IPSec VPN zur Fritz!Box?

[shaggytt]

Hallo,

habe auch das Problem, dass ich keine Daten durch den aufgebauten Tunnel kriege.

Auch mit vpncilla klappt es nicht

VpnCilla (Trial) Version 2.11.2
WIFI CONNECTED
Session 'test' initiated at 12:26:16 01-10-2012
IPSec entered secret for root@blabla.dyndns.tv
Password entered for root@blabla.dyndns.tv

vpnc version 0.5.3-mjm1-140M
pre-init
IKE SA selected psk+xauth-aes256-sha1
NAT status: this end behind NAT? YES -- remote end behind NAT? YES
got address 192.168.2.201
connect
using IP=192.168.2.201/24, MTU=1412, Route(s)=192.168.2.0/24 0.0.0.0/0, DNS=192.168.2.1 192.168.179.1, Search=

Error on 'establish':
Cannot create interface

Possible reason: invalid server parameter or TUN device unavailable.

ANDROID_SOCKET_zygote=9
ANDROID_BOOTLOGO=1
EXTERNAL_STORAGE=/mnt/sdcard
ANDROID_ASSETS=/system/app
PATH=/sbin:/vendor/bin:/system/sbin:/system/bin:/system/xbin
ASEC_MOUNTPOINT=/mnt/asec
LOOP_MOUNTPOINT=/mnt/obb
BOOTCLASSPATH=/system/framework/core.jar:/system/framework/core-junit.jar:/system/framework/bouncycastle.jar:/system/framework/ext.jar:/system/framework/framework.jar:/system/framework/android.policy.jar:/system/framework/services.jar:/system/framework/apache-xml.jar:/system/framework/filterfw.jar
ANDROID_DATA=/data
LD_LIBRARY_PATH=/vendor/lib:/system/lib
ANDROID_ROOT=/system
ANDROID_PROPERTY_WORKSPACE=8,65536
EXTERNAL_STORAGE2=/mnt/sdcard2
TUNDEV=vpncs
INTERNAL_IP4_ADDRESS=192.168.2.201
INTERNAL_IP4_DNS=192.168.2.1 192.168.179.1
VPNGATEWAY=93.207.xxx.xxx
Error on 'establish':
Cannot create interface

Possible reason: invalid server parameter or TUN device unavailable.

Für weitere Informationen auf Schaltfläche (i) drücken
IPSEC SA selected aes256-sha1
vpnc stopped at 12:26:19 01-10-2012

Reconnect Mode switched off by user (WIFI network is up and connected)

VpnCilla service monitor terminated

Hat jemand eine Idee?

Sony Tablet S 4.0.3

 

[winbla]

Ich habe das Problem, dass das VPN mit PSK über 3g einwandfrei funktioniert, aber über WLAN leider nicht.
Das gleiche Verhalten kann man beim zertifikatsbasierten Zugriff per Stock-email-Client auf unseren Firmen-Exchange beobachten.... über Mobilfunk einwandfrei, über WLAN kann keine Verbindung hergestellt werden.

Nutze ein Samsung N8000.

 

[N1ckname]

Wird das generell bei Wlan geblockt oder nur in deinem eigenen (also immer dem selben)?

Dann kann das an deinem Router liegen, dass der kein VPN Pass-Through kann (wovon es ja leider noch zu viele gibt).

 

[winbla]

Das Problem tritt leider in allen WLANs auf

Gesendet von meinem GT-I9100 mit Tapatalk 2

 

[abditus]

Ich habe eine Lösung.

Ich hatte auch das Problem, dass ich zwar eine Verbindung aufbauen konnte, aber keine Daten durchkamen. Ich konnte das Problem dadurch lösen, indem ich den Android-VPN-Nutzer in der .cfg-Datei auf den ersten Platz (also erste vpn-ip, bei mir "192.168.178.201", in der Datei ganz unten) verschoben habe. Den ursprünglichen PC-VPN-Nutzer habe ich dann an die letzte Stelle (bei mir "192.168.178.205" ganz oben in der Datei) verschoben und ihm die ursprünglich dem Android-vpn-Nutzer zugewiesene ip gegeben. Nun klappt es mit Android ohne weiter Änderungen im Profil. Ob nun der PC-VPN-User nicht mehr funktioniert konnte ich noch nicht testen.

Übrigens funktioniert der Zugang auch, wenn ich im WLAN der Fritzbox angemeldet bin.

 

[Bloodsaw]

Ich bin im Besitz eines Asus TF201 mit Android 4.1.1
Eine ganze Zeit lang hatte ich, wie bei AVM beschrieben war, den NCP Secure Client genutzt, der auch wunderbar funktionierte.
Nun ist dieser kostenpflichtig geworden und ich suche einen alternativen Weg VPN mit der FritzBox! zu nutzen ohne mein Gerät zu rooten.

Android Boardmittel funktionieren auf dem Transformer Prime dafür definitiv nicht, leider kann ich seit Jelly Bean auch nicht mehr mit aLogcat auslesen lassen was dort nicht funktioniert. Bei 4.0.1 scheiterte es immer an Phase 2 eventuell stimmen dort die Verschlüsselungen nicht überein.

Nun habe ich mich schon an AVM und Asus mit dem Problem gewendet, leider bisher noch keinen Konsens erreicht.

Ich kann nur so viel sage, mit VPN Cilla (Trial) bekomme ich eine Verbindung aufgebaut, kann Pakete senden, habe ein Gateway, also alles i.O.
Aber auch nur wenn ich mich in meinem eigenen Netz befinde, Verbinde ich mich z.B. mit dem Netzwerk unseres Nachbarns(mit Erlaubnis natürlich) geht es nicht mehr.

