Fritz!Box 7170 mit VPN und NCP als Client

comfreak

Neuer User
Mitglied seit
21 Feb 2008
Beiträge
11
Punkte für Reaktionen
0
Punkte
0
Hallo,
Ich hab folgendes Problem:
Ich benutze dee FBF 7170 mit der aktuellen VPN Firmware (29.04.56-10575).
Laut AVM und auch einigen Usern in diesem Forum soll der NCP Client als VPN Client zur FBF hin funktionieren! (NCP version 9.03 Build 44)
Allerdings bricht er bei mir immer mit dem Fehler "Kontakt zur Gegenstelle verloren" ab (IKE Fehler (Phase1)).


Hier mein FBF Config File nach AVM Vorlage:

Code:
/*
 * C:\Users\hgoetze\AppData\Roaming\AVM\FRITZ!Fernzugang\fritzbox7170vpn_dyndns_org\fritzbox.cfg
 * Tue Sep 11 14:21:02 2007
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "ncp";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 10.55.1.1;
                remoteid {
                        user_fqdn = "ncp";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "123456789";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 10.55.1.0 255.255.255.0 10.55.1.50 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Meine FBF 7170 hat die IP 10.55.1.1 255.255.0.0 und der NCP Client soll in diesem Fall die 10.55.1.50 255.255.0.0 bekommen.
Des weiteren Benutze ich DynDNS (sollte aber in diesem Fall kein Hindernis sein, da er die IP richtig auflöst!

Was mache ich Falsch???

Schonmal besten Dank
 
Hi,

habe es gerade mit dem ShrewSoft VPN Client 2.0.3 unter Windows hingekriegt. Ist Freeware und damit eine echte Alternative. Und es gibt auch einen Linux-Client.

Schau mir hier rein.

Bezüglich NCP: Hast du diese Anleitung befolgt?

Beste Grüße,
Whoopie
 
Danke für den schnellen Eintrag!
Den werde ich gleich mal ausprobieren.
Auf NCP bin ich nur gekommen, da ich den auch in der Firma benutze und einrichte.

@ Whoopi: Könntest du mir bitte deine FB.CNF und evtl ein paar screenshots von dem CLient schicken?? (Natürlich Ohne deine Persönlichen Daten ;-) )

Danke
 
Die FB config hab ich mit dem AVM Tool erstellt.

Und anbei die Screenshots.

EDIT: Bei Ping-Problemen verweise ich auf diesen Post.

Beste Grüße,
Whoopie
 

Anhänge

  • shrew-vpn-2.0.3.zip
    166.6 KB · Aufrufe: 1,656
Zuletzt bearbeitet:
Na gut, hier die FB Config. ;)

Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.3.201;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "123456789";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.3.0 255.255.255.0 192.168.3.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
 
Ich hab das FB Config File angepasst und hochgeladen
und den Client nach deinen Screenshots (natürlich auch mit meinen Anpassungen) Konfiguriert.

Allerdings bekomme ich keinen Tunnel

Hier das Logfile:

config loaded for site "Dyndns"
configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
ipcomp proposal configured
client configured
local id configured
pre-shared key configured
bringing up tunnel ...
gateway not responding
tunnel disabled
detached from key daemon ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
ipcomp proposal configured
client configured
local id configured
pre-shared key configured
bringing up tunnel ...
gateway not responding
tunnel disabled
detached from key daemon ...


Solangsam komme ich mir von der Box echt veräppelt vor
Naja
Wäre super wenn einer mir Helfen könnte
 
Hallo,

einige grundsätzliche Tipps, die sich beim Erstellen von VPN Konfigs bewählt haben:
- Erstelle immer zunächst eine Konfiguration mit dem AVM Tool, die du dann anpasst. Niemals eine komplett von Hand erstellen
- Beachte präzise Einrückungen und Zeilenumbrüche

Beim NCP Client musste man noch mal in den Eigenschaften alle Einstellungen überprüfen. Wenn ich mich recht erinnere, musste man da noch das Zielsubnetz korrekt einstellen, sonst kommt keine Verbindung zustande.

Über welche Internetverbindung geht der Client denn ins Internet? Hast du schon mal mit dem original AVM Client eine Verbindung erfolgreich aufgebaut?
 
[Edit frank_m24: Mehrere Beiträge innerhalb weniger Minuten zusammengefasst. Man kann seine Beiträge auch editieren. Lies noch mal die Forumregeln.]
Mit dem AVM Tool bekomme ich eine Verbimdung.
Ich gehe per ADSL raus.
die NCP Testverbindung klappt nur meine verb. nicht :(
Ich stelle hinterher hier mal ein paar screenshots von dem ncp Client ein.
Ist die FB Config denn so richtig oder hab ich da noch einen Fehler mit den IP Adressen gemacht??
Ich habe jetzt nämlich das Configfile von der AVM Page für NCP Clients hochgeladen (siehe oben) daher sollte die Formatierung ok sein

[Edit frank_m24: Beitrag 2:]
Hier die Screenshots von NCP

Bitte das Archiv vor dem Öffnen in *.rar umbenennen
 

Anhänge

  • NCP screenshots.zip
    526.5 KB · Aufrufe: 230
Hallo,

im Fenster "VPN-IP Netze" (SNAG-0007.jpg) muss das Subnetz der Fritz rein. Gemäß deiner Konfig oben wäre das 10.55.1.0 255.255.255.0.
 
Danke für den Tipp.

Habe es mal gemacht. Aber es kommt immer noch der Fehler.
Hier das Logfile:

29.03.2008 14:10:07 IPSDIALCHAN::start building connection
29.03.2008 14:10:07 IPSDIAL: -DNSREQ: resolving dnserver over lan: Dyndyns
29.03.2008 14:10:08 IPSDIAL->DNSREQ: resolved ipadr: xx.xx.xx.xx
29.03.2008 14:10:08 NCPIKE-phase1:name(p.....) - outgoing connect request - aggressive mode.
29.03.2008 14:10:08 XMIT_MSG1_AGGRESSIVE - p.....
29.03.2008 14:10:37 NCPIKE-phase1:name(p....) - error - retry timeout - max retries
29.03.2008 14:10:37 IPSDIAL - disconnected from p.... on channel 1.

Hat irgendeiner evtl das auch schon mit dem NCP Client gemacht??
und hat evtl noch die Config files??

Danke
 
Hallo,

tut mir leid, dafür habe ich keine Erklärung. Es sieht so aus, als ob bereits der initiale Verbindungsaufbau scheitert. Es scheint auch kein Authentifizierungsproblem zu sein, da ein Timeout gemeldet wird.
 
So geht's auch mit dem NCP Secure Entry Client

Hallo @all!

Ich habe auch das Problem mit der VPN Verbindung des NCP Clients und der Fritz Box gehabt.

Lange habe ich gesucht und entdeckt, das man zusätzlich zu der bei AVM angegebenen Lösung noch folgendes am NCP Client eintragen muss.

In den Profil-Einstellungen des NCP Client unter VPN IP-Netze fügt ihr einfach das Netz Eures Routers hinzu, bzw. das Netz, welches in der fritzbox.cfg unter dem Parameter accesslist angegeben ist.
Zb. hier der default Eintrag in der fritzbox.cfg
Code:
accesslist = "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255";

Dieses Netz muss nun auch in dem NCP Client als Netz eingetragen werden, welches über den Tunnel geroutet werden soll.

Also: 192.168.178.0 255.255.255.0

Und warum ist das so?
In der IKEPhase2 des AVM Routers wird dieser Parameter des Clients als Identifikations ID verwendet. Daher erhalten auch manche von Euch die Fehlermeldung "invalid_id_information" auch wenn ID und Passwort richtig gesetzt sind.
Beobachtet habe ich auch, das diese Fehlermeldung nicht immer kommt.
Bei Verbindung über WLAN wird wie im 1 Post dieses Threads die Verbindung einfach mit dem Hinweis "ike-fehler (phase 1)" beendet.
Bei LAN Connect erhalte ich im Log die Meldung "invalid_id_information".
Wie auch immer. Kann auch sein das das auch nur bei mir so ist.

Wichtig ist auch folgendes!!!
Installiert immer nur EINEN VPN Client.
Ich hatte zb. neben dem NCP Client noch den AVM Client installiert und bekam dann mit dem NCP Client zwar eine Verbindung konnte aber keine IP Adressen im Netz erreichen oder anpingen.
Nach deinstallation des AVM Client funktionierte aber dann auch dieses.

Hoffe Euch geholfen zu haben!

Gruß
viper6666
 
Hallo,

ich habe VPN mit einem D-Link Client am laufen (ist auch von NCP), sogar mit Xauth.
Das ist die Konfig der BOX.
Die Einrichtung des Client ist Klick/Klick....
Ich habe einen Vermutung, es ist die Länge des vom AVM erzeugten KEY, mit diesen habe ich auch
erst Probleme gehabt.


Code:
/*
 * C:\Users\hgoetze\AppData\Roaming\AVM\FRITZ!Fernzugang\fritzbox7170vpn_dyndns_org\fritzbox.cfg
 * Tue Sep 11 14:21:02 2007
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "NAME";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.2.201;
                remoteid {
                        user_fqdn = "USER";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "KEY";
                cert_do_server_auth = no;
                use_nat_t = yes;
		use_xauth = yes;
			xauth {
				valid=yes;
				username="USERNAME";
				passwd="PASSWD";
			       }
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.2.0 255.255.255.0 192.168.2.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
Gruß
JUF
 
Hallo,
@ viper6666
Danke für deinen Post.
Ich bin leider immer noch nicht weiter mit der Verbindung
Die Netze hab ich schon mehrmals eingetragen aber nix tut sich.
Könntest du mir evtl bitte die Config Files und ggf. ein paar screenshots machen.

Danke Comfreak
 
Windows-Freigaben nicht zu sehen

Danke für die hilfreichen Threads im Forum. Bei mir hat es auch sofort fumktioniert. Mit einer Ausnahme: in der Netzwerkumgebung sehe ich die Windows-Freigaben nicht.

In fritbox.cfg ist dont_filter_netbios = yes und auf dem Client NetBios über TCP/IP aktiviert.

Irgeneine Idee?
 
Dann bedeutet das wohl auch, dass Wake On Lan über VPN nicht gehen wird?

Hmm, wie schalte ich dann meinen Apple über VPN ein? :confused:

(WOL => Magick Packet)
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.