Fritz!Box 7170 mit VPN und NCP als Client

[frank_m24]

Hallo,

in dem du dich per VPN in ein entferntes Gerät einklinkst und das WOL Paket von da aus losschickst.

 

[andreashe]

Schon schon, nur ist da ja auch ein Broadcast meines Wissens. Protokoll weiss ich nicht. Ob das durchgeht?

Naja ich werds sehen, im Moment kämpfe ich noch mit dem VPN. Ich kann es über UMTS nicht nutzen, verbinden schon, aber dann geht nichts. (Linux)

 

[frank_m24]

Hallo,

ich bin mir nicht sicher, ob du mich verstanden hast.

Schon schon, nur ist da ja auch ein Broadcast meines Wissens.

Was meinst du hier? Das WOL Paket? Natürlich, das ist ein Broadcast.

Wenn du dich per VPN in ein Gerät auf der Seite des VPN Servers einloggst und von da das WOL Paket losschickst, dann ist das Ziel für dieses Paket ja im LAN des VPN Servers. Da kommt ein Broadcast schließlich durch, er muss ja nicht durchs VPN.

Naja ich werds sehen, im Moment kämpfe ich noch mit dem VPN. Ich kann es über UMTS nicht nutzen, verbinden schon, aber dann geht nichts. (Linux)

Das liegt wahrscheinlich an UMTS. Viele Provider sperren VPN, und man braucht ein kostenpflichtiges Update, um es nutzen zu können.

 

[andreashe]

Wenn du dich per VPN in ein Gerät auf der Seite des VPN Servers einloggst und von da das WOL Paket losschickst, dann ist das Ziel für dieses Paket ja im LAN des VPN Servers. Da kommt ein Broadcast schließlich durch, er muss ja nicht durchs VPN.

Theoretisch ja, es kommt aber auf das Protokoll an, und ob dies von VPN "getragen" wird. So glaube ich, dass zb DHCP Pakete nicht über VPN arbeiten.

Das liegt wahrscheinlich an UMTS. Viele Provider sperren VPN, und man braucht ein kostenpflichtiges Update, um es nutzen zu können.

Hmm, ne, weil andere Verbindungen schon gehen. Von NCP meinte der Support, ich solle gucken, ob man in der Fritzbox ein "NAT-T" aktivieren sollte. Kennt Ihr eine solche Einstellung? Geht das in der VPN config? (Habe auch die von AVM als Grundlage genommen)

 

[frank_m24]

Hallo,

Theoretisch ja, es kommt aber auf das Protokoll an, und ob dies von VPN "getragen" wird. So glaube ich, dass zb DHCP Pakete nicht über VPN arbeiten.

Die WOL-Pakete müssen nicht übers VPN. Und DHCP nutzt man nicht übers VPN, da gibts andere Mechanismen, IPs zu verteilen.
Es muss nur noch das Protokoll für den Zugriff auf das entfernte Gerät übers VPN. Und da kann man je nach Ziel HTTP, SSH, telnet oder was auch immer nutzen.

Von NCP meinte der Support, ich solle gucken, ob man in der Fritzbox ein "NAT-T" aktivieren sollte. Kennt Ihr eine solche Einstellung? Geht das in der VPN config?

Klar. Die Einstellung heißt verblüffender Weise "use_nat_t".

 

[andreashe]

Ja stimmt, jetzt gehts.

Dumm, dass avm das nicht gleich entsprechend in ihrer config eingestellt hatte

 

[devcon]

Ich bin alle eure Ratschläge wegen NCP und Shrew durchgegangen. Bei Shrew habe ich immer gateway not found und bei NCP kommt das

13.11.2008 12:24:33 Ike - phase1:name(FritzBox!) - outgoing connect request - aggressive mode.
13.11.2008 12:24:33 Ike - XMIT_MSG1_AGGRESSIVE - FritzBox!
13.11.2008 12:25:03 ERROR - 4021:IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2> - FritzBox!.
13.11.2008 12:25:03 Ike - phase1:name(FritzBox!) - error - retry timeout - max retries
13.11.2008 12:25:03 Ipsec - Disconnected from FritzBox! on channel 1.

Ich habe es nach Konfig und Anleitung von AVM und hier gemacht, ich habe es auch mit XAUTH probiert und NAT-T aktiviert. Hat alles nicht geholfen. Hat hier jemand eine funktionierende Konfig? Oder liegt es daran das ich einen gefritzen SPeedport W920V habe(Firmware der 7270, Firmware-Version 54.04.58)

 

[frank_m24]

Hallo,

@devcon: Das sieht mir weniger nach einem Konfigurationsfehler als nach einem Problem mit dem Internetzugang aus. Oder du hast dich wirklich grundlegend verkonfiguriert, also schon eine falsche VPN Server Adresse angegeben. Oder der VPN Server ist gar nicht aktiv.

Der Fehler ist jedenfalls, dass der VPN Server gar nicht kontaktiert werden kann. Ein Verbindungshandshake wird nicht mal versucht.

 

[devcon]

Der entsprechende Server ist online bzw. pingbar, ich dachte erst ich müsste noch Ports freigeben aber die Regel wird ja durch die FritzBox eingeschoben, ich weiß derzeit nicht weiter, da der entsprechende Server/Box von außen erreichbar ist(Fernwartung, bzw. über ein Windows VPN)

 

[frank_m24]

Hallo,

Der entsprechende Server ist online bzw. pingbar

Pingbar bedeutet aus VPN Sicht gar nichts. Sitzt der Client hinter einem Router, der VPN Passthrough einwandfrei anbietet?
Und ist VPN im Server wirklich aktiv? Auch darüber sagt ein Ping nichts aus.

da der entsprechende Server/Box von außen erreichbar ist(Fernwartung, bzw. über ein Windows VPN)

Wie erreichst du eine Fritzbox denn über ein Windows VPN?

 

[devcon]

Die FritzBox 7270 (bzw. der gefritzte Speedport W920V) ist der "VPN Server". Zu dem will ich ja verbinden, nur der Antwortet ja nicht bzw. die DNS Auflösung auf die IP ist im VPN Client o.k dann kommt der Timeout

 

[frank_m24]

Hallo,

Die FritzBox 7270 (bzw. der gefritzte Speedport W920V) ist der "VPN Server".

Er soll es zumindest mal werden. Ist er denn wirklich schon funktionstüchtig online? Hast du das mit einem anderen Client verifiziert?

Zu dem will ich ja verbinden, nur der Antwortet ja nicht bzw. die DNS Auflösung auf die IP ist im VPN Client o.k dann kommt der Timeout

Genau. Und dafür gibt es - außer einem VPN-Serverproblem - knapp 1 Millionen Gründe im Internetzugang des Clients, angefangen von Bandbreitenproblemen über VPN Passthrough bis hin zu Providersperren.

Deshalb bleiben all meine Fragen aus dem letzten Post unverändert bestehen, da du noch keine einzige davon beantwortet hast.

 

[devcon]

Ich habe ein Windows Notebook was ich über einen normalen DSL Anschluss(über Router) betreibe, von da will ich eine VPN Verbindung(mit NCP oder Shrew) zu meiner FritzBox zuhause aufbauen(Konfig ist drin).

Das selbe hat bis dato immer geklappt aber mit einem Netgear Router wo ich auf dem Notebook einen VPN Client von Netgear(Safenet) hatte.

Unterschiede sind nun das ich zuhause nicht mehr ADSL2+ 16M sondern nun VDSL 25 habe, und klar der Router ist nun eine FritzBox!

Das mit der FritzBox und Windows VPN war unglücklich ausgedrückt, ich meinte das ich über die FritzBox Verbindung zu einer Windows Maschine hatte(Windows VPN ==> eingehende Verbindung)

Ach ja zuerst habe ich natürlich den AVM Fernzugang probiert, damit ging es auch nicht

 

[frank_m24]

Hallo,

Verstehe ich das richtig? Du hattest einen Netgear VPN Server, den du nun durch eine Fritzbox als VPN Server ersetzt hast? Und die Box hat noch nie erfolgreich als VPN Server gearbeitet? Von daher weiß man noch nicht, ob der Server überhaupt arbeitet.

Und dann ist es immer problematisch, wenn mehrere VPN Clients auf einem Rechner installiert sind. Kann es sein, dass es noch Rückstände der Netgear Software oder vom Fritzferbzugang auf dem VPN Client gibt?

 

[devcon]

Bei der Fritzbox hatte ich noch keine erfolgreiche Verbindung! Bei dem Netgear Router schon. Ich werde dann mal wohl eine virtuelle Maschine oder ein frisches XP auf dem Notebook installieren, vielleicht liegt es ja daran

 

[Arctic1986]

Ich hatte den ShrewSoft VPN Client versucht. Mein WinXP hat mir das mit einem Bluescreen gedankt... erst nach eine systemwiederherstellung läuft der rechner wieder. Der Bluescreen trat bei der Installation des Midiport Filters auf. "DRIVER_IRQL_NOT_LESS_OR_EQUAL" war der Fehler.
Der AVM-Client scheitert bei mir immer bei der registrierung des Dienstes. die dienste lassen sich auch nicht beenden, bzw. bleiben im zustand "wird beendet" hängen. dann hilft nur noch strg-alt-entf und die prozesse töten. dann starten die dienste wieder aber der vpn client funktioniert dann immer noch nicht...

jemand ne idee?
ist es denn nicht möglich mit den windows bordmitteln eine vpn verbindung aufzubauen? also rechner-fbf?

