AVM 7270 als VPN Client an Cisco 3000 - Halb geloest

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
J

JMan

Neuer User
Mitglied seit
15 Aug 2008
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Hallo,

ich bin langsam am verzweifeln.

Hat jemand schon mal 'ne VPN Verbindung mit der Fritzbox als Client zu einem Cisco 3000 Concentrator konfigurieren koennen.

Ich hab schon die Einstellungen welche von AVM vorgeschlagen werden und diverse Forumvorschlaege ausprobiert. Aber nix funktioniert.

Hier ist mein .pcf Cisco VPN Client Profile, welches ich im Cisco VPN Client benutze und fuer welches ich gerne die entsprechende VPN Verbindung in der Fritzbox machen moechte.

Code: 
[main]
UserPassword=
enc_UserPassword=
AuthType=1
GroupName=GROUP_NAME
GroupPwd=
enc_GroupPwd=ECNRYPTED_GROUP_PASSWORD
EnableISPConnect=0
ISPConnectType=0
ISPConnect=
ISPPhonebook=
ISPCommand=
Username=USERNAME_WITH_SPECIAL_CHARACTERS
SaveUserPassword=0
UserPassword=
enc_UserPassword=
NTDomain=
EnableBackup=0
BackupServer=
EnableMSLogon=1
MSLogonType=0
EnableNat=1
TunnelingMode=0
TcpTunnelingPort=12345
CertStore=0
CertName=
CertPath=
CertSubjectName=
CertSerialHash=00000000000000000000000000000000
SendCertChain=0
PeerTimeout=90
EnableLocalLAN=1
Description=
Host=123.123.123.123

Aus Sicherheitsgruenden habe ich die realen Werte ersetzt in:

GroupName=
enc_GroupPwd=
Username=
TcpTunnelingPort=
Host=

Der Rest ist original :grin:.

Falls jemand mir die entsprechende, funktionierende ;) VPN Konfig Datei fuer die Fritzbox senden koennte waere ich happy.

PS: Gibt es irgendwie eine Moeglichkeit sich die evtl. Fehlermeldungen anzeigen zu lassen, falls der VPN Connect scheitert (Log File ??? in der Fritzbox) ?

Vielen Dank.
 
Zuletzt bearbeitet:
Hallo,

welche Fehlermeldungen werden denn ausgespuckt?

Bei mir funktioniert die hier:
Code: 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "NAME";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                remoteip = IP_ADDRESS;
                localid {
                        user_fqdn = "GROUP_NAME";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "GROUP_PASSWD";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = yes;
			xauth {
				valid = yes;
				username = "USERNAME";
				passwd = "PASSWD";
			}
                use_cfgmode = yes;
                phase2ss = "esp-all-all/ah-all/comp-all/no-pfs";
                accesslist = "permit ip any 172.16.?.? 255.255.?.?";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

ggf. muss nat-t Unterstützung an sein. Bei Mobilfunk funktioniert es häufig gar nicht.
 
Hallo Frank,

hab mal etwas mit Deinen Einstellungen rufgespielt, aber leider ohne Erfolg.
(Auch mit NAT-T und unverschluesselten Group Password)

Bezueglich: Welche Fehlermeldungen werden denn ausgespuckt?

Also die VPN Einstellungen werden ohne Probleme importiert.
Allerdings wird keine Verbindung aufgebaut.

Im Ereignisprotokoll sieht mann nur das die Internetverbindung selbst neu aufgebaut wurde aber sonst nix. Keine Meldungen bezueglich VPN.

Gibt es sonst noch irgendwelche log Dateien in der FritzBox welche ich mit Telnet anschauen koennte.

Vielen Dank.

Wenn ich mich mit dem Cisco VPN Client verbinde kommt nach der Eingabe und Bestaetigung meines Passwortes noch ein neuese Dialog-Fenster mit Sicherheitshinweisen welche ich bestaetigen muss, damit die VPN Verbindung aufgebaut werden kann. Koennte hier das Problem liegen ? Kann die Fritzbox mit sowas umgehen ?
 
Hallo,

JMan schrieb:
Im Ereignisprotokoll sieht mann nur das die Internetverbindung selbst neu aufgebaut wurde aber sonst nix. Keine Meldungen bezueglich VPN.
Zum Vergrößern anklicken....
Du hast aber schon einen Verbindungstrigger ausgelöst, oder? Durch einen Zugriff ins entfernte Netz. Von allein wird die Verbindung nicht aufgebaut, die gibts nur auf Anforderung.
 
Hallo Frank,

danke fuer den Tip.

VPN laeuft jetzt mit folgenden Einstellungen:

Code: 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "NAME";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                remoteip = xxx.xxx.xxx.xxx;
                localid {
                        user_fqdn = "GROUP_NAME";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "GROUP_PASSWORD";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = yes;
			xauth {
				valid = yes;
				username = "USER_NAME";
				passwd = "USER_PASSWORD";
			}
                use_cfgmode = yes;
                [COLOR="Red"]phase2ss = "esp-all-all/ah-all/comp-all/pfs";
                accesslist = "permit ip any any";[/COLOR]
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Hauptknackpunkt waren die roten Einstellungen ;).

Allerdings geht mit diesen Einstellungen der gesammte Traffic ueber VPN.

Sorry, falls es 'ne Dumme Frage ist, aber wie kann ich konfigurieren das der
Traffic nur von bestimmten Rechnern ueber die VPN Verbindung geht.

In meinem Fall sollen nur die lokalen PC's mit den IP's 192.168.178.23 & 192.168.178.26 komplett ueber VPN gehen, alle anderen IP's jedoch die VPN Verbindung nicht nutzen und normal ins Netz gehen.
Auch meine VOIP Sip Konten sollen die VPN Verbindung nicht nutzen :grin:.

Vielen Dank fuer Deine schnelle Hilfe.

Gruss

Markus
 
Hallo,

deine Einstellung in "accesslist" sorgt dafür, dass der ganze Datenverkehr über VPN läuft. Hier muss das richtige Subnetz rein, also "192.168.178.0 255.255.255.0".
 
Hallo,

ok ich verstehe die Sache mit dem Subnetz (denke ich ;)).

Aber das loest ja dann nicht mein Problem, da ich im Subnetz "192.168.178.0 255.255.255.0" sowohl Rechner habe (LAN & WLAN) welche die VPN Verbindung nutzen sollen und auch Rechner, welche die VPN Verbindung nicht nutzen sollen/duerfen.

Gibt es eine moglichkeit den VPN Verbindungszugriff dediziert fuer bestimmte lokale IP's zu bestimmen.

In meinem Fall soll z.B. der gesammte Traffic von IP 192.168.178.23 immer ueber VPN gehen, Traffic von anderen IP's/Rechnern, welche auch an der Fritzbox haengen (WLAN & LAN) aber solllen den VPN Tunnel nicht nutzen und normal ins Internet gehen.

Danke fuer Eure Hilfe.
 
Hallo,

JMan schrieb:
In meinem Fall soll z.B. der gesammte Traffic von IP 192.168.178.23 immer ueber VPN gehen, Traffic von anderen IP's/Rechnern, welche auch an der Fritzbox haengen (WLAN & LAN) aber solllen den VPN Tunnel nicht nutzen und normal ins Internet gehen.
Zum Vergrößern anklicken....
Versuche es mal mit
Code: 
accesslist = "permit ip 192.168.178.23 255.255.255.255";
Das beschränkt die Accesslist auf einen Host.
 
Hallo Frank,

hat leider nicht funktioniert. Es wurde keine VPN Verbindung aufgebaut.

Hab mir gestern und heute die Finger wund getippt und mich halb-tot gegoogelt aber immer noch keine Loesung gefunden :heul:

Das beste was ich bis jetzt habe ist:

Code: 
accesslist = "permit ip host 192.168.178.23 any";

Dann wird zumindest der VPN Tunnel aufgebaut und die FritzBox kann trotzdem die SIP-Konten noch bei Sipgate registrieren.

Mit den oben genannten Einstellungen scheint der PC (192.168.178.23) zumindest zuerst eine Verbindung ueber den VPN Tunnel zu versuchen was aber fehlschlaegt:

Probier ich im Browser eine Internet-URL wie goggle.de klappt der Zugriff.
(Geht aber nicht ueber den VPN Tunnel)

Probier ich im Browser eine IP im Ziel VPN Netzwerk bekomme ich:
Network Timeout - The server at XXX.XXX.XXX.XX is taking too long to respond.

Ich habe das Gefuehl das der Rueckkanal aus aus dem VPN Netz irgendwie nicht klappt. Also Trafic vom VPN Netz bei der Fritzbox ankommt aber die Packete nicht an die IP 192.168.178.23 weitergegeben werden.
Kann mich natuerlich auch irren.

Hat evtl. sonst noch jemand eine Idee ?

Vielen Dank.
 
Ich habe ein ähnliches Problem! Ich versuche auf Uni-interne Seiten zuzugreifen über ein Cisco VPN. Den Windwos-Client möchte ich nicht einsetzen,da mehrere PCs hinter der Fritzbox ins Netz sollen und der Cleint auch oft rumspinnt ( nach standby-Modus zb )

Siehe übrigens auch:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?portal=VPN
http://www.avm.de/de/Service/Servic...&last=5&aktuellesModul=VPN_Interoperabilitaet
http://www.ip-phone-forum.de/showthread.php?t=189391
http://www.voipfan.de/showthread.php?t=186779
http://www.voipfan.de/showthread.php?t=193368
http://www.ip-phone-forum.de/showthread.php?t=193303

Angaben meiner Uni Kassel:
Code: 
- die IP des VPN Concentrators (141.51.26.28) 
- der VPN Concentrator ist ein Cisco VPN Concentrator 3000 bzw. ein Cisco ASA 55xx 
- wir benutzen keine Perfect Forward Secrecy 
- Gruppenname AAA ( geändert )
- Gruppenapsswort BBB
- mein Benutzername CCC
- mein Passwort DDD
- VPN Client-Software vpnc für Linux: (Version 0.3.3 oder neuer - ältere Versionen funktionieren nicht!)
/etc/vpnc/default.conf:
IPSec gateway 141.51.26.28
IPSec ID AAA
IPSec secret BBB
Xauth username CCC
- Cisco PCF-Datei:
[main]
Description=Uni Kassel VPN Zugang ext.
Host=141.51.26.28
AuthType=1
GroupName=extern
GroupPwd=
enc_GroupPwd=EEE*
EnableISPConnect=0
ISPConnectType=0
ISPConnect=
ISPCommand=
Username=
SaveUserPassword=0
UserPassword=
enc_UserPassword=
NTDomain=
EnableBackup=0
BackupServer=
EnableMSLogon=1
MSLogonType=0
EnableNat=0
TunnelingMode=1
TcpTunnelingPort=10000
CertStore=0
CertName=
CertPath=
CertSubjectName=
CertSerialHash=00000000000000000000000000000000
SendCertChain=0
VerifyCertDN=
DHGroup=2
ForceKeepAlives=0
PeerTimeout=90
EnableLocalLAN=0
EnableSplitDNS=1
ForceNetLogin=0

meine Config-Datei:
Code: 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Uni";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;  
                remoteip = 141.51.26.28;
                remote_virtualip = 0.0.0.0; 
                localid {
                        user_fqdn = "AAA";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;

                key = "BBB";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = yes;
			xauth {
				valid = yes;
				username = "CCC";
				passwd = "DDD";
			}
                use_cfgmode = yes;
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0";
                accesslist = "permit ip any 141.51.0.0 255.255.0.0";

        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Erste Erfolge:
Will ich nun eine Seite aus dem angegebenen Bereich ( 141.51.0.0 ) aufrufen, passiert endlich etwas: In meinem Browser steht Zeitüberschreitung ( also auch bei Seiten die aus dem Internet normale erreichbar wären! ) und die FritzBox sagt:

VPN-Fehler: Uni, IKE-Error 0x203b [ = "timeout while waiting for initial xauth packet" ]

weiss jemand woran das liegt?
hat jemand eine funktionierende .cfg-Datei?
kann ich die obige Verbindung auch irgendwie anders, über Freetz etc einrichten?
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 640 (Mitglieder: 25, Gäste: 615)

Neueste Beiträge

Statistik des Forums

Themen
246,295
Beiträge
2,249,579
Mitglieder
373,893
Neuestes Mitglied
Kukkatto
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück