IPhone VPN->7270 VPN-> Hat das jemand?

[HyBird]

Vielleicht kann ich helfen.

Ich habe gerade die gesamte IPSec Brainfuck Geschichte durchgekaut,
shrew->fritzbox RV042->fritzbox zyxell->Fritzbox zyxel->RV042

Wenn ihr mir mal die gesamten IPSec konfigurations einstellungen vom IPhone via screenshot einstellen könntet, würde ich gern ein wenig basteln......

 

[joshi04]

Hallo HyBird,

Vielleicht stehe ich auf dem Schlauch, aber ich verstehe Deinen Beitrag nicht so richtig.

Meine Konfiguration läuft leider nur mit PPTP und MSCHAPv2.
Für IPSec hab ich (noch) keine Lösung gefunden. Ich bin der Meinung, PopTop unterstützt kein L2TP/IPSec.
Hast Du das zum Laufen bekommen bzw. hab ich da was übersehen?

Gruß, Joshi04

 

[sackschlangen]

Hi Joshi,

na das ist doch schonmal was, wenn ich mir mein Linux nicht am Wochenende aus Neugier auf Ubuntu 9.10 abgeschossen hätte, hätte ich wohl auch nochmal ein neues Image erstellt. Sobald ich den Karren wieder am laufen habe, werde ich dies nachholen.

Gruß,

Sack

 

[HyBird]

ich habe auf einen der screenshots gesehen das Iphone wohl doch IpSec kann.
Ich gehe mal davon aus, das die implementierung auf dem iphone clienten nach den entsprechenden RFCs standards funktioniert. nur leider weis ich nicht was man unter ipsec auf dem iphone einstellen kann weil ich nunmal keins besitze,
möglicher weise kann ich dir ne passenden fb.cfg datei für dein iphone clienten basteln.
wenn ich die einstellungsmöglichkeiten des iphone clienten kenne.

 

[sackschlangen]

das IPSEC beim iPhone ist auf Cisco-Gateways ausgelegt und somit wohl nicht ganz regelkonform - zumindest inkompatibel zur originalen FB-Firmware.

 

[Novize]

Da sich bei den Spezifikationen seitens Apple und seitens AVM nichts bewegt hat, verweise ich einfach mal auf Beitrag #23 ff. Damit sollten alle Spekulationen ein Ende haben. Es geht leider immer noch nicht!

 

[joshi04]

Moin,

@ Sack, falls es Dich motiviert, ich habe mein Image mit Mythbuntu 9.10 Beta gebacken (nicht produktiv).

Eine Frage zu Deinen FW-Konfiguration:
Hast Du Protokoll 47 (GRE) eine Regel definiert? Schließlich wird GRE zwar beim Forwarding explizit angeboten, nicht aber für die Konfiguration der FW.

Joshi04

P.S.: Ich drück die Daumen, dass Deine FB sich überreden läßt...

 

[HyBird]

hier einige beispiele von avm
wie man cisco zur kooperation überredet.

ich bin immer noch nicht überzeugt das das nicht geht.
ist bestimmt fummelig aber bstimmt nicht unmöglich.
aber wie gesagt ich kenn die einstellmöglichkeiten des client nicht........

 

[sackschlangen]

Hi

ich habe folgende Forwarding-Regeln (<leer> = frei gelassen):

Protokoll - Quell-Port - Adresse - Zielport
a) tcp - 443 - 0.0.0.0 - 443
b) gre - <leer> - 0.0.0.0 - <leer>
c) tcp - 1723 - 0.0.0.0 - 1723

und folgende Firewall - Regeln
Quelle - Ziel - Protokoll - Service/Port - Aktion
d) any - 0.0.0.0 1723 - tcp - <leer> - permit
...

k.A. ob d) notwendig ist, VPN-Zugriff aus dem WAN war erst möglich, nachdem ich c) eingetragen habe.

OT: So, 9.10 Netbook-Remix ist drauf, jetzt geht mein BCM4321 erstmal wieder nicht, obwohl der im 9.10-Live-System einwandfrei ging, das war bei 9.04 der gleiche Käse, ich kann mich nur nicht mehr erinnern, wie ich's damals hinbekommen habe, ich liebe Linux , und wieder 2h weg, wieso tut man sich das eigentlich an?!

@HyBird: Einstellmöglichkeiten des Client, also des iPhone sind (Beschreibung|Server|Account|Kennwort|Zertifikat verwenden 1/0|Gruppenname|Shared Secret), also nichts mit .cfg Datei. Evtl. per Jailbreak, aber dann wird das iPhone wahrscheinlich die nächste Baustelle, denn geben tut's da aktuell nichts...

 

[frank_m24]

Hallo,

um hier noch mal einige Grundlagen zu kommunizieren:

Cisco arbeitet historisch mit einer Gruppenauthentifizierung + XAUTH. Dieses ist deshalb häufig die gewählte Variante, wenn VPN Clients "Cisco"-kompatibel sind. Das Ganze ist nichts proprietäres, sondern durchaus standardisiert. Es gilt nur leider als "möglicherweise unsicher". Deshalb benutzen die meisten anderen VPN Implementierungen andere Möglichkeiten der Authentifizierung (Zertifikate z.B.). Die IPSEC Spec ist diesbezüglich recht offen. Viele Clients unterstützen mehrere Verfahren.

AVM hat einen XAUTH Client implementiert, aber keinen XAUTH Server. Bedeutet: Man kann eine Fritzbox zwar an ein Cisco Gateway per XAUTH anbinden, aber keine XAUTH VPN Clients an die Fritzbox. Die Box implementiert Serverseitig eine Authentifizierung über FQDN und Shared Secret für Phase 1.

 

[sackschlangen]

Es läuft!!

Dank Eurer Hilfe funktioniert es schließlich, wobei Joshi mir die letzten Tipps gegeben hat.

Also,

a) das Einbrechen der DSL-Verbindung bei Aktivieren des pptpd-Dienstes ließ sich beheben, nachdem ich, wie oben beschrieben, bcrelay lan in der pptpd.conf deaktiviert habe (komischerweise ist in der dd-wrt ein "bcrelay br0" aktiviert und es funktioniert) proxyarp in der options.pptpd ist bei mir noch aktiviert, kann aber auch weggelassen werden, ich habe noch keinen Unterschied bemerkt.

b) nach der ersten Freude war es bei mir dann auch soweit, dass der Router nach einigen Minuten pptpd-Aktivität abgestürzt ist. Also nochmal neu kompiliert (stable11 Rev 3775 bei mir, mittlerweile ist 3787 aktuell), dabei habe ich alles, was mich interessierte dazugepackt
- 16MB Flash (hat meine Box)
- replace Kernel
- patch usb... (kein remove, habe ja Speicher satt )
- dropbear/avm-firewall/syslogd/virtual-ip/pptpd

das Image habe ich per Freetz Web-IF geflasht, danach alles zurückgesetzt und die zuvor gespeicherten Einstellungen aus einer Datei zurückgespielt. Mit dem neuen Image scheint es nun (seit einer knappen Stunde) stabil zu laufen, wobei ich vom Rechner aus im Internet bin, einige Youtube-Videos laufen lasse und parallel das iPhone per GPRS über vpn eingeloggt ist.

Klasse, hoffe das war's

Gruß,

Sack

 

[CyberKing2k]

Hat jemand schon mal Tool Check Point iConn VPN for iPhone probiert?
Quelle: hier

 

[Stone85]

[Edit frank_m24: Sinnfreies Vollzitat gelöscht, siehe Forumregeln.]

[Edit frank_m24: Sinnfreies Vollzitat gelöscht, siehe Forumregeln.]

Nochmal vielen Dank, es läuft nun einwandfrei

 

[LinuxDoc]

Hallo, ich bin im Moment etwas am verzweifeln und komme nicht weiter, die VPN Verbindung selber läuft schon mal, aber ich komme mit dem iphone (Client) nicht weiter in das Internet.
Hier erst mal mein Netzaufbau:

KableModem<<>>Linksys WRT (LAN/WLAN)<<>>Fritzbox(IP Client/Voip/pptpd)Freetz 1.1.2
................................192.168.1.1............................192.168.1.77

Mein Iphone hängt zur Zeit über WLAN am Linksys Router und Stellt ein VPN Verbindung zur Fritzbox her (PPTPD), das WLAN auf der Fritzbox ist deaktiviert.

Forward Regeln:

tcp 0.0.0.0:443 0.0.0.0:443 0
udp 0.0.0.0:5060 0.0.0.0:5060
gre 0.0.0.0 0.0.0.0 # GRE
tcp 0.0.0.0:1723 0.0.0.0:1723 # PPTP

Firewall Regeln

permit tcp any 0.0.0.0 range 1723 1723
deny ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255 /*AVM*/
deny udp any any range 161 162 /*AVM*/
deny udp any any eq 111/*AVM*

PPPD: chap-secrets

# client	server	secret			IP addresses
vpnuser fritzbox "xPASSWORTx" 192.168.2.10
EOF

options.pptpd

# Authentication

# Name of the local system for authentication purposes 
# (must match the second field in /etc/ppp/chap-secrets entries)
name fritzbox

# Strip the domain prefix from the username before authentication.
# (applies if you use pppd with chapms-strip-domain patch)
#chapms-strip-domain

# Encryption
# (There have been multiple versions of PPP with encryption support,
# choose with of the following sections you will use.)

# BSD licensed ppp-2.4.2 upstream with MPPE only, kernel module ppp_mppe.o
# {{{
refuse-pap
refuse-chap
refuse-mschap
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
require-mschap-v2
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
# require-mppe-128
mppe required,stateless,no40,no56
#mppe required
#mppe stateless
nodeflate
# }}}

# Network and Routing

# If pppd is acting as a server for Microsoft Windows clients, this
# option allows pppd to supply one or two DNS (Domain Name Server)
# addresses to the clients.  The first instance of this option
# specifies the primary DNS address; the second instance (if given)
# specifies the secondary DNS address.
ms-dns 192.168.1.1

# If pppd is acting as a server for Microsoft Windows or "Samba"
# clients, this option allows pppd to supply one or two WINS (Windows
# Internet Name Services) server addresses to the clients.  The first
# instance of this option specifies the primary WINS address; the
# second instance (if given) specifies the secondary WINS address.
#ms-wins 10.0.0.3
#ms-wins 10.0.0.4

# Add an entry to this system's ARP [Address Resolution Protocol]
# table with the IP address of the peer and the Ethernet address of this
# system.  This will have the effect of making the peer appear to other
# systems to be on the local ethernet.
# (you do not need this if your PPTP server is responsible for routing
# packets to the clients -- James Cameron)
proxyarp

# Logging

# Enable connection debugging facilities.
# (see your syslog configuration for where pppd sends to)
#debug

# Print out all the option values which have been set.
# (often requested by mailing list to verify options)
#dump

# Miscellaneous

# Create a UUCP-style lock file for the pseudo-tty to ensure exclusive
# access.
lock

# Disable BSD-Compress compression
nobsdcomp 

# Disable Van Jacobson compression 
# (needed on some networks with Windows 9x/ME/XP clients, see posting to
# poptop-server on 14th April 2005 by Pawel Pokrywka and followups,
# [url]http://marc.theaimsgroup.com/?t=111343175400006&r=1&w=2[/url] )
novj
novjccomp

# turn off logging to stderr, since this may be redirected to pptpd
#nologfd

pptpd.conf

# TAG: ppp
#	Path to the pppd program, default '/usr/sbin/pppd' on Linux
#
ppp /usr/sbin/pppd

# TAG: option
#	Specifies the location of the PPP options file.
#	By default PPP looks in '/etc/ppp/options'
#
option /etc/ppp/options.pptpd

# TAG: debug
#	Turns on (more) debugging to syslog
#
#debug

# TAG: stimeout
#	Specifies timeout (in seconds) on starting ctrl connection
#
#stimeout 10

# TAG: noipparam
#       Suppress the passing of the client's IP address to PPP, which is
#       done by default otherwise.
#
#noipparam