 

[BladeZ]

Wichtig ist auch folgendes!!!
Installiert immer nur EINEN VPN Client.
Ich hatte zb. neben dem NCP Client noch den AVM Client installiert und bekam dann mit dem NCP Client zwar eine Verbindung konnte aber keine IP Adressen im Netz erreichen oder anpingen.
Nach deinstallation des AVM Client funktionierte aber dann auch dieses.

Danke, das wars.

Habe mir schon das ganze Wochenende den Kopf zerbrochen, warum es mit dem Ferzugang klappt und mit NCP nicht....

Dieser Post war die Lösung!

 

[yamas]

Hallo
vieleicht kann mir einer von euch helfen.
Das log schaut so aus:

04.06.12 16:00:22 Ike: Turning on NATD mode - [email protected] - 3
04.06.12 16:00:22 IPSec: Final Tunnel EndPoint is:095.113.147.158
04.06.12 16:00:22 Ike: XMIT_MSG3_AGGRESSIVE - [email protected]
04.06.12 16:00:22 Ike: IkeSa negotiated with the following properties -
04.06.12 16:00:22 Authentication=PRE_SHARED_KEY,Encryption=AES,Hash=SHA,DHGroup=2,KeyLen=256
04.06.12 16:00:22 Ike: Turning on DPD mode - [email protected]
04.06.12 16:00:22 Ike: phase1:name([email protected]) - connected
04.06.12 16:00:22 SUCCESS: IKE phase 1 ready
04.06.12 16:00:22 IPSec: Phase1 is Ready,AdapterIndex=0,IkeIndex=32,LocTepIpAdr=0.0.0.0,AltRekey=1
04.06.12 16:00:22 IPSec: Quick Mode is Ready: IkeIndex = 00000020 , VpnSrcPort = 10954
04.06.12 16:00:22 IPSec: Assigned IP Address: 192.168.178.201
04.06.12 16:00:23 IkeQuick: XMIT_MSG1_QUICK - [email protected]
04.06.12 16:00:23 Ike: NOTIFY : [email protected] : RECEIVED : INVALID_ID_INFORMATION : 18
04.06.12 16:00:28 Ike: NOTIFY : [email protected] : RECEIVED : INVALID_ID_INFORMATION : 18
04.06.12 16:00:34 Ike: NOTIFY : [email protected] : RECEIVED : INVALID_ID_INFORMATION : 18
04.06.12 16:00:40 Ike: NOTIFY : [email protected] : RECEIVED : INVALID_ID_INFORMATION : 18
04.06.12 16:00:41 IkeQuick: phase2:name([email protected]) - error - cleared by phase1
04.06.12 16:00:41 ERROR - 4037: IKE(phase2):Waiting for message2, cleared by phase1 - [email protected].
04.06.12 16:00:41 IPSec: Disconnected from [email protected] on channel 1.

Kann damit jemand etwas anfangen??

Vielen Dank
Mirko

 

[derAuge]

IPsec VPN Client (Preview) für Android

Monitor GUI

Weltweit erster universeller VPN Client für Android-basierte Smartphones und Tablets

NCP bietet mit dem Secure Android Client einen VPN Client der für mobile Endgeräte mit dem Betriebssystem Android 4.0 „Ice Cream Sandwich“ optimiert ist. Die Software ermöglicht den komfortablen, hochsicheren Fernzugriff auf das Firmennetz und ist kompatibel mit IPsec Gateways unterschiedlichster Hersteller wie Cisco (ASA/PIX), Juniper, LANCOM, Teldat (ehem. Funkwerk/Bintec), SonicWALL, Microsoft Server 2008 R2, AVM u.v.a.

Unterstützt werden alle kommunikations- und sicherheitstechnischen Standards.

Die Leistungsmerkmale:

Client-App
IKEv1 (Main Mode, Aggressive Mode), IKEv2 Unterstützung
Lokale IP Adresszuweisung oder über IKE Config. Mode
XAUTH
Split / Full Tunneling Netzwerkzugriff
Pre-shared Key oder PKCS#12 Zertfikatsunterstützung


Habe diese Bericht hier mal als Info angehängt

Gruß

derAuge