IPSec VPN zur Fritz!Box?

[Big_T]

Hallo,

ich hatte mich. so gefreut und hätte mich gerne bedankt, aber es klappt nicht :-(

Wie dein Kollege habe ich ein HTC Evo 3D mit Stock ICS 4.0.3 (und eine FritzBox 3270) . Deine cfg Datei habe ich als Basis genommen und nur angepasst (Username, Passwörter und IPs geändert), die Verbindung kommt zustande, das Login klappt, aber es fließen keine Daten.

Zum verbinden nutze ich die ICS VPN Verbindung. Was ist bei deinem Kollegen anders? Kannst du ihn fragen?

Den DNS (= FritzBox) und die 0.0.0.0/0 Route habe ich schon in den erweiterten Einstellungen eingetragen.

Hat jemand eine Idee?

Gruß Thomas

Gesendet von meinem HTC EVO 3D X515m mit der Android-Hilfe.de App

 

[sugi6666]

Die erweiterten Einstellungen (DNS-Suchdomain, DNS-Server und Weiterleitungsroute) sind NICHT gesetzt.

Über welchem Netz stellst du denn die VPN Verbindung her? Eine Verbindung aus dem selben Netzwerk heraus soll wohl zu Konflikten führen.

Vllt. auch mal IP der Fritz.box ändern. Statt 192.168.178.1 auch 192.168.10.1 oder so versuchen?

 

[Big_T]

Danke für die Information, die IP der FritzBox habe ich schon geändert auf *.64.1. Allein schon um per WLAN von einer Standard FritzBox auf meine zu kommen. Hatte damals wunderbar mit meinem gerooteten HTC Desire und vpnc geklappt. Der Verbindungsaufbau klappt immer, aber es fließen keine Daten :-(.

Gesendet von meinem HTC EVO 3D X515m mit der Android-Hilfe.de App

 

[deavik]

Edit: umgekehrt..

Probiert anstatt


remoteid {
key_id = "user";
}

folgendes:

remoteid {
user_fqdn = "user";
}

Bei mir funzt so...

 

[bswpt]

Hallo

Ich häng hier mal ne Muster cfg für die Fritzbox dazu.

Die roten Einträge einfach abändern. Username und Passwort sollte klar sein. Bitte darauf achten, dass keine Sonder und Leerzeichen im Username und Passwort enthalten sind

Bei den roten IP-Adresse einfach jene IP eingeben die euer Smartphone dann im internen Netzwerk haben soll.

Die Datei dann als ".cfg" abspeichern und in die Fritzbox Importieren.


Danach noch folgendes am Smartphone einstellen.

Name = Beliebig
Typ = IPSec Xauth PSK
Serveradresse = Deine externe IP
IPSec-ID = key_id von der cfg
Vorinstallierter IPSec-Schlüssel = key von der cfg
DNS-Suchdomains = NIX
DNS-Server = Die interne IP deiner Fritzbox
Weiterleitungsrouten = NIX
........
Nutzername = username in der cfg
Passwort = passwd in der cfg


Dann sollte die VPN verbindung zwischen Fritzbox und Smartphone mit Android 4 problemlos funktionieren

Leute, das ist der alles entscheidende Eintrag...irgendwie müßte das sticky gemacht werden.

Ich muß zwar gestehen, daß ich erst mit JellyBeans vpn "verloren" habe ganz plötzlich, und nicht mehr an meine Daten kam, obwohl die Verbindung da war.


Aus meiner Sicht noch einmal die Knackpunkte:

- wenn über vpnc-widget, dann können die usernames und passwords auch Sonderzeichen haben. Wenn man es über das OS-VPN-Modul einstellt, müssen alle Sonderzeichen raus.
- Das alles entscheideinde Kriterium war bei mir aber die Änderung der ip auf 10.0.0.5, wie in der Worddatei beschrieben (die Worddatei ist im zitierten Posting auf Seite 11 angehängt). Danach ging alles wie von selbst. Ich bin dann sowohl über vpnc (mit Sonderzeichen) als auch über das OS-VPN-Modul (ohne Sonderzeichen) und der jeweils entsprechenden Änderung der cfg-Datei für die Fritzbox an meinen NAS hinter der Fritzbox gekommen.

