Androiden erobern die Fritzbox! IPSEC VPN ZUR FRITZBOX !

[hopla]

@frank_m24

Danke für den Hinweis! Genau eine so klare Aussage habe ich gesucht, damit ich nicht weiter Zeit mit unnützen Versuchen verplempere ;-) Schon schade, dass man in Zeiten von Click&Connect so etwas nicht mit den bordeigenen Mitteln hinbekommt :-(

Dann werde ich mal den AVM-Support weiter nerven ... ;-) Aber ich fürchte es kommen doch nur wieder belanglose Textbausteine zurück.

hopla

 

[frank_m24]

Gehe lieber den Android Entwicklern auf die Nerven. Eine Cisco VPN Unterstützung ist für Android wesentlich wichtiger (vor allem für Geschäftskunden), als ein PPTP Server für Fritzboxen. Außerdem gibt es schon eine große Initiative im Google Developer Bereich dafür.

 

[MP]

Falls es noch nicht gesagt wurde:

FRITZ!App Fon für Android - Neuerungen und Verbesserungen
Verbesserungen in der Version 1.33

* Manuelle Eingabe der FRITZ!Box-Adresse unterstützt


Damit sollte doch jetzt wieder das Fritz!App über VPN laufen?

 

[p-d]

Ich habe es soeben getestet - Fritz!App v1.33 funktioniert per VPN!

 

[Baktosh]

Hallo zusammen,

hat einer von euch eigentlich schon eine VPN-Verbindung mit seiner 7390 und einem Samsung Galaxy Tab hinbekommen ?

Auf meinem Schläppi funktioniert das mit AVM Fernzugang wunderbar.

Wenn ich das ganze allerdings dann auf meinem SGT nutzen will, dann bekomme ich außer dem bereits hier mehrfach beschrieben "Will wait 500milliseconds" Fehler nix zu stande.

Hierfür bin ich nach folgender Anleitung http://www.android-hilfe.de/samsung-galaxy-tab-forum/51007-openvpn-tun-ko-unionfs-ko.html#post730664 vorgegangen.

Mangelns OpenVPN Konfig, habe ich die Punkte 9+10 nicht durchgeführt.

Hierzu habe ich mir dann VPNC installiert

Danach das Tab neugestartet.

Eingaben in VPNC dann wie folgt...

IPSec gateway address : Dyndns-Adresse meiner 7390
IPSec ID : Benutzername lt. Fernzugang-Konfig Testweise einfach sgt eingetragen
IPSec secret : Kennwort welches seitens dem Fernzugangs-Assi in der vpn_user.cfg hinterlegt ist.

Benutzername & Passwort habe ich leergelassen.

Wenn ich nun eine Verbindung versuche, versucht er diese herzustellen schafft dies aber nicht.

In der Log der vpnc steht dann...

no response from target

process stderr no response from target

vpnc still trying to connect. Will check again in 500 milliseconds
process had died, return as failed connection

Dies passiert sowohl mit der originalen vpnc & vpnc-script als auch mit den gepatchten.


Wenn ich dann die o2-SIM aus dem Tab zu meinem Schläppi überwechsle und es dort versuche bekomme ich sofort eine aktive VPN Verbindung.

Weiß hier jemand Rat bzw. kann mir jemand eine Schritt-für-Schritt Anleitung für das Galaxy Tab geben ?


Beste Grüße und Danke im voraus

 

[stsoft]

Hast Du mal geprüft ob das Modul tun.ko geladen werden konnte?
In einer shell oder per adb mal lsmod eingeben.

evt. hat das Tab einen anderen Kernel und deshalb funktioniert dann der kernel-Treiber nicht.
Da ich das Modul auch nicht selbst generiert habe sondern nur im google gefunden habe bist du hier auf jemanden angewiesen der ein passendes tun.ko fürs Tab erzeugt.

 

[Baktosh]

Es läuft nicht.
Ich muß es nach jedem Reboot manuell vom Terminal mit insmod starten. Behebt das Probleme aber leider auch nicht.

In der VPN-Settings App habe ich zwar eingetragen das er bei jedem Start von VPN insmod ausführen soll, funzt aber wohl auch nicht.

Die tun.ko sollte eigentlich richtig sein, da sich der angegebene Thread im Tab-Sub befindet. Auf die gleiche tun.ko wird auch im entsprechenden Sub bei den XDA-Devs verwiesen.

Was mir nur jetzt aufgefallen ist... Wo muß diese denn nun definitiv hin?
Es gibt eine Anleitung dort heißt es /modules/, in einer anderen /system/xbin/ und dann gibt es auch /system/lib/modules (wobei dieses modules noch manuell erstellt werden muß).

Zusätzlich ist mir aufgefallen dass wenn ich den Root-Explorer starte, unter dem Verzeichnis / Mounted as r/w steht. Gehe ich allerdings nach /system ist für diesen sowie alle Unterordner usw. Mounted as r/on angegeben.

Das kann doch eigentlich nicht korrekt sein, oder ?


Greetz und schon einmal danke für dein Bemühen.

 

[Baktosh]

Hallo zusammen,

nachdem ich nun noch einmal alles von vorne durchgegangen bin, funktioniert der VPN-Zugang nun. Zumindest halb...

Des Teufels Fehler lag auf Seiten der FritzBox, da ich dort einen kleine Einstellung in der .cfg übersehen hatte.

Das was funktioniert ist das ich eine stabile VPN-Verbindung herstellen kann, als Konfiganleitung wird ja die iPhone-Konfig lt. http://www.avm.de/de/Service/Servic...l/VPN_Interoperabilitaet/16206.php?portal=VPN empfohlen. Mit dieser ist es mir auch möglich per VPN auf dem Tab zu surfen.

Lt. der o.a. Anleitung unter Punkt 9 soll man "Ersetzen Sie im Abschnitt "phase2localid" die Werte für die Einträge "ipaddr" und "mask" jeweils durch "0.0.0.0" durchführen. Dies führt nun zu meinem Problem...

Durch diese Einstellung wird in der VPN-Übersicht der FritzBox unter "lokales Netz" nun nicht mehr die Standard-IP der FritzBox hinterlegt, sondern das Gerät kommt nun mit 0.0.0.0 herein.

Hierdurch gehört es nun nicht mehr zum Adressbereich der FritzBox, was somit bedeutet das ich auf kein Netzlaufwerk zugreifen kann und auch RDP nicht mehr funzt.

Stelle ich nun anstelle der 0.0.0.0 wieder die Standard-IP der Fritzbox ein, baut sich die VPN-Verbindung eine kurze Sekunde auf und wird dann sofort wieder unterbrochen. Auf meinem Tab wird dieser Abbruch auch gemeldet, allerdings bleibt dort die Anzeige auf "Connected" stehen. Weitere Verbindungsversuche sind ab da nicht mehr möglich, selbst wenn ich auf Disconnect gehe und danach wieder versuche zu connecten. Fehlermeldung "Failed to connect".

Abhilfe für einen weiteren erfolglosen Versuch schafft in diesem Fall nur das Ausbuchen des Tabs aus dem Mobilfunknetz.

Wäre genial wenn mir da jetzt noch jemand ne Hilfestellung geben könnte.


Greetz

 

[imagomundi]

Lt. der o.a. Anleitung unter Punkt 9 soll man "Ersetzen Sie im Abschnitt "phase2localid" die Werte für die Einträge "ipaddr" und "mask" jeweils durch "0.0.0.0" durchführen.

Die Anleitung ist an dieser Stelle nicht richtig - zumindest nicht so global. Meine NOKIAs verbinden sich (mit IPSec-Protokoll) nur dann, wenn dort die IP-Adresse des Netzes meiner Server-FB -in meinem Falle 192.168.174.0- und als "mask" das dazugehörige Subnetz (255.255.255.0) eingetragen sind.

Möglicherweise gilt das auch für Dein Tab. Wie immer gilt natürlich auch dafür: Versuch macht kluch!

 

[Salatkabel]

Verbindung auch mit dem Wildfire erfolgreich! 1000 Dank!

 

[Baktosh]

Die Anleitung ist an dieser Stelle nicht richtig - zumindest nicht so global. Meine NOKIAs verbinden sich (mit IPSec-Protokoll) nur dann, wenn dort die IP-Adresse des Netzes meiner Server-FB -in meinem Falle 192.168.174.0- und als "mask" das dazugehörige Subnetz (255.255.255.0) eingetragen sind.

Möglicherweise gilt das auch für Dein Tab. Wie immer gilt natürlich auch dafür: Versuch macht kluch!

Hi,

Hierzu mal aus meinem Posting...

Stelle ich nun anstelle der 0.0.0.0 wieder die Standard-IP der Fritzbox ein, baut sich die VPN-Verbindung eine kurze Sekunde auf und wird dann sofort wieder unterbrochen. Auf meinem Tab wird dieser Abbruch auch gemeldet, allerdings bleibt dort die Anzeige auf "Connected" stehen. Weitere Verbindungsversuche sind ab da nicht mehr möglich, selbst wenn ich auf Disconnect gehe und danach wieder versuche zu connecten. Fehlermeldung "Failed to connect".

Abhilfe für einen weiteren erfolglosen Versuch schafft in diesem Fall nur das Ausbuchen des Tabs aus dem Mobilfunknetz.

In der "lastconnection.log" taucht nun folgendes auf...

[Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]

process stderr	


vpnc still trying to connect. Will check again in 500 milliseconds
vpnc still trying to connect. Will check again in 500 milliseconds
vpnc still trying to connect. Will check again in 500 milliseconds
vpnc still trying to connect. Will check again in 500 milliseconds
vpnc still trying to connect. Will check again in 500 milliseconds
vpnc still trying to connect. Will check again in 500 milliseconds
vpnc still trying to connect. Will check again in 500 milliseconds
vpnc still trying to connect. Will check again in 500 milliseconds
backing up dns settings
vpnc-script ran to completion

process stdout	backing up dns settings
vpnc-script ran to completion

/data/data/org.codeandroid.vpnc_frontend/files/vpnc-script: cannot create /sys/devices/platform/leds-microp/leds/blue/brightness: directory nonexistent
ip: invalid argument 'wifi' to 'table ID'
ip: invalid argument 'gprs' to 'table ID'
quick mode response rejected:  (ISAKMP_N_INVALID_MESSAGE_ID)(9)
this means the concentrator did not like what we had to offer.
Possible reasons are:
  * concentrator configured to require a firewall
     this locks out even Cisco clients on any platform expect windows
     which is an obvious security improvment. There is no workaround (yet).
  * concentrator configured to require IP compression
     this is not yet supported by vpnc.
     Note: the Cisco Concentrator Documentation recommends against using
     compression, expect on low-bandwith (read: ISDN) links, because it
     uses much CPU-resources on the concentrator


process stderr	/data/data/org.codeandroid.vpnc_frontend/files/vpnc-script: cannot create /sys/devices/platform/leds-microp/leds/blue/brightness: directory nonexistent
ip: invalid argument 'wifi' to 'table ID'
ip: invalid argument 'gprs' to 'table ID'
quick mode response rejected:  (ISAKMP_N_INVALID_MESSAGE_ID)(9)
this means the concentrator did not like what we had to offer.
Possible reasons are:
  * concentrator configured to require a firewall
     this locks out even Cisco clients on any platform expect windows
     which is an obvious security improvment. There is no workaround (yet).
  * concentrator configured to require IP compression
     this is not yet supported by vpnc.
     Note: the Cisco Concentrator Documentation recommends against using
     compression, expect on low-bandwith (read: ISDN) links, because it
     uses much CPU-resources on the concentrator


Connect string detected!

