Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

Welche Einstellung muß ich vornehmen, damit ich aus "allen Netzen dieser Welt" erst nach Hause geVPNt werde und dann da ins Internet gelage?
[...]
Ich brauche mit meinem Client KEINEN ZUGRIFF auf das lokale LAN, ich will nur nach Hause (Internet und LAN).

Hej!

Klar geht das auch mit der FRITZ!Fernzugang-Software von AVM. Für den Client einfach die accesslist von Beitrag 1 unter Punkt 3.2 (nicht 3.2.1) nehmen. Achtung: DNS-Anfragen werden nicht über das VPN geroutet.

Viele Grüße
buecke
 
@Buecke: kannst Du dann noch einmal erläutern, wann 3.2 und wann 3.2.1 genommen werden sollte? Ich habe das bisher so verstanden, dass man immer, wenn man in einem fremden Netz ist, die IP des Fremdnetzes in die .cfg des Fritz-Fernzugangs einsetzen muss - was natürlich sehr umständlich ist. Also: Wenn es 3.2 tut, warum dann 3.2.1?
Edit: Vermutlich ist es so: bei 3.2.1 hat man auch Zugriffe auf das Fremdnetz, bei 3.2 nicht?
 
Zuletzt bearbeitet:
Nein, weil sich das Routing dadurch nicht ändert. Das steht in der accesslist.
 
@Buecke: kannst Du dann noch einmal erläutern, wann 3.2 und wann 3.2.1 genommen werden sollte?

Wenn du während der VPN-Verbindung vom Client-PC aus Zugriff auf das lokale Netz, an das der Client-PC angeschlossen ist, haben möchtest: 3.2.1
Wenn während der VPN-Verbindung der Zugriff auf's Internet und das Netz der FRITZ!Box ausreicht: 3.2

Wenn ich aber debn DNS-Server anpasse sollte es aber doch gehen, oder?

Dann gehen die Anfragen zwar an den angepassten DNS-Server, werden aber nicht durch das VPN getunnelt.

Viele Grüße
buecke
 
Nein, weil sich das Routing dadurch nicht ändert. Das steht in der accesslist.
Gibt es eine Möglichkeit auch die DNS Anfragen auch durch das VPN laufen zu lassen?
Kenne mich mit VPN leider nicht so aus...
 
Dazu nimmst du einfach das "reject udp any any eq 53" aus der accesslist heraus.
 
Dazu nimmst du einfach das "reject udp any any eq 53" aus der accesslist heraus.

Dazu muss IP-Adresse zur FRITZ!Box im DNS-Cache liegen oder direkt in der cfg-Datei für den FRITZ!Fernzugang hinterlegt sein. Die Routing-Regeln greifen nämlich sobald der Verbