[HowTo] Fritz!Box-Fernzugang und ShrewSoft VPN Client - Schritt für Schritt

Weiss jemand ob es irgendeine Möglichkeit gibt, optisch deutlich darzustellen, das man eine VPN Verbindung verwendet?

Gibt es hierzu schon neue Erkenntnisse, da dieses mich auch brennend interessiert?
 
Zitat von der Github Seite:
Derzeit steht noch kein kompiliertes Programm zum download bereit.
Das Projekt muss demzufolge herunter geladen, mit Microsoft Visual Studio 2015 geöffnet und kompiliert werden.

?
 
Okay, ich hab mal was kompiliertes hoch geladen.

Ansonsten gibts ja nen Bild von dem Programm und ne Beschreibung was es tut.
 
Moin,

Der Fehler ist mir unbekannt, aber ich werde ihn die Tage mal genauer untersuchen.

Ansonsten ist das ganze opensource und es steckt nirgends ein Geheimnis drin.


Guten Rutsch
 
Wie meinst du das? Ein Muster wird vorgegeben, das steckt mit in dem Programm. Alternativ kann man eigene Konfigurationen als Muster nutzen. Z.B. um Einstellungen bzgl. Domain etc. schnell zu vervielfältigen.

Batch Modus? sprich dich aus, ich bin für Anregungen offen, aber stehe auf dem Schlauch was du genau damit meinst.
 
Cool, das kann ich einbauen. Komme aber erst die Tage dazu.

Frage, wie kommst du an Daten? Du musst die ja erstmal aus der FritzBox auslesen bzw. kompliziert raus kopieren. Oder nutzt du das avm Tool aus alten Zeiten?
 
Ja, das ist wohl der große Nachteil der alten avm Lösung.

Jo, das mit dem weiß auf weiß ist wohl security by obscurity.

Aber du musst ja pro Benutzer den key raus kopieren. Da gibt's keine schnellere Lösung!?
 
Danke Dir ;) OT und btw. Interessant welche Queries da drinstecken? Ich habe mich damit noch nie beschäftigt ;)

Code:
LuaLibQUERIES = {
}
CONFIG = {
  ["BETA_RELEASE"] = 0, [COLOR=#0000ff]... Ein Indiz? Dass die verwandte 06.80 Release?[/COLOR]
  ["DOCSIS"] = false, 
  ["DOCSIS_MODEM"] = false, 
  ["GUI_6360_WLAN_INCOMPLETE"] = false, 
  ["GUI_C13_LTEDSL"] = false, 
  ["GUI_DNS_SERVER"] = true, 
  ["GUI_DSL_PERFORMANCE"] = true, 
  ["GUI_FBOX_DECT_REPEATER_SUPPORT"] = false, 
  ["GUI_FORCE_FIRMWARE_UPDATE"] = false, 
  ["GUI_IS_POWERLINE"] = false, 
  ["GUI_IS_REPEATER"] = false, 
  ["GUI_LAN_GUEST"] = true, 
  ["GUI_LISP"] = true, 
  ["GUI_NEW_FAX"] = true, 
  ["GUI_REMOTE_TMP"] = false, 
  ["GUI_SIP_READ_ONLY"] = true, 
  ["GUI_USE_FRITZ_APP_FON"] = false, 
  ["GUI_WLAN_WPS_CLIENT"] = false, 
  ["MYFRITZ"] = true, 
  ["PRODUKT_NAME"] = "FRITZ!Box 7490", 
  ["RELEASE"] = 1, 
  ["WLAN"] = {
  }, 
  ["box_title"] = "FRITZ!Box 7490", 
  ["country"] = "049", 
  ["gu_type"] = "release", 
  ["isDebug"] = false, 
  ["is_6360"] = false, 
  ["is_cable"] = false, 
  ["is_cable_retail"] = false, 
  ["isp_mac_needed"] = false, 
  ["language"] = "de", 
  ["language_is_de"] = true, 
  ["need_reboot"] = false, 
  ["no_ir_pc_rss_samples"] = false, 
  ["no_number_area"] = false, 
  ["oem"] = "avm", 
  ["sip_packetsize"] = false,  ....[COLOR=#0000ff]? gibt es auch true[/COLOR]
  ["sip_provider_international"] = false, 
  ["timezone"] = false, 
  ["use_nat"] = false

LG
 
Da ich einen anderen dyndns nutze statt myfritz und andere Rechte habe ... der Vollständigkeit halber

Code:
QUERIES = {
  ["box:settings/hostname"] = "Vergebener FritzBox-Name", 
  ["box:settings/opmode"] = "opmode_pppoe", [COLOR=#0000ff]...DAU-Frage, wäre da auch was Richtung Ip-Client-Mode möglich?[/COLOR]
  ["boxusers:settings/compatibility_mode"] = "0", 
  ["boxusers:settings/last_homenetwork_username"] = "Ich als User", 
  ["boxusers:settings/skip_auth_from_homenetwork"] = "0", 
  ["boxusers:settings/user[boxuser10]/name"] = "Ich als User", 
  ["boxusers:settings/user[boxuser10]/vpn_psk"] = "Uncrypted Key den ich gerne länger wähle!", 
  ["ddns:settings/account0/activated"] = "1", 
  ["ddns:settings/account0/domain"] = "mein dyndns", 
  ["jasonii:settings/enabled"] = "1", 
  ["jasonii:settings/myfritzstate"] = "0", 
  ["rights:status/BoxAdmin"] = "2", 
  ["rights:status/boxuser_UID"] = "boxuser10", 
  ["rights:status/userid"] = "10", 
  ["rights:status/username"] = "Ich als User", 
  ["security:status/is_authenticated"] = "1"

LG
 
Ich bräuchte mal einen Kontrollblick auf meine Configs -Shrew-Soft-Client 2.2.2 zu einer älteren FB7240 mit Freetz-Alien (AnnexA) Firmware-Version: 73.05.53-freetz-devel-11807 wobei mir Freetz-Alien-Varianten bzgl. Annex-A und 06.60-DE-Annex-B u.U. durch die "Lappen" gingen?

In der entfernten FB folgende "akzeptierte und aufgespielte" Config mit eigener Standard-IP 192.168.178.1
Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "Accountname auf der FB";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "Account-Name auf der Ziel-FB";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "clear-text-Key ~60Zeichen";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255", 
                             "permit ip any 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Da imho AVM-Wissensdaten-Banken nebst #1 nur noch FB`s mit neurer FW abhandeln, habe ich redlich versucht ältere Konfigs zu bemühen um mein Problem zu lösen? Leider vergeblich trotz ausgiebiger Tests und Variationen in Shrewsoft?

Deshalb aus Clientsicht die Shrewconfig .. btw. hinter einer CGN/Mobilfunk-IP ... Die Ziel-FB hat eine öffentliche IPv4 bei A1. Hier die Shrew-Config ... wobei sofort in der ersten Zeile REV 2 (erkannt aus älteren+funktionierenden Fundstellen) versus 4 mir auffällt?

Code:
n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-dns-used:0
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:1
n:client-splitdns-auto:1
n:client-wins-used:0
n:client-wins-auto:1
n:phase1-dhgroup:2
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
n:phase1-keylen:256
n:phase2-keylen:256
s:network-host:"dyndns"
s:client-auto-mode:pull
s:client-iface:virtual
s:client-ip-addr:192.168.178.201
s:client-ip-mask:255.255.255.0
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:fqdn
s:ident-server-type:address
s:ident-client-data:dyndns-account auf Port ungleich Standard
b:auth-mutual-psk:angezeigt anders als in der FB-config?
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:esp-aes
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
n:phase2-pfsgroup:2
s:policy-level:shared
s:policy-list-include:192.168.178.0 / 255.255.255.0

Falls ein geübtes Auge meinen Fehler erkennt ... viele Augen sehen imho mehr als zwei "müde+geplagte" bedanke ich mich recht herzlich.
LG

Nachtrag+Edith: Ich benötige nur Zugriff auf die FB und seine Clients und nicht auf "alles durch den Tunnel"
 
Zuletzt bearbeitet:
Danke für Deine Mühe. Auf der älteren FB kann ich keine Config im GUI erstellen mit mutual-psk-xauth. Der Export und angepasst (aus einer anderen neueren FB als Vorlage entnommen) lässt sich nicht importieren. Ergo habe ich mir ein funktionierendes Config-Pärchen (unter W7 mit Fritz!Fernzugang-Prog erstellt) vorgenommen und versucht die Client-Config in Shrewsoft zu realisieren, was mir nicht gelingt. Älteren Beiträgen zufolge, sollte dies eigentlich möglich sein.
LG
 
Danke für die Hinweise. Den Unterschied mit und ohne LT8H hatte ich auch schon bemerkt. Nur mag die entfernte "alte FB" keine config importieren mit LT8H in den phaseXss= Dies habe nochmals in unterschiedlichen Variationen probiert.

Aktuell habe ich keine W7-Installation z.Hd. um mit Fritzfernzugang_Einrichten mir ein frisches Configpärchen zu generieren und auf Client-Seite mit Shrew-Soft durchzudeklinieren.

LG+TX
 
Den Output von "FRITZ!Fernzugang einrichten" sollst du ja auch genau so nehmen zum Import. (Das mit LT8H gibt es nur intern beim WebIF-VPN mit den neueren FW-Versionen und ist für ShrewSoft ohne Belang)

Die cipher-Parameter etc. sollte man auch nicht mehr festlegen, sondern auf auto setzen.


s:phase1-cipher:aess:phase1-cipher:auto
s:phase1-hash:sha1
s:phase1-hash:auto
s:phase2-hmac:sha1s:phase2-hmac:auto
s:phase2-transform:esp-aess:phase2-transform:auto

  • client-splitdns-used - War das nicht nur bei der Bezahlversion?
  • phase1-life-secs:86400 - sollte 24h halten (nicht getestet), kann auch 3600 bleiben
  • xauth - nach Gusto, sollte aber wg. der Kompatibilität mit neuer FW
  • ipcomp-transform:disabled - bei mir immer ohne Kompression, geht ja meist keine "umbaute Luft" übers VPN, sondern Bilder, Filme, Archive, Office ...,
    war ohne Wirkung bei meinem Kompressions-Test von 2014: http://www.ip-phone-forum.de/showthread.php?t=272954&p=2034664&viewfull=1#post2034664
  • phase1-keylen:256 und phase2-keylen:256 - sind noch in meiner alten Anleitung gewesen, tun aber wohl nicht mehr not.
  • s:client-ip-addr und mask - dito
 
Ich Danke Dir. Ich bekomme es leider nicht hin und gebe es erstmal auf. Wenn ich wieder eine W7-Maschine in den Fingern habe, werde ich mir nochmals mit Fritzfernzugang_Einrichten ein Config-Pärchen erstellen und testen und dann mich nochmals an shrew unter W10 versuchen. Wie gesagt habe ich auf einer neueren FB das recht zügig ans Laufen gebracht und die alte FB treibt mich noch in Wahnsinn :blonk:

LG+Tx

- - - Aktualisiert - - -

Da es mich doch ziemlich wurmt, habe ich mir die Logs einer funktionierenden Config zu einer FB7490 mit mutual-psk-xauth und der nicht funktionierenden älteren FB7240 angeschaut. Irgendetwas stimmt an den policies nicht vgl. #118

ipsec.log

Code:
17/02/13 09:59:44 ## : IPSEC Daemon, ver 2.2.2
17/02/13 09:59:44 ## : Copyright 2013 Shrew Soft Inc.
17/02/13 09:59:44 ## : This product linked OpenSSL 1.0.1c 10 May 2012
17/02/13 09:59:44 ## : This product linked zlib v1.2.3
17/02/13 09:59:44 ii : opened 'dump-ipsec-pub.cap'
17/02/13 09:59:44 ii : opened 'dump-ipsec-prv.cap'
17/02/13 09:59:44 ii : network send process thread begin ...
17/02/13 09:59:44 ii : vflt send device attached
17/02/13 09:59:44 ii : network recv process thread begin ...
17/02/13 09:59:44 ii : vflt recv device attached
17/02/13 09:59:44 ii : pfkey server process thread begin ...
17/02/13 09:59:44 ii : pfkey client process thread begin ...
17/02/13 09:59:44 K< : message REGISTER AH received
17/02/13 09:59:44 K< : message REGISTER ESP received
17/02/13 09:59:44 K< : message REGISTER IPCOMP received
17/02/13 09:59:44 K< : recv X_SPDDUMP UNSPEC message

iked.log

Code:
17/02/13 09:59:44 ## : IKE Daemon, ver 2.2.2
17/02/13 09:59:44 ## : Copyright 2013 Shrew Soft Inc.
17/02/13 09:59:44 ## : This product linked OpenSSL 1.0.1c 10 May 2012
17/02/13 09:59:44 ii : opened 'C:\Program Files\ShrewSoft\VPN Client\debug\iked.log'
17/02/13 09:59:44 ii : opened 'C:\Program Files\ShrewSoft\VPN Client/debug/dump-ike-decrypt.cap'
17/02/13 09:59:44 ii : opened 'C:\Program Files\ShrewSoft\VPN Client/debug/dump-ike-encrypt.cap'
17/02/13 09:59:44 ii : rebuilding vnet device list ...
17/02/13 09:59:44 ii : device ROOT\VNET\0000 disabled
17/02/13 09:59:44 ii : ipc server process thread begin ...
17/02/13 09:59:44 ii : network process thread begin ...
17/02/13 09:59:44 ii : pfkey process thread begin ...
17/02/13 10:07:15 ii : ipc client process thread begin ...
17/02/13 10:07:15 <A : peer config add message
17/02/13 10:07:15 <A : proposal config message
17/02/13 10:07:15 <A : proposal config message
17/02/13 10:07:15 <A : proposal config message
17/02/13 10:07:15 <A : client config message
17/02/13 10:07:15 <A : local id 'dyndns' message
17/02/13 10:07:15 <A : preshared key message
17/02/13 10:07:15 <A : remote resource message
17/02/13 10:07:15 <A : peer tunnel enable message
17/02/13 10:07:15 DB : peer added ( obj count = 1 )
17/02/13 10:07:15 ii : local address 192.168.170.20 selected for peer
17/02/13 10:07:15 DB : tunnel added ( obj count = 1 )
17/02/13 10:07:15 DB : new phase1 ( ISAKMP initiator )
17/02/13 10:07:15 DB : exchange type is aggressive
17/02/13 10:07:15 DB : 192.168.170.20:500 <-> 194.166.58.50:500
17/02/13 10:07:15 DB : 1xxxxxxxxxxx5:0000000000000000
17/02/13 10:07:15 DB : phase1 added ( obj count = 1 )
17/02/13 10:07:15 >> : security association payload
17/02/13 10:07:15 >> : - proposal #1 payload 
17/02/13 10:07:15 >> : -- transform #1 payload 
17/02/13 10:07:15 >> : key exchange payload
17/02/13 10:07:15 >> : nonce payload
17/02/13 10:07:15 >> : identification payload
17/02/13 10:07:15 >> : vendor id payload
17/02/13 10:07:15 ii : local supports nat-t ( draft v00 )
17/02/13 10:07:15 >> : vendor id payload
17/02/13 10:07:15 ii : local supports nat-t ( draft v01 )
17/02/13 10:07:15 >> : vendor id payload
17/02/13 10:07:15 ii : local supports nat-t ( draft v02 )
17/02/13 10:07:15 >> : vendor id payload
17/02/13 10:07:15 ii : local supports nat-t ( draft v03 )
17/02/13 10:07:15 >> : vendor id payload
17/02/13 10:07:15 ii : local supports nat-t ( rfc )
17/02/13 10:07:15 >> : vendor id payload
17/02/13 10:07:15 ii : local supports FRAGMENTATION
17/02/13 10:07:15 >> : vendor id payload
17/02/13 10:07:15 >> : vendor id payload
17/02/13 10:07:15 ii : local supports DPDv1
17/02/13 10:07:15 >> : vendor id payload
17/02/13 10:07:15 ii : local is SHREW SOFT compatible
17/02/13 10:07:15 >> : vendor id payload
17/02/13 10:07:15 ii : local is NETSCREEN compatible
17/02/13 10:07:15 >> : vendor id payload
17/02/13 10:07:15 ii : local is SIDEWINDER compatible
17/02/13 10:07:15 >> : vendor id payload
17/02/13 10:07:15 ii : local is CISCO UNITY compatible
17/02/13 10:07:15 >= : cookies 1xxxxxxxxxxx:0000000000000000
17/02/13 10:07:15 >= : message 00000000
17/02/13 10:07:15 -> : send IKE packet 192.168.170.20:500 -> 194.166.58.50:500 ( 548 bytes )
17/02/13 10:07:15 DB : phase1 resend event scheduled ( ref count = 2 )
17/02/13 10:07:20 -> : resend 1 phase1 packet(s) [0/2] 192.168.170.20:500 -> 194.166.58.50:500
17/02/13 10:07:25 -> : resend 1 phase1 packet(s) [1/2] 192.168.170.20:500 -> 194.166.58.50:500
17/02/13 10:07:30 -> : resend 1 phase1 packet(s) [2/2] 192.168.170.20:500 -> 194.166.58.50:500
17/02/13 10:07:35 ii : resend limit exceeded for phase1 exchange
17/02/13 10:07:35 ii : phase1 removal before expire time
17/02/13 10:07:35 DB : phase1 deleted ( obj count = 0 )
17/02/13 10:07:35 DB : policy not found
17/02/13 10:07:35 DB : policy not found
17/02/13 10:07:35 DB : policy not found
17/02/13 10:07:35 DB : policy not found
17/02/13 10:07:35 DB : policy not found
17/02/13 10:07:35 DB : policy not found
17/02/13 10:07:35 DB : removing tunnel config references
17/02/13 10:07:35 DB : removing tunnel phase2 references
17/02/13 10:07:35 DB : removing tunnel phase1 references
17/02/13 10:07:35 DB : tunnel deleted ( obj count = 0 )
17/02/13 10:07:35 DB : removing all peer tunnel references
17/02/13 10:07:35 DB : peer deleted ( obj count = 0 )
17/02/13 10:07:35 ii : ipc client process thread exit ...

