Androiden erobern die Fritzbox! IPSEC VPN ZUR FRITZBOX !

[mschwa1]

Ich scheitere immer noch kläglich. VPN Verbindung wird aufgebaut: Handy.log:

process stderr

vpnc still trying to connect. Will check again in 500 milliseconds


process stderr

vpnc still trying to connect. Will check again in 500 milliseconds
vpnc still trying to connect. Will check again in 500 milliseconds
vpnc still trying to connect. Will check again in 500 milliseconds
vpnc still trying to connect. Will check again in 500 milliseconds
backing up dns and resolve.conf
vpnc-script ran to completion

process stdout backing up dns and resolve.conf
vpnc-script ran to completion

vpnc[9912]: can't open pidfile /var/run/vpnc/pid for writing

process stderr vpnc[9912]: can't open pidfile /var/run/vpnc/pid for writing

Connect string detected!

In der Fritzbox bin ich auch connected
xx.xx.xx.xx 0.0.0.0 192.168.178.201

Das wars aber auch schon.
Ich kann weder eine Internetseite aufrufen noch die Fritzbox erreichen.

Ich habe im vpn-script diese einträge entfernt:
#CISCO_SPLIT_INC=0
#CISCO_SPLIT_INC_0_ADDR=192.168.178.0
#CISCO_SPLIT_INC_0_MASK=255.255.255.0
#CISCO_SPLIT_INC_0_MASKLEN=24

Jetzt erscheint zumindest in der dns2.txt die korrekte IP der Fritzbox.

Alle anderen Einträgen sind unverändert geblieben.
Es muß ja ein Konfigurationsproblem sein. Mit dem PC komme ich ohne PRobs auf die FB.

 

[frank_m24]

Hallo,

@mschwa1: Führe doch mal "busybox ifconfig" und "busybox route -n" in der adb shell aus, und poste die Ergebnisse hier.

 

[GregorV]

Hinweis: Android 2.2

Falls jemand folgendes Problem hat:

Im vpnc log massenweise:

vpnc still trying to connect. Will check again in 500 milliseconds
vpnc still trying to connect. Will check again in 500 milliseconds
vpnc still trying to connect. Will check again in 500 milliseconds
vpnc still trying to connect. Will check again in 500 milliseconds ...

oder die Meldung connection failed sieht, aber trotzdem steht die VPN Verbindung zur FritzBox:
Bitte mal prüfen, welches ifconfig verwendet wird (Im Terminal: which ifconfig)
Bei mir wurde die ifconfig aus /system/bin verwendet. Nachdem ich den link ifconfig -> toolbox aus /system/bin gelöscht habe, wird nun die von der busybox (in system/xbin) benutzt und damit zeigt vpnc auch einen erfolgreichen connect.

Zwei Fragen habe ich aber noch:
Kann man die Meldung:

vpnc[9912]: can't open pidfile /var/run/vpnc/pid for writing

ignorieren ?

Meine VPNC Verbindung bricht nach etwa 10-15 Minuten ab (war auch bei 2.1 schon so). Kann man dafür sorgen, dass sie stehen bleibt ? (sonst bin ich über SIP-Phone nicht erreichbar)

Danke

 

[frank_m24]

Hallo,

"can't open pidfile" kann man ignorieren, denke ich. Die Meldung habe ich auch jedes mal, und die VPN Verbindung funktioniert trotzdem.
Die Meldung "vpnc still trying to connect. Will check again in 500 milliseconds" ist ebenfalls normal während der Verbindungsphase. Sobald die Verbindung steht, wird die Ausführung fortgesetzt.

Der Funktionsumfang zwischen dem Android ifconfig und dem busybox ifconfig ist tatsächlich sehr unterschiedlich. Ob aber die Android Version nicht hinreichend ist, die Verbindung zu konfigurieren, kann ich nicht sagen.

 

[mschwa1]

Hallo,

@mschwa1: Führe doch mal "busybox ifconfig" und "busybox route -n" in der adb shell aus, und poste die Ergebnisse hier.

"busybox route -n":
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
188.194.xxx.xxx 192.168.178.1 255.255.255.255 UGH 0 0 0 eth0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 tun0



"busybox ifconfig":
eth0 Link encap:Ethernet HWaddr 00:26:37:A0:84:C2
inet addr:192.168.178.111 Bcast:192.168.178.255 Mask:255.255.255.0
inet6 addr: fe80::226:37ff:fea0:84c2/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:87 errors:0 dropped:0 overruns:0 frame:0
TX packets:84 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:19211 (18.7 KiB) TX bytes:11189 (10.9 KiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:17727 errors:0 dropped:0 overruns:0 frame:0
TX packets:17727 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:892214 (871.3 KiB) TX bytes:892214 (871.3 KiB)

svnet0 Link encap:UNSPEC HWaddr A0-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
UP POINTOPOINT RUNNING NOARP MTU:65541 Metric:1
RX packets:5967 errors:0 dropped:0 overruns:0 frame:0
TX packets:2170 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:116276 (113.5 KiB) TX bytes:35653 (34.8 KiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.178.201 P-t-P:192.168.178.201 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:18 errors:0 dropped:0 overruns:0 frame:0
TX packets:21 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:7746 (7.5 KiB) TX bytes:1852 (1.8 KiB)

 

[frank_m24]

Hallo,

@mschwa1: Kein Wunder, dass bei dir keine Daten fließen. Dein lokales Subnetz und dein VPN Zielnetz sind identisch. Das kann natürlich nicht funktionieren, und das steht auch so in jeder AVM Anleitung.

 

[Marcus75]

Geht das nur mit bestimmten ROMs, oder kann man auch das Offiziele 2.2 nutzen?
Habe nähmlich das Problem, dass ich den Ordner "modules" (system/lib/modules) nicht gefunden habe.
Ordner habe ich manuell erstellt und die tun.ko reinkopiert.
Eine Verbindung wird zur Fritz!Box wird aufgebaut, aber keine Daten übertragen.

 

[GregorV]

@Marcus75
Beim Galaxy S geht das offizielle 2.2. Dass der Ordner nicht da ist, ist normal.

 

[mschwa1]

Hallo,

@mschwa1: Kein Wunder, dass bei dir keine Daten fließen. Dein lokales Subnetz und dein VPN Zielnetz sind identisch. Das kann natürlich nicht funktionieren, und das steht auch so in jeder AVM Anleitung.

Sorry. Ich hatte die Abfragen im Heimnetz ausgeführt. Hier nochmal von unterwegs.

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
188.194.xxx.xxx 11.102.178.1 255.255.255.255 UGH 0 0 0 eth0
11.102.178.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 tun0


eth0 Link encap:Ethernet HWaddr 00:26:37:A0:84:C2
inet addr:11.102.178.50 Bcast:11.102.178.255 Mask:255.255.255.0
inet6 addr: fe80::226:37ff:fea0:84c2/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:42 errors:0 dropped:0 overruns:0 frame:0
TX packets:32 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5386 (5.2 KiB) TX bytes:5238 (5.1 KiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:53231 errors:0 dropped:0 overruns:0 frame:0
TX packets:53231 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2641184 (2.5 MiB) TX bytes:2641184 (2.5 MiB)

svnet0 Link encap:UNSPEC HWaddr A0-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
UP POINTOPOINT RUNNING NOARP MTU:65541 Metric:1
RX packets:13377 errors:0 dropped:0 overruns:0 frame:0
TX packets:4951 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:265321 (259.1 KiB) TX bytes:82948 (81.0 KiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.178.201 P-t-P:192.168.178.201 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:0 (0.0 B) TX bytes:186 (186.0 B)

 

[Heimatkanal]

Bricht bei Android die IPSEC VPN Verbindung mit der FritzBox immer nach 3600s (Lifetime) ab? Egal ob man die Verbindung benutzt hat oder nicht? Zwischen Nokia und FritzBox gibt es so ein Problem, sieht man vor allem bei der SIP Anmeldung über Vpn. Man muß das Handy nach 1h resetten um wieder (nur für 1h) verbunden zu sein. Wir (Nokiasos8)) wissen nicht ob es an der FritzBox oder an den Nokias liegt, deswegen die Frage.

MfG

Heimatkanal

 

[GregorV]

Nein, bei mir bricht VPN Galaxy S -> 7390 nach 10-15 Min.(habe ich noch nicht genau gemessen) ab. Reset brauche ich dann nicht, muss nur VPN neu aufbauen.

 

[frank_m24]

Hallo,

@mschwa1: Ich kann gerade nicht wirklich einordnen, wo deine öffentliche IP herkommt. Ein Class C Subnetz in dem Bereich ?!? Das ist EXTREM merkwürdig. Mir scheint, da gibt es ein größeres Konfigurationsproblem.

Aufgrund dieser IP-Zuweisung gehe ich bei dir im Moment von einem Problem im Zugangsnetz aus. Das sieht mir fast so aus, als ob da jemand öffentliche IPs in einem privaten Netz verteilen lässt. :keule:

 

[mschwa1]

So... jetzt geht es.

Ich habe die Fritzbox Konfig nochmal angepaßt. Die Virtuelle IP mit der ich mich in der Fritzbox anmelde lag ausserhalb des DHCP Bereiches welchen die Fritzbox vergibt. IP-Bereich war 192.168.178.110-120 und die IP sollte die 192.168.178.201 sein.
Bei VPN über PC ist die IP kein Problem, da ich sie ja gleich mitgebe. (remote_virtualip = 192.168.178.201)


Ich habe das Script also angepaßt.

enabled = yes;
                conn_type = conntype_user;
                name = "Galaxy";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.[B]120;[/B]
                remoteid {
                        key_id = "Galaxy";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xxxxxxxxxxxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
				xauth {
				valid = yes;
				username = "user";
				passwd = "kennwort";
				}
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.[B]120[/B];
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
               	accesslist = 
                             "permit ip 0.0.0.0 0.0.0.0 192.168.178.[B]120[/B] 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";

 

[frank_m24]

Hallo,

Die Virtuelle IP mit der ich mich in der Fritzbox anmelde lag ausserhalb des DHCP Bereiches welchen die Fritzbox vergibt.

Das muss auch so sein! Die IP darf NICHT aus dem DHCP Bereich der Box kommen. Sonst kann es zu IP-Konflikten kommen, da der DHCP Server unabhängig vom VPN arbeitet. AVM legt die VPN IP ja auch auf die 201, während der DHCP Server normalerweise bis 200 vergibt. Also mache die Einstellung schnell wieder rückgängig, besonders bei dem kleinen DHCP Bereich den du eingestellt hast, ist das sehr gefährlich.

Ich denke, du hast durch die Änderungen noch irgendwas anderes ausgelöst, vielleicht Konfigurations-Kuddel-Muddel beseitigt. Aber an der IP kann es nicht liegen.

 

[mschwa1]

Ich habe den DHCP-Bereich jetzt von 110-119 begrenzt und das Script auf dem Handy bei 120 gelassen.
Fritzbox und Handy neugestartet... es geht immer noch.

Kann der DHCP Server vorher murks gemacht haben?? Es gibt ja sonst keinerlei Änderungen... der DHCP Bereich stand bei mir schon ewig so drin.

Handy und Fritzbox habe ich aber auch vorher schon mehrfach neu gestartet.

 

[frank_m24]

Hallo,

wie gesagt: Ich vermute eher ein Kuddel-Muddel, dass durch den erneuten Import der Konfig beseitigt wurde.

 

[p-d]

Eine Info zur Fritz!App per VPN vpn AVM:

Guten Tag Herr xxxxxx,


vielen Dank für die schnelle Antwort. In der Tat wird eine VPN-Zugriff auf
die FRITZ!App Fon nicht unterstützt. Ich möchte allerdings nicht
ausschließen, daß das diese Funktion in eine zukünftigen Version der
Applikation "eingebaut" wird. Einen konkreten Termin kann ich jedoch nicht
nennen. Auch muß ich Sie um Verständnis bitten, ihnen keine alten Versionen
zusenden zu können.


Freundliche Grüße aus Berlin

xxxxx xxxxxxxxxx (AVM Support)

[Edit frank_m24: Illegale Weitergabe von Software unterstützen wir hier nicht!]

 

[hopla]

Oh Mann ... da wird man ja als VPN-Neuling unter Android erschlagen ..

Deshalb auch nur eine kurze Frage: Ich habe seit 4 Tagen mein neues HTC Desire HD mit Android 2.2 Im vorinstallierten VPN werden folgende Modis angeboten:

PPTP-VPN, L2TP-VPN, L2TP/IPSec PSK-VPN oder L2TP/IPSec CRT-VPN

Welcher Modus ist der "Richtige" für eine Verbindung zur FritzBox 7390 mit aktueller Firmware??!! Muß ich weitere Software installieren oder funktioniert der eingebaute Client??

Fragen über Fragen ... hopla

 

[frank_m24]

Hallo,

mit dem vorinstallierten VPN Client kannst du (bislang) keine Verbindung zur Fritzbox aufbauen. Nur mit VPNC auf dem Gerät ist das möglich. Die Installation von VPNC erfordert allerdings tiefgreifende Modifikationen im Handy, also rooten, Kernelmodul kopieren, VPNC installieren, ...

Übrigens ist auch der umgekehrte Weg möglich: Die Fritzbox modifizieren. Ich habe durch Freetz mal einen PPTP Server auf meine Test-7270 gebracht, und dahin konnte ich dann eine VPN Verbindung mit dem integrierten Android VPN Client aufbauen.

Aber man kann es drehen und wenden wie man will: Eines von beiden Geräten muss man modifizieren, entweder Handy oder Box.

 

[pandora9991]

Aber man kann es drehen und wenden wie man will: Eines von beiden Geräten muss man modifizieren, entweder Handy oder Box.

Wobei Box mit Freetz die wohl einfachere Variante darstellt.