ich das Phone per VPN versuche zu verbinden ist das ebenfalls so.
Die IP des Phones ist nat. aber nicht die gleiche, wie die Ziel IP des Phones, die es im VPN bekommen soll.
Auch die IP der FritzBox und des lokalen Routers sind unterschiedlich.


Siutsch.

 

[voldemort]

@siutsch:

zu 1.
sorry, die XXX sind natürlich Platzhalter; und JA, am Ende eine Null (das ist das Netzwerk)

das mit Post #186 hatte ich auch gelesen; ich kann nur beschreiben, welche Lösung bei mir funktioniert, das ist die mit dem "any"; ob bei Anderen andere funktionieren und in welcher Konstellation, weiß ich auch nicht, einfach probieren

zu 2.
meines Wissens NEIN

 

[Siutsch]

[...]

So, nach etwas weiterer Fummelei läuft es bei mir nun auch.

Ich habe in der Config-Datei, die mit dem AVM-Tool "Fritz!Fernzugang einrichten" für den Router erstellt wird folgendes verändert:

use_cfgmode = yes;
auf
use_cfgmode = no;


Wieso da bei mir immer "yes" eingetragen wird, kann ich nicht sagen und ob es überhaupt notwendig ist das zu ändern, kann ich ebenfalls nicht genau sagen.

(Lt. Google soll yes = "virtuelle IP von Gegenstelle + autom. NAT" bedeuten).


Bei "accesslist" habe ich beide Zeilen so gelassen, wie sie sind, in meinem Fall (meine Box hat 192.168.0.250):

accesslist =
"permit ip 192.168.0.0 255.255.255.0 192.168.0.210 255.255.255.255",
"permit ip any 192.168.0.210 255.255.255.255";

(Hier hatte ich vorher als Fehler wohl statt 192.168.0.0 für das Netz die IP der Fritz!Box genutzt, was nat. falsch ist.)


Bei den VPN Einstellungen am Android-Phone, wie hier bereits erwähnt, hab ich ebenfalls die IP-Adresse der Fritz!Box bei "DNS-Server" eintragen.
Außerdem hab ich bei "Routen werd. weiterg." noch "192.168.0.0/24" eingetragen.

Ob das, neben dem Eintrag für den DNS-Server aber ebenfalls wirklich notwendig ist, kann ich auch nicht sagen (wohl nicht, klappt bei voldemort ja auch ohne diesen Eintrag), klappt aber trotzdem nun alles.


Achja:
Man kann im gleichen Netz sein, in meinem Fall ja 192.168.0.x, muss aber nat. aufpassen, das die IP, die das Phone zugewiesen bekommt nicht mit einer anderen IP im Fritz!Box Netz kollidiert.
Beide Router haben hier ebenfalls untersch. Adressen, ob das aber auch zwingend notwendig ist, weiß ich nicht.
Da viele Router wohl die .1 haben, denke ich, dass es auch mit identischer Adresse klappen müsste, sonst hätte man in vielen WLANs (z.B. öffentlichen) wohl Probleme, da es sicher nicht ungewöhnlich ist, dass die Router als IP 192.168.0.1 haben.

Vielen Dank für die Tipps.

 

[gonzo2012]

Nun will ich auch meinen Senf mal dazu geben.

Ich versuche jetzt seit 14 Tagen über NCP per VPN zu meinem Heimnetzwerk Verbindung zu bekommen. Erst war mir nur wichtig, dass ich auf mein NAS (Synology) zugreifen kann. Nun habe ich hier viele andere Möglichkeiten gelesen und bin sehr neugierig geworden.

erstens: Mein Handy ist ein Samsung S3 Mini, nicht gerootet (Garantie) Android 4.1.1
Ich bin durch diesen Beitrag

http://http://stadt-bremerhaven.de/vpn-tunnel-von-einem-androiden-zu-einer-fritzbox-erstellen/http://stadt-bremerhaven.de/vpn-tunnel-von-einem-androiden-zu-einer-fritzbox-erstellen/

auf diese Seite von AVM

http://http://service.avm.de/suppor...g-mit-Android-Geraet-zur-FRITZ-Box-herstellenhttp://service.avm.de/support/de/SK...g-mit-Android-Geraet-zur-FRITZ-Box-herstellen

aufmerksam geworden.
Mit dieser Anleitung von AVM habe ich es mit Android eigenen Mitteln hin bekommen Verbindung zu meinem NAS zu bekommen. Komisch ist, dass in der FritzBox nicht mal angezeigt wird, dass eine VPN besteht. Ich habe am Handy auch nur Verbindung zum NAS, die FritzFon App funktioniert nicht und die Box selber kann ich auch nicht aufrufen. Ich habe auch die FritzBox IP unter Server eingegeben, hat nichts bewirkt.

Hat einer dazu noch einen Tipp?

Ich werde heute mal versuchen alle Daten in NCP ein zu geben, damit ich dann darüber Zugriff bekomme. Mir geht auch dieses leidige PIN oder Muster eingeben um den Bildschirm zu entsperren auf den Senkel.

