FritzBox Labor. Linux VPN Client

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Ich hab die Key-Länge angepasst, es geht aber immer noch nicht. Doch zumindest registriert nun die FritzBox was!: "VPN: wird aufgebaut, fabske" weiter geht es aber nicht, in den Ereignissen kommt auch nix.
Der login "fabske" passt auch, wenn was anderes nehme geht gar nix.

Jetzt geht es schon fast, es scheint nur noch ein kleiner Fehler irgendwo zu sein...

Vielen Dank für deine Hilfe mal soweit, thetester. Vielleicht fällt ja Whoopie noch was ein?
Hier mal nochmal aktualisierte log: http://nopaste.debianforum.de/8128
 
so mein fehler lag wohl daran dass ich immer den key per hand in die config eingetragen habe, und der hatte nen ":" drin, war wohl ein problem.
hab mir jetzt mal nen key erzeugt der ohne sonderzeichen ist und es klappt jetzt auch.
nur shrew zeigt mir für ne halbe minute lang bei established ne "1", aber danach bekomm ich nen disconnect mit "gateway is not responding".

auf der fritzbox oberfläche hab ich auch ein "vpn-verbindung erfolgreich hergestellt" und nen grünen punkt, nach ner weile bekomm ich aber auch da
"VPN-Verbindung zu [email protected] wurde getrennt. Ursache: 3".

daten lassen sich keine übertragen.

das sagt das log:
Code: 
08/05/26 19:52:49 ## : IKE Daemon, ver 2.1.0
08/05/26 19:52:49 ## : Copyright 2007 Shrew Soft Inc.
08/05/26 19:52:49 ## : This product linked OpenSSL 0.9.8g 19 Oct 2007
08/05/26 19:53:15 K! : recv X_SPDADD message failure ( errno = 17 )
08/05/26 19:53:15 K! : recv X_SPDADD message failure ( errno = 17 )
08/05/26 19:55:15 !! : phase1 sa dpd timeout
08/05/26 19:55:15 !! : bf79bf48e639dda5:ddc122ce48bcbdcd
jemand ne idee was ich falsch gemacht haben könnte ?
 
macgyver2k schrieb:
jemand ne idee was ich falsch gemacht haben könnte ?
Zum Vergrößern anklicken....

im normalen Modus kann man aus dem Log wenig ersehen (siehe ein Postings von mir weiter oben zwecks Debug Mode).
Wichtig ist allerdings, dass Du den Schlüssel nicht direkt in die Konfigurationsdatei geschrieben hast, sondern über die die GUI, da dieser nach Eingabe von Shrew zusätzlich verschlüsselt wird.
 
ich hab eben nochmal 2.0.3 installiert, auch ohne erfolg.
dann noch die windows-build vom 20.5. probiert, da passiert das gleiche.

hier mal der debug-log, ich hoffe anonymisiert genug ;)
http://rafb.net/p/kZhx0J39.html

und noch mein route-output:

Code: 
root@eeepc:/var/log# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.0.0     192.168.0.201   255.255.255.0   UG    0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 ath0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 tap0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 ath0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 ath0
 
macgyver2k schrieb:
und noch mein route-output:
Zum Vergrößern anklicken....
Da liegt auch ein, wenn nicht der Fehler. Die zu verbindenden Netze dürfen nicht im selben Bereich liegen, wie bei Dir der Fall (192.168.0.0/255.255.255.0), es sei denn man bastelt rum und separiert das via Subnetting ...
Umstellen, dann sollte es laufen.

fabske schrieb:
Der login "fabske" passt auch, wenn was anderes nehme geht gar nix.
Zum Vergrößern anklicken....
Als ID dürfen wie ich bereits schrieb nur Mailadressen verwendet werden. Weitere Logins kann man natürlich auch anlegen, die gehen aber nur, wenn sie sich entsprechend auch in der Server Konfiguration befinden.
 
Zuletzt bearbeitet:
Hi,
dank dem Tip von fabske IPv6 zu deaktivieren bin ich einen Schritt weitergekommen. IPv6 wurde wohl beim 8.04-Upgrade aus der Blacklist entfernt.

Jetzt erhalte ich die selbe Meldung wie macgyver2k:
invalid message from gateway
installiert ist ebenfalls die Beta 2.10

hier mal die komplette Meldung des Clients:
Code: 
config loaded for site 'RH'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
ipcomp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
invalid message from gateway
tunnel disabled
detached from key daemon ...

und das Logfile:
Code: 
08/06/04 21:58:34 ii : ipc client process thread begin ...
08/06/04 21:58:34 <A : peer config add message
08/06/04 21:58:34 DB : peer added ( obj count = 1 )
08/06/04 21:58:34 ii : local address 192.168.99.40:500 selected for peer
08/06/04 21:58:34 DB : tunnel added ( obj count = 1 )
08/06/04 21:58:34 <A : proposal config message
08/06/04 21:58:34 <A : proposal config message
08/06/04 21:58:34 <A : proposal config message
08/06/04 21:58:34 <A : client config message
08/06/04 21:58:34 <A : local id '[email protected]' message
08/06/04 21:58:34 <A : remote id '[email protected]' message
08/06/04 21:58:34 <A : preshared key message
08/06/04 21:58:34 <A : remote resource message
08/06/04 21:58:34 <A : peer tunnel enable message
08/06/04 21:58:34 DB : new phase1 ( ISAKMP initiator )
08/06/04 21:58:34 DB : exchange type is aggressive
08/06/04 21:58:34 DB : 192.168.99.40:500 <-> 77.185.XX.XX:500 #IP-Adresse des Ziels
08/06/04 21:58:34 DB : 1234567890123456:000000000000000 # 2.Zahlen-Buchstabenmix, nicht der Key, bis zum Doppelpunkt gleich mit dem ersten
08/06/04 21:58:34 DB : phase1 added ( obj count = 1 )
08/06/04 21:58:34 >> : security association payload
08/06/04 21:58:34 >> : - proposal #1 payload 
08/06/04 21:58:34 >> : -- transform #1 payload 
08/06/04 21:58:34 >> : key exchange payload
08/06/04 21:58:34 >> : nonce payload
08/06/04 21:58:34 >> : identification payload
08/06/04 21:58:34 >> : vendor id payload
08/06/04 21:58:34 ii : local supports FRAGMENTATION
08/06/04 21:58:34 >> : vendor id payload
08/06/04 21:58:34 ii : local supports DPDv1
08/06/04 21:58:34 >> : vendor id payload
08/06/04 21:58:34 ii : local is SHREW SOFT compatible
08/06/04 21:58:34 >> : vendor id payload
08/06/04 21:58:34 ii : local is CISCO UNITY compatible
08/06/04 21:58:34 >> : vendor id payload
08/06/04 21:58:34 ii : local is NETSCREEN compatible
08/06/04 21:58:34 >> : vendor id payload
08/06/04 21:58:34 ii : local is SIDEWINDER compatible
08/06/04 21:58:34 >> : vendor id payload
08/06/04 21:58:34 ii : local is CHECKPOINT compatible
08/06/04 21:58:34 =< : using ISAKMP SA 1234567890123456:000000000000000 # 2.Zahlen-Buchstabenmix, nicht der Key, bis zum Doppelpunkt gleich mit dem ersten
08/06/04 21:58:34 -> : send IKE packet 192.168.99.40:500 -> 77.185.XX.XX:500 ( 472 bytes )
08/06/04 21:58:34 DB : phase1 resend event scheduled ( ref count = 2 )
08/06/04 21:58:34 ii : opened tap device tap0
08/06/04 21:58:34 <- : recv IKE packet 77.185.XX.XX:500 -> 192.168.99.40:500 ( 304 bytes )
08/06/04 21:58:34 ii : parsing ike packet header
08/06/04 21:58:34 ii : attempting to locate phase1 sa for packet
08/06/04 21:58:34 DB : phase1 found
08/06/04 21:58:34 ii : processing phase1 packet ( 304 bytes )
08/06/04 21:58:34 =< : using ISAKMP SA 1234567890123456:7890012345678901 #Zahlen-Buchstabenmix, nicht der Key
08/06/04 21:58:34 << : security association payload
08/06/04 21:58:34 << : - propsal #1 payload 
08/06/04 21:58:34 << : -- transform #1 payload 
08/06/04 21:58:34 ii : matched isakmp proposal #1 transform #1
08/06/04 21:58:34 ii : - transform    = ike
08/06/04 21:58:34 ii : - cipher type  = aes
08/06/04 21:58:34 ii : - key length   = 256 bits
08/06/04 21:58:34 ii : - hash type    = sha1
08/06/04 21:58:34 ii : - dh group     = modp-1024
08/06/04 21:58:34 ii : - auth type    = psk
08/06/04 21:58:34 ii : - life seconds = 3600
08/06/04 21:58:34 ii : - life kbytes  = 0
08/06/04 21:58:34 << : key exchange payload
08/06/04 21:58:34 << : nonce payload
08/06/04 21:58:34 << : identification payload
08/06/04 21:58:34 !! : phase1 id mismatch ( src != trg )
08/06/04 21:58:34 !! : src = ipv4-host 77.185.XX.XX
08/06/04 21:58:34 !! : trg = ipv4-host 255.255.255.255
08/06/04 21:58:34 DB : phase1 resend event canceled ( ref count = 1 )
08/06/04 21:58:34 ii : phase1 removal before expire time
08/06/04 21:58:34 DB : phase1 deleted ( obj count = 0 )
08/06/04 21:58:34 DB : policy not found
08/06/04 21:58:34 DB : policy not found
08/06/04 21:58:34 ii : closed tap device tap0
08/06/04 21:58:34 DB : tunnel stats event canceled ( ref count = 1 )
08/06/04 21:58:34 DB : removing tunnel config references
08/06/04 21:58:34 DB : removing tunnel phase2 references
08/06/04 21:58:34 DB : removing tunnel phase1 references
08/06/04 21:58:34 DB : tunnel deleted ( obj count = 0 )
08/06/04 21:58:34 DB : removing all peer tunnel refrences
08/06/04 21:58:34 DB : peer deleted ( obj count = 0 )
08/06/04 21:58:34 ii : ipc client process thread exit ...
08/06/04 21:58:36 <- : recv IKE packet 77.185.XX.XX:500 -> 192.168.99.40:500 ( 304 bytes )
08/06/04 21:58:36 ii : parsing ike packet header
08/06/04 21:58:36 ii : attempting to locate phase1 sa for packet
08/06/04 21:58:36 DB : phase1 not found
08/06/04 21:58:36 XX : ike packet from 77.185.XX.XX ignored, unknown phase1 sa for peer
08/06/04 21:58:36 XX : 1234567890123456:7890012345678901 #Zahlen-Buchstabenmix, nicht der Key
08/06/04 21:58:40 <- : recv IKE packet 77.185.XX.XX:500 -> 192.168.99.40:500 ( 304 bytes )
08/06/04 21:58:40 ii : parsing ike packet header
08/06/04 21:58:40 ii : attempting to locate phase1 sa for packet
08/06/04 21:58:40 DB : phase1 not found
08/06/04 21:58:40 XX : ike packet from 77.185.XX.XX ignored, unknown phase1 sa for peer
08/06/04 21:58:40 XX : 1234567890123456:7890012345678901 #Zahlen-Buchstabenmix, nicht der Key
08/06/04 21:58:48 <- : recv IKE packet 77.185.XX.XX:500 -> 192.168.99.40:500 ( 304 bytes )
08/06/04 21:58:48 ii : parsing ike packet header
08/06/04 21:58:48 ii : attempting to locate phase1 sa for packet
08/06/04 21:58:48 DB : phase1 not found
08/06/04 21:58:48 XX : ike packet from 77.185.XX.XX ignored, unknown phase1 sa for peer
08/06/04 21:58:48 XX : 1234567890123456:7890012345678901 #Zahlen-Buchstabenmix, nicht der Key

ZU tap0 wird in der ifconfig nichts angezeigt, da dieses device laut der Log gleich wieder geschlossen wird. Ebenfalls route -n zeigt nichts relevantes an.
Den Key habe ich sicherheitshalber erneut eingegeben, sowie einmal extra falsch. Die Meldungen waren immer dieselben.
Der Key besteht aus Buchstaben und Zahlen und dem Zeichen )
Morgen schaffe ich es vielleicht ihn im Zuge des Updates der FBF7170 auf die Version 14.04.57 zu ändern.

Kann jemand einen Fehler aus der Log herauslesen ? Meine Konfiguration hat sich nicht geändert und wurde exakt nach Whoopies Anleitung erstellt.

MfG Max
 
Hi,

am 19.06. ist Verision 2.1.0 heraus gekommen. Ich kann nun zwar eine Verbindung mit NAT aufbauen (ohne NAT scheitert dies) aber bekomme keine Daten über den Tunnel. Das Routing wird hinzugefügt.

Ich habe Pakete für Ubuntu Hardy (8.04) gebaut. Falls Interesse besteht, kann ich die ja bereitstellen.

Gruß

obelix-tux
 
Daran besteht definitiv Interesse :)
 

Anhänge

  • ike_vpn_client_deb.tar.bz2
    428.9 KB · Aufrufe: 50
Danke obelix-tux! Jetzt sieht meine log schon anders aus, geht aber immer noch nicht :(

Code: 
pluto:/home/fabske/Desktop# tail /var/log/iked.log 
08/06/22 22:15:03 == : stored iv ( 16 bytes )
08/06/22 22:15:03 << : hash payload
08/06/22 22:15:03 << : notification payload
08/06/22 22:15:03 == : informational hash_i ( computed ) ( 20 bytes )
08/06/22 22:15:03 == : informational hash_c ( received ) ( 20 bytes )
08/06/22 22:15:03 ii : informational hash verified
08/06/22 22:15:03 ii : received peer INVALID-ID-INFORMATION notification
08/06/22 22:15:03 ii : - 80.128.161.224:500 -> 192.168.1.5:500
08/06/22 22:15:03 ii : - ipsec-esp spi = 0x016ef026
08/06/22 22:15:03 ii : - data size 4
 
@fabske

Diese Meldung bekomme ich, wenn ich bei Authentication was verkehrt habe. Überprüfe doch mal die Einstellungen dort.

Gruß

obelix-tux
 
Authentication?
Da habe ich nur: "s:auth-method:mutual-psk" !?
 
Siehe Screenshot.
 

Anhänge

  • authentication.jpg
    authentication.jpg
    22.2 KB · Aufrufe: 189
Hallo liebe Leute,

ich habe es mittlerweile geschafft, einen Tunnel erfolgreich aufzubauen. Die Routen werden erstellt und sehen so aus.
Code: 
192.168.179.0   0.0.0.0         255.255.255.0   U     0      0        0 wlan0
192.168.177.0   192.168.177.201 255.255.255.0   UG    0      0        0 tap0
192.168.177.0   0.0.0.0         255.255.255.0   U     0      0        0 tap0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 wlan0
127.0.0.0       127.0.0.1       255.0.0.0       UG    0      0        0 lo
0.0.0.0         192.168.179.1   0.0.0.0         UG    0      0        0 wlan0

Die remote-FritzBox zeigt auch an, dass ich mit ihr verbunden bin.

Mein Problem ist folgendes: es geht kein einziges Paket durch die Leitung.
ifconfig tap0 zeigt 0 Bytes an sowohl für RX als auch für TX.
Weder ein ping geht an die eingeschalteten Rechner, noch kann ich auf die Windows-Freigaben zugreifen. Wenn mein Rechner dort im lokalen Netz hängt, dann funktioniert dies jedoch alles.

Hat jemand eine Idee?
 
[Edit frank_m24: Sinnfreies Fullquote vom Beitrag direkt darüber gelöscht. Lies noch mal die Forumregeln.]

Bist du weiter gekommen. Unter XP geht es. bei Ubuntu geht bei Phase 2 nur aes bei mir. Verbindung ist wie bei dir established. Kein byte will durch gehen...
 
VPN nur mit Windows Bordmitteln

Hallo,
kann man alleine mit Windows Bordmitteln auch eine VPN-Verbindung zur FB 7270 herstellen? Die bisher getesteten Clients kommen mit dem Cisco Client, den ich auf meinem Notebook haben muss, in die Quere. Die Nutzung von Port Forwarding auf einen hinter der FB liegenden Windows 2003 Server geht zwar, trotzdem möchte ich lieber direkt mit der Box verbinden.
 
Whoopie schrieb:
@drakon: bist du schon weiter gekommen?

Mir fehlt z.B. im Shrew Client die Möglichkeit, die User FQDN anzugeben, da geht wohl nur die IP-Adresse.
EDIT: ok, gibt's doch. Mal schauen, wie weit ich komme.
Zum Vergrößern anklicken....

hi
ich kann in version 2.0.3 unter ubuntu hardy nur die ip-adresse eingeben.
wie konntest du die FQDN eingeben?

mfg
 
Realforce schrieb:
hi
ich kann in version 2.0.3 unter ubuntu hardy nur die ip-adresse eingeben.
wie konntest du die FQDN eingeben?

mfg
Zum Vergrößern anklicken....

Das war ein Grund, mich mit Version 2.1.0 zu beschäftigen und Pakete zu erstellen (siehe weiter oben). Leider funktioniert 2.1.0 bei mir auch nicht richtig. Irgendwie ist es schon seltsam, das sich die Versionen trotz identischer Versionsnummer so in den Menüs unterscheiden.

Gruß

obelix-tux
 
Danke.:(

Ist es jetzt irgendjemand gelungen einen VPN Tunnel zur Fritz!box über ubuntu aufzubauen?
Wenn ja währe ich über ein HowTo sehr dankbar. finde leider über google und co nicht das richtige. entweder suche ich falsch oder es gibt dazu keine lösung.:confused:
 
Bei mir funktioniert leider auch nur der Tunnelaufbau mit ike 2.1.0 aus Ubuntu Intrepid.

Ich kann jedoch mit Ethereal sehen, dass Pakete über den Tunnel übertragen werden, wenn ich versuche eine IP aus dem VPN zu pingen. Es kommen auch Pakete zurück nur offensichtlich kann das tap-device die nicht zuordnen.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 638 (Mitglieder: 32, Gäste: 606)

Neueste Beiträge

Statistik des Forums

Themen
246,085
Beiträge
2,245,800
Mitglieder
373,539
Neuestes Mitglied
Horst Fürst
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück