Hi,
also bei mir lief alles soweit, daher nochmals danke für die bisherige Hilfe. Nun habe ich irgendwo eine Anleitung gefunden, dass ich mich nun auch vom Handy (Android) mit dem Heimnetz verbinden kann und das ist ja schön und funktioniert soweit auch, leider bekomme ich einfach die Kombination aus beiden nicht hin. Also ich habe die alte cfg und nun eine neue fürs Android, wenn ich die jeweils lade funktioniert es jeweils. Jetz habe ich versucht, eine neue cfg zu generieren mit Hilfe des Fernzugang einrichten, in der beide stehen, und dann die Passwörter und so anzupassen, aber wenn ich die Datei direkt vom Programm nehme, will die Fritzbox diese nichtmal mehr laden. Nun habe ich versucht die händisch zusammenzufügen, aber da klappt dann auch nicht beides. Ziel sollte ja dann sein, dass ich vom Handy mich über den Hausrouter in die bestehende VPN Verbindung zur Zweitwohnung einklinke, dass ich dann sogar vom Handy die 192.168,100.1 (Fritz zu Hause), 192.168.120.1 (Fritz in 2. Wohnung) und die 192.168.120.20 (PC in Zweitwohnung erreiche).
Hier also die beiden cfgs, die jeweils für sich funktionieren und beim Laden, leider immer die andere rausnehmen:
Code:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "b.hopto.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "b.hopto.org";
localid {
fqdn = "a.hopto.org";
}
remoteid {
fqdn = "b.hopto.org";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "0000000";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.120.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.120.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Code:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "[email protected]";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.100.201;
remoteid {
key_id = "[email protected]";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "000000000000000";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
use_cfgmode = no;
xauth {
valid = yes;
username = "USER";
passwd = "PASS";
}
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.100.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 0.0.0.0 0.0.0.0 192.168.100.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Da bei der automatischen cfg-Generierung von "Fernzugang einrichten", das xauth disabled ist, ich aber das benötige, musste ich also so oder so daran Hand anlegen:
Das ist mein letztes Ergebnis, aber entweder ich kann mich nur kurz connecten und fliege dann, sobald ich versuche z.B. wieistmeineip.de auf dem Handy aufzurufen, oder es geht nur die Handyverbindung, das VPN zwischen den Fritzen geht nicht, da muss also noch irgendwas in die cfg, das beides zusammenfunktioniert, das ist hier also meine letze getestete Version (wobei ich, wenn ich mich recht erinnere, hier sowieso nur eine VPN importiert bekam, so dass da dann das FritzenVPN erst recht nicht ging, aber hier habe ich wirklich 1 zu 1 die beiden oberen funktionierenden cfgs zusammengeschmissen):
Code:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "b.hopto.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "b.hopto.org";
localid {
fqdn = "a.hopto.org";
}
remoteid {
fqdn = "b.hopto.org";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "0000000";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.120.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.120.0 255.255.255.0";
} {
enabled = yes;
conn_type = conntype_user;
name = "[email protected]";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.100.201;
remoteid {
key_id = "[email protected]";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "00000000000";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
use_cfgmode = no;
xauth {
valid = yes;
username = "USER";
passwd = "PASS";
}
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.100.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist = "permit ip 0.0.0.0 0.0.0.0 192.168.100.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Da habe ich einfach alles 1:1 übernommen und versucht, die richtigen {-Ebeneen zu erwischen, aber da erscheint, wenn ich die reinlade nur die User-VPN ...
Die Datei die das Einrichtenprogramm automatisch generiert, sieht mittlerweile ganz anders aus, und wie gesagt, wird direkt abgelehnt beim einlesen:
Code:
version {
revision = "$Revision: 1.30 $";
creatversion = "1.1";
}
pwcheck {
}
datapipecfg {
security = dpsec_quiet;
icmp {
ignore_echo_requests = no;
destunreach_rate {
burstfactor = 6;
timeout = 1;
}
timeexceeded_rate {
burstfactor = 6;
timeout = 1;
}
echoreply_rate {
burstfactor = 6;
timeout = 1;
}
}
masqtimeouts {
tcp = 15m;
tcp_fin = 2m;
tcp_rst = 3s;
udp = 5m;
icmp = 30s;
got_icmp_error = 15s;
any = 5m;
tcp_connect = 6m;
tcp_listen = 2m;
}
ipfwlow {
input {
}
output {
}
}
ipfwhigh {
input {
}
output {
}
}
NAT_T_keepalive_interval = 20;
}
targets {
policies {
name = "a.hopto.org";
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = 192.168.100.201;
remoteip = 0.0.0.0;
remotehostname = "a.hopto.org";
localid {
user_fqdn = "[email protected]";
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "0000000000000";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipaddr = 192.168.100.201;
}
phase2remoteid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0";
wakeupremote = no;
}
}
policybindings {
}
// EOF
Oder ist es so garnicht möglich zwei Netze zu verbinden? Denn Wohnung zwei ist per UMTS im Netz. D.h. diese muss zuerst eine VPN aufbauen zum Heimrechner, damit ich dann, so dachte ich, vom Handy über den Heimrechner dann in die Zweitwohnung komme.
Ich werde es auch mal weiter probieren, irgendwie die zwei funktionierenden cfgs so zusammenzubekommen, dass die eine dann auch beide VPNs importiert und das dann auch beide funktionieren. Sonst mit den IP-Ranges kann ich das doch so lassen (von wegen 0.0.0.0 oder sollte ich das auch noch alles anpassen, wenns eine gemeinesame Datei ist?). Auch fiel mir auf, dass der eigentliche AndroidLogin mal user_fqdn und mal key_id hieß, aber ich habe beides jeweils schon ausprobiert und es funktionierte dann trotzdem noch nicht.
Also vielen Dank schonmal, wenn jemand nen Tipp hat, wie ich das zusammenbringen kann, sonst müsste ich mich doch mal ins Freetz und OpenVPN oder so einlesen.
THX Olliberlin