--------------------------------------------------------

Zusätzlich finden sich im gleichen Ordner noch 3 weitere txt Dateien.

def_route.txt mit dem Inhalt(ohne die "") "default via 10.74.8.1 dev pdp0"

dns1.txt mit dem Inhalt "193.189.244.225"

dns2.txt mit dem Inhalt "193.189.244.206"

Die DNS gehören wohl zur Telefonica also o2

Zur Sicherheit hier auch mal der Inhalt der AVM VPN cfg

        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "SGT";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.202;
                remoteid {
                        key_id = "SGT";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "VPNKey";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
			xauth { 
			valid = yes; 
			username = "Benutzername"; 
			passwd = "Kennwort"; 
			}

                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.202 255.255.255.255";
        }

Greetz

 

[imagomundi]

Stelle ich nun anstelle der 0.0.0.0 wieder die Standard-IP der Fritzbox ein, .....

Mein Vorschlag war auch nicht die Standard-IP Deiner Fritzbox, sondern die NETZ-IP, also letzte Ziffer "0".

 

[Baktosh]

Mein Vorschlag war auch nicht die Standard-IP Deiner Fritzbox, sondern die NETZ-IP, also letzte Ziffer "0".

Ok habe mich da wohl etwas mißverständlich ausgedrückt, da ich von der Konfig des "AVM Fernzugangsassis" ausgegangen bin. Dort wird ja der Begriff Standard-IP verwendet und bezieht sich genau auf die Netzseitige-Adresse. Also genau die mit der 0 im 4 Trip.

Ist zur Veranschaulichung ja auch in der geposteten cfg hinterlegt.

Daher nochmal zusammenfassen...

Wenn ich von meinem Schläppi mit gleicher o2 SIM den AVM Fernzugang nutze, verwendet dieser die IP's welche unter "phase2localid" zu sehen sind. Die Cfg hierfür ist zwar gerinfügig anders aufgebaut, da Android oder das iPhone ja an 2-3 Stellen andere Begrifflichkeiten haben, aber sonst ist dort alles identisch.

Mit dieser IP & Subnet Konfiguration funktioniert alles auf meinem Schläppi bestens und sofort.

Trage ich aber im Cfg-Bereich welche für das Tab erstellt wurde diese Konstallation ein, also so wie ich es gepostet habe, tritt der von mir im vorherigen Post aufgezeigte Fehler ein.

Trage ich anstelle dessen wie es die Anleitung wünscht die 0.0.0.0 für IP und Subnet ein, funzt es auch mit dem Tab ohne Probleme. Allerdings mit der Einschränkung das ich keinen Zugriff auf die Netzlaufwerke habe und auch RDP nicht funzt. Denn 0.0.0.0 befindet sich ja nicht im gleichen Bereich wie 192.168.178.x

Daher meine Frage...

Welche Einstellung muß ich entweder in der Cfg-Datei oder an meinem Tab ändern, damit dieser sich mit einer IP innerhalb von 192.168.178.x anmeldet anstatt mit 0.0.0.0


Greetz

 

[imagomundi]

voip.cfg:

accesslist = "permit ip any 192.168.174.202 255.255.255.255" (so jedenfalls vergleichbar die Konfiguration der Access List im NOKIA IPSec)

Auch dem Eintrag p(erfect)f(orward)s(ecurity) anstelle no-pfs solltest Du eine Chance geben.

 

[Baktosh]

[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

pfs wird ja seitens des AVM Fernzugangsassis standardmäßig hinterlegt. Beim Zugang über meinen Schläppi gibt es hier auch keine Probleme. Genausowenig mit der zugewiesenen LocalID mit der er sich melden soll.

