[HowTo] Fritz!Box-Fernzugang und ShrewSoft VPN Client - Schritt für Schritt

[andilao]

Mit den Firmware-Versionen ab 6.50 geht nun leider gar nichts mehr von meiner 2012er Anleitung, also hier mein Update (Kurzfassung) für Shrew Soft vpn-client-2.2.2-release und mehrfach getestet mit einer 7390 FRITZ!OS 06.51 (Da AVM per WebIF nur mutual-psk-xauth-Konfigurationen erstellt, habe ich mich allein darauf bezogen.):

n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-dns-used:0
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:0
n:client-splitdns-auto:1
n:client-wins-used:0
n:client-wins-auto:1
n:phase1-dhgroup:2
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
s:network-host:[COLOR=#ff0000][B]<Fritzbox-DDNS- oder MyFritz-Adresse>[/B][/COLOR]
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk-xauth
s:ident-client-type:keyid
s:ident-server-type:address
s:ident-client-data:[B][COLOR=#ff0000]<Fritzbox-Benutzername/IPSec Identifier>[/COLOR][/B]
b:auth-mutual-psk:[B][COLOR=#ff0000]<IPSec Pre-Shared Key, muss mit VPN Access Manager eintragen werden>[/COLOR][/B]
s:phase1-exchange:aggressive
s:phase1-cipher:auto
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:-1
s:policy-level:auto

Zu beachten ist, dass man eine "ausgefüllte" site-config.vpn mit dem Klartext-auth-mutual-psk weder einfach nach "%LOCALAPPDATA%\Shrew Soft VPN\sites" kopieren noch importieren kann. Man muss für die korrekte Kodierung den Klartext-auth-mutual-psk unbedingt mit dem VPN Access Manager eintragen, dann kann man die anderen zwei Einträge auch gleich mit erledigen:

1. Speichere die "site-config.vpn -- Muster.txt" aus dem Anhang als "site-config.vpn" unter "%LOCALAPPDATA%\Shrew Soft VPN\sites"
2. Starte den VPN Access Manager und ersetze die <Platzhalter>:
   
3. Erstelle eine Verknüpfung: "C:\Program Files\ShrewSoft\VPN Client\ipsecc.exe" -r site-config.vpn -u Fritzbox-Benutzername -p Fritzbox-Kennwort -a
   Wer das für gefährlich hält, kann "-p Fritzbox-Kennwort -a" weglassen, sollte sich aber nicht mit allzu einfachen Kennworten abgeben bzw. diese einzig nur für VPN-Zugänge nutzen.

Für bessere Lesbarkeit habe ich die alte Fassung komplett entfernt.

 

[Novize]

Sehr tolle Anleitung!

=> Ich habe diese gleich mal oben angepinnt

 

[decoder2]

ein RIESEN Dank an andilao!!!

ich hab stunden mti fritz fernzugang verbracht bis ich hier gelesen hatte das das tool keine umts karten unterstützt.

nun klappt der zugang von zuhause und über umts O2 problemlos dank dieser Anleitung.

das ganze war innerhalb von 10 minuten eingerichtet und funktionierte auf anhieb.

TOP

 

[andilao]

Du solltest auch AVM danken, wo man die VPN-Kombinationen getestet und die Einrichtung sauber dokumentiert hat.

Ganz erstaunlich bei AVM ist, dass die Fritz!Boxen keinerlei Schwierigkeiten haben, (einseitig) ein VPN über UMTS zu einer anderen per DSL angeschlossenen Box aufzubauen. Der AVM-Klient ist nicht generell bei allen UMTS-Konstellationen ohne Funktion, das Weglassen dieses Tests und gleich ShrewSoft zu nehmen, ist einfach nur schmerzfreier. Auch finde ich die eine default zu startendende Verbindung beim AVM-Klient etwas zu eingeschränkt gegenüber der ShrewSoft-Kommandozeile, mit der ich die Verbindungen zu mehreren Boxen bzw. zu Sipgate mit nur einem Klick starten oder anders automatisieren kann.

 

[pixelhead]

Vielen Dank, hat super funktioniert!

 

[JoMensdorf]

Hallo!

Erst mal Danke für die Tipps.
Ich habe jetzt erfolgreich eine Verbindung mit dem Shrew und meiner Fritzbox 7220 hergestellt, der Shrew meldet "tunnel enabled".
Allerdings habe ich keinen Zugriff auf mein Heimnetz (auch meine IP ist nicht die von zuhause), und auf der Übersichtsseite der FB wird auch die Verbindung nicht als grün angezeigt. Das ist blöd, weil ich aus dem Ausland über meine IP zuhause surfen möchte. Es ist also so, also ob ich die VPN-Verbindung nicht hätte.

Wenn ich mich mit meinem IPhone einlogge wir die andere Verbindung grün und ich surfe unter meiner IP der Fritzbox zuhause.

Hat da jemand einen Tipp für mich?

Danke,
Jo

 

[andilao]

Fürs sichere Surfen solltest Du hier mal lesen: VPN: Shrew und Internet komplett über Fritzbox routen.

"keinen Zugriff auf mein Heimnetz" bedeutet für Dich was? Denke daran, dass auch wie beim Box2Box-VPN das Netz daheim nicht durchsuchbar ist und Du alle Geräte per IP-Adresse ansprechen musst. Gar kein VPN wird funktionieren, wenn das Subnetz vom Gast-WLAN das gleiche ist wie daheim.

 

[JoMensdorf]

Fürs sichere Surfen solltest Du hier mal lesen: VPN: Shrew und Internet komplett über Fritzbox routen.

