FritzBox Labor. Linux VPN Client

Also ich habe nun auch einen Tunnel aufgebaut. Allerdings musste ich dafür NAT aktivieren. Sonst kam bei mir auch im iked.log die Meldung Phase1 id mismatch.

Der Tunnel steht also dafür steht jetzt im log die Meldung k! unhandled pfkey message type EXPIRE (8).

shrew 2.1 beta 5. unter Ubuntu 8.1

Klappt das VPN bei irgendeinem mit Shrew?
 
@stesind: komische Frage, ehrlich gesagt. Ich häng hier Screenshots an, mit denen es bei mir läuft (inkl.Traffic), und Du fragst, ob es bei einem funktioniert? :rolleyes:
 
Ich hab mir nun das IKE Paket aus Ubuntu in mein Debian Lenny installiert und konfiguriert, wie ihr es beschrieben habt. Klappt wunderbar! Die Verbindung wird aufgebaut und ich sehe tap0 mit einer IP aus meinem Netz zuhause. (remote habe ich ein anderes Subnetz, wie gefordert).
Nur kann ich ebenfalls keine Daten übertragen. Wenn ich einen Ping auf einen Rechner zu Hause absetze kommt nichts durch, genau wie bei MaxPowers.

Das hier ist die ike log: http://nopaste.debianforum.de/8061
In der syslog steht:
May 24 21:00:49 pluto kernel: tap0: no IPv6 routers present

Wie gehe ich nun weiter vor? Jemand sagte mir man müsste nur IPv6 deaktivieren!?
 
Hallo,

was sagt "route -n"?
 
route -n sagt vor dem Tunnel wie während des Tunnels das selbe!

Code:
pluto:/home/fabske# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.1.102   0.0.0.0         UG    0      0        0 eth0
 
@fabske: dann schau Dir bitte die Screenshots nochmal ganz genau an. Du hast da was übersehen (Tipp: die Einstellungen unter dem "Policy"-Reiter).
 
Richtig Woopie, da ist was nicht in Ordnung gewesen!
Aber es geht immer noch nicht :(
Ich habe alles nach deinen Screenshots konfiguriert:

Remote hat meine FB (router-0) das interne LAN 192.168.0.0/24
Lokal sitze ich hier ebenfalls hinter einer FB (router-1), mit internem LAN 192.168.1.0\24.
Ich will einfach eine VPN Verbindung von meinem Rechner (192.168.1.5) zum router-0. Wie gesagt, es klappt ja fast alles. Ich habe nun bei Policy folgendes eingetragen:
Oben KEIN Haken. Dann include bidirektional 192.168.0.0\255.255.255.0
Das wars, aber router -n zeigt immer noch nicht das richtige an:

Code:
pluto:/home/fabske# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
80.128.183.146  192.168.1.102   255.255.255.255 UGH   0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.1.102   0.0.0.0         UG    0      0        0 eth0

Ich denke mal router müsste hier zeigen, dass alles für 192.168.0.0\24 über tap0 laufen soll.
Zum testen mache ich immer einen ping auf einen laufenden Rechner daheim (192.168.0.101).
 
Du musst doch eine IP aus dem Range 192.168.0.0/24 haben. Warum hast Du die 192.168.1.102 konfiguriert?

Mein Routing sieht so aus:
Code:
route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.3.0     192.168.3.201   255.255.255.0   UG    0      0        0 tap0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 wlan0
 
Da ist irgendwas hängen geblieben, nach einem Restart meines Rechners sieht es nun besser aus:

Code:
pluto:/home/fabske# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 tap0
0.0.0.0         192.168.1.102   0.0.0.0         UG    0      0        0 eth0
aber ein Ping geht immer noch nicht!

