IPSec VPN zur Fritz!Box?

[^-v-^]

Hmm nein, die IP-Adresse des VPN-Verbinders wird mit dem Parameter "remote_virtualip" angegeben. Die Access-Liste hat ja den Sinn, den Zugriff auf bestimmte Bereiche im Netzwerk zu beschränken. Habe es aber gerade mal geändert und die .201 eingetragen, ändert bei mir nichts, bekomme immer noch nichts durch den Tunnel.

Mit selbigen Einstellungen kann ich übrigens mit meinem Laptop über den HotSpot meines Nexus per o2 mich mit der FritzBox verbinden und auch aufs Netzwerk zugreifen - prinzipiell sollte es also gehen.

Die VPN-IP ist ausserhalb des DHCP-Bereiches. Dieser endet bei mir bei 199.

Aber es ist interessant, dass du bei Gesendet/Empfangen auch nichts stehen hast :-D

Btw: Am Ende meiner Config für die FritzBox steht noch folgendes:

        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";

Hast du das auch? Werds mal entfernen und schauen ob mir da irgendwas verloren geht...

 

[^-v-^]

Okay also das zu entfernen bringt leider nichts...

Wenn ich das Nexus dann mit der FritzBox verbinde zeigt die FritzBox folgende Infos zur VPN-Verbindung an:
Adresse im Internet: Die IP-Adresse mit der das Nexus über die o2-Verbindung online ist
- lokales Netz: 0.0.0.0
- entferntes Netz: 192.168.10.201
- Status: Grün

Steht bei dir was anderes bei "lokales Netz"?

 

[NanDroider]

- lokales Netz: 0.0.0.0

Das steht bei mir auch.

Klappt es mit

permit ip any 0.0.0.0 0.0.0.0 192.168.10.201 255.255.255.255

?

 

[^-v-^]

Das habe ich parallel versucht, den Tipp hat mir auch Google noch ausgespuckt, aber nein, klappt leider auch damit nicht :-(

Werde wohl mal auf Android 4.0.4 per OTA warten und es dann nochmal versuchen. Falls du aber noch ne Idee hast, immer her damit :-D

Danke dir schonmal für deine Mühe!

 

[NanDroider]

Was mir noch einfällt ist, dass zumindest unter Gingerbread es so war, dass der PreShared-Key möglichst ohne Sonderzeichen sein sollte, anscheinend hat es nicht so wirklich mit einer Verbindung geklappt. Mit meinem Milestone damals, habe ich es so gemacht und die Verbindung klappte. Eine Email wie in der AVM-iPhone-Anleitung habe ich auch nicht benutzt, sondern einen Benutzernamen.

Keine Ahnung ob ICS dieselben Fehler diesbezüglich hat, vorsichtshalber habe ich bei der Einrichtung aber alles oben genannte außen vor gelassen.

 

[^-v-^]

Gute Idee, aber mein Kennwort und Benutzername besteht jeweils nur aus Buchstaben und Zahlen.

 

[NanDroider]

Okay, dann weiß ich auch nicht mehr weiter.

Vielleicht alle Schritte nochmal wiederholen und neu einrichten. Ist zwar kein toller Tipp, aber ehrlich gesagt, fällt mir mehr auch nicht ein.

 

[readonly]

Schade das eine VPN Verbindung nicht under ICS mit Bordmitteln läuft.

Die Verbindungsabbrüche hatte ich mit meinem Milestone auch. Bei mir war nur der Zeitraum anders. Nach 30 Sekunden wurde ich wieder disconnectet von meiner FB.

die Verbindungsabbrüche habe ich mit dem einfügen der folgenden Zeile

--dpd-idle 0

unter Optional vpnc Flags im VPCN Widget in den Griff bekommen.

 

[Mastacheata]

Hallo, mag mal jemand über meine Config schauen?
Ich habe hier zwei Verbindungen eingerichtet, eine ist für 2 Netzwerke miteinander zu verbinden und läuft perfekt.

Die 2. soll mein Android Telefon als RoadWarrior einbinden. Leider scheitert der Android ICS client auf meinem HTC Sensation mit einem Timeout.
Der NCP Client ist schon etwas auskunftsfreudiger uns bescheinigt mir, dass er auf Message 2 von der Fritzbox wartet, diese aber niemals erhält.
Die Fritzbox ist ebenfalls ungeheuer auskunftsfreudig (nämlich gar nicht).

Mein Provider blockiert das VPN nicht, ich kann ohne Probleme eine VPN Verbindung zu einem ausgewachsenen Netgear VPN Gateway aufbauen und auch die Testverbindung von NCP funktioniert einwandfrei.
Da die Fritzbox ja so viel mit mir redet bin ich irgendwie mit meinem Latein am Ende und wäre jetzt für jede hilfreiche Idee dankbar. (Naja mal ausgenommen die FritzBox Firmware auszutauschen, denn das möchte ich nur ungern aus 70km Entfernung wagen)



Hier also meine FritzBox Config (Passworte und Identities die Rückschlüsse auf meine Dyndns hostnames zulassen habe ich ausgetauscht gegen Platzhalter)

/*
 * C:\fritzbox_kabel-ort2_homelinux_org.cfg
 * Fri Apr 27 00:54:58 2012
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "kabel-ort1.homelinux.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "kabel-aachen.homelinux.org";
                localid {
                        fqdn = "kabel-ort2.homelinux.org";
                }
                remoteid {
                        fqdn = "kabel-ort1.homelinux.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "******";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.98.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.98.0 255.255.255.0";
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = "Sensation";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.100.201;
                remoteid {
                        key_id = "benedikt@xenzilla.de";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "******";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
                xauth { 
                    valid = yes; 
                    username = "benedikt@xenzilla.de"; 
                    passwd = "******"; 
}                
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.100.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip  0.0.0.0 0.0.0.0 192.168.100.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Vielen Dank schonmal fürs drüberschauen.

 

[^-v-^]

Der NCP Client ist schon etwas auskunftsfreudiger uns bescheinigt mir, dass er auf Message 2 von der Fritzbox wartet, diese aber niemals erhält.

Selben Fehler habe ich auch (siehe Seite 7). Hab zwischenzeitlich einiges versucht (Seite 7 bis 9) und letztendlich das Ganze erstmal auf Eis gelegt.

Hast du auch noch Android 4.0.2?

 

[Mastacheata]

Das muss ich übersehen haben. Ich hatte nur von gelesen, dass einige eine Verbindung aufbauen konnten aber kein traffic durchging.
Mein sensation ist schon auf 4.0.3 aber ich hab auch schon seit Wochen das ROM nicht mehr geupdatet. (nutze das arhd custom rom und nicht die original HTC firmware)

 

[^-v-^]

Ich habe heute das Update auf Android 4.0.4 erhalten und hab es gleich nochmal versucht: Ich bekomme trotzdem noch keine Daten durch den VPN-Tunnel. Schade...

 

[tombi]

Hallo,

bei mir klappt das VPN zur FB problemlos. Ich habe ein Galaxy Nexus mit dem offiziellen OTA Update auf 4.0.4 und die FritzBox 7330 mit FRITZ!OS 05.20. Für die Verbindung nutze ich das Einstellungsmenü von ICS, also kein vpnc und kein root oder sonstige Modifikationen.

Ich hatte bisher immer ein Timeout bekommen, seitdem ich jedoch Benutzernamen und Passwörter ohne Sonderzeichen (nur Buchstaben und Zahlen, keine Email-Adresse) benutze, klappt die Verbindung.

In den erweiterten Einstellungen der VPN Verbindung unter ICS hatte ich zunächst nichts eingetragen. Das hatte für mich jedoch den Nachteil, dass sämtlicher Datenverkehr über die FritzBox geschleift wird. (In der Config musste dementsprechend unter accesslist auch die Zeile "permit ip any 192.168.178.201 255.255.255.255"; vorhanden sein, sonst kommt man nur ins Heimnetz aber nicht mehr ins Internet.) Ich wollte jedoch nur, dass der Zugriff auf mein Heimnetz durch den Tunnel läuft, der Internetverkehr soll direkt über die WLAN bzw. UMTS-Verbindung laufen. Dies habe ich bewerkstelligt, indem ich in den erweiterten Einstellungen die "Weiterleitungsroute" 192.168.178.0/24 eingetragen habe.

Nun klappt alles, wie es soll. Nur dass man für VPN ein Muster/Passwort zum entsperren des Handys anlegen muss stört mich. :/

 

[Mastacheata]

Nun klappt alles, wie es soll. Nur dass man für VPN ein Muster/Passwort zum entsperren des Handys anlegen muss stört mich. :/

Das hat aber durchaus Sinn. Der psk wird verschlüsselt auf dem Telefon gespeichert damit man ihn nicht einfach so auslesen kann.
Grundsätzlich ist das natürlich kein Problem, wer einmal zugriff auf diese Daten hat kriegt auch den Schlüssel für diese Daten aus dem Speicher gelesen.

Ich werde jetzt nochmal probieren ob ohne @ im xauth username klappt.

 

[tombi]

Das hat aber durchaus Sinn. Der psk wird verschlüsselt auf dem Telefon gespeichert damit man ihn nicht einfach so auslesen kann.
Grundsätzlich ist das natürlich kein Problem, wer einmal zugriff auf diese Daten hat kriegt auch den Schlüssel für diese Daten aus dem Speicher gelesen.

Sicher wird sich Google etwas dabei gedacht haben, aber ich als Besitzer meines Handys würde trotzdem gerne selber entscheiden, ob ich eine Sperre einrichte oder nicht. Und knacken lassen sich ja sowohl die Muster- als auch die Passwort-Sperre, wie ich mal auf heise.de gelesen habe...

 

[^-v-^]

Also bei mir hat, wie bereits geschrieben, der VPN Zugang nicht geklappt. Es gehen keine Daten durch den Tunnel, die Verbindung aber steht.

Ich verwende eine "alte" FritzBox 7170 mit aktuellster Firmware. Aber für diese ist kein "FRITZ!OS" verfügbar, wie die Firmware neuerdings heißt. Vielleicht wurde da ja mal was geändert?!

 

[Mastacheata]

7170 alte Fritz? Die gibt's doch noch immer zu kaufen und meine ist erst gute 1,5 Jahre alt. Wenn gar nichts geht werd ich morgen mal freetz aufspielen.

 

[^-v-^]

Ja, zu kaufen gibt es die schon lange, aber ich habe meine schon über 5 Jahre im Einsatz - und mit Updates hat es wie ich kürzlich gelesen habe jetzt auch aufgehört - da wird es künftig wohl nichts mehr geben.

Also darf man ruhig "alt" sagen :-D

 

[Mastacheata]

Hmm schade eigentlich. Die 7170 reicht mir vollkommen und ich würde sie in den nächsten 5 jahren wohl höchstens gegen die kabel fritz tauschen (irgendwas mit 63 vorne)

 

[^-v-^]

Ja, die 7170 ist sonst nicht schlecht. Ich hatte bereits das Vergnügen mit einer 7390, welche ich aber aufgrund von Hitzeproblemen nach 4 Wochen wieder zurückgegeben hab. Daraufhin bin ich zurück zur guten alten 7170 :-D