Da ich ein DDNS nutze habe ich einfach mal versucht meine externe IP einzugeben in VPN Cilla anstatt des DDNS(zu finden in der Übersicht der FritzBox), und siehe da es funktioniert sofort.
Scheinbar hat VPNCilla ein Problem mit DDNS, da dieser bei anderen Anwendungen bisher immer funktionierte (z.B. WebDAV)
Der Android eigene Client funktioniert auch mit der normalen IP nicht(hätt mich auch gewundert).

Wenn es etwas hilft habe ich mal meine Config für die fritze hier drunter gepackt.

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "meinname";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.2.201;
                remoteid {
                        key_id = "meinname@meinemail.de";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "Ultr451ch3r35P455w0rt!!!";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
                xauth {
                        valid = yes;
                        username = "meinname";
                        passwd = "IrgendeinPasswort";
                }
                
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.2.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 0.0.0.0 0.0.0.0 192.168.2.201 255.255.255.255", 
                             "permit ip any 192.168.2.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

 

[rauke]

Mach mal die key_id ohne das @ Zeichen und versuche es dann mit Android Board Mitteln. Ich glaube bei mir ging es danach.

Gesendet von meinem HTC One X mit Tapatalk 2

 

[Bloodsaw]

Mach mal die key_id ohne das @ Zeichen und versuche es dann mit Android Board Mitteln. Ich glaube bei mir ging es danach.

Gesendet von meinem HTC One X mit Tapatalk 2

GENAU das war die Lösung, ich habe schon in einem anderen Forum gelesen das Sonderzeichen in dem Pre Shared Key Probleme machen.

Es steigert zwar nicht die Sicherheit aber wenn man überall auf Sonderzeichen und Umlaute verzichtet geht es wunderbar.

Danke Rauke!

 

[marcelmayer]

Funktioniert die VPN Verbindung eigentlich bei Android 4.2.1 mit den Bordmitteln zur Fritzbox? Hat da schon jemand Erfahrungen bzw. ein brauchbares How-To?

 

[rauke]

ja. siehe signatur
Keiner Hinweis vielleicht noch. Du musst IPsec-PSK wählen und als DNS-Server die (interne) IP-Adresse deiner Fritz.Box eintragen (z.B. 192.168.178.1).

 

[marcelmayer]

Ah super! Hat ich nicht gesehen. Die config in deinem Post ist die configdatei für die Fritzbox nehme ich an?

 

[rauke]

Genau. Das Teil kannst du dort einfach Importieren.

 

[marcelmayer]

Guten Abend,

Leider funktioniert deine Variante nicht mit einer Fritzbox 7270, rauke. Das Problem ist, dass scheinbar die Routingeinträge nach dem einspielen des configfiles nicht mehr ok sind oder das NAT durcheinander bringen. Meine config sieht wie folgt aus:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "android";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.175.202;
                remoteid {
                        key_id = "android";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "android";
                        passwd = "geheim";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.175.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = "permit ip 0.0.0.0 0.0.0.0 192.168.175.202 255.255.255.255";

        } 
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Das große Problem ist dann aber, dass wenn du deine Fritzbox mit Portforwarding betreibst, wie ich (hab hier nen Server stehen), dann nimmt die FB keine Verbindungen mehr von außen an.
Ärgerlich ist halt echt, dass AVM keinen Support dafür anbietet. :/

Edit: Testen kann man das ja ganz gut, wenn man sich ins Gast-WLAN verbindet. Dann sind die Subnetze unterschiedlich.

 

[rauke]

Der einzige gravierende Unterschied ist bei dir das

use_cfgmode = yes;

. Das ist bei mir deaktiviert. Auch ich habe ab und an Portforwarding an (hatte ich früher zum NAS) und es gab eigentlich keine Probleme mit den Routen und den Verbindungen. Ich werde es gleich mal probieren

 

[marcelmayer]

Der einzige gravierende Unterschied ist bei dir das

use_cfgmode = yes;

. Das ist bei mir deaktiviert. Auch ich habe ab und an Portforwarding an (hatte ich früher zum NAS) und es gab eigentlich keine Probleme mit den Routen und den Verbindungen. Ich werde es gleich mal probieren

Meine Box nimmt dann keine Verbindungen mehr an.
Aber von AVM gibt es ja auch eine Anleitung (http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interoperabilitaet/16518.php)
und das Programm "Fernzugang einrichten" sieht ja genau unser Szenario vor. Die Config sieht dann so aus:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "android";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.175.202;
                remoteid {
                        key_id = "android";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "android";
                        passwd = "geheim";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.175.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.175.0 255.255.255.0 192.168.175.202 255.255.255.255", 
                             "permit ip any 192.168.175.202 255.255.255.255";
        } 
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

 

[rauke]

Gerade mit Portfreigabe getestet.. Alles funktioniert.

 

[marcelmayer]

Sehr merkwürdig. Du testest dann via UMTS/HSDPA oder auch wie ich übers Gast WLAN?

 

[rauke]

UMTS von außen. Aber mein VPN funktioniert auch direkt aus dem eigenen WLAN.

 

[marcelmayer]

Mir ist gerade aufgefallen, dass das AVM Tool ja scheinbar doch deinen Eintrag mit 0.0.0.0 0.0.0.0 vornimmt, nur anders in Form von :
"permit ip any 192.168.175.202 255.255.255.255";

Hmm .... alles sehr merkwürdig.

 

[rauke]

Damit kannst du dann aber über dein Device das per VPN an die Firtz.Box geht nicht mehr ins Internet, wenn ich mich recht entsinne.