Das hier steht in der syslog:
Code:
May 25 16:50:45 pluto kernel: tun: Universal TUN/TAP device driver, 1.6
May 25 16:50:45 pluto kernel: tun: (C) 1999-2004 Max Krasnyansky <[email protected]>
May 25 16:50:45 pluto avahi-daemon[2462]: Joining mDNS multicast group on interface tap0.IPv4 with address 192.168.0.25.
May 25 16:50:45 pluto avahi-daemon[2462]: New relevant interface tap0.IPv4 for mDNS.
May 25 16:50:45 pluto avahi-daemon[2462]: Registering new address record for 192.168.0.25 on tap0.IPv4.
May 25 16:50:56 pluto kernel: tap0: no IPv6 routers present

und in der iked.log:
Code:
pluto:/home/fabske# tail /var/log/iked.log 
## : IKE Daemon, ver 2.0.3
## : Copyright 2007 Shrew Soft Inc.
## : This product linked OpenSSL 0.9.8g 19 Oct 2007
K! : recv X_SPDDUMP message failure ( errno = 2 )
K! : unhandled pfkey message type EXPIRE ( 8 )
K! : unhandled pfkey message type EXPIRE ( 8 )
K! : unhandled pfkey message type EXPIRE ( 8 )
K! : unhandled pfkey message type EXPIRE ( 8 )
K! : unhandled pfkey message type EXPIRE ( 8 )
 
Zuletzt bearbeitet:
Ziel Router Genmask Flags Metric Ref Use Iface
192.168.178.0 192.168.178.201 255.255.255.0 UG 0 0 0 tap0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 ath0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 ath0

der Ping geht nicht, weil die Verbindung noch nicht richtig läuft. Dir fehlt der entsprechende Routing Eintrag für das Gateway auf tap0. Ich verwende momentan die Standardadressen der Fritz Box.

Ändere mal den Loglevel in der iked.conf in
Code:
log_level debug;
dann kann man eventuell den Fehler eher in der Log Datei finden.

Soweit läuft alles einwandfrei mit dem VPN unter Linux. Leider bekomme ich keinen Connect hin, wenn ich die hier geposteten Einstellungen verwende. Grund ist die fehlerhafte Auflösung der Remote Host Address:
Code:
08/05/25 17:38:45 !! : phase1 id mismatch ( src != trg )
08/05/25 17:38:45 !! : src = ipv4-host 85.XXX.XXX.XXX
08/05/25 17:38:45 !! : trg = ipv4-host 255.255.255.255

Nur wenn ich die IP Adresse in der Karteikarte "Remote Identity" direkt eintrage und nicht den Haken bei "Use discovered remote host address" setze, dann funktioniert die Verbindung.
Komisch irgendwie löst Shrew den DynDNS Namen immer auf die Subnetzmaske 255.255.255.255 auf, obwohl DNS ansonsten einwandfrei funktioniert.
Irgendwelche Ideen?
 
@thetester: aktiviere mal NAT-T.
 
danke Whoopie, nun läuft alles wie es soll :)
 
Ich hab jetzt den loglevel auf debug gestellt, nun sieht es so aus:

Code:
pluto:/home/fabske# tail /var/log/iked.log 
## : This product linked OpenSSL 0.9.8g 19 Oct 2007
K! : recv X_SPDDUMP message failure ( errno = 2 )
K! : unhandled pfkey message type EXPIRE ( 8 )
!! : unable to locate peer config for policy
!! : phase1 id mismatch ( src != trg )
!! : src = ipv4-host 80.128.183.146
!! : trg = ipv4-host 255.255.255.255
!! : unable to locate peer config for policy
K! : recv X_SPDADD message failure ( errno = 17 )
K! : recv X_SPDADD message failure ( errno = 17 )

Sieht also ähnlich aus wie bei thetester. Wenn ich NAT-T aktiviere verschwindet ebenfalls diese Meldung
phase1 id mismatch ( src != trg )
aus den logs.
Aber das scheint noch nicht das Ende der Geschichte zu sein, denn es geht immer noch nicht. Muss man für NAT-T vielleicht noch was am Router einstellen (dem router hinter dem ich hier remote bin)?

Ich hab jetzt mal versucht die route testweise manuell einzutragen, ich hoffe der befehl war richtig:
Code:
pluto:/home/fabske# route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.0.100 tap0
pluto:/home/fabske# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     192.168.0.100   255.255.255.0   UG    0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 tap0
0.0.0.0         192.168.1.102   0.0.0.0         UG    0      0        0 eth0

bringt aber leider auch nix, ich kann immer noch nicht pingen.
 
Zuletzt bearbeitet:
Code:
pluto:/home/fabske# tail /var/log/iked.log 
## : This product linked OpenSSL 0.9.8g 19 Oct 2007
K! : recv X_SPDDUMP message failure ( errno = 2 )
K! : unhandled pfkey message type EXPIRE ( 8 )
!! : unable to locate peer config for policy
!! : phase1 id mismatch ( src != trg )
!! : src = ipv4-host 80.128.183.146
!! : trg = ipv4-host 255.255.255.255
!! : unable to locate peer config for policy
K! : recv X_SPDADD message failure ( errno = 17 )
K! : recv X_SPDADD message failure ( errno = 17 )

Sieht so aus, als wenn in der Konfiguration noch ein Eintrag nicht definiert wurde. (!! : unable to locate peer config for policy). Entweder über die grafische Oberfläche oder entsprechend in der Konfigurationsdatei:
~/.ike/sites/XXXXXX
den Eintrag
Code:
s:policy-list-include:192.168.0.0 / 255.255.255.0
hinzufügen. Danach sollte eigentlich alles gehen. Am Router musst Du nichts ändern. Dort muss nur IPSec-Durchleitung (o.ä. Bezeichnung) aktiviert sein, was bei Dir allerdings der Fall ist sonst wärst Du nicht schon soweit gekommen ;-)
 
thetester: Das ist ja genau was mir Whoopie auch sagte, ich hatte es grafisch konfiguriert aber in der Konfig war ein kleiner Fehler, die zeile sah so aus:
s:policy-list-include:192 . 168 . 0 . 0 / 255 . 255 . 255 . 0
Ich hab es korrigiert und nun sieht die ganze konfig so aus:

Code:
n:network-ike-port:500
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:network-notify-enable:1
n:client-banner-enable:1
n:client-dns-enable:0
n:client-dns-auto:1
n:phase1-dhgroup:2
n:phase1-keylen:192
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:phase2-keylen:256
n:phase2-pfsgroup:2
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-list-auto:0
s:network-host:XXX
s:client-auto-mode:pull
s:client-iface:virtual
s:client-ip-addr:192.168.0.25
s:client-ip-mask:255.255.255.0
s:network-natt-mode:disable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-client-data:XXX
s:ident-server-type:address
s:auth-mutual-psk:XXX
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:aes
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
s:policy-list-include:192.168.0.0 / 255.255.255.0

Jetzt sieht meine route auch ganz anders aus!
Code:
pluto:/home/fabske# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     192.168.0.25    255.255.255.0   UG    0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 tap0
0.0.0.0         192.168.1.102   0.0.0.0         UG    0      0        0 eth0

Aber ping geht immer noch nicht ...
 
Konfig sieht nun okay aus, bis auf:
s:network-natt-mode:disable
Sollte auf enable stehen, um nicht die Dyndns - IP Adresse jedesmal selbst eingeben zu müssen (s.o.)
IP Adresse bekommst Du nun offensichtlich von der FB auch zugewiesen
Sonst fallen mir nur noch zwei Sachen ein:
192.168.0.25 sieht etwas "niedrig" aus. Ist die Adresse eventuell schon im Heimnetz vergeben? AVM vergibt in der Grundkonfiguration die VPN Client Adressen erst ab 200.

Aber ping geht immer noch nicht ...
Werden ICMP Pakete denn normalerweise zugelassen? Ping auf was genau? Rechner - Firewall aktiviert?
Ist es möglich auf das Webinterface 192.168.0.1 der Fritz Box zuzugreifen?
 
Also NATT hab ich nun aktiviert. die 192.168.0.25 hab ich mir selbst ausgesucht und zugewiesen, gibt es damit irgendwelche Probleme? Sie ist definitiv nicht vergeben.

Ich hab ein wenig Probleme mit der /var/log/iked.log. Kann es sein, dass sie ständig neu erstellt wird? Ich habe nun eine zeile eingetragen "Schnitt" um zu sehen, wo das Ende ist. Ich warte einen Augenblick und schon sind wieder hunderte von Zeilen dazugekommen, alle so:
!! : unable to locate peer config for policy

Ich connecte dann und die route sieht nun in der Tat anders aus:
Code:
pluto:/home/fabske# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     192.168.0.25    255.255.255.0   UG    0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 tap0
0.0.0.0         192.168.1.102   0.0.0.0         UG    0      0        0 eth0

Ich kann die 192.168.0.100 (mein Router remote zu Hause) aber weder pingen noch darauf per web zugreifen!

In der log steht jetzt das 3 mal das:
K! : unhandled pfkey message type EXPIRE ( 8 )

und in der syslog nach wie vor:
kernel: tap0: no IPv6 routers present
 
Also NATT hab ich nun aktiviert. die 192.168.0.25 hab ich mir selbst ausgesucht und zugewiesen, gibt es damit irgendwelche Probleme?
Nein, wenn das in der cfg Datei für die Fritzbox auch so drinsteht und die IP Adresse nicht dynamisch anderen Rechnern zugewiesen wird, kannst Du die Adresse natürlich verwenden.

[...]
Kann es sein, dass sie ständig neu erstellt wird?
Nein sie wird nicht neu erstellt, sondern permanent weitergeschrieben wie eigentlich bei allen Logdateien üblich, ändern kannst Du das nicht. Allerdings vor einem Verbindungsversuch ein:
Code:
cat /dev/null > /var/log/iked.log
leert sie zumindest.

!! : unable to locate peer config for policy
dachte eigentlich, das wäre mit dem richtigen policy Eintrag in die conf Datei als Fehlermeldung verschwunden?! Noch mal die Konfigurationsdatei nach dem entsprechenden Eintrag überprüfen.

K! : unhandled pfkey message type EXPIRE ( 8 )
Verwendest Du die aktuelle SVN Version von Shrew?
Sonst paste mal das gesamte Log nach einem Verbindungsversuch an den entsprechenden Stellen anonymisiert bei pastebin.biz o.ä. und verlinke dann hier. Da steht zumindest im Debug Modus relativ genau, ob und wie die Schlüsselaushandlung funktioniert und erfolgreich ist...

und in der syslog nach wie vor:
kernel: tap0: no IPv6 routers present
Die Fehlermeldung kann man m.E. nach ignorieren, da sie generell beim ersten Einbinden/Laden des tap Moduls in den Kernel ausgegeben wird. Sonst achte mal bitte auch auf die Logzeiten, ob das überhaupt mit dem Verbindungsversuch korresspondiert.
 
Also ich verwende folgende Pakete:

Das ike und ike-qtgui Paket aus Ubuntu Hardy und das ike-scan aus meinem normalen Debian Lenny (ist aber das selbe wie in Ubuntu)
Code:
ii  ike                                  2.0.3+dfsg-0ubuntu2              Shrew Soft VPN client - Daemon and libraries
ii  ike-qtgui                            2.0.3+dfsg-0ubuntu2              Shrew Soft VPN client - Connection manager
ii  ike-scan                             1.9-3                            discover and fingerprint IKE hosts (IPsec VP

Hier ist die komplette debug log: http://nopaste.debianforum.de/8114

Aber meine routen stimmen doch immer noch nicht!
Code:
pluto:/home/fabske# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     192.168.0.25    255.255.255.0   UG    0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 tap0
0.0.0.0         192.168.1.102   0.0.0.0         UG    0      0        0 eth0

Router 192.168.0.25 kann doch nicht sein oder, das ist doch mein eigener Rechner!?
 
Dadurch ist mir noch ein Fehler in Deiner Konfigurationsdatei aufgefallen. Für Phase 1 wird nicht n:phase1-keylen:192 sondern 256 verwendet. Kann man auch auf 0 setzen für automatisch.

Wenn das noch nicht der Fehler war, dann:

received peer INVALID-ID-INFORMATION notification

erhält man u.a. bei falscher Eingabe der Identifikationsdaten = Mailadresse. Nochmal nachsehen sowohl in der Fritzbox Konfig als auch auf der Clientseite.

Danach wirklich nur noch letzte Idee - aktuelle SVN Version benutzen.

Aber meine routen stimmen doch immer noch nicht!
Doch die stimmen genau so, die Pakete ins VPN sollen schließlich durch den Tunnel mit dem Anfangspunkt des tap0 Devices.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,172
Beiträge
2,247,422
Mitglieder
373,715
Neuestes Mitglied
wesleymoons87
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.