Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

Hallo zusammen,
ich möchte an meiner Fritzbox 7390 das VPN aktivieren, um von meinem Nokia-Handy auf mein Netzwerk zugreifen zu können. Wichtig sind mir Funktionen wie VNC und Zugriff auf den am USB der Fritzbox angeschlossenem Speicher. SIP wäre ok, muß aber nicht sein.
Ich habe mir 2 DYNDNS-Adressen besorgt. Eine für das Heimnetz (91.50.XXX.XXX) und eine fürs Handy (109.84.XXX.XXX) letztere brauche ich wahrscheinlich nicht, oder?
Meine *.cfg-Datei sieht folgendermaßen aus:
[Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]
Code:
------------------------------------------------------------------------------------
	/*
 * C:\Dokumente und Einstellungen\XXXXX\XXXXX\XXXXXXX.cfg
 * Mon Aug 22 21:45:22 2011
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = ":XXXXXXXXXXXXXXXXXXXXXXXX";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
------------------------------------------------------------------------------------
Meine Netzdaten sind:
Subnetzmaske: 255.255.255.0
Standard-Gateway: 192.168.178.1
DHCP-Server: 192.168.178.1
DNS-Server: 192.168.178.1

Ich versuche nun schon seit mehreren Tagen das irgendwie zum laufen zu bekommen. Ich habe mir sämtliche Seiten und Beiträge durchgelesen und verschiedene Lösungen ausprobiert. Es klappt nicht. Wäre toll, wenn mir jemand helfen könnte.

Mobiltelefon

PS: ich hätte den Inhalt der cfg-Datei gerne in eine Textbox gepackt, habe aber keine Ahnung wie das geht.
 
Auch die NOKIA- Policy musst Du noch hier darstellen. Bei der FRITZ-VPN-cfg fällt mir auf die Schnelle nur auf, daß "use_cfgmode" auf "yes" stehen muß.
 
Danke für die schnelle Antwort.

Hier die gewünschten Angaben:
Code:
*.pol-Datei:

SECURITY_FILE_VERSION: 1
[INFO]
[EMAIL="[email protected]"][email protected][/EMAIL]
[POLICY]
sa [EMAIL="[email protected]"][email protected][/EMAIL]_1 = {
esp
encrypt_alg 12
max_encrypt_bits 128
auth_alg 3
identity_remote 192.168.178.0/24
src_specific
hard_lifetime_bytes 0
hard_lifetime_addtime 3600
hard_lifetime_usetime 3600
soft_lifetime_bytes 0
soft_lifetime_addtime 3600
soft_lifetime_usetime 3600
replay_win_len 0
pfs
}



remote 0.0.0.0 0.0.0.0 = { [EMAIL="[email protected]_1%28XXXXXX.dyndns.org"][email protected]_1(XXXXXX.dyndns.org[/EMAIL]) }
inbound = { } 
outbound = { } 

[IKE]
ADDR: XXXXXX.dyndns.org 255.255.255.255
IKE_VERSION: 1
MODE: Aggressive
REPLAY_STATUS: FALSE
USE_MODE_CFG: TRUE
IPSEC_EXPIRE: TRUE
USE_XAUTH: FALSE
USE_COMMIT: FALSE
ESP_UDP_PORT: 0
SEND_NOTIFICATION: TRUE
INITIAL_CONTACT: TRUE
USE_INTERNAL_ADDR: FALSE
DPD_HEARTBEAT: 90
NAT_KEEPALIVE: 60
REKEYING_THRESHOLD: 90
ID_TYPE: 3
FQDN: [EMAIL="[email protected]"][email protected][/EMAIL]
PRESHARED_KEYS:  
FORMAT: STRING_FORMAT
KEY: 9 XXXXXXXXX
GROUP_DESCRIPTION_II: MODP_1024
USE_NAT_PROBE: FALSE
PROPOSALS: 1
ENC_ALG: AES128-CBC
AUTH_METHOD: PRE-SHARED
HASH_ALG: SHA1
GROUP_DESCRIPTION: MODP_1024
GROUP_TYPE: DEFAULT
LIFETIME_KBYTES: 0
LIFETIME_SECONDS: 3600
PRF: NONE
DNS_SERVER: 192.168.178.1
Code:
*.pin-Datei:
[POLICYNAME]
[EMAIL="[email protected]"][email protected][/EMAIL]
[POLICYVERSION]
1.0
[POLICYDESCRIPTION]