Danke für all Eure Beiträge, die sind wirklich hilfreich gewesen.

Nachtrag: 11:08 Uhr
Habe gerade mal geschaut und am Handy die IP der Box eingegeben. Da komme ich auch drauf und bei VPN ist auch der grüne Punkt. Nur FritzFon App geht nicht.

 

[redfox]

Moin moin,

sitzt bei der Haken bei "In allen Netzen"?

Du findest diesen Menüpunkt in einem etwas verstecken Menü in der Fritz Fon App. Starte die App, drücke am Handy Menü. Wähle dann dort Einstellungen. Anschließend drückst du nochmals am Handy Menü und wählst dort Erweitert. Da findest du diesen Haken. Wenn der gesetzt ist, sollte alles laufen. (Dauert ein Momentchen länger als im WLAN)

Gruß
Redfox

 

[boerni]

Hallo zusammen,

ich habe es irgendwie geschafft auf meine 7390 zu kommen.

Nun habe ich folgende Frage.

Kann ich mehrere Nutzer in die cfg eintragen, oder dürfen mehrere Nutzer mit den gleichen Zugangsdaten gleichzeitig zugreifen ?

Ich habe vor (im Urlaub), dass z.B. mein Handy, Tablet, das Handy von meiner Frau und Tochter gleichzeitig im vpn auf die 7390 zugreifen können.
Leider kann ich es noch nicht testen, weil wir neue Handys bekommen und die alten nicht gerootet sind.

Wie trage ich die Zugangsdaten (email mit Passwort) der anderen "Geräte" in die cfg ein, falls möglich ?

Gruß
boerni

 

[rauke]

Erstelle einfach für jeden eine eigene Config. Ist nicht weiter problematisch und geht per Copy&Paste und paar kleinen Anpassungen.
Sieht dann so aus (auf die IP-Adressen achten!):

vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_user;
        name = "verbindung1";
        always_renew = no;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;
        remote_virtualip = 192.168.178.201;
        remoteid {
            key_id = "key1"; // hier kein "@" verwenden! 
        }
        mode = phase1_mode_aggressive;
        phase1ss = "all/all/all";
        keytype = connkeytype_pre_shared;
        key = "UltraGeheimesPassword1";
        cert_do_server_auth = no;
        use_nat_t = yes;
        use_xauth = yes;
        use_cfgmode = no;
        xauth { 
            valid = yes; 
            username = "nutzer1"; 
            passwd = "NochEinGeheimesPassword1"; 
        }
        phase2localid {
            ipnet {
                ipaddr = 0.0.0.0;
                mask = 0.0.0.0;
            }
        }
        phase2remoteid {
            ipaddr = 192.168.178.201;
        }
        phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
        accesslist = 
        "permit ip 0.0.0.0 0.0.0.0 192.168.178.202 255.255.255.255";
    }
    {
        enabled = yes;
        conn_type = conntype_user;
        name = "verbindung2";
        always_renew = no;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;
        remote_virtualip = 192.168.178.202;
        remoteid {
            key_id = "key2"; // hier kein "@" verwenden! 
        }
        mode = phase1_mode_aggressive;
        phase1ss = "all/all/all";
        keytype = connkeytype_pre_shared;
        key = "UltraGeheimesPassword2";
        cert_do_server_auth = no;
        use_nat_t = yes;
        use_xauth = yes;
        use_cfgmode = no;
        xauth { 
            valid = yes; 
            username = "nutzer2"; 
            passwd = "NochEinGeheimesPassword2"; 
        }
        phase2localid {
            ipnet {
                ipaddr = 0.0.0.0;
                mask = 0.0.0.0;
            }
        }
        phase2remoteid {
            ipaddr = 192.168.178.202;
        }
        phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
        accesslist = 
        "permit ip 0.0.0.0 0.0.0.0 192.168.178.202 255.255.255.255";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
          "udp 0.0.0.0:4500 0.0.0.0:4500";
}

 

[boerni]

Danke für die Info.

Das heisst, ich erweitere die Datei.
Ich dachte zuerst, ich muss für jeden User eine neue cfg erstellen.

Danke

Gruß boerni

 

[gonzo2012]

Moin moin,

sitzt bei der Haken bei "In allen Netzen"?

Du findest diesen Menüpunkt in einem etwas verstecken Menü in der Fritz Fon App. Starte die App, drücke am Handy Menü. Wähle dann dort Einstellungen. Anschließend drückst du nochmals am Handy Menü und wählst dort Erweitert. Da findest du diesen Haken. Wenn der gesetzt ist, sollte alles laufen. (Dauert ein Momentchen länger als im WLAN)

Gruß
Redfox

Cool, das hat geholfen und jetzt bin ich auch schon fast ohne NCP glücklich. Aber die 9.99 € will ich nicht um sonst ausgegeben haben.

DANKE

gesendet mit Samsung S3Mini

 

[xkawer]

Das ganze geht auch mit dem in Android integrierten VPN-Client: VPN-Verbindung mit Android-Gerät zur FRITZ!Box (Client-LAN-Kopplung)