Aloha andilao,

den Betrag habe ich bei meiner Recherche nicht gefunden. Aber mit diesen Einstellungen geht es.

1000 Dank, Du bist mein Held!
Jo

 

[ricknicker]

Hallo,

mit meiner 7390 und FW .05 hatte ich mit VPN null Probleme.
Einrichtung habe ich wie oben geschrieben gemacht (nur mit 192.168.178.x).

Seit dem Update auf .20 geht die Internetverbindung des Gerätes, mit dem ich auf den VPN-Server zugreife (z. B. MacBook Pro oder iPhone), flöten.
Beim VPN-Client im OS X konnte ich den Fehler durch Eingabe eines DNS-Servers beheben, das geht aber am iPhone/iPad nicht so.

Any ideas zur Fehlerbehebung?

Danke und Gruß

Nicky

 

[Tarzan4711]

Hallo ich bin neu hier und kämpfe gerade auch mit shrew.
Ich benutze die Fritzbox 7270 und habe dort den VPN für z.B. mein IPad oder IPhone angelegt. Das geht auch alles sehr gut. Ich trage in meinem Ipad nur folgendes ein:
Sever xxx.dyndns.org
Account [email protected]
Gruppenname [email protected]
Shared Secret den Key der die Fritzbox erzeugt hat
Proxy = aus

Damit geht es wunderbar mit den IPad oder Iphone.

Aber ich bekomme einfach den Shrew Client oder den NCP Client nicht zum laufen. Kann mit jemand helfen?

Danke

 

[andilao]

Sobald es den Shrew Client für iOS gibt, werde ich mich hier damit beschäftigen. ;-)

Unter Windows geht es einfach nach Posting #1.

 

[Tarzan4711]

Danke für die Antwort, aber ich kann oder möchte die config Datei auf der Fritzbox nicht ändern. Ich habe angst das nachher gar nicht mehr geht. In dem Posting #1 steht leider nicht welche einstellungen ich benutzen muss, damit es mit den einstellungen die gleich sind wir für das IPhone/Ipad geht.

Danke

 

[andilao]

Du musst die Config auf der Fritzbox nicht (mehr) per Editor anpassen, das war sowieso nur erforderlich bei der alten "FRITZ!Fernzugang einrichten"-VPNAdmin-Version, oder hast Du das machen müssen? Die aktuelle Version 1.0.3.0 enthält bereits die Optionen für "PC oder iOS" und "Alle Daten über den VPN-Tunnel senden".

Da Du ohnehin pro Gerät einen Zugang anlegen solltest, erstellst Du einen weiteren zur selben Box, wobei die Software sogar im Standardfall automatisch die nächste IP .202 nimmt. Dabei aktivierst Du PC statt iOS und bei Bedarf "Alle Daten ...". Und dann weiter wie #1 oben (ja, ich muss noch unbedingt meinen Beitrag #1 für Version 1.0.3.0 anpassen).

 

[Octalong]

Hallo

Nach gefühlten tausend Versuchen wende ich mich mal an das Forum. Mein Problem:
Ich versuche eine VPN Verbindung über Umts/HSPDA hin zu bekommen. Auf meinem
Android-Phone habe ich das schon hin bekommen und alles läuft zu 100%.
Kann auf die Fritzbox zugreifen, genauso wie auf alle Netzwerkgeräte. Herrlich!
Schieb ich die gleiche Karte in meinen Webstick und diesen ins Notebook, sieht die Sache
anders aus. Die VPN Verbindung steht, aber ich komme an kein Gerät. Und ich kann machen
was ich will.
Habe wirklich ALLES durch, was ich im Net so gelesen habe und ich habe wirklich viel gelesen.
Auch die Configs hier in #1 habe ich minutiös angeglichen und getestet. Gleicher Erfolg.

Getestet: 2 verschiedene Notebooks mit Windos 7 32 Bit.
Verwendet: Shrewsoft (aktuelle Version)
Meine Fritz.cfg

/*
 * C:\Users\PCNAME\AppData\Roaming\AVM\FRITZ!Fernzugang\my_adress_com\fritzbox_my_adress.cfg
 * Tue Aug 21 00:29:50 2012
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "NAME";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "NAME";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "mykey";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip any 192.168.178.202 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Habe auch schon

                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }

unter Angabe des DNS-Servers versucht.

Vielleicht kann mir ja jemand helfen.

Viele Grüße

 

[Fritzix]

Hallo, andalino schreibt folgendes:

weil z.B. der Client von AVM über UMTS nicht funktioniert,

Warum funktioniert der Client von AVM nicht über UMTS, welche Erklärung gibt es dafür?

MfG

Fritzix

 

[ht81]

benötigt man neben dem Adressbereich 192.168.100.0

Das ist aber kein muss, oder? Natürlich gehen hier auch alle anderen außer die Standard IP. Oder ist beim Shrew zwingend die 192.168.100.x vorgeschrieben?

 

[andilao]

Das sind alles Beispiele!

 

[KunterBunter]

Deshalb auch direkt darüber der

Hinweis: Die rot und blau markierten Beispiel-Einträge müssen natürlich immer durch die eigenen Werte ersetzt werden!

 

[andilao]

Das war die Änderung nach der Frage von[SIZE=2pt]ht81[/SIZE], es stand vorher nicht so exponiert.

 

[pigpen]

- Verbindung wird nicht "Established" (ohne Fehlermeldungen), FritzBox zeigt ewig "wird verbunden":
- Allein der Windows-Neustart kann das "reparieren", der Gund ist mir noch unklar.

Ein ping auf die fritzbox schafft hier Abhilfe, danach ist die Verbindung 'established' und die fritzbox geht auf grün.