[HOWTO] VPN mit FritzBox

[kailly]

Hallo,

ich hake gerade auch etwas mit der VPN-Verbindung.

Im Einsatz sind mein Nexus4 und eine Fritzbox 7390.

Die Fritzbox habe ich für den VPN-Zugang vorbereitet. Über das originäre VPN-Menü von Android konnte ich problemlos eine Verbindung aufbauen und nutzen.
Mir gefiel dabei aber nicht, dass Android mich dazu zwingt, ein Password/PIN/Muster zum entsperren zu verwenden.

Deshalb bin ich bei der Suche auf VPNCilla gestoßen. Hier habe ich ebenfalls alle Parameter der VPN-Verbindung hinterlegt.
VPNCilla stellt die Verbindung her; es werden auch ein paar Byte (nicht mehr!) übertragen.
Allerdings bin ich nicht in der Lage bei der mit VPNCilla aufgebauten VPN-Verbindung im Internet zu surfen. Z.B. meckert GMail immer "keine Verbindung".

Ich kann mir das nicht erklären. Obwohl die Verbindung lt. VPNCilla sauber steht, ist keine Datenübertragung möglich. Deaktiviere ich VPNCilla und switche wieder rüber zum Android-VPN-Client funktioniert es sofort.

Anmerken möchte ich noch:
Während die VPNCilla-Verbindung zur Fritzbox steht bin ausschließlich in der Lage im Browser die Website der Fritzbox aufzurufen. Alles andere - wie oben geschrieben - klappt nicht.

Hat jemand eine Idee?

Gruß,
Kailly

 

[rauke]

Ach Leute. Wir haben hier leider keine Glaskugel. Ihr müsst mehr Informationen schreiben. Wie sehen die Routen aus, welche Netzwerkbereiche, welche DNS Einträge. Alles andere ist Kaffeesatz lesen. Und PS: die PIN Abfrage hat einen Grund
Man sollte nicht so nachlässig sein mit seiner Sicherheit.

 

[kailly]

Alles klärchen,

dann poste ich mal meine Config:

vpncfg {
        connections {
[COLOR=DimGray]                enabled = yes;
                conn_type = conntype_lan;
                name = "xyz.dyndns";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "xyz.dyndns";
                localid {
                        fqdn = "abc.dyndns";
                }
                remoteid {
                        fqdn = "xyz.dyndns";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "blablablub-key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        } {
[/COLOR]                enabled = yes;
                conn_type = conntype_user;
                name = "ghji";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.1.201;
                remoteid {
                        key_id = "ghji";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "tollespasswort";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "ghji";
                        passwd = "nocheintollespasswort";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.1.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 192.168.1.0 255.255.255.0 192.168.1.201 255.255.255.255",
                             "permit ip any 192.168.1.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Der graue Teil entfällt auf die VPN-Verbindung, die ich zu einer anderen Fritzbox über das Internet herstelle. Sollte für uns relativ uninteressant sein.
Der anschließende schwarze Text entfällt auf die Android-VPN-Verbindung.

Aus Neugier frage ich noch mal, warum in diesem Fall die Config überhaupt hilfreich sein kann. In meinem obigen Post hatte ich ja erwähnt, dass die VPN-Verbindung über den originären Android-Client wie erwartet aufgebaut und auch genutzt werden kann - sprich ich kann dann auch tatsächlich das Internet via VPN nutzen.
Nur in dem Fall, dass ich VPNCilla als Client nutze, wird zwar eine VPN-Verbindung zur Fritzbox aufgebaut, ich kann allerdings nicht auf das Internet zugreifen.
Das lässt mich darauf schließen, dass der Fehler im Client und nicht in der Config der Fritzbox verortet werden müsste, oder?

Sollte ich noch weitere Angaben ergänzen oder hilft das in dieser Stelle vorerst weiter?

Danke für die Unterstützung und Grüße,
Kailly

 

[rauke]

Nicht die Konfiguration sondern die routen Tabelle wenn die Verbindung aufgebaut wurde. Für mich klingt es nämlich so, AKS sei die Route nicht richtig (Gateway muss ja dann die interne IP deiner fritzbox sein)

 

[kailly]

Hatte in vpncilla alles auf default bzw. leer gelassen. Nur den haken bei "vpn via datennetz" habe ich gesetzt.

Ergänzung:
Nun habe ich mal bei "Force default route" den Eintrag "via wifi/mobile daten" ausgewählt.
Mit dieser Einstellung kann ich zumindest per Wifi erfolgreich zugriff auf das Internet via VPN.
Verbinde ich mich jedoch via UMTS klappt das wiederum nicht.
Bin etwas ratlos.

 

[felix99_dc]

Hi,
Hätte mal ne Frage.
Ich nutze seit mehreren Jahren die VPN Verbindung erfolgreich um entweder gesichert aus nem Hotspot Bereich zu surfen,
oder mir ausm Ausland eine Deutsche IP zu verschaffen (dailyme, Zattoo etc) ;-) Sprich der gesamte Traffic geht dann über meine Fritz.

Nun habe ich seit 3 Monaten VDSL - und würde gerne von der erhöhten Geschwindigkeit auch im VPN profitieren - dafür sollte VDSL in meinem Fall auch sein.

Problem ist nur, dass ich max. 2,X Mbit bekomme.
Hab VDSL 50/10 und auch lt. Speedtest die angegebenen Datenraten.

Nun meine Frage - woran leigt es dass das VPN keine ~ 6-7 Mbit, mit denen ich gerechnet hatte rausrückt?

Beispiel: HSDPA+ Speedtest sagt ( 3x Test) ~8 Mbit down 600k Up
Mit VPN über HSDPA+ (3x Test) ~ 2,4 - 2,7 Mbit 200-500k Up

Bei Wlan (nat. mit genügend Speed zum testen) stellt sich gleiches ein.

Auf den diversen Androiden läuft VPNcilla.

Wo könnte bei mir nun das Problem liegen ? MTU?? anderes Problemchen??
Ne Idee wie ich sowas auf die Schlcihe kommen könnte? z.B. Fritzbox interner Logger mit anschliessender Wireshark Analyse?


Vielen Dank

Felix

 

[rauke]

Es könnte daran liegen, dass die Rechenpower der Fritz!Box nicht für mehr ausreicht. Letztendlich muss ja der ganze Traffic in Echtzeit verschlüsselt werden. Welche FB hast du denn?
Die CPU der Fritz ist nicht die stärkste und sie wird kaum HW-Support für Verschlüsselung haben - sprich: Geht alles über die CPU.

 

[felix99_dc]

Hallo,
Danke für die Rückmeldung.
Hab die Boix ganz vergessen ;-) Ist eine 7390.
Das mit der CPU Auslastung werde ich mal testen. Nen Monitor dafür hat die Box ja.

 

[Katao]

Danke für die nochmalige Erklärung!
Da hat AVM aber Mist beim Wortlaut gebaut - wenn die schon bei Punkt 3 von IP-Netzwerk sprechen, dann sollen die bitte auch ne "Netzadresse" zulassen.
Hätten die da "Adresse der Box" stehen, wäre alles kristallklar.
Hab jetzt echt 3 Stunden rumgespielt, weil ich mich exakt an die blöde Anleitung von AVM gehalten hab...
Nachdem ich die Adresse des "Netzwerks" auf die richtige IP der Box gestellt hab - läuft jetzt alles tadellos.
So was blödes...

 

[Katao]

sorry, dass ich den Thread nochmal hoch hol, aber ich hab da auch ein etwas komisches Problem mit VPNCilla
Ich möchte mit meinem N4 über meine 3390 in mein Heimnetz.
So mit Boardmitteln ohne Zusatz-App läuft das einwandfrei.
Leider gibts hier ja die Richtlinie, dass der Lockscreen "sicherer" sein muss - ich aber keine Lust hab, jedesmal ein PW oder Pin beim entsperren einzugeben...
Also wollte ich das per App lösen, aber das haut irgendwie nicht hin.
Es wird zwar eine Verbindung aufgebaut (steht jedenfalls da) aber es werden keine Daten ausgetauscht.
Hat da vll. wer nen Tipp für mich?

 

[det-happy]

Hallo zusammen, ich möchte gerne eine VPN-Verbindung zu meiner Fritz!Box aufbauen. Auf der Box habe ich mir schon einen VPN-Account angelegt. Aber wie geht es auf dem Smartphone weiter. Welche App?

Spoiler

Das hilft aber nicht gegen Portscans, den Routertyp und damit die Anmeldeformalitäten herauszubekommen ist auch dann auch nicht schwer, und für Passworte gibt es "John-the-Ripper" u. ä. Tools

Die Einrichtung eines VPN zwischen FB und Android ist eine Sache von 10 Minuten. Für den Androiden Fritz!VPN aus dem PlayStore herunterladen und für den PC gibt es von AVM das Tool "FRITZ!Box-Fernzugang einrichten" Download.
Eine Anleitung mit Bildern gibt es hier: Fritzbox: VPN-Client einrichten für bequemen Fernzugang - PC Magazin[

 

[Wattsolls]

Also mit meiner Fritzbox funktioniert das hier sehr gut.

https://play.google.com/store/apps/details?id=com.gmail.mjm4456.vpncilla&hl=de

Und hier die Testversion
https://play.google.com/store/apps/details?id=com.gmail.mjm4456.vpncillatrial&hl=de

 

[TB303]

Hallo, ich schon wieder....:blushing:

Habe Probleme eine VPN Verbindung zu meiner Fritzbox via UMTS
aufzubauen, hatte es schon seit längerem mit meinem Defy (JBC 9.0)
probiert, VPN sagt immer verbunden, Fritzbox Status grün, entfernte
wie auch lokale IP wird angezeigt, aber nix geht durch, kein Http(s),
kein SMTP, kein DLNA, etc. Gehe ich über das WLAN meines Nachbarn
(kenne die Keys, hab ja auch ich eingerichtet und ja, er weiß davon,
daß ich sein WLAN zum testen nutze), klappt sofort jedes Protokoll
via VPN. Nun habe ich mein neues S4 (Stock ROM 4.2.2) und was
soll ich sagen, es verhält sich genauso. WLAN geht VPN, UMTS nicht.
Ebenfalls habe ich bei meinem Provider abgeklärt, das IPSec nicht
gesperrt ist, die haben sogar noch einige mir bisher unbekannte APNs
rausgerückt, ohne Datenkompression und extra für RLA, aber die
funktionieren auch nicht. Mein Tarif schließt ausdrücklich VPN mit ein.
Mit Fing habe ich mal einen Trace probiert, bloß leider bleibt dieser beim
ersten Hop schon leer. Trace von der Fritzbox endet nach einen Hop auf
ihr selber.

Ich verzweifel bald, wieso geht VPN über WLAN einwandfrei (auch schon
mit Kabel Deutschland Free Accesspoints und Telekomhotspots getestet)
und per UMTS geht nichts durch? Verbunden sagt mir beide Endgeräte ja.
Kann es sein, daß der native Androidclient eine Unterscheidung zwischen
WLAN und UMTS macht?

Bin für jeden Tipp dankbar......

Falls das hier das falsche Forum ist, bitte verschieben....danke!

Der ursprüngliche Beitrag von 22:42 Uhr wurde um 23:21 Uhr ergänzt:

Also mit meiner Fritzbox funktioniert das hier sehr gut.

https://play.google.com/store/apps/details?id=com.gmail.mjm4456.vpncilla&hl=de

Und hier die Testversion
https://play.google.com/store/apps/details?id=com.gmail.mjm4456.vpncillatrial&hl=de

Geht das bei Dir auch via UMTS? Wieso extra Clients installieren?
Seit 4.1 ist doch ein funktionierender dabei, zumindest geht der
bei mir via WLAN.....

 

[thomas_k]

Zwei möglich Probleme:
1. Einige Mobilfunkanbietern filtern IPSec, oft nicht IKE sondern die Payload.
2. Wenn dein Anbieter ein NAT durchführt (sprich: du eine private IP bekommst, z.B. 10.x.x.x) kommen die meisten IPSec-Implementationen nicht damit klar, da der Authentication Header nicht mehr passt.

 

[Wattsolls]

Geht das bei Dir auch via UMTS? Wieso extra Clients installieren?
Seit 4.1 ist doch ein funktionierender dabei, zumindest geht der
bei mir via WLAN.....

VpNCilla geht bei mir sowohl über Wlan als auch über UMTS.
Hatte mich für VPNCilla entschieden, weil ich mit dem enthaltenen Client keine Verbindung über UMTs hinbekommen hab.

 

[TB303]

Habe mir die Trialversion von VPNCilla installiert, habe damit genau das
selbe Verhalten wie mit dem nativen VPN Client.
Via UMTS verbindet er zwar, auch die Fritzbox ist wieder "grün" aber
durch geht nix....

Providerprobleme können es nicht sein, habe einen Corporate Vertrag
mit freigeschaltetem VPN, technische Hotline meines Providers hat das
alles extra nochmal durchgesehen und der VPN in die Firma geht damit
ja auch ohne Probleme und ich habe ja extra zwei weitere APNs bekommen,
einen sogar mit Usernamen und Passwort ohne Datenkomprimierung.

 

[alfredis]

Hallo zusammen,

ich bin bisher sehr zufrieden damit ...

Seit zwei Wochen versuche ich, per VPN über UMTS auf die Fritzbox zuzugreifen bzw. darüber zu surfen.

Die unten gezeigten Einstellungen (erstellt mit dem Tool: "FritzFernzugang einrichten") funktionieren auf dem S3 Mini (Android), nur nicht meinem System (letztes Alcatel-Android eingespielt). Ich habe lange gesucht/versucht, aber bisher keine Lösung gefunden. Daher schreibe ich nun hier.

Facts:
- Auf beiden System habe ich nur die nötigsten, gleichen Einstellungen im Standard-Client gemacht ("erweiterte Optionen" nicht angefasst).
- S3 Mini (Android): VPN geht sowohl per WLAN (Fremdnetz) als auch per UMTS. Auf dem IPAD geht dies auch (gerade getestet).
- Alcatel: VPN geht nur per WLAN (Fremdnetz)

Ich habe es auch schon mit einigen VPN-Clients vergeblich versucht ... Ich habe das Gefühl, dass irgendetwas mit dem Alcatel-Android-Client nicht stimmt (fehlt etwas?).

Über Hilfe würde ich mich sehr freuen.

LG Alfred

enabled = yes;
                conn_type = conntype_user;
                name = "umts";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.xxx.203;
                remoteid {
                        key_id = "umts";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "123456";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "umts";
                        passwd = "123456";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.xxx.203;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 192.168.xxx.0 255.255.255.0 192.168.xxx.203 255.255.255.255",
                             "permit ip any 192.168.xxx.203 255.255.255.255";

 

[syper1]

Nabend,
also deine config sieht gut aus, ich habe sie gerade mit meiner verglichen und es sieht identisch aus, abgesehen von den individuellen unterschieden.

aber das würde ich den fehler auch nciht suchen, wenn die verbindung über ein anderes wlan (also wlan-inet-fritzbox) klappt. der fritzbox ist es an sich egal obs von einem wlan startet oder über umts...für die fritzbox kommt der verbindungsversuch immer übers inet.

ich denke eher dass dein provider irgendwelche probleme macht und der zugang aus deinem netz über umts(mobiles internet) nicht geht.

wer ist dein anbieter? bei mir klappts über O2 einwandfrei. hast du mal ne andere sim karte aus nem anderen netz zur hand um das zu testen?

gruß syper

 

[alfredis]

Ja. ja, ja! Es hat geklappt! Ich habe zwei Dinge gemacht:
1. Geräte-Reset
2. Diese Einstellung habe ich abweichend zu meiner hier eingestellten benutzt, ohne zu wissen, ob das mit "192.168.xxx.0" auch funktioniert hätte:
accesslist =
"permit ip 192.168.xxx.1 255.255.255.255 192.168.xxx.203 255.255.255.255",
"permit ip any 192.168.xxx.203 255.255.255.255";

 

[steve8x8]

Seit kurzem gibt es (u.a. für die 7390) ein neues Fritz!OS 06.00 (bisher 05.50). Hat jemand schon - vom alten OS mit VPN-Mod - ein Upgrade gemacht? Geht die Modifkation verloren? Was steckt hinter der beworbenen VPN-Unterstützung "out of the box"?