FritzToShrewVPN -- ein neues Tool

[improve-shrew]

Moin,

ich habe ein Tool entwickelt um bequem und schnell eine Verbindung mit ShrewSoft zur Fritzbox zu erstellen.

Zu finden ist das ganze hier:
https://github.com/smjaberl/FritzToShrewVPN

So schaut das ganze aus:



Das ganze hat nichts zu tun mit dem FritzToShrew, welches es vor Jahren schonmal gab. Die Namensgleichheit ist reiner Zufall.


Was haltet ihr davon?

 

[Pokemon20021]

Frage: Woher bekommt man das Template ?

https://github.com/smjaberl/FritzToShrewVPN/blob/master/FritzToShrewVPN/config.vpn

n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-dns-used:1
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:1
n:client-splitdns-auto:1
n:client-wins-used:1
n:client-wins-auto:1
n:phase1-dhgroup:2
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
s:network-host:fritzhost        ####
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk-xauth
s:ident-client-type:keyid
s:ident-server-type:address
s:ident-client-data:fritzUser        ####
b:auth-mutual-psk:fritzPSK        ####
s:phase1-exchange:aggressive
s:phase1-cipher:auto
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:-1
s:policy-level:auto

Vergleich mit https://fritztoshrew.codeplex.com/SourceControl/latest#ShrewAVM/ShrewAVM/Resources/template.vpn
liefert doch einige Unterschiede:

diff smjaberl.vpn fritztoshrew.vpn
1c1
< b:auth-mutual-psk:fritzPSK            ####
---
> b:auth-mutual-psk:##presharedkey##
6,7c6,7
< n:client-dns-used:1
< n:client-splitdns-auto:1
---
> n:client-dns-used:0
> n:client-splitdns-auto:0
10c10
< n:client-wins-used:1
---
> n:client-wins-used:0
18a19
> n:phase1-keylen:256
20a22
> n:phase2-keylen:256
23,24c25,26
< n:phase2-pfsgroup:-1
< n:policy-list-auto:1
---
> n:phase2-pfsgroup:2
> n:policy-list-auto:0
27,28c29,30
< n:version:4
< s:auth-method:mutual-psk-xauth
---
> n:version:3
> s:auth-method:mutual-psk
31,32c33,34
[COLOR=#0000ff]< s:ident-client-data:fritzUser         ####
< s:ident-client-type:keyid
---
> s:ident-client-data:##user_fqdn##
> s:ident-client-type:ufqdn[/COLOR]
34c36
< s:ipcomp-transform:disabled
---
> s:ipcomp-transform:deflate
36c38
< s:network-host:fritzhost              ####
---
> s:network-host:##remotehostname##
38c40
< s:phase1-cipher:auto
---
> s:phase1-cipher:aes
40,43c42,45
< s:phase1-hash:auto
< s:phase2-hmac:auto
< s:phase2-transform:auto
< s:policy-level:auto
---
> s:phase1-hash:sha1
> s:phase2-hmac:sha1
> s:phase2-transform:esp-aes
> s:policy-list-include:##ipaddr## / ##mask##

z.B. "s:ident-client-type": "ufqdn" vs. "keyid"
unklar was besser oder richtig ist.


Wäre es nicht besser, die Shrew-Config aus einer vorhandenen vpn.cfg aus der Box einzulesen und die Shrew-Config daraus abzuleiten, statt statisch ein Template im Programmcode vorzudefinieren in der Hoffnung, dass es zu der jeweiligen vpn.cfg der Box passt ?

 

[improve-shrew]

Hallo und danke für die Rückmeldung,

das fritztoshrew, welches auf codeplex veröffentlicht ist, geht von einer vpn.cfg aus, welche mit dem Programm "FRITZ!Box-Fernzugang einrichten" erstellt wurde. Diese Variante ist noch praktikabel, aber m.E. veraltet.

Mein FritzToShrewVPN nutzt Verbindungen die man in der Box einem Benutzer zuweisen kann. Es verkürzt also den Punkt 3 folgender Anleitung:

https://avm.de/service/vpn/tipps-tr...-shrew-soft-vpn-client-einrichten-windows-10/

Das Template enthält jene Einstellungen, die ShrewSoft standardmäßig setzt und jene, die in Punkt 3 der obigen Anleitung gesetzt werden.

Ob die Verbindung direkt in der Box oder über die vpn.cfg erstellt wird, macht einen Unterschied!! Bei erstem ist z.B. zwingend xauth erforderlich. Das hat mich erst "genervt", macht aber Sicherheitstechnisch durchaus Sinn.

Wer spezielle Einstellungen braucht, kann diese später ohne weiteres in "VPN Access Manager" von ShrewSoft konfigurieren. Ggf. kann diese Konfiguration dann auch als Vorlage für weitere User benutzt werden. Hierfür habe ich die Option "Kopie der gewählten Verbindung erstellen" eingebaut.

Gruß
Jan

 

[Pokemon20021]

@Shrew-VPN-Interessierte:
es gibt auch noch eine Fritz!Shrew-VPN-Tool von Michael Engelke

dieses Java-Script kann in Online- oder Offline-Variante genutzt werden:
siehe http://www.mengelke.de/Projekte/FritzShrewVPNTool

Beschreibung ist hier: http://www.mengelke.de/Projekte/FritzShrewVPNTool

 

[improve-shrew]

Ich habe nun etwas weiter gecoded. Da noch nicht alles wieder funktioniert, gibts noch kein release, aber für euch ein Bild:



Man kann sich nun an der Box anmelden und die VPN Zugangsparameter aller User laden.
Die passende Shrewsoft VPN Konfiguration ist dann mit einem weiteren Klick erledigt.

Das Design ist nicht endgültig. It's just work in progress, aber ich wollte mal eure Meinung hören! Bitte Fragen wenn die GUI unverständlich ist.

 

[improve-shrew]

Nunja, ich habe noch nicht geschaut wie ich da dran komme, aber die Möglichkeit das in den Link einzutragen ist mir bekannt.

Persönlich wäre mir das aber ein Dorn im Auge was die Sicherheit angeht. ... Vielleicht mach ich es mit nem fetten Warnhinweis.

 

[improve-shrew]

So, ich hab dann mal eine erste Version der neuen Version online gestellt. Schön kommt die Tage, Kritik ist erwünscht.

https://github.com/smjaberl/FritzToShrewVPN



@andilao: Der Feature Request ist noch nicht aus den Augen verloren!