Zur Erläuterung. Shrew-Client-PC hat 192.168.170.20 hinter einer FB 192.168.170.1. Diese hat I-Net über Tethering-Device.

LG und TX

Nachtrag: Aus der Support-Datei einige Variationen ersichtlich
Code:
2017-02-12 22:51:28 avmike:< add(appl=dsld,cname=FB-User,localip=91.114.207.191, remoteip=0.0.0.0, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x8017 tunnel no_xauth cfgmode nat_t no_certsrv_server_auth)
2017-02-12 22:51:28 avmike:new neighbour FB-User:  dynamic  user  nat_t
2017-02-12 22:54:32 avmike:unknown remote peer supported NAT-T RFC 3947
2017-02-12 22:54:32 avmike:unknown remote peer supported DPD
2017-02-12 23:02:53 avmike:unknown remote peer supported XAUTH
2017-02-12 23:02:53 avmike:unknown remote peer supported NAT-T RFC 3947
2017-02-12 23:02:53 avmike:unknown remote peer supported DPD
2017-02-12 23:05:24 avmike:unknown remote peer supported NAT-T RFC 3947
2017-02-12 23:05:24 avmike:unknown remote peer supported DPD
2017-02-12 23:24:32 avmike:unknown remote peer supported NAT-T RFC 3947
2017-02-12 23:24:32 avmike:unknown remote peer supported DPD
2017-02-13 02:20:41 avmike:< add(appl=dsld,cname=FB-User,localip=194.166.58.50, remoteip=0.0.0.0, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x8017 tunnel no_xauth cfgmode nat_t no_certsrv_server_auth)
2017-02-13 02:20:41 avmike:new neighbour FB-User:  dynamic  user  nat_t
2017-02-13 04:11:12 avmike:216.218.206.122:8028: new_neighbour_template failed
2017-02-13 09:23:01 avmike:unknown remote peer supported NAT-T RFC 3947
2017-02-13 09:23:01 avmike:unknown remote peer supported DPD
2017-02-13 09:45:47 avmike:unknown remote peer supported NAT-T RFC 3947
2017-02-13 09:45:47 avmike:unknown remote peer supported DPD
2017-02-13 10:07:16 avmike:unknown remote peer supported NAT-T RFC 3947
2017-02-13 10:07:16 avmike:unknown remote peer supported DPD
 
Zuletzt bearbeitet:
Die FRITZ!Box erkennt gar nicht erst, welcher Client sich da verbinden will.