Perfekt.

Der ursprüngliche Beitrag von 17:26 Uhr wurde um 17:32 Uhr ergänzt:

....und noch 'was: in meiner Not habe ich auch an dyndns.org gezweifelt und hier auch eine Ursache vermutet. Der Dienst hat sich wohl gerade irgendwie geändert und wird wohl kostenpflichtig für Neuanmeldungen. Wie dem auch sei.....

Erstmals habe ich mich mit myfritz beschäftigt. Letztlich ist das eben genau ein dyndns-Dienst, der sich recht leicht in der Fritzbox mit frischem OS aktivieren läßt.

Wow, meine Verbindung zu meinem NAS und der Datenzugriff ist gefühlt (messen kann ich es nicht) ganz furchtbar deutlich schneller, als der Transfer jemals über dyndns.org war.

Also hier zusätzlich die klare Empfehlung: myfritz aktivieren und darüber den Zugriff steuern....

 

[finnq]

Ich krieg durch den Tunnel immer noch keine Daten ins WWW.

 

[holau]

ich habe die Anleitung befolgt und im Gegensatz zu der Anleitung von AVM eine Verbindung über die Stock VPN Software herstellen können.
wenn ich also am PC sitze und mir die Oberfläche der FritzBox anschaue, sehe ich eine bestehende Verbindung über VPN, kann jedoch vom Handy (S3 Stock 4.0.4.) auf nicht zugreifen, weder auf das Internet per Browser noch direkt auf den PC via Remote oder dergleichen.

Wer kann mir helfen, was steht bei mir auf der Bremse?

die cfg lautet:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "Testverbindung";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.179.23;
remoteid {
key_id = "galaxyvpn";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "GEHEIM123";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
use_cfgmode = no;
xauth {
valid = yes;
username = "galaxyvpn";
passwd = "GEHEIM123" ;
}
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.179.23;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 0.0.0.0 0.0.0.0 192.168.179.23 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Den Rest habe ich wie in der Anleitung eingetragen...

Die Firewall am PC habe ich ausgeschaltet, dürfte jedoch eigentlich kein Problem machen, zudem komme ich mit dem Handy ja auch nicht mehr ins Internet, was sehr wahrscheinlich das eigentliche Problem ist.
Provider ist T-Mobile...

Tausend Dank!

 

[bswpt]

ich habe die Anleitung befolgt und im Gegensatz zu der Anleitung von AVM eine Verbindung über die Stock VPN Software herstellen können.
wenn ich also am PC sitze und mir die Oberfläche der FritzBox anschaue, sehe ich eine bestehende Verbindung über VPN, kann jedoch vom Handy (S3 Stock 4.0.4.) auf nicht zugreifen, weder auf das Internet per Browser noch direkt auf den PC via Remote oder dergleichen.

Wer kann mir helfen, was steht bei mir auf der Bremse?

die cfg lautet:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "Testverbindung";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.179.23;
remoteid {
key_id = "galaxyvpn";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "GEHEIM123";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
use_cfgmode = no;
xauth {
valid = yes;
username = "galaxyvpn";
passwd = "GEHEIM123" ;
}
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.179.23;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 0.0.0.0 0.0.0.0 192.168.179.23 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Den Rest habe ich wie in der Anleitung eingetragen...

Die Firewall am PC habe ich ausgeschaltet, dürfte jedoch eigentlich kein Problem machen, zudem komme ich mit dem Handy ja auch nicht mehr ins Internet, was sehr wahrscheinlich das eigentliche Problem ist.
Provider ist T-Mobile...