[ISSUERNAME]

[CONTACTINFO]

Die Änderung des „use_cfgmode“ auf yes hat noch nichts gebracht. (Das „Lämpchen“ im Online-Monitor der Fritzbox bleibt grau)
 
Zuletzt bearbeitet von einem Moderator:
Gib mal bei "remote" vor "inbound-outbound" ein: 192.168.178.0 255.255.255.0. Ist im Augenblick meine einzige Idee.
 
Vielen Dank,
funktioniert aber leider auch nicht.
 
Stimme ich dir zu. Mir ging es ursprünglich auch nur um die Einstellungen in meiner Fritzbox. Wenn ich weiß, dass diese richtig konfiguriert ist, kann ich an meinem Handy rumprobieren. Ansonsten weiß ich nie wo der eigentliche Fehler liegt.
 
Danke für diesen Thread! Klappt alles einwandfrei (hatte vorher noch kein VPN benötigt). Eine Kleinigkeit ist "lustig": Wenn ich wie im Eingangspost die Konfiguration für das Programm "Fritz!Fernzugang" auf
Code:
accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
ändere, scheint der Interetverkehr zwar über meinen DSL Anschluß zu laufen, jedoch erhalte ich solche traceroute-Ausgaben:
Code:
C:\>tracert sipgate.de

Routenverfolgung zu sipgate.de [217.10.79.9]  über maximal 30 Abschnitte:

  1   445 ms   639 ms   409 ms  sipgate.de [217.10.79.9]
  2   474 ms   559 ms   539 ms  sipgate.de [217.10.79.9]
  3   668 ms   659 ms   699 ms  sipgate.de [217.10.79.9]
  4   408 ms   559 ms   509 ms  sipgate.de [217.10.79.9]
  5   438 ms   460 ms   549 ms  sipgate.de [217.10.79.9]
  6   488 ms   510 ms   499 ms  sipgate.de [217.10.79.9]
  7   858 ms   379 ms   480 ms  sipgate.de [217.10.79.9]

Ablaufverfolgung beendet.

Ist das normal oder muß ich noch etwas anders konfigurieren? Die Internetverbindung scheint ansonsten normal zu funktionieren.
 
Danke, dann bauch ich nichts weiter ändern :)
 
Hi (buecke),

ich bins nochmal. Ich bin gerade dabei zu versuchen, dass wenn der Client mit der 192.168.120.20 eine bestimmte Verbindung über einen Port aufmacht, dass nur diese per VPN umgeleitet wird. Alles andere soll normal funktionieren. Geht das auch? Ich hab Analog zu deinem letzten Posting die
Code:
accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip 192.168.120.20 255.255.255.255 any", "permit ip 192.168.120.0 255.255.255.0 192.168.100.0 255.255.255.0";
in
Code:
accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip 192.168.120.20 255.255.255.255 [B][COLOR="red"]7777[/B][/COLOR]", "permit ip 192.168.120.0 255.255.255.0 192.168.100.0 255.255.255.0";
geändert, aber das lief so nicht. Wie wäre es richtig?

Danke im Vorraus

CU
 
Ohne getestet zu haben, würde ich auf folgende accesslist tippen:
Code:
accesslist = "permit ip 192.168.120.20 255.255.255.255 any eq 7777";

Viele Grüße
buecke
 
VPN-Clientportierung der Einstellungen von Notebook-A(XP) auf Notebook-B(W7)

Sorry wenn ich hier poste?

Neben etlichen Versuchen + Forumssuche finde ich keine AdHoc-Lösung?

