IPSec VPN zur Fritz!Box?

[totto_xe]

Ich bin langsam wirklich am Verzweifeln...

Ich versuche jetzt seit geschlagenen 10 Stunden eine IPSec VPN Verbindung mit VPNCilla aufzubauen, durch die auch Datem fließen können...

Folgende Konstellation:

- Fritzbox 7270 mit neuster Firmware
- HTC Sensation XE mit aktuellstem ICS 4.0.3 (stock, also kein root, o.ä.), kein Branding

Ich habe schon ALLES, aber wirklich auch ALLES, was ich hier, und auch sonst so im Web gefunden habe, probiert, der Tunnel läßt sich ohne Probleme aufbauen, aber ich bekomme keine Daten durch.

Alternativ have ich mal die App NCP VPN Client verwendet, damit funktioniert es ohne probleme. Da kostet allerdings die Pro Version 30 EURO (mir geht es hauptsächlich um den automatischen Re-Connect). Das ist mir ehrlich gesagt zu teuer, noch dazu funktioniert die Re-Connect Funktion dort nicht annähernd so gut wie mit VPNCilla.

Bei meinem ganzen Versuchen sind mir zwei Dinge aufgefallen:

Wenn der Tunnel aufgebaut ist, und ich pinge die IP-Adresse vom Smartphone, zeigt mir VPNCilla an, dass er Pakete empfängt (eins pro ping). Aber es geht sonst nix durch den Tunnel...

In der Fritzbox unter Internet -> Freigaben -> VPN wird unter dem Abschnitt "VPN-Verbindungen" bei hergestellter Verbindung folgendes in der Spalte "lokales Netz" angezeigt: Bei der (funktionierenden) NCP VPN Verbindung steht dort "192.168.123.0/24". Beim VPNCilla steht dort lediglich "0.0.0.0".

Gerade letzteres macht ja irgendwie sinn, da der Tunnel ja für das Netzwerk hinter der FritzBox sein soll, und ich mich ja dort auch im Netzwerk "bewegen" möchte. Ich habe alle Einstellungskonstellationen im cfg-file versucht (auch die 10.0.0.5 Variante), leider kein Erfolg... :-(

Hier mal die Config für den NCP VPN (die auch für den Fritz!Fernzugang am Notebook genommen wird), und mit der eine Verbindung aufgebaut wird, durch die auch Daten fließen:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "ncp_vpn@domain.com";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.123.201;
                remoteid {
                        user_fqdn = "ncp_vpn@domain.com";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "blabla";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.123.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.123.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.123.0 255.255.255.0 192.168.123.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

Und hier die Config für VPNCilla, die zwar eine Verbindung aufbaut, durch die aber keine Daten übertragen werden:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "vpncilla@domain.com";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.123.202;
                remoteid {
                        key_id = "vpncilla@domain.com";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "blabla";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "blabla";
                        passwd = "blabla";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.123.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.123.0 255.255.255.0 192.168.123.202 255.255.255.255", 
                             "permit ip any 192.168.123.202 255.255.255.255";
        }
  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

Ich hab' wirklich alles probiert, was mir so eingefallen ist (z.B. auch unter phase2localid->ipnet die gleichen Einstellungen wie bei der oberen Config zu machen, die hier erwähnte 10.0.0.5 werwendet, etc. etc.), alles ohne Erfolg. Es will ums verrecken nix durch den Tunnel...

Hab ich vielleicht irgendwas übersehen? Muss ich vielleicht in der FritzBox noch irgend eine Einstellung ändern?

Bin für jeden Tip mehr als Dankbar!!!! Würde sooooooooo gerne VPNCilla zum laufen kriegen...

Schon mal vielen Dank im Voraus!

 

[espresso]

Nimm für key_id und username bei xauth einen identischen Namen. Dann sollte es mit VPNCilla gehen.

 

[totto_xe]

Nimm für key_id und username bei xauth einen identischen Namen. Dann sollte es mit VPNCilla gehen.

Nee, das ist es nicht...

Ich bin zur Zeit sehr intensiv mit dem Entwickler von VPNCilla in Kontakt. Es scheint (bei meinem Sensation XE, und wer weiß, vielleicht auch bei anderen Handys) eine "unsaubere" Implementierung der tun.ko zu sein.

Bei mir ist es so, dass die Routingtabelle bei einer pptp-Verbindung OK ist, aber bei IPSec die Prioritäten nicht richtig gesetzt sind. Ich kann die Verbindung auch nicht via "implementierten" VPN-Client herstellen (also herstellen schon, aber es werden keine Daten übertragen).

Der VPNCilla-Entwickler ist an dem Thema dran, sobald ich Neuigkeiten habe, werde ich diese hier mitteilen....