# TAG: logwtmp
#	Use wtmp(5) to record client connections and disconnections.
#
#logwtmp

# TAG: bcrelay <if>
#	Turns on broadcast relay to clients from interface <if>
#
bcrelay lan

# TAG: localip
# TAG: remoteip
#	Specifies the local and remote IP address ranges.
#
#       Any addresses work as long as the local machine takes care of the
#       routing.  But if you want to use MS-Windows networking, you should
#       use IP addresses out of the LAN address space and use the proxyarp
#       option in the pppd options file, or run bcrelay.
#
#	You can specify single IP addresses seperated by commas or you can
#	specify ranges, or both. For example:
#
#		192.168.0.234,192.168.0.245-249,192.168.0.254
#
#	IMPORTANT RESTRICTIONS:
#
#	1. No spaces are permitted between commas or within addresses.
#
#	2. If you give more IP addresses than MAX_CONNECTIONS, it will
#	   start at the beginning of the list and go until it gets 
#	   MAX_CONNECTIONS IPs. Others will be ignored.
#
#	3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,
#	   you must type 234-238 if you mean this.
#
#	4. If you give a single localIP, that's ok - all local IPs will
#	   be set to the given one. You MUST still give at least one remote
#	   IP for each simultaneous client.
#
# (Recommended)
localip 192.168.1.77
remoteip 192.168.2.10-100
# or
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245

pptpd IP-Routing

192.168.1.0 255.255.255.0 192.168.2.10

Kann mir da jemand bitte mal auf die Sprünge helfen, ich komme einfach nicht weiter.

Gruß LD

 

[semilla]

IPSec mit iPhone zur FRITZ!Box

http://www.avm.de/de/Service/Servic...l/VPN_Interoperabilitaet/16206.php?portal=VPN

 

[adda]

@semilla

Vielen Dank für den Link ! Läuft wunderbar ! Endlich eine funktionierende Anleitung von AVM für eine iPhone-VPN-Verbindung zu meiner 7390.

LG Andreas

 

[henne2007]

Eine Verbindung zur Fritzbox bekomm ich nach der neuen AVM-Anleitung auch hin, aber ich will doch auch über die VPN-Verbindung ins Netz.

Hat jemand eine Idee wie man das hinbekommt?

 

[adda]

@henne2007

Das Thema wird auch in diesem Thread behandelt:

http://www.ip-phone-forum.de/showthread.php?t=212497

Zwischenzeitlich erhielt ich von AVM zu einer entsprechenden Anfrage folgende Auskunft:

"Sehr geehrter Herr,

die FRITZ!Box hat hierauf leider keinen Einfluss. Denn nach meinen
Informationen liegt das am Cisco-VPN-Client auf dem iPhone. Dieser
unterbindet in der Regel den Zugriff auf das Internet, so lange der
VPN-Tunnel aufgebaut ist. Zumindest ist dies (soweit mir bekannt ist)
die Standardeinstellung unter Windows und auf dem iPhone wird das
wahrscheinlich nicht konfigurierbar sein.

Freundliche Grüße aus Berlin

AVM GmbH"


Ob das so korrekt ist kann ich nicht sagen. Aber vielleicht kann einer der vielen Fachleute hier das besser beurteilen.


LG Andreas

 

[DG279]

Kennst Du diesen Thread?

Mini-Howto: Kompletten Internetverkehr über AVM VPN routen
http://www.ip-phone-forum.de/showthread.php?t=189391&highlight=vpn+internet

Gruß, Dieter*

 

[adda]

@DG279

Vielen Dank für den Tip ! Leider geht dieser nicht beim iPhone, weil man zwar die CFG-Datei auf der Fritz-Box verändern kann, beim iPhone aber auf den Cisco-Client angewiesen ist, dessen Parameter nicht verändert werden können.

Im Gegensatz zu einem PC mit dem Programm "Fritz-Fernzugang" scheint das iPhone seinen Internetverkehr ausschliesslcih über die VPN-Verbindung schieben zu wollen (was nicht geht) und bringt die Meldung "Internetseite kann nicht geöffnet werden". Ein Zugriff auf alle internen IP-Adressen der Fritz-Box ist hingegen problemlos möglich.

Mein Problem ist nur, dass einige iPhone-Programme zuerst eine funktionierende Internetverbindung abfragen, bevor sie im internen IP-Kreis z.B. nach einem Netzwerkdrucker suchen und somit dann nicht finden. Ob der Internetverkehr nun über das iPhone oder seine VPN-Verbindung läuft ist in meinem Falle egal.

Ein letzter Gedanke wäre noch im Cisco-VPN-Client des iPhones einen Proxy zu definieren. Dieser kann manuell (Server ?, Port ?, Identifizierung ?) oder automatisch (URL ?) definiert werden. Vielleicht hat ja einer der iPhone-Besitzer hier im Forum eine Eingebung.


Danke und LG

Andreas