Bei Android, iOS oder generell auch Linux/Unix scheint das etwas anders zu sein. Kann mich noch an die Konfigarie mit WinSCP erinnern um meine Diskstation überall erreichbar zu haben.

Aber BTT...

Es funktioniert leider tatsächlich nur mit no-pfs da es sonst zu dieser Concentrator-Fehlermeldung kommt.

Mit dem vorgeschlagenen permit any funktioniert es nun endlich.


Besten Dank

 

[imagomundi]

Es funktioniert leider tatsächlich nur mit no-pfs da es sonst zu dieser Concentrator-Fehlermeldung kommt.

Bei meinen 4 per VPN angemeldeten NOKIAs funktioniert es dagegen NICHT mit no-pfs, sondern nur mit pfs. Merkwürdig - merkwürdig!

 

[tetiktetik]

Hallo

Ich habe es geschafft mein Handy zu rooten.
Habe jetzt ein App das nennt sich "Superuser Genehmigungen"
Ich denke mal das die soweit Passt.
quelle http://unrevoked.com/#desire

2. habe vnpc installiert.


soo jetzt komm ich nicht weiter.

meine Frage ist.

1. Ihr schreibt das ich eine Datei verändern soll.
Wie heissen diese Dateien.
2. nun soll ich diese Dateien die rechte verändern.
Wie macht Ihr dass? Welche rechte sollte man geben?

 

[frank_m24]

Hallo,

1. Ihr schreibt das ich eine Datei verändern soll.

Wo steht das? In allen Fällen, wo hier Dateien verändert werden sollten, steht dabei, um welche es sich handelt.

2. nun soll ich diese Dateien die rechte verändern.
Wie macht Ihr dass? Welche rechte sollte man geben?

Es kommt natürlich darauf an, um welche Datei es sich handelt, dann weiß man auch, welche Rechte sie bekommen soll. Wenn man das nicht weiß, dann sollte man die Finger von dieser Anleitung lassen, denn dann gehört man definitiv nicht zum Zielpublikum. Die Eingriffe ins Handy sind massiv, dabei kann viel schief gehen, und man sollte sehr gut wissen, was man tut.

 

[p-d]

Hallo tetiktetik,
schön, das du es mit dem rooten endlich geschafft hast.

Am besten Du liesst Dir diesen Thread vom ersten Posting an durch. Gleich im ersten Posting wird ein modifiziertes Paket von VPNC zum Download angeboten. Du musst dann nichts mehr verändern.

Neben dem rooten solltest Du aber zuerst auch ein ROM mit openvpn Unterstützung installieren.

Grüße
Pete


p.s. die 10 Seiten dieses Threads solltest Du in 15-20 Minuten gelesen haben. Du musst auch nicht alles verstehen - versuche halt die Informationen, die für Dich relevant sind herauszupicken.

 

[Balloni]

Ich bekomme keine Daten via VPN zu fließen...

Anmeldung VPN geht, aber es fließen keine Daten :-(
SGS I9000 (JPO) <-> FBF7270v2

Ich bekomme keinen Zugriff auf das eigene interne Netz! Hab schon viele Varianten versucht, aber keine Lösung gefunden. Hier der Ausschnitt aus der *cfg in der FBF:

{
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.10.30;
                remoteid {
                        key_id = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "yyyyyyyyy";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = yes;
                use_cfgmode = no;
                xauth {
                                                valid = yes;
                                                username = "zzzzzzzz";
                                                passwd = "yyyyyyyyyy";
                                                }
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.10.30;
                        
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =     "permit ip any 192.168.10.30 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Woran kann es liegen, daß offenbar keine interen IP zugewiesen wird?
Eine weitere VPN-Vernindung zu einer anderen FBF7170 geht ohne Probleme. IP-Netz dort: 192.168.20.0 / 255.255.255.255. Dei eigene FBF hat IP 192.168.10.1 im Subnet 255.255.255.0

Via Wlan geht der Zugriff - aber dann ja offenbar nicht über VPN ?!

Balloni