Auf 3 Fritzen sind entsprechende *.cfg eingerichtet und sind auch ohne Probs über mein altes -die Tastatur muckt+entsorgungswürdgi!-XP-Notebook erreichbar!

Auf dem ollen XP-Teil die Daten -DYNDNS-Verzeichnis (da steht wohl die userhinterlegte *.cfg von der entfernten Fritz!Box) und die lokale User-cfg auf einen USB-Stick kopiert!

Auf der W7-Machine Fritz!Fernzugang korrekt installiert und versucht die User-cfg zu importieren! Das Icon erscheint auch und das passwort -auf dem XP-Rechner mehrfach verfiziert!- auch korrekt! Trotzdem kommt stets angehängte Fehlermeldung?

Was fehlt dem W7-PC, was auf dem XP-PC doch vorhanden ist/sein sollte?

Zugegeben bin ich eher DAU inpunkto VPN-Tunnels -die grobe Richtung meine ich verstandenzuhaben!- und mit dem alten XP-Teil kann ich von jedem Anschluss aus die Verbindung aufbauen?

Für eine Schnellbesohlung ob meiner Irrwege bedanke ich mich im Voraus!

LG
 

Anhänge

  • ScreenShot062.jpg
    ScreenShot062.jpg
    100.1 KB · Aufrufe: 12
Hi buecke,

das bewirkt, dass trotzdem alles noch über den VPN geht bei diesem PC. Also keinerlei Einschränkung nur auf den Port 7777. Aber ich werds mal weiter probieren, hab ja jetzt ein neues Muster, aber die Versuche eben, haben nur gezeigt, entweder alles oder nichts, je nachdem was ich noch probierte... Insofern hoffe ich noch auf eine Eingebung von dir :)

Bis dahin
Greetz
OB

Code:
accesslist = "permit ip 192.168.120.20 255.255.255.255 any eq 7777";
 
Lieben Dank andilao. Hatte Tomaten auf den Augen.
LG
 
Insofern hoffe ich noch auf eine Eingebung von dir :)

Mal schauen, ob dir folgende Eingebung hilft:
Code:
accesslist = "permit udp 192.168.120.20 255.255.255.255 any eq 7777", "permit tcp 192.168.120.20 255.255.255.255 any eq 7777";

Viele Grüße
buecke
 
Immer nach Hause trotz wechselnder Netze?

Hallo an alle Mitleser,

ich habe nun alle Einträge dieses Freds gelesen, aber keine Antwort auf folgende Frage gefunden:

Welche Einstellung muß ich vornehmen, damit ich aus "allen Netzen dieser Welt" erst nach Hause geVPNt werde und dann da ins Internet gelage?
Ich halte mich dienstl. immer wieder in anderen (WLAN-)Netzen auf und möchte nicht jedes Mal meine (noch zu erstellende) Config anpassen, wenn sich mein Client mal wieder in einem anderen Netzwerk befindet (mal A-, mal B-, mal C-Netz und immer wieder andere IP-Adressbereiche). Ist das überhaupt möglich?

Der Zugriff auf mein LAN mit "einfacher" (normaler) Config klappt zuverlässig.

Ich brauche mit meinem Client KEINEN ZUGRIFF auf das lokale LAN, ich will nur nach Hause (Internet und LAN).

Übrigens: Wenn mehr als 8 VPN-Verbindungen in die Box geladen werden, ist ab der 9. Verbindung nicht mehr über die "LED" zu erkennen, dass die Verbindung aufgebaut wurde. Auch ich bekomme nicht mehr zu sehen, selbst nach Gesprächen mit meinem AVM-Supporter nicht :(

Vielen Dank für eure Antworten und einen schönen Tag noch wünscht...
 
Zuletzt bearbeitet:
Mit Fritzfernzugang geht das nicht, aber mit Shrew. Die Lösung steht auch hier im Forum, ich finde den Thread aber gerade nicht. Könnte auch in diesem Thread stehen.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.