Tausend Dank!

nach welcher Anleitung bist du denn vorgegangen? Sehr prominent habe ich auf die Word-Datei des Kollegen hingewiesen und namentlich auf den Hauptpunkt 10.0.0.5 IP hingewiesen. Davon ist in deiner cfg nichts zu sehen....

 

[Big_T]

Tja, dachte dann auch die IP könnte es sein. Ich habe in meiner cfg nun die 10.0.0.5 eingetragen und Zeile für Zeile verglichen - bis auf die Passwörter und UserIDs ist alles identisch. Die Verbindung kommt immer problemlos zustande, aber es fließen keine Daten.

Kann es mit dem Mobilfunkanbieter zusammenhängen (simyo = eplus)?

Komischerweise sind mit der VPNCilla App manchmal Daten geflossen, so einmal die Woche. Nach 50 -100 Verbindungen, kein Muster erkennbar - ich bleibe lieber bei Stock, zumal der Dialog der gleiche ist und es ja bei einigen funktioniert. Hmmm vielleicht irgendeine App die stört?

Gesendet von meinem HTC EVO 3D X515m mit der Android-Hilfe.de App

 

[holau]

@bswpt
ich habe doch aber nach der Anleitung gehandel und Folgendes befolgt

Zutat Terabyte:
"
Die roten Einträge einfach abändern. Username und Passwort sollte klar sein. Bitte darauf achten, dass keine Sonder und Leerzeichen im Username und Passwort enthalten sind

Bei den roten IP-Adresse einfach jene IP eingeben die euer Smartphone dann im internen Netzwerk haben soll."

Die IP 10.0.0.5 wird danach komplett ersetzt, oder verstehe ich das falsch?

Danke

 

[bswpt]

@bswpt
ich habe doch aber nach der Anleitung gehandel und Folgendes befolgt

Zutat Terabyte:
"
Die roten Einträge einfach abändern. Username und Passwort sollte klar sein. Bitte darauf achten, dass keine Sonder und Leerzeichen im Username und Passwort enthalten sind

Bei den roten IP-Adresse einfach jene IP eingeben die euer Smartphone dann im internen Netzwerk haben soll."

Die IP 10.0.0.5 wird danach komplett ersetzt, oder verstehe ich das falsch?

Danke

an der Stelle, in der in der Worddatei die 10er IP steht, müßte in deiner cfg etwas anderes stehen. Bei mir war das, wenn ich mich recht erinnere, die fb-IP mit 201 am Ende. Und genau an dieser Stelle soll zwingend die 10er-IP hin. Ich kann zwar technisch nicht erklären warum, aber das scheint eben eine Konvention innerhalb des gewählten ipsec-Protokolls zu sein.
Jedenfalls kann ich noch einmal bekräftigen, daß erst durch das Eintragen der 10er IP bei mir nicht nur die Verbindung , sondern eben auch der Traffic und Zugriff auf mein NAS hinter der Fritzbox funktionierte.

 

[derluchs]

Ich habe ein HTC Sensation XE mit neustem Android 4.0.3 (nicht gerooted) und ebenfalls das Phänomen, dass sowohl die Bord-VPN-Mittel als auch VPNCilla die Verbindung problemlos aufbauen, ich die FritzBox von eben dem Android Handy aus aber nicht erreichen / pingen kann. Es werden überhaupt keine Daten durch den Tunnel übertragen, ich kann also auch nicht im Web surfen (vermtl. weil er die FritzBox als DNS Server nicht findet).

Mit meinem iPad2 und der gleichen Konfiguration (in der Fritzbox, also genau die Daten, die ich auch in VPNCilla eingebe) geht es problemlos! Der gesamte Traffic wird durch den VPN Tunnel (FritzBox) geroutet (wie es auch sein soll).

