FritzBox Labor. Linux VPN Client

[wuesten.fuchs]

FlyWord, vielen vielen Dank für deine Hilfe! Es klappt tatsächlich!!

Es sind mehrere Dinge zusammen gekommen (u.a. die fehlende Firewall-Regel, die den WAN-to-WAN-Verkehr für 500 und 4500 freigibt), aber auch eine nicht vollständig umgesetzte rp_filter-Anweisung.

Bei mir (Ubuntu 8.10) müssen alle Instanzen von rp_filter auf rp_filter=0 gesetzt werden, und zwar in diesen drei Dateien:

/etc/sysctl.conf
/etc/sysctl.d/10-network-security.conf
/etc/ufw/sysctl.conf

Nach einem Neustart klappte es

 

[FlyWord]

super... freut mich.

Weiterhin Viel Spass dabei.

 

[UbuntuNoob]

Moin moin,

ich habe schon viel Gelesen und ausprobiert, doch leider bin ich nicht nur was Linux angeht, sondern auch was Netzwerk und VPN angeht ein absoluter Anfänger.

Ich habe Shrew nach den Bildern eingerichtet und natürlich auch meine werte eingegeben. Und siehe da eine Verbindung steht. (laut shrew) meine Fritzbox sagt, dass die Verbindung aufgebaut wird. Das einzige was ich nicht machen konnte ist das Häckchen bei "Enable client login Banner" rausnehmen. Das Häckchen setzt er immer wieder automatisch Rein.

Mein Problem ist, dass ich leider keine Daten hin und her bekomme und mein Netzwerk sehe ich auch nicht.

route -n

10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.178.0 192.168.178.201 255.255.255.0 UG 0 0 0 tap0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0

mein heim netz läuft mit der 192.168.178.x

Ich habe sowohl über ein UMTS Modem wie auch aus anderen W-lan netzen probiert mich einzuloggen.

Kann mir jemand vielleicht weiter helfen?

Vielen Dank schon mal im Vorraus

Gruß Marcel

Dell Mini 9
2x1,6 Ghz
1 GB Ram
8 GB SSD
Ubuntu 8.04
Shrew 2.0.3
FB 7240

 

[Spooks]

Mir gehts ganz genau so,

ich habe relativ viel Erfahrung mit Linux. Nix zu machen.

So sehen ifconfig und route -n aus:

ppp0 Link encapunkt-zu-Punkt-Verbindung
inet Adresse:10.68.49.205 P-z-P:10.64.64.64 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metrik:1
RX packets:20 errors:0 dropped:0 overruns:0 frame:0
TX packets:57 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:3
RX bytes:1899 (1.8 KB) TX bytes:8468 (8.4 KB)

tap0 Link encap:Ethernet Hardware Adresse 4e:29:1d:c4:76:c3
inet Adresse:192.168.1.254 Bcast:192.168.1.255 Maske:255.255.255.0
inet6-Adresse: fe80::4c29:1dff:fec4:76c3/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1380 Metrik:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:500
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

ulli@ubuntunotebook:~$ route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.1.0 192.168.1.254 255.255.255.0 UG 0 0 0 tap0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 ppp0
0.0.0.0 10.64.64.64 0.0.0.0 UG 0 0 0 ppp0

Any ideas?

 

[bdtester]

"Verbindung wird aufgebaut"

Hallo,

nachdem es auf der FB 7270 meiner Eltern - wie weiter oben beschrieben - bei mir eines schönen Momentes mal ging, wollte ich das ganze auch auf meiner FB 7170 realisieren. Und? Pustekuchen! Zuletzt war es nicht mal mehr mit dem AVM-Tool möglich, eine Verbindung (auch nach Neuerstellung der fritzbox.cfg) aufzubauen. Dann hat es mir gereicht und ich habe auf meiner 7170 openvpn zum ohnehin schon vorhandenen freetz hinzugefügt.

Bezüglich der 7270, bei der es funzt, bin ich in folgenden drei Schritten vorgegangen, die ich auch erfahreneren Linuxern empfehlen würde:

1) Erstellung der FB-config mit dem AVM-Tool, ggfs darauf achten, dass der Key keine Zeichen enthält, die später Probleme machen könnten. Diese config zunächst 1:1 unter Windows (notfalls Freunde/Bekannte/Nachbarn fragen *gg*) mit dem AVM-Tool einsetzen.
2) Erstellung der shrew-config nach Whoopies Screenshots mit den Daten aus der config vom AVM-Tool. Test dieser config unter shrew für Windows.
3) Erst wenn das geklappt hat mit der gleichen config auf ein shrew gleicher Version unter Linux umziehen.