Der Client muß sowohl vom Wert her als auch vom "Typ" (siehe RFC 2407, Punkt 4.6.2.1) stimmen, damit die FRITZ!Box die richtige Verbindung findet und überhaupt etwas mit den weiteren Inhalt des Paketes anfangen kann, weil das eben mit dem (für den Client spezifischen) Key verschlüsselt ist. Ich habe keine Ahnung, was "ID_USER_FQDN" aus diesem RFC im Shrewsoft-Client nun sein mag, das müßte ich auch erst in der Dokumentation erkunden (oder man kann auch einfach eine Konfiguration mit Shrewsoft entsprechend einrichten und dann dort nachsehen).

Wenn die aktuellen Daten die aus #118 sein sollten (neuere habe ich nicht gefunden, einfach beim nächsten Mal direkt in den Beitrag mit den Protokollen packen, dann stellt sich die Frage nicht, ob da zwischenzeitlich etwas geändert wurde), dann wären die Stellen
Code:
s:ident-client-type:fqdn
s:ident-client-data:dyndns-account auf Port ungleich Standard
b:auth-mutual-psk:angezeigt anders als in der FB-config?
für mich diejenigen, wo ich zuerst nachsehen würde.

Der PSK wird (wenn ich mich richtig erinnere) in Hexadezimal-Darstellung gespeichert, das kriegt man mit einer ASCII-Tabelle raus, ob die Vermutung und damit auch der Key stimmt, insbesondere "schlecht lesbare" Zeichen (großes i vs. kleines (e)l, usw.) könnten Probleme bereiten, die in Hex aber sofort zu sehen wären.

Der Eintrag darüber sollte exakt dem entsprechen, was in der FRITZ!Box bei "user_fqdn" angegeben ist (da gehört auch keinesfalls ein Port o.ä. hinein, das ist keine Angabe, wo (Adresse und Port) die Gegenstelle zu finden ist) und vermutlich ist "fqdn" eher der falsche "Typ", wenn es um einen "user_fqdn" geht.

Da das "nur" eine ID ist, muß das aber auch kein "user_fqdn" sein ... wenn man in der FRITZ!Box einfach nur "fqdn" anstelle von "user_fqdn" verwendet und ansonsten die Zeichenketten bei der ID identisch sind, sollte die FRITZ!Box auch den richtigen VPN-Eintrag finden können.

Mit irgendeiner Policy auf der Shrewsoft-Seite hat das jedenfalls eher nichts zu tun ...
 
Sämtliche Diskussionen wären eigentlich gar nicht nötig, wenn man entweder den Output von "FRITZ!Fernzugang einrichten" oder von der WebIF-VPN-Einrichtung nimmt und dann akribisch nach AVMs Anleitung vorgeht.

Code:
[B]3 VPN-Verbindung im Shrew Soft VPN Client einrichten[/B] - [COLOR=#b22222]nur für Mutual PSK + XAuth [andilao][/COLOR]

Richten  Sie die VPN-Verbindung im Shrew Soft VPN Client mit Hilfe der  Angaben zu den VPN-Einstellungen des FRITZ!Box-Benutzers in der  FRITZ!Box-Benutzeroberfläche ein:
 Hinweis:Die VPN-Einstellungen  können Sie in der Benutzeroberfläche unter "System >  FRITZ!Box-Benutzer" aufrufen, indem Sie in den Einstellungen des  Benutzers auf "VPN-Einstellungen anzeigen" klicken.


