Mini-Howto: Kompletten Internetverkehr über AVM VPN routen
- Ersteller buecke
- Erstellt am
Hallo zusammen,
ich möchte an meiner Fritzbox 7390 das VPN aktivieren, um von meinem Nokia-Handy auf mein Netzwerk zugreifen zu können. Wichtig sind mir Funktionen wie VNC und Zugriff auf den am USB der Fritzbox angeschlossenem Speicher. SIP wäre ok, muß aber nicht sein.
Ich habe mir 2 DYNDNS-Adressen besorgt. Eine für das Heimnetz (91.50.XXX.XXX) und eine fürs Handy (109.84.XXX.XXX) letztere brauche ich wahrscheinlich nicht, oder?
Meine *.cfg-Datei sieht folgendermaßen aus:
[Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]
Meine Netzdaten sind:
Subnetzmaske: 255.255.255.0
Standard-Gateway: 192.168.178.1
DHCP-Server: 192.168.178.1
DNS-Server: 192.168.178.1
Ich versuche nun schon seit mehreren Tagen das irgendwie zum laufen zu bekommen. Ich habe mir sämtliche Seiten und Beiträge durchgelesen und verschiedene Lösungen ausprobiert. Es klappt nicht. Wäre toll, wenn mir jemand helfen könnte.
Mobiltelefon
PS: ich hätte den Inhalt der cfg-Datei gerne in eine Textbox gepackt, habe aber keine Ahnung wie das geht.
ich möchte an meiner Fritzbox 7390 das VPN aktivieren, um von meinem Nokia-Handy auf mein Netzwerk zugreifen zu können. Wichtig sind mir Funktionen wie VNC und Zugriff auf den am USB der Fritzbox angeschlossenem Speicher. SIP wäre ok, muß aber nicht sein.
Ich habe mir 2 DYNDNS-Adressen besorgt. Eine für das Heimnetz (91.50.XXX.XXX) und eine fürs Handy (109.84.XXX.XXX) letztere brauche ich wahrscheinlich nicht, oder?
Meine *.cfg-Datei sieht folgendermaßen aus:
[Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]
Code:
------------------------------------------------------------------------------------
/*
* C:\Dokumente und Einstellungen\XXXXX\XXXXX\XXXXXXX.cfg
* Mon Aug 22 21:45:22 2011
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "[email protected]";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.178.201;
remoteid {
user_fqdn = "[email protected]";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = ":XXXXXXXXXXXXXXXXXXXXXXXX";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.178.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.178.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
------------------------------------------------------------------------------------Subnetzmaske: 255.255.255.0
Standard-Gateway: 192.168.178.1
DHCP-Server: 192.168.178.1
DNS-Server: 192.168.178.1
Ich versuche nun schon seit mehreren Tagen das irgendwie zum laufen zu bekommen. Ich habe mir sämtliche Seiten und Beiträge durchgelesen und verschiedene Lösungen ausprobiert. Es klappt nicht. Wäre toll, wenn mir jemand helfen könnte.
Mobiltelefon
PS: ich hätte den Inhalt der cfg-Datei gerne in eine Textbox gepackt, habe aber keine Ahnung wie das geht.
Auch die NOKIA- Policy musst Du noch hier darstellen. Bei der FRITZ-VPN-cfg fällt mir auf die Schnelle nur auf, daß "use_cfgmode" auf "yes" stehen muß.
Danke für die schnelle Antwort.
Hier die gewünschten Angaben:
Die Änderung des „use_cfgmode“ auf yes hat noch nichts gebracht. (Das „Lämpchen“ im Online-Monitor der Fritzbox bleibt grau)
Hier die gewünschten Angaben:
Code:
*.pol-Datei:
SECURITY_FILE_VERSION: 1
[INFO]
[EMAIL="[email protected]"][email protected][/EMAIL]
[POLICY]
sa [EMAIL="[email protected]"][email protected][/EMAIL]_1 = {
esp
encrypt_alg 12
max_encrypt_bits 128
auth_alg 3
identity_remote 192.168.178.0/24
src_specific
hard_lifetime_bytes 0
hard_lifetime_addtime 3600
hard_lifetime_usetime 3600
soft_lifetime_bytes 0
soft_lifetime_addtime 3600
soft_lifetime_usetime 3600
replay_win_len 0
pfs
}
remote 0.0.0.0 0.0.0.0 = { [EMAIL="[email protected]_1%28XXXXXX.dyndns.org"][email protected]_1(XXXXXX.dyndns.org[/EMAIL]) }
inbound = { }
outbound = { }
[IKE]
ADDR: XXXXXX.dyndns.org 255.255.255.255
IKE_VERSION: 1
MODE: Aggressive
REPLAY_STATUS: FALSE
USE_MODE_CFG: TRUE
IPSEC_EXPIRE: TRUE
USE_XAUTH: FALSE
USE_COMMIT: FALSE
ESP_UDP_PORT: 0
SEND_NOTIFICATION: TRUE
INITIAL_CONTACT: TRUE
USE_INTERNAL_ADDR: FALSE
DPD_HEARTBEAT: 90
NAT_KEEPALIVE: 60
REKEYING_THRESHOLD: 90
ID_TYPE: 3
FQDN: [EMAIL="[email protected]"][email protected][/EMAIL]
PRESHARED_KEYS:
FORMAT: STRING_FORMAT
KEY: 9 XXXXXXXXX
GROUP_DESCRIPTION_II: MODP_1024
USE_NAT_PROBE: FALSE
PROPOSALS: 1
ENC_ALG: AES128-CBC
AUTH_METHOD: PRE-SHARED
HASH_ALG: SHA1
GROUP_DESCRIPTION: MODP_1024
GROUP_TYPE: DEFAULT
LIFETIME_KBYTES: 0
LIFETIME_SECONDS: 3600
PRF: NONE
DNS_SERVER: 192.168.178.1
Code:
*.pin-Datei:
[POLICYNAME]
[EMAIL="[email protected]"][email protected][/EMAIL]
[POLICYVERSION]
1.0
[POLICYDESCRIPTION]
[ISSUERNAME]
[CONTACTINFO]Die Änderung des „use_cfgmode“ auf yes hat noch nichts gebracht. (Das „Lämpchen“ im Online-Monitor der Fritzbox bleibt grau)
Zuletzt bearbeitet von einem Moderator:
Gib mal bei "remote" vor "inbound-outbound" ein: 192.168.178.0 255.255.255.0. Ist im Augenblick meine einzige Idee.
Deine Frage hat nicht wirklich etwas mit dem Thema in diesem Thread hier zu tun. Du bist besser aufgehoben bei: http://www.ip-phone-forum.de/showthread.php?t=169207
Viele Grüße
buecke
Viele Grüße
buecke
Stimme ich dir zu. Mir ging es ursprünglich auch nur um die Einstellungen in meiner Fritzbox. Wenn ich weiß, dass diese richtig konfiguriert ist, kann ich an meinem Handy rumprobieren. Ansonsten weiß ich nie wo der eigentliche Fehler liegt.
SnoopyDog
IPPF-Promi
- Mitglied seit
- 14 Jul 2005
- Beiträge
- 3,054
- Punkte für Reaktionen
- 224
- Punkte
- 63
Danke für diesen Thread! Klappt alles einwandfrei (hatte vorher noch kein VPN benötigt). Eine Kleinigkeit ist "lustig": Wenn ich wie im Eingangspost die Konfiguration für das Programm "Fritz!Fernzugang" auf
ändere, scheint der Interetverkehr zwar über meinen DSL Anschluß zu laufen, jedoch erhalte ich solche traceroute-Ausgaben:
Ist das normal oder muß ich noch etwas anders konfigurieren? Die Internetverbindung scheint ansonsten normal zu funktionieren.
Code:
accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
Code:
C:\>tracert sipgate.de
Routenverfolgung zu sipgate.de [217.10.79.9] über maximal 30 Abschnitte:
1 445 ms 639 ms 409 ms sipgate.de [217.10.79.9]
2 474 ms 559 ms 539 ms sipgate.de [217.10.79.9]
3 668 ms 659 ms 699 ms sipgate.de [217.10.79.9]
4 408 ms 559 ms 509 ms sipgate.de [217.10.79.9]
5 438 ms 460 ms 549 ms sipgate.de [217.10.79.9]
6 488 ms 510 ms 499 ms sipgate.de [217.10.79.9]
7 858 ms 379 ms 480 ms sipgate.de [217.10.79.9]
Ablaufverfolgung beendet.Ist das normal oder muß ich noch etwas anders konfigurieren? Die Internetverbindung scheint ansonsten normal zu funktionieren.
Hi (buecke),
ich bins nochmal. Ich bin gerade dabei zu versuchen, dass wenn der Client mit der 192.168.120.20 eine bestimmte Verbindung über einen Port aufmacht, dass nur diese per VPN umgeleitet wird. Alles andere soll normal funktionieren. Geht das auch? Ich hab Analog zu deinem letzten Posting die
in
geändert, aber das lief so nicht. Wie wäre es richtig?
Danke im Vorraus
CU
ich bins nochmal. Ich bin gerade dabei zu versuchen, dass wenn der Client mit der 192.168.120.20 eine bestimmte Verbindung über einen Port aufmacht, dass nur diese per VPN umgeleitet wird. Alles andere soll normal funktionieren. Geht das auch? Ich hab Analog zu deinem letzten Posting die
Code:
accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip 192.168.120.20 255.255.255.255 any", "permit ip 192.168.120.0 255.255.255.0 192.168.100.0 255.255.255.0";
Code:
accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip 192.168.120.20 255.255.255.255 [B][COLOR="red"]7777[/B][/COLOR]", "permit ip 192.168.120.0 255.255.255.0 192.168.100.0 255.255.255.0";Danke im Vorraus
CU
Ohne getestet zu haben, würde ich auf folgende accesslist tippen:
Viele Grüße
buecke
Code:
accesslist = "permit ip 192.168.120.20 255.255.255.255 any eq 7777";Viele Grüße
buecke
Micha0815
IPPF-Promi
- Mitglied seit
- 25 Feb 2008
- Beiträge
- 5,344
- Punkte für Reaktionen
- 467
- Punkte
- 83
VPN-Clientportierung der Einstellungen von Notebook-A(XP) auf Notebook-B(W7)
Sorry wenn ich hier poste?
Neben etlichen Versuchen + Forumssuche finde ich keine AdHoc-Lösung?
Auf 3 Fritzen sind entsprechende *.cfg eingerichtet und sind auch ohne Probs über mein altes -die Tastatur muckt+entsorgungswürdgi!-XP-Notebook erreichbar!
Auf dem ollen XP-Teil die Daten -DYNDNS-Verzeichnis (da steht wohl die userhinterlegte *.cfg von der entfernten Fritz!Box) und die lokale User-cfg auf einen USB-Stick kopiert!
Auf der W7-Machine Fritz!Fernzugang korrekt installiert und versucht die User-cfg zu importieren! Das Icon erscheint auch und das passwort -auf dem XP-Rechner mehrfach verfiziert!- auch korrekt! Trotzdem kommt stets angehängte Fehlermeldung?
Was fehlt dem W7-PC, was auf dem XP-PC doch vorhanden ist/sein sollte?
Zugegeben bin ich eher DAU inpunkto VPN-Tunnels -die grobe Richtung meine ich verstandenzuhaben!- und mit dem alten XP-Teil kann ich von jedem Anschluss aus die Verbindung aufbauen?
Für eine Schnellbesohlung ob meiner Irrwege bedanke ich mich im Voraus!
LG
Sorry wenn ich hier poste?
Neben etlichen Versuchen + Forumssuche finde ich keine AdHoc-Lösung?
Auf 3 Fritzen sind entsprechende *.cfg eingerichtet und sind auch ohne Probs über mein altes -die Tastatur muckt+entsorgungswürdgi!-XP-Notebook erreichbar!
Auf dem ollen XP-Teil die Daten -DYNDNS-Verzeichnis (da steht wohl die userhinterlegte *.cfg von der entfernten Fritz!Box) und die lokale User-cfg auf einen USB-Stick kopiert!
Auf der W7-Machine Fritz!Fernzugang korrekt installiert und versucht die User-cfg zu importieren! Das Icon erscheint auch und das passwort -auf dem XP-Rechner mehrfach verfiziert!- auch korrekt! Trotzdem kommt stets angehängte Fehlermeldung?
Was fehlt dem W7-PC, was auf dem XP-PC doch vorhanden ist/sein sollte?
Zugegeben bin ich eher DAU inpunkto VPN-Tunnels -die grobe Richtung meine ich verstandenzuhaben!- und mit dem alten XP-Teil kann ich von jedem Anschluss aus die Verbindung aufbauen?
Für eine Schnellbesohlung ob meiner Irrwege bedanke ich mich im Voraus!
LG
Anhänge
Versuche mal, den Treiber manuell zu installieren: http://service.avm.de/support/de/SK...nte-nicht-gefunden-werden-in-FRITZ-Fernzugang
Wenn es nicht funktioniert: Shrewsoft.
Wenn es nicht funktioniert: Shrewsoft.
Hi buecke,
das bewirkt, dass trotzdem alles noch über den VPN geht bei diesem PC. Also keinerlei Einschränkung nur auf den Port 7777. Aber ich werds mal weiter probieren, hab ja jetzt ein neues Muster, aber die Versuche eben, haben nur gezeigt, entweder alles oder nichts, je nachdem was ich noch probierte... Insofern hoffe ich noch auf eine Eingebung von dir
Bis dahin
Greetz
OB
das bewirkt, dass trotzdem alles noch über den VPN geht bei diesem PC. Also keinerlei Einschränkung nur auf den Port 7777. Aber ich werds mal weiter probieren, hab ja jetzt ein neues Muster, aber die Versuche eben, haben nur gezeigt, entweder alles oder nichts, je nachdem was ich noch probierte... Insofern hoffe ich noch auf eine Eingebung von dir
Bis dahin
Greetz
OB
Insofern hoffe ich noch auf eine Eingebung von dir
Mal schauen, ob dir folgende Eingebung hilft:
Code:
accesslist = "permit udp 192.168.120.20 255.255.255.255 any eq 7777", "permit tcp 192.168.120.20 255.255.255.255 any eq 7777";Viele Grüße
buecke
Razorworks
Neuer User
- Mitglied seit
- 6 Apr 2007
- Beiträge
- 27
- Punkte für Reaktionen
- 0
- Punkte
- 1
Immer nach Hause trotz wechselnder Netze?
Hallo an alle Mitleser,
ich habe nun alle Einträge dieses Freds gelesen, aber keine Antwort auf folgende Frage gefunden:
Welche Einstellung muß ich vornehmen, damit ich aus "allen Netzen dieser Welt" erst nach Hause geVPNt werde und dann da ins Internet gelage?
Ich halte mich dienstl. immer wieder in anderen (WLAN-)Netzen auf und möchte nicht jedes Mal meine (noch zu erstellende) Config anpassen, wenn sich mein Client mal wieder in einem anderen Netzwerk befindet (mal A-, mal B-, mal C-Netz und immer wieder andere IP-Adressbereiche). Ist das überhaupt möglich?
Der Zugriff auf mein LAN mit "einfacher" (normaler) Config klappt zuverlässig.
Ich brauche mit meinem Client KEINEN ZUGRIFF auf das lokale LAN, ich will nur nach Hause (Internet und LAN).
Übrigens: Wenn mehr als 8 VPN-Verbindungen in die Box geladen werden, ist ab der 9. Verbindung nicht mehr über die "LED" zu erkennen, dass die Verbindung aufgebaut wurde. Auch ich bekomme nicht mehr zu sehen, selbst nach Gesprächen mit meinem AVM-Supporter nicht
Vielen Dank für eure Antworten und einen schönen Tag noch wünscht...
Hallo an alle Mitleser,
ich habe nun alle Einträge dieses Freds gelesen, aber keine Antwort auf folgende Frage gefunden:
Welche Einstellung muß ich vornehmen, damit ich aus "allen Netzen dieser Welt" erst nach Hause geVPNt werde und dann da ins Internet gelage?
Ich halte mich dienstl. immer wieder in anderen (WLAN-)Netzen auf und möchte nicht jedes Mal meine (noch zu erstellende) Config anpassen, wenn sich mein Client mal wieder in einem anderen Netzwerk befindet (mal A-, mal B-, mal C-Netz und immer wieder andere IP-Adressbereiche). Ist das überhaupt möglich?
Der Zugriff auf mein LAN mit "einfacher" (normaler) Config klappt zuverlässig.
Ich brauche mit meinem Client KEINEN ZUGRIFF auf das lokale LAN, ich will nur nach Hause (Internet und LAN).
Übrigens: Wenn mehr als 8 VPN-Verbindungen in die Box geladen werden, ist ab der 9. Verbindung nicht mehr über die "LED" zu erkennen, dass die Verbindung aufgebaut wurde. Auch ich bekomme nicht mehr zu sehen, selbst nach Gesprächen mit meinem AVM-Supporter nicht
Vielen Dank für eure Antworten und einen schönen Tag noch wünscht...
Zuletzt bearbeitet:
Neueste Beiträge
-
-
[Frage] Dect-WS500S Verbindungen an Compact 4000
- Letzte: oezi
-
Analoges Wählgerät einer Alarmanlage an VoIP betreiben ...
- Letzte: provisorischerFtmmsch
-
[Frage] Kompletter Ausfall von DNS over TLS (DoT)- Letzte: stoney