Folgendes ist meine Config bei der Fritzbox:

enabled = yes;
conn_type = conntype_user;
name = "Oldtree";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 10.1.0.33;
remoteid {
         key_id = "Oldtree";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxxxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
use_cfgmode = no;
xauth {
	valid = yes;
	username = "Oldtree";
	passwd = "xxxxx";
}
phase2localid {
	ipnet {
		ipaddr = 0.0.0.0;
		mask = 0.0.0.0;
	}
}
phase2remoteid {
	ipaddr = 10.1.0.33;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist = "permit ip any 10.1.0.33 255.255.255.255";

Folgenden Output bekomme ich von VPNCilla:

Session 'vpn' initiated at 16:42:15 23-07-2012
WIFI CONNECTED (ignored)
IPSec entered secret for Oldtree@xxxxxx.mine.nu
 Password entered for Oldtree@xxxxxx.mine.nu 

vpnc version 0.5.3-mjm2-517M
pre-init
IKE SA selected psk+xauth-aes256-sha1
NAT status: this end behind NAT? YES -- remote end behind NAT? YES
got address 10.1.0.33
connect
using IP=10.1.0.33/32, MTU=1412, Route(s)=0.0.0.0/0, DNS=10.1.0.254 192.168.179.1, Search=

IPSEC SA selected aes256-sha1
VPNC started in foreground...

UDP NAT keepalive packet received
 [2012-07-23 16:42:26]

Hat jemand eine Idee, woran es liegen könnte? Es ist das gleiche Verhalten egal ob ich über WiFi oder 3G verbinde. IP meiner FritzBox ist 10.1.0.254 Subnet 255.255.255.0 Wenn ich 8.8.8.8 als DNS Server in VPNCilla eintrage, kann ich zwar surfen, aber dann geht eben auch nichts mehr durch den Tunnel (habe dann die normale 3G oder WiFi IP nach außen).

Das muss doch etwas Android spezifisches sein, wenn es auf dem iPad geht?


Danke euch,

derluchs

 

[Fletch]

an der Stelle, in der in der Worddatei die 10er IP steht, müßte in deiner cfg etwas anderes stehen. Bei mir war das, wenn ich mich recht erinnere, die fb-IP mit 201 am Ende. Und genau an dieser Stelle soll zwingend die 10er-IP hin. Ich kann zwar technisch nicht erklären warum, aber das scheint eben eine Konvention innerhalb des gewählten ipsec-Protokolls zu sein.
Jedenfalls kann ich noch einmal bekräftigen, daß erst durch das Eintragen der 10er IP bei mir nicht nur die Verbindung , sondern eben auch der Traffic und Zugriff auf mein NAS hinter der Fritzbox funktionierte.

Und welche IP-Range hast du sonst bei deiner Fritzbox?
Meine FB hat die 192.168.178.1
Muss ich jetzt wirklich für die VPN Verbindung anstatt die 192.168.178.201 die 10.0.0.5 nehmen?

 

[bswpt]

Und welche IP-Range hast du sonst bei deiner Fritzbox?
Meine FB hat die 192.168.178.1
Muss ich jetzt wirklich für die VPN Verbindung anstatt die 192.168.178.201 die 10.0.0.5 nehmen?

....ich meine, ich hätte genau das jetzt oft genug erwähnt...

Zur Sicherheit noch meine cfg, die aber sinnfrei ist, weil Sie ja dem Ursprungsideengeber nachgeahmt ist....in dessen Worddatei steht alles....

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "blablabla";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 10.0.0.5;
                remoteid {
                        key_id = "blablabla";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "blablabla";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
                 xauth {
	valid = yes;
	username = "blablabla";
	passwd = "blablabla";
	}	
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 10.0.0.5;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 0.0.0.0 0.0.0.0 10.0.0.5 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

und um es rund zu machen: ich bin von dyndns.org weg und habe mir eine fritz-dyndns eingerichtet (myfritz) und bei allen "blablabla"-Einträgen sämtliche Sonderzeichen rausgenommen. Mit diesen Daten komme ich dann sowohl über vpnc als auch über Board-VPN (allerdings mit JB) auf die Fritzbox und auf alle nachgelagerten Daten, wie mein NAS, und das so schnell wie noch nie....aber das verorte ich bei myfritz.

 

[Fletch]

Auch mit dieser .cfg funktioniert es bei mir leider nicht. :-(

 

[Big_T]

> (allerdings mit JB)

bedeutet mit Jelly Beans = 4.1? Wenn ja, kein Wunder - die meisten sind mit ICS unterwegs...

Gesendet von meinem HTC EVO 3D X515m mit der Android-Hilfe.de App

 

[malessen]

Ich kann mit meinem nicht gerootetem Samsung Galaxy Note GT-N7000 Android 4.0.4
Kernel 3.0.15-N7000XXLRK-CL811902 mit den VPN Boardmitteln in mein Hausnetzt (Fritz!Box 7170).

Von einem WLAN aus funktioniert das super, auch Telefonieren mit der Fritz Box Phone App.
Wobei noch interessant ist das der status für gesendet/empfangen nichts als ein strich anzeigt,
obwohl ich ordentlich daten über die vpn verbingung schiebe, d.h. die Anzeige stimmt nicht.

Aber wenn ich über den Datennetzmodus (3G od. H+) den Tunnel aufgebaut habe,
dann sagt der "VPN ist verbunden" aber das ganze Smartphone rebootet nach ca 30 sekunden.

Anbieter ist klarmobil.de, Netzbetreiber ist D1.


Bei einem Kollegen der das gleiche Smartphone hat, auch mit Andorid 4.0.4 kommt es nicht zum reboot (gleiche login daten, selbe fritz box), aber er kriegt keine Daten durch.
Sein Anbieter ist O2


Ergänzung:

Ich habe mir mal die VPNCilla Trial installiert und auch dort klappts mit VPN im WLAN aber nicht mit 3G,H+
Wobei VPNCilla wenigestens nicht das Phone rebootet wie der mitgelieferte VPN client, aber es geht einfach kein
Traffic durch (z.b. per http auf die fritz!box 192.168.178.1)

 

[Fletch]

> (allerdings mit JB)

bedeutet mit Jelly Beans = 4.1? Wenn ja, kein Wunder - die meisten sind mit ICS unterwegs...

Gesendet von meinem HTC EVO 3D X515m mit der Android-Hilfe.de App

So, hab mal testweise Android 4.1.1 (JB) installiert und es brachte keinen Erfolg.
Verbindung wird aufgebaut aber keine Daten gehen durch.

 

[malessen]

@Fletch: Also wie gesagt bei meinem Android 4.0.4 funktioniert die VPN Verbindung über WLAN obwohl für immer Angezeigt wird "Gesendet: -" und "Empfangen: -"
Hast du mal versucht per browser auf deine Fritz!Box 192.168.178.1 zu kommen ?

D.h. auf diese Gesendet/Empfangen Anzeige des VPN Clients ist kein Verlass.

https://www.android-hilfe.de/members/fletch-1128.html

 

[motorsense]

Hallo,
ich habe dieses Thema hoch und runter gelesen. Habe alle hier genannt vorschläge ausprobiert. Leider gehen auch bei mir keine Daten durch den Tunnel. D. h. wenn die VPN aufgebaut ist (das klappt sogar), habe ich keine Internet oder Netzwerkzugriff.
Mit VPNCilla klappt es problemlos. Leider ist die Trail nur 10 Tage benutzbar. Kreditkarte habe ich nicht. Außerdem wäre es mir sowieso am liebsten, das ganze ohne App zu lösen.

Hat das Ganze schon jemand mit einem Galaxy S3 hin bekommen (alles Stock und ohne Root). Wäre für jeden Tip dankbar.

Gruß

Oli