Androiden erobern die Fritzbox! IPSEC VPN ZUR FRITZBOX !

[felixdacat]

Danke für den Hinweis- Hab die 10¤ internetflat f meine xtracard. Werd das ganze mal durchprüfen von nem externen Wlan aus oder mit ner anderen SIM.
Bzw mal versuchen ob sich ein getethertes Notebook einwählt.

Tnx

Fx

 

[frank_m24]

Hallo,

Danke für den Hinweis- Hab die 10¤ internetflat f meine xtracard.

Damit gibt es kein VPN. Aus der Leistungsbeschreibung:

Die Option erlaubt und unterstützt das Surfen mittels Internetbrowser sowie das Versenden und Empfangen von E-Mails.

Das ist die klassische Handy Flat, wie sie auch Business Kunden bekommen. Dort ist VPN definitiv gesperrt.

 

[felixdacat]

Also - Per Tethering und Netbook mit Shrew gehts.
Also ist VPN per UMTS nicht gesperrt

Scheint also doch irgendwo an der Config zu liegen :-(

 

[frank_m24]

Da glaube ich im Moment eher an eine Fehlbedienung bei der Tether Verbindung. In den T-Mobile Handyflats sind VPN Verbindungen wirklich gesperrt.

 

[felixdacat]

Wirklich !
- Hab ausser Wlan hier nix und wenn mein Fritzbox Wlan aus ist und das Netbook mit dem Handy getethert ist
muss es auch darüber gehn. Ausserdem war die IP eine aus dem T-Mobile IP Pool.
Soweit hab ich das natürlich auch alles geprüft Kenn das ja

 

[frank_m24]

Ausserdem war die IP eine aus dem T-Mobile IP Pool.

Welche IP?

 

[felixdacat]

@ Franck

Mit "die IP" meinte ich die IP, die in der Fritz bei den VPN Verbindungen angezeigt wird.
80.187.97.122 kannst Du gerne mal selber tracen wenn Du mir nicht glaubst aber das ist die IP die
a) in der Fritz angezeigt wird bei der hergestellten VPN Verbindung
b) im Handy als externe IP , neben der 10.x.x.x er die T-Mobile ja intern vergibt. ( Empfehle da mal Network II als App da bekommst Du alles angezeigt)
Die Auflösung davon ist ... .customers-d1-online.com .
Ausserdem bin ich sonst nicht bei der Telekom und habe Arcor IP's durch 1&1.

Kannst mir also ruhig glauben - es geht


Aber ich denke wir sollten die Diskussion über geht/geht nicht, hier im Sinne eines sauberen Topics beenden.
Kannst mich aber gerne per PN kontaktieren, wenn Du weitere Infos haben möchtest.
Kann auch sagen, dass Simyo kein VPN blockt - Kumpel hat auf seinem Linux Homeserver nen VPN laufen, das von Android
nativ ohne patchings unterstützt wird.

---------------------------------------------------------------------------------

Um zurück zum Thema zu kommen.

Kann mir niemand sagen wo ich vielleicht nen Fehler ind er Config haben koennte?

Habe vielleicht zum weiteren detaillieren meines POsts von Seite 16 mit dem Teilcode meiner config:
- 3 VPN Accounts , 1x Fritzbox to Fritzbox2 , und 2x User

Müssen für den 2. User diese ike+forward_rules eventuell angepasst werden?

Wäre echt leib wenn mal wer über meinen code von S16 gucken könnte .

Würde mich sehr freuen, wenn mir jemand zur näheren Analyse erklären könnte , wie ich die adb log ausgaben so filtern kann,
dass nur VPNC Meldungen angezeigt werden , die ich dann hier posten koennte oder wo ich ein spezielles VPNC log auf dem Androiden finden kann.

Vielen Dank im Voraus

Gruß

Félix

 

[frank_m24]

Hallo,

kleiner Hinweis: Verweise auf "Seite 16" sind sehr unzuverlässig. Bei meinen bevorzugten Einstellungen hat der Thread erst 6 Seiten. Verweise bitte auf die Nummer des Beitrags.

Ich kann in der Konfig keinen Fehler sehen, und im VPN Widget kann man praktisch nichts falsch machen. Meines Erachtens müssen wir die Ursache immer noch außerhalb dieser beiden Faktoren suchen.

Wie weit hast du die Shrew Verbindung getestet? Nur den Verbindungsaufbau, oder hast du auch Daten übertragen?

 

[felixdacat]

Hi,

Teilerfolg ist zu vermelden !!
Bin jetzt per VPN an der Fritzbox
Irgendwo muss ein Leerzeichen oder was anderes in den anderen configs zu viel/ zu wenig gewesen sein.
Hab grad zum x-ten Mal die Konfig neu editiert und komme nun erstmals auf die Fritz. -Juhuuu

ABER leider auch nicht weiter :-(

In der VPN Seite( Freigaben/VPN-Reiter/ Liste der VPN Verbindungen von der Fritz steht
wildfire <externe IP des Handys > 0.0.0.0 192.168.0.201 (grüener Punkt)
Also Verbindung steht!
Aber kann die Box nicht anpingen und komme auch nicht ins internet.

Any idea ?
Hab in der config die folgenden Zeilen ausprobiert:
Bild mit 0.0.0.0 bleibt gleichund Ping geht in beiden Fällen nicht.

phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 0.0.0.0 0.0.0.0 192.168.0.201 255.255.255.255";

UND

phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip any 192.168.0.201 255.255.255.255";

Mal so als genrelle Frage was theoretisch gehn sollte bzw vielleicht kann mir das jemand erläutern wie folgendes von statten gehn soll wenns funzt:
- Surfen wieterhin über UMTS oder geht alles komplett durch den Tunnel und dann via Fritz ins Internet ?
- Voip per SIP client an der Fritz sollte ja auch gehen.



Tausend Dank

Félix

@ Frank
Mit dem Shrew hab ich auch Daten übertragen und mir die Fritzoberfläche so wie eine Website angeguckt. Ging.

 

[frank_m24]

- Surfen wieterhin über UMTS oder geht alles komplett durch den Tunnel und dann via Fritz ins Internet ?

Kommt auf die Konfiguration des VPN Clients an. Bei VPNC mit dem vpnc-script aus diesem Thread z.B. wird nur der Traffic ins Zielnetz über den Tunnel übertragen, Daten in Internet aber direkt über UMTS. Übrigens könnte die fehlende Datenübertragung auf das vpnc-script zurückzuführen sein, wenn du es nicht ausgetauscht hast.
Nach wie vor scheidet aber auch der Tarif nicht als Ursache aus. Da nicht UDP Port 500, sondern ESP geblockt wird, funktioniert der Verbindungsaufbau einer VPN Verbindung, aber es fließen keine Daten. Die Symptome passen also immer noch. Nach wie vor bin ich nicht überzeugt, dass bei deiner Tether Verbindung alles mit rechten Dingen zugegangen ist.

 

[felixdacat]

@ Frank - Was meinst du mit VPNC Skript ? Also ich habe nur diese gepatchte Version von VPNC und das Widget geladen (s.u.).
Über das Widget connecte ich auch.

Zum Tethern. Habs grad zum 2. Mal getestet und mir sogar vom Nas meiner Eltern in 300km Entfernung ne Datei gezogen.
Geht alles so wie es soll. Also Handyverbindung kann definitiv ausgeschlossen werden.

Was müsste denn theoretisch in der Fritz bei dem verbundenen Account in der Zeile anstelle der 4 roten Nullen in der
Spalte lokales Netz stehen?
Beim Notebook steht dort nicht 0.0.0.0 sondern 192.168.0.0/24

wildfire  80.187.97.*** [COLOR="red"]0.0.0.0[/COLOR] 192.168.0.201 (grüener Punkt)

Den VPNC hab ich von hier:
signed-myVPNC.apk => Link auf XDA Dev Forum attachement
Ansonsten habe ich nur das VPNC-Widget aus dem Market installiert und nutze auch inzwischen nur dies.

Hab ich hier etwas falsch gemacht und muss ich da noch was patchen??

Danke

Félix

 

[debfreak]

Nachdem ich jetzt schon x-mal diesen Threat gelesen habe und immer noch nicht weiter komme wollte ich fragen ob es hier jemanden gibt bei dem es mit einem Nexus S und dem Stock-Rom(2.3.4) funzt ? Ich habs natürlich gerootet und auch das tun.ko installiert. lsmod sagt: tun 13470 0 - Live.... VPNC Widget(1.15) sagt trotzdem immer no root acess, no acess to tun device, tun device missing! Wenn ich unter Superuser schaue ist das VPNC Widget erlaubt. So langsam frage ich mich ob das ganze ihr überhaupt mit dem Nexus s geht ???

 

[frank_m24]

@ Frank - Was meinst du mit VPNC Skript ?

Na, eben das VPNC Script. Im Laufe dieses Threads ist ja eine speziell angepasste VPNC Version für Fritzboxen veröffentlicht worden, für die man auch das VPNC Script austauschen muss. Hast du die Version nicht benutzt? Ist im ersten Beitrag verlinkt.

Übrigens: Wenn du VPNC benutzt, dann musst du auch über VPNC die Verbindung herstellen. Das VPNC Widget hat nichts damit zu tun, das ist eine vollkommen andere App. Das Widget könnte zwar auch funktionieren, aber im Zweifel besser das VPNC aus diesem Thread verwenden (und die Installationsanleitung befolgen).

---

x

Ich habs natürlich gerootet und auch das tun.ko installiert.

Das richtige tun.ko fürs Nexus S? Existieren /dev/tun und /dev/net/tun?

Wenn ich unter Superuser schaue ist das VPNC Widget erlaubt.

VPNC oder VPNC Widget? Auch an dich der Hinweis: Im Zweifel die VPNC Version aus diesem Thread verwenden.

 

[Smithy]

@felixdacat

Bitte korrigiere deine Konfig! Vergleiche mit meiner Konfig aus Post #314!

Dort sind Sachen extra rot markiert. Sie stimmen in deiner Konfig zum Teil nicht. So hat dein Device keine IP und kannst deshalb nicht pingen

Warum "TESTUSER1" und "TESTUSER2"?
use_cfgmode fehlt....

Gruß
Smithy

 

[felixdacat]

@ Smithy
Danke für Deine Antwort. Testuser1 und 2 hatte ich schon gleich gesetzt aber der use_cfgmode stand ncoh auf no.
Habe ihn jetzt auf yes aber es geht trotzdem nix:-(

Verflixte Box -

Steht bei Dir in der Übersicht in der Fritzbox unter VPN in der Liste bei deiner Handy VPN Conenction auch die 0.0.0.0 oder was im Sinne 192.168.*.0/24?
Bei mir sieht die Zeile immernoch so aus:
-----------------------------------------------------------------
HTCwildfire 80.187.96.*** 0.0.0.0 192.168.0.201

Gruss

Fx

 

[raix]

Hi,

welche Anbieter erlauben ipsec denn überhaupt noch?
Habe heute den Aufbau eines VPN-Tunnels von Android zu Strongswan getestet, dabei hatte ich E+ und o2 zur Verfügung. Jeweils mit Internet-Flat.

Die Ipsec-SA Aushandlung funktioniert auch, aber danach sind die Ports am Android-Gerät dicht. Am Strongswan-Server kommt nur noch ICMP Type 3, Code 3 (Port unreachable) an.

Ist meiner Meinung nach schon eine Frechheit.

 

[frank_m24]

Es kommt auf den Tarif an. Alle Anbieter haben Tarife im Portfolio, bei denen VPN kein Problem ist. Aber bei den Billig-Handy-Flats gehört es halt üblicherweise nicht mehr dazu. Man bekommt halt, wofür man zahlt.

 

[Smithy]

Keine Ahnung. Ich hab einen Vodafone "Business Classic 1/1" mit "Flat Light" Tarifoption (Drosselung nach 1 GB).
Hier ist VPN jedenfalls problemlos möglich. Allerdings hat die Sache eben auch ihren Preis und kostet nicht nur einen 10er im Monat.

Gruß
Smithy

 

[raix]

Es kommt auf den Tarif an. Alle Anbieter haben Tarife im Portfolio, bei denen VPN kein Problem ist. Aber bei den Billig-Handy-Flats gehört es halt üblicherweise nicht mehr dazu. Man bekommt halt, wofür man zahlt.

Erstmal muss ich mich korrigieren. IPsec auf Ports 500/4500 UDP und ESP geht durch mit o2 (Netbook hinter nem Wlan-AP mit o2-Sim). Gleiche Sim in einem Android-Gerät und IPsec geht ebenfalls, aber dann ist der l2tp-Aufbau über 1701 nicht möglich (evtl. habe ich da auch noch nen Fehler. Weil die Pakete ja eigentlich durch den ESP-Tunnel gehen sollten.)

Zu deiner Aussage generell:
Finde ich eine bescheidene Einstellung. Auch wenn ich nur 10 Euro im Monat zahle, ich zahle für 1GB Internet-Volumen. Und nicht für 1GB Http-Volumen oder dergleichen. Da irgendwas zu sperren und dann mehr Geld fürs Entsperren zu verlangen ist einfach dreist.
Und wie man das dann hinnehmen kann. mit dem Verweis darauf mehr zu zahlen... na ja...

 

[frank_m24]

Wir wollen das hier nicht zu einer Vertragsdiskussion verkommen lassen, aber ...

Auch wenn ich nur 10 Euro im Monat zahle, ich zahle für 1GB Internet-Volumen. Und nicht für 1GB Http-Volumen oder dergleichen.

Du zahlst für die Dinge, die bei Vertragsabschluss in der Leistungsbeschreibung standen. Wenn da 1 GB HTTP Traffic steht, dann ist das eben so. Erst kaufen ohne zu lesen und dann anschließend meckern ist ... (das lassen wir hier mal besser unausgesprochen). Du musst es ja nicht kaufen. Wenn dir die erbrachte Leistung nicht passt, dann lässt du es eben und kaufst es woanders.
Und wie ich das hinnehmen kann? Ich weiß ja vorher, worauf ich mich einlasse. Wenn ich es nicht hinnehmen will, dann tue ich es eben nicht. Und wenn die Leistung, die ich benötige, mehr kostet, dann muss ich eben in den sauren Apfel beißen - oder es lassen.