[LIST=1]
[*]Starten Sie den Shrew Soft VPN Access Manager und klicken Sie auf die Schaltfläche "Add".
[LIST]
[*]Das Fenster "VPN Site Configuration" wird geöffnet. 
[/LIST]
  
[*]Tragen Sie auf der Registerkarte "General" im Eingabefeld "Host Name or IP Address" den MyFRITZ!-Domainnamen der FRITZ!Box ([I]pi80ewgfi72d2os42.myfritz.net[/I]) ein. 
[*]Nehmen Sie auf der Registerkarte "Authentication" folgende Einstellungen vor:
[LIST=1]
[*]Wählen Sie in der Ausklappliste "Authentication Method" den Eintrag "Mutual PSK + XAuth". 
[*]Wählen  Sie auf der Registerkarte "Local Identity" in der Ausklappliste  "Identification Type" den Eintrag "Key Identifier" und tragen Sie im  Eingabefeld "Key String ID" den Benutzernamen des FRITZ!Box-Benutzers ([I]Max Mustermann[/I]) ein. 
[*]Wählen Sie auf der Registerkarte "Remote Identity" in der Ausklappliste "Identification Type" den Eintrag "IP Address". 
[*]Tragen Sie auf der Registerkarte "Credentials" im Eingabefeld "Pre Shared Key" das "Shared Secret" des FRITZ!Box-Benutzers ([I]Zj7hPCouK65IrPU4[/I]) ein. Das "Shared Secret" wird in den VPN-Einstellungen des Benutzers im Abschnitt "iPhone, iPad oder iPod Touch" angezeigt. 
[/LIST]
  
[*]Wenn  der gesamte Datenverkehr über die VPN-Verbindung weitergeleitet werden  soll, also sowohl Anfragen an das entfernte FRITZ!Box-Netzwerk als auch  alle Internetanfragen, ist die Einrichtung jetzt abgeschlossen:
[LIST]
[*]Klicken Sie zum Speichern der Einstellungen auf "Save". 
[/LIST]
  
[*]Wenn  über die VPN-Verbindung nur Anfragen an das entfernte  FRITZ!Box-Netzwerk weitergeleitet werden sollen, für Internetanfragen  jedoch weiterhin der lokale Internetzugang verwendet werden soll, nehmen  Sie folgende Einstellungen vor:
[LIST=1]
[*]Klicken Sie auf die Registerkarte "Name Resolution". 
[*]Deaktivieren Sie auf der Registerkarte "DNS" die Option "Enable DNS". 
[*]Deaktivieren Sie auf der Registerkarte "WINS" die Option "Enable WINS". 
[*]Klicken Sie auf die Registerkarte "Policy". 
[*]Wählen Sie in der Ausklappliste "Policy Generation Level" den Eintrag "shared". 
[*]Deaktivieren Sie die Option "Obtain Topology Automatically or Tunnel All". 
[*]Klicken Sie auf die Schaltfläche "Add".
[LIST]
[*]Das Fenster "Topology Entry" wird geöffnet. 
[/LIST]
  
[*]Tragen Sie im Eingabefeld "Address" das IP-Netzwerk der FRITZ!Box ([I]192.168.10.0[/I]) und im Eingabefeld "Netmask" die dazu gehörende Subnetzmaske ([I]255.255.255.0[/I]) ein und klicken Sie danach auf "OK". 
[*]Klicken Sie zum Speichern der Einstellungen auf "Save". 
[/LIST]
        
[/LIST]

Jetzt ist die VPN-Verbindung zur FRITZ!Box eingerichtet.

So habe ich mir immer meine Muster-site-Datei angelegt und dann für weitere VPN-User als Template benutzt.
Den PSK übernimmt man von
  • "FRITZ!Fernzugang einrichten": aus den Dateien vpnuser_.....cfg (ohne XAuth) oder der iphone_....txt vom (ohne XAuth)
  • WebIF - Benutzerkonto - "VPN-Einstellungen anzeigen"
und trägt ihn per "VPN Access Manager" ein oder codiert ihn selbst Base64.
 
codiert ihn selbst Base64.
Also ist der Base64-kodiert und nicht in hexadezimaler Darstellung? Dann bringt die ASCII-Tabelle natürlich nichts, aber das Rechnen mit Bits (aus 3x8 = 24 mach' 4x6, was ebenfalls 24 sein müßte) muß man nicht zu Fuß machen, dafür gibt es Tools.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.