Der etwas höhere Aufwand macht sich durch die Sicherheit, jederzeit zu wissen, woran es grob jeweils klemmen muss, mehr als bezahlt.

 

[MaxPowers]

Danke bdtester,
bei mir funktioniert jetzt endlich die Verbindung zu einer 7270.
Mit einer 7170 klappt der Verbindungsaufbau leider auch nicht.

Ich habe Ubuntu 8.10 auf meinem Notebook, Shrew ist über die Paketverwaltung (ike und ike-qtgui) installiert und zeigt Version 2.1.0 an.
ipv6 ist geblacklistet, rp_filter überall auf 0 gesetzt, beide FBFs sind auf dem neuesten Stand (Version 67). Die Konfigurationen wurde alle aus Windows importiert, wo sie anstandslos liefen (mit der Version Shrew 2.1.4 win). Das VPN-Passwort enthhält keine Sonderzeichen (also nur Zeichen die man auf der amerikanischen Tastatur findet).

Hier die Ausgabe von ifconfig & route -n:

7270 (Netz: 192.168.50.0)
route -n

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.50.0    192.168.50.40   255.255.255.0   UG    0      0        0 tap0
192.168.50.0    0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.99.0    0.0.0.0         255.255.255.0   U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         192.168.99.1    0.0.0.0         UG    0      0        0 eth0

ifconfig

tap0      Link encap:Ethernet  Hardware Adresse 1a:73:27:14:f5:db  
          inet Adresse:192.168.50.40  Bcast:192.168.50.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:500 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

7170 (Netz 192.168.1.0)
route -n

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.99.0    0.0.0.0         255.255.255.0   U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         192.168.99.1    0.0.0.0         UG    0      0        0 eth0

ifconfig

tap0      Link encap:Ethernet  Hardware Adresse 4a:7a:a4:6f:52:0d  
          inet Adresse:192.168.1.40  Bcast:192.168.1.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1380  Metrik:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:500 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Interessant ist noch, das shrew beim Verbinden mit der 7170 immer die Netmask anzeigt, anstelle der virtuellen IP.

Der Zugriff auf die 7270 klappt sogar im OpenVPN meiner Uni.
Ich werde morgen versuchen mich mit einer weiteren 7170 zu verbinden.

MfG Max

 

[MaxPowers]

Nach einem Neustart funktionieren beide Zugriffe, auch hinter einem OpenVPN. Shrew zeigt beim Verbinden mit der 7170 weiterhin die Netmask, anstelle der virtuellen IP an.
Danke an Alle. MfG Max

PS: dieser Thread hat bald Geburtstag

 

[fion]

Hallo zusammen,

ich versuche auch gerade Shrew 2.1.4 auf Windows Vista 64 bit zum laufen zu bekommen um mich mit der 7170 per VPN zu verbinden. Ich habe es konfiguriert wie von whoopie hier beschrieben aber beim Versuch die Verbindung aufzubauen, bekomme ich einen Timeout.

config loaded for site 'xxx.homeip.net'
configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
ipcomp proposal configured
client configured
local id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon ...

Ein paar Post vorher hab ich gelesen, dass eine falsche E-Mail-Adresse der Grund sein soll aber das habe ich geprüft, einen Tippfehler gibts da nicht. Ich habe die Config über das AVM-Tool erstellt.

Die Fritzbox ist auch per VPN mit ner 7270 verbunden, da gibts keine Probs. Zusätzlich hab ich eben den Zugriff für einen Benutzer erstellt und in die Box geladen. Ich habe bei meinen Recherchen hier im Forum noch was gelesen, dass ein zu langes Passwort oder ein Passwort mit Sonderzeichen Probleme machen kann, also hab ich das vorher in der Config ein ein 10-Stelliges ohne Sonderzeichen geändert.
Was kann ich hier noch versuchen oder hat jemand dafür die passende Lösung?

Danke im Voraus...
fion

 

[Zipper]

[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren. Lies noch mal die Forumregeln.]
Ich versuche das ganze nun auch unter Vista (32bit, SP1) mit einer 7270, aber bei mir funktionieren die Pings oder jeglicher anderer Verkehr in das VPN genauso wenig.
Ich kann mich korrekt verbinden:

config loaded for site 'myhost.vpn'
configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
ipcomp proposal configured
client configured
local id configured
pre-shared key configured
bringing up tunnel ...
network device configured
tunnel enabled

In Network-Reiter steht auch:

Established - 1
Expired - 0
Failed - 0

Status - Connected
Remote Host - <IP>
Transport Used - IKE | ESP
IKE Fragmentation - Disabled
Dead Peer Detection - Enabled