 

[totto_xe]

So, Freunde der sicheren VPN IPSec Tunnels...

Für alle, die es schaffen einen Tunnel aufzubauen, jedoch keine Daten durch kriegen... Es gibt große Hoffnung...!!!

Der Entwickler der App "VpnCilla" hat heute die Version 2.8 herausgebracht. Und ich bin sogar ein wenig gerührt, da ich sogar im "neue Funktionen Tab" namentlich erwähnt werde... :blushing:

Wie auch immer, bei meinem HTC Sensation XE lag es definitiv an der falschen Reihenfolge der Einträge in der Routing-Tabelle, die vom tun.ko erzeugt wird. Der Entwickler hat diesen Bug vom ICS gefixt, und nun läuft die App auf meinem Phone mit der Präzession eines Schweizer Uhrwerks!!!

Da hier viele das gleiche Problem hatten, halte ich es durchaus für möglich, dass nicht nur HTC mit der Implementierung der tun.ko geschlampt haben. Ich halte es sogar für recht wahrscheinlich, dass in vielen Fällen genau dies das Problem ist.

Es gibt ja eine kostenlose 10 Tage Trial Version, wo jeder das nochmal testen kann... Die "Vollversion" liegt bei 4 EUR, in meinen Augen ist sie auch jeden Cent wert. Allein die Auto-Reconnect Funktion ist super, die Funktioniert VIEL besser als die des NCP VPN Client Premium, und für diesen muss man 30 Euro(!!!) hinblättern... Selbst die Standard Version kostet schon einen Zehner, finde ich schon ganz schön happig! Ist schon ein wenig traurig, dass AVM diese doch sehr teure App empfielt...

Hier jetzt nochmal meine Config für die Fritz!Box (ich hab' ne 7270), die mit VpnCilla ab Version 2.8 prima und auf Anhieb funktioniert:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "blabla";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.123.202;
                remoteid {
                        key_id = "blabla";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "blabla";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "blabla";
                        passwd = "blabla";
                }
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.123.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.123.0 255.255.255.0 192.168.123.202 255.255.255.255", 
                             "permit ip any 192.168.123.202 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Wenn in VpnCilla sonst keine Parameter gesetzt werden, wird so der gesamte Traffic durch den Tunnel geleitet.

Wer nur den Traffic zu dem Ziel-Netzwerk durch den Tunnel leiten will, muss noch folgende Einstellungen in der App machen:

1. unter "Force Default Route" den untersten Eintrag "via lokales WiFi/Mobile Netzwerk" wählen
2. unter "Manuelle Route(n)" den Bereich angeben (für die obige Config wäre dies 192.168.123.0/24)
3. für den Fall, dass man im Ziel-Netzwerk Geräte "per Namen" und nicht via IP-Adresse ansprechen will, muss unter "Manuelle DNS Serverangabe" noch die IP-Adresse eines DNS-Servers im Ziel-Netzwerk angegeben werden.

Ich wünsche allen Betroffenen viel Erfolg beim Verbinden via IPSec zur Fritz!Box...!!!

Ach ja, für den Fall, dass jemand behauptet, ich würde hier Werbung machen wollen... JA, will ich!!! Weil ich die App klasse finde. Und ich habe sie nicht gratis bekommen, ich habe sie auch für 4 Euro gekauft. Und das gerne, weil sie in meinen Augen wirklich super ist!!!

 

[Big_T]

Mal ne Frage an euch, welchen Durchsatz bekommt ihr per VPN?

Über die FritzBox in kb/s per WLAN bzw. UMTS.

Bei mir sind es ca. 56 kb/s über ein fremdes WLAN und VPN, per UMTS waren es weniger gegen DSL 16000 Telekom. Der Upload liegt glaube ich bei theoretisch 128 kb/s.

Kommt mir zu wenig vor, liegt es an der Verschlüsselung, wie sind eure Werte?

Gruß Thomas

Gesendet von meinem HTC EVO 3D X515m mit der Android-Hilfe.de App

 

[totto_xe]

Laut Speedtest hat meine Fritte einen Upload von 108 kByte/s, welches ja die maximale download-Geschwindigkeit für den VPN Client darstellt.

Via WLAN habe ich 92 kByte/s, mit HDSPA 67 kByte/s download-Geschwindigkeit mit meinen XE und VpnCilla...


gesendet von meinem HTC Sensation XE via Tapatalk

 

[skybird1980]

Mal ne Frage an euch, welchen Durchsatz bekommt ihr per VPN?

Über die FritzBox in kb/s per WLAN bzw. UMTS.

Bei mir sind es ca. 56 kb/s über ein fremdes WLAN und VPN, per UMTS waren es weniger gegen DSL 16000 Telekom. Der Upload liegt glaube ich bei theoretisch 128 kb/s.