Das Netzwerk-IF wurde korrekt initialisiert:

Ethernet-Adapter LAN-Verbindung* 16:

   Verbindungsspezifisches DNS-Suffix:
   Verbindungslokale IPv6-Adresse  . : fe80::894d:189e:3477:85dd%62
   IPv4-Adresse  . . . . . . . . . . : 192.168.178.201
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . :

Und auch die Routen scheinen zu stimmen:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0   192.168.35.170     192.168.35.7     25
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      169.254.0.0      255.255.0.0   Auf Verbindung   192.168.178.201    326
  169.254.255.255  255.255.255.255   Auf Verbindung   192.168.178.201    306
     192.168.35.0    255.255.255.0   Auf Verbindung      192.168.35.7    281
     192.168.35.7  255.255.255.255   Auf Verbindung      192.168.35.7    281
   192.168.35.255  255.255.255.255   Auf Verbindung      192.168.35.7    281
    192.168.178.0    255.255.255.0   Auf Verbindung   192.168.178.201     51
  192.168.178.201  255.255.255.255   Auf Verbindung   192.168.178.201    306
  192.168.178.255  255.255.255.255   Auf Verbindung   192.168.178.201    306
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.35.7    281
        224.0.0.0        240.0.0.0   Auf Verbindung   192.168.178.201    306
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.35.7    281
  255.255.255.255  255.255.255.255   Auf Verbindung   192.168.178.201    306
===========================================================================

Hier noch mal meine Konfiguration:

n:network-ike-port:500
n:client-addr-auto:0
n:network-frag-size:540
n:network-dpd-enable:1
n:network-notify-enable:1
n:client-banner-enable:0
n:phase1-dhgroup:2
n:phase1-keylen:256
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:phase2-keylen:256
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-list-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:version:2
n:client-dns-used:0
n:network-mtu-size:1380
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:vendor-chkpt-enable:0
n:policy-nailed:0
s:network-host:myhost.com
s:client-auto-mode:pull
s:client-iface:virtual
s:client-ip-addr:192.168.178.201
s:client-ip-mask:255.255.255.0
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:address
s:ident-client-data:[email protected]
b:auth-mutual-psk:MYPASSWD=
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:esp-aes
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
n:phase2-pfsgroup:2
s:policy-list-include:192.168.178.0 / 255.255.255.0

Jemand ne Idee, wie ich den Fehler herausbekommen kann? Wo sollte ich ansetzen?

[Beitrag 2:]
Ich habe mal mit WireShark die Pakete verfolgt. Wenn ich direkt am vnet Device lausche und einen Ping in das VPN absetze (von 192.168.178.210 nach 192.168.178.1), sehe ich weder ausgehende, noch eingehende Pakete. Das ist mir schon mal unverständlich, weil ich ja wenigstens die Ping-Requests sehen müsste. Aber das liegt vlt. am Shrew-Treiber.

Lausche ich am realen Interface, dann sehe ich da als ausgehendes Paket Daten von meiner internen IP im lokalen Netz (192.168.35.7) zur öffentlichen IP der FritzBox zu Hause. Das Protocol ist ESP (Encapsulating Security Payload). Das scheint das verschlüsselte Paket zu dem Ping zu sein. Als Antwort darauf erhalte ich von der Firewall/Router hier im lokalen Netz (192.168.35.170) ein ICMP-Paket "Destination Unreachable (Port unreachable)". Es sind dort aber Port 500 und 4500 freigegeben.

Muss ich noch andere Ports auf der lokalen Firewall oder auf der entfernten FritzBox freigeben?

 

[frank_m24]

Hallo,

Als Antwort darauf erhalte ich von der Firewall/Router hier im lokalen Netz (192.168.35.170) ein ICMP-Paket "Destination Unreachable (Port unreachable)". Es sind dort aber Port 500 und 4500 freigegeben.

ESP hat nichts mit Port 500 oder 4500 zu tun. Für ESP muss man eine extra Protokoll-Freigabe einrichten.

Hängt der VPN Server denn hinter einer Firewall?

 

[Zipper]

Nein, der Server (Fritz-Box) ist direkt mit dem Internet verbunden. Ich als Client dagegen hänge hinter einer lokalen Firewall (ausgehender Verkehr wird gefiltert) in einem NAT-Netz. Von dort aus will ich nach Hause in das Netz.

Ich werde mal schauen, ob ich an der Firewall noch was ändern kann oder ich probiere das erst einmal von einem anderen Netz ohne Firewall aus.

 

[frank_m24]

Hallo,

hast du NAT-T in den Konfigurationsdateien aktiviert?

 

[Zipper]

[Edit frank_m24: Sinnfreies Vollzitat vom Beitrag direkt darüber gelöscht. Lies noch mal die Forumregeln.]

Ja, hab ich. Hab es auch ohne mal probiert, ging trotzdem nicht.

n:network-natt-port:4500
n:network-natt-rate:15
s:network-natt-mode:enable
s:network-frag-mode:enable

 

[frank_m24]

Hallo,

auch auf der anderen Seite, in der Fritzbox-Konfig?

 

[Hamper]

Einfache Konfiguration von shrew

Wenn ich mich mal einklinken darf, ich habe eine einfache Methode mit einem Script, das die "Fritz-Dateien" in "Shrew-Dateien" umwandelt, gefunden, VPN unter ubuntu / linux mit der Fritz!Box zu verbinden und schreibe mal eine kleine Anleitung. Voraussetzung ist eine sinnvolle Konfiguration mit "Fritz!Box Fernzugang einrichten" und, dass die entsprechenden cfg-Dateien existieren bzw. auf die Fritz!Box hochgeladen wurden.

1. Shrew installieren, am besten die neueste Version (2.1.4). Das geht z.B. unter Ubuntu am einfachsten als Debian-Paket unter http://packages.ubuntu.com/de/jaunty/ike und hier: http://packages.ubuntu.com/de/jaunty/ike-qtgui (beides installieren). Die 2.1.0 er Version hat auf jeden Fall noch so einige Bugs.

2. Die Datei vpnseter2.pl.txt runterladen und umbenennen in vpnseter2.pl . In den gleichen Ordner kommt dann die erstellte cfg-Datei vom User.
Dann eingeben: chmod 755 vpnseter2.pl um die Datei ausführbar zu machen. (Vorausgesetzt, dass Perl installiert ist. Das Script kommt kommt übrigens nicht von mir, sondern von hier: http://forum.ubuntuusers.de/topic/vpn-verbindung-zu-fritzbox-7170/?post-1728536

3. Dann wird aufgerufen: ./vpnseter2.pl vpnuser_konfigurationsdatei.cfg (<- entsprechenden Dateinamen einfügen). Jetzt shrew (neu) starten und die neue Konfiguration müsste automatisch erscheinen. Falls nicht, steht die Datei im Homeverzeichnis unter $home/.ike und kann in shrew importiert werden. Jetzt kann in shrew die Verbindung hergestellt werden und es müßte sofort klappen.

4. Falls kein Ping oder keine Verbindung in das Heimnetzwerk funktioniert, kann es am sysctl-Wert net.ipv4.conf.all.rp_filter liegen, der 0 sein muss. Dazu entweder die Datei/etc/sysctl.d/10-network-security.conf entsprechend editieren, oder falls das nicht funktioniert, eingeben: sudo sysctl net.ipv4.conf.all.rp_filter=0. Notfalls muss man das bei jedem Neustart machen.

5. So, jetzt sollte das VPN zur Fritzbox stehen, hoffe ich ^^ Ich bin kein Linux-Profi, daher schlagt mich nicht für meine manchmal etwas Linux-untypischen Ausdrücke

EDIT: Offtopic: Wow, ich habe grad gemerkt dass auf der Fritz!Box 7270 nicht mal Wake-on-Lan installieren muss. Das ist ja schon "eingebaut"... Jetzt kann ich per VPN auf die Fritz!Box und damit dann meinen PC einfach aufwecken. Cool... -.-

 

[wuesten.fuchs]

Hey Hamper,
ich bin zwar kein FritzBox-User, finde es aber toll, dass du deine Erfahrungen mit uns teilst! Damit ist bestimmt einigen Leuten hier geholfen!

 

[peter_altherr]

und als kleines sahnehäubchen (wie immer ohne funktionsgarantie) :-D
avm hat wohl unsere gebete erhört:

http://www.avm.de/de/Service/Servic...l/VPN_Interoperabilitaet/15729.php?portal=VPN


grüsse

peter

 

[gerwulf]

Wunderbar, klappt einwandfrei unter Ubuntu Jaunty.

Danke AVM, und Danke Peter!!

 

[starbright]

Ich kämpfe noch mit Ubuntu Karma K.
...
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon ...

... Ich hab den Client installiert und wie von AVM beschrieben eingerichtet.
Ich kenn mich mit Ubuntu noch nicht aus - muß man noch weiteres einstellen?

 

[stesind]

[Edit frank_m24: Sinnfreies Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]


An Karmic sollte es nicht liegen. Du musst wahrscheinlich noch an den Einstellungen rumprobieren. Leider setzte ich es nicht mehr ein, kann dir deshalb nicht mehr die korrekten Einstellungen sagen.