Kommt mir zu wenig vor, liegt es an der Verschlüsselung, wie sind eure Werte?

Gruß Thomas

Gesendet von meinem HTC EVO 3D X515m mit der Android-Hilfe.de App

Das klingt aber realistisch. Du hast einen großen Overheap durch die Verschlüsselung + Fehlerkorrektur.

 

[President2000]

Habe nach ewigem Suchen in einem Anderen Forum des Rätsels Lösung gefunden!
Mit dem Galaxy S3 über NCP VPN Client geht die Fritz!App Fon nur mit einer Abweichung von der AVM Beschreibung.
In den Einstellungen der NCP VPN Client App muss man den in der Beschreibung gesetzten Haken von Split Tunneling wieder weg machen.
In der .cfg Datei die in die FritzBox eingespielt wird muss man unter phase2localid die ipaddr und mask auf 0.0.0.0 setzen.
phase2localid { ipnet { ipaddr = 0.0.0.0; mask = 0.0.0.0;

 

[domi_tab]

So, Freunde der sicheren VPN IPSec Tunnels...

Für alle, die es schaffen einen Tunnel aufzubauen, jedoch keine Daten durch kriegen... Es gibt große Hoffnung...!!!

........

Da hier viele das gleiche Problem hatten, halte ich es durchaus für möglich, dass nicht nur HTC mit der Implementierung der tun.ko geschlampt haben. Ich halte es sogar für recht wahrscheinlich, dass in vielen Fällen genau dies das Problem ist.

.......

Ich wünsche allen Betroffenen viel Erfolg beim Verbinden via IPSec zur Fritz!Box...!!!
.....

Hallo Leute,

da dachte ich, die Lösung wäre nun gefunden - funzt aber leider immer noch nicht.

Habe das gleiche Problem mit einem Galaxy Tab. Verbindung ist da, Daten Fehlanzeige.

Kontakt ins Internet bekomme ich nur noch, wenn ich unter "Force Default Route" den Eintrag "via lokales WiFi/Mobile Netzwerk" wähle - sonst, so wie ins Zielnetzwerk, keine Datenverbindung.

Mit dem PC per Fritzfernzugang funktioniert Alles problemlos. Mit VPNCilla vom Tablet aus geht nicht mal ein Ping an die FritzBox. Der VPN Zugang wird aber aufgebaut.

In der accesslist habe ich schon alle möglichen Versionen durchprobiert, auch die, die per Fritz Fernzugang funktioniert. Ich befürchte, dass es ggf. auch am routing liegen könnte. Kann man das dem Logfile entnehmen?

 

[espresso]

Bei mir läuft es mit dem S2 und Fritzbox 3270 und vpncilla ohne Probleme.

Gesendet von meinem GT-I9100 mit Tapatalk 2

 

[domi_tab]

Klar, kann natürlich an der FB liegen, ist eine 6360.

Der ursprüngliche Beitrag von 19:31 Uhr wurde um 19:50 Uhr ergänzt:

Ich glaub' ich habe das Problem gelöst. Es könnte daran gelegen haben, dass für die schon vorhandene VPN-Verbindung (Fritz Fernzugang) die gleiche Remote-IP definiert war......steht aber dummerweise auch nirgendwo, dass das nicht funktioniert.

 

[derluchs]

Kurze Antwort zu meinem Beitrag von vor einem Monat (siehe unten) nach dem neusten Update von VPNCilla, welches wohl auch ein spezifisches Fritz->HTC Problem gelöst hat (laut Changelog VPNCilla), geht es jetzt mit diesen Einstellungen und problemlos bei mir!

Ich habe ein HTC Sensation XE mit neustem Android 4.0.3 (nicht gerooted) und ebenfalls das Phänomen, dass sowohl die Bord-VPN-Mittel als auch VPNCilla die Verbindung problemlos aufbauen, ich die FritzBox von eben dem Android Handy aus aber nicht erreichen / pingen kann. Es werden überhaupt keine Daten durch den Tunnel übertragen, ich kann also auch nicht im Web surfen (vermtl. weil er die FritzBox als DNS Server nicht findet).

Mit meinem iPad2 und der gleichen Konfiguration (in der Fritzbox, also genau die Daten, die ich auch in VPNCilla eingebe) geht es problemlos! Der gesamte Traffic wird durch den VPN Tunnel (FritzBox) geroutet (wie es auch sein soll).

Folgendes ist meine Config bei der Fritzbox:

enabled = yes;
conn_type = conntype_user;
name = "Oldtree";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 10.1.0.33;
remoteid {
         key_id = "Oldtree";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxxxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
use_cfgmode = no;
xauth {
	valid = yes;
	username = "Oldtree";
	passwd = "xxxxx";
}
phase2localid {
	ipnet {
		ipaddr = 0.0.0.0;
		mask = 0.0.0.0;
	}
}
phase2remoteid {
	ipaddr = 10.1.0.33;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist = "permit ip any 10.1.0.33 255.255.255.255";

Folgenden Output bekomme ich von VPNCilla:

Session 'vpn' initiated at 16:42:15 23-07-2012
WIFI CONNECTED (ignored)
IPSec entered secret for Oldtree@xxxxxx.mine.nu
 Password entered for Oldtree@xxxxxx.mine.nu 

vpnc version 0.5.3-mjm2-517M
pre-init
IKE SA selected psk+xauth-aes256-sha1
NAT status: this end behind NAT? YES -- remote end behind NAT? YES
got address 10.1.0.33
connect
using IP=10.1.0.33/32, MTU=1412, Route(s)=0.0.0.0/0, DNS=10.1.0.254 192.168.179.1, Search=

IPSEC SA selected aes256-sha1
VPNC started in foreground...

UDP NAT keepalive packet received
 [2012-07-23 16:42:26]

Hat jemand eine Idee, woran es liegen könnte? Es ist das gleiche Verhalten egal ob ich über WiFi oder 3G verbinde. IP meiner FritzBox ist 10.1.0.254 Subnet 255.255.255.0 Wenn ich 8.8.8.8 als DNS Server in VPNCilla eintrage, kann ich zwar surfen, aber dann geht eben auch nichts mehr durch den Tunnel (habe dann die normale 3G oder WiFi IP nach außen).

Das muss doch etwas Android spezifisches sein, wenn es auf dem iPad geht?


Danke euch,

derluchs

 

[citybrocker2]

Hi ich komme einfach nicht weiter hab schon alles probiert ich bekomm zwar den Tunnel aufgebaut aber keine Daten durch. Mit VPN Cilla gibt er mir immer einen Fehler Error opening vpnc socket!!! hier meine cfg der Fritzbox:


vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "name";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.178.60;
remoteid {
key_id = "name";

}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "passwd";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
use_cfgmode = no;
xauth {
valid = yes;
username = "name";
passwd = "passwd";
}

phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.178.60;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.178.0 255.255.255.0 192.168.178.60 255.255.255.255",
"permit ip any 192.168.10.60 255.255.255.255";

}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF



übersehe ich was?? Steckt da irgendwo ein fehler drin????

 

[totto_xe]

Wundert mich nicht, dass Du da keine Daten durch kriegst...

[...]"permit ip any 192.168.10.60 255.255.255.255";[...]

übersehe ich was??

Yep...

Mach mal in der zitierten Zeile aus der "10" ne "178", dann sollte es klappen...

 

[citybrocker2]

Wundert mich nicht, dass Du da keine Daten durch kriegst...



Yep...

Mach mal in der zitierten Zeile aus der "10" ne "178", dann sollte es klappen...

oh mann was bin ich blind ich danke Dir werde es direkt mal probieren

Der ursprüngliche Beitrag von 19:36 Uhr wurde um 19:44 Uhr ergänzt:

oh mann was bin ich blind ich danke Dir werde es direkt mal probieren

Schade geht trotzdem nicht Das HTC ONE X baut den Tunnel auf aber es gehen keine Daten durch. Und mit VPN Cilla fum´nktioniert es auch nicht bekomm immer den Fehler Error: opening vpnc socket 2 Tage sitzt ich schon dran auf meine Fritzbox 6360 per VPN zu zugreifen. Langsam bin ich echt verzweifelt. Weiß denn jemand noch rat?

 

[totto_xe]

Was hast'n für'n Android drauf...? ICS oder schon JB? Und welche Version?

 

[citybrocker2]

Was hast'n für'n Android drauf...? ICS oder schon JB? Und welche Version?

ich hab die ICS Version 4.0.4 drauf

 

[citybrocker2]

Hat keiner eine Lösung für mich?????

 

[Firex2]

hallo zusammen, ich hab es eben auch nach Anleitung gemacht, aber ich bekomme immer einen Timeout am Handy wenn ich verbinden will ist ein DynDNS Name Pflicht oder geht auch die IP? Grüße (ich hab ein Razr mit ICS 4.0.4)

 

[citybrocker2]

hallo zusammen, ich hab es eben auch nach Anleitung gemacht, aber ich bekomme immer einen Timeout am Handy wenn ich verbinden will ist ein DynDNS Name Pflicht oder geht auch die IP? Grüße (ich hab ein Razr mit ICS 4.0.4)

Hi,
es geht auch die IP nur dann hast du das Problem wenn dein Provider deine IP erneuert das du dich nicht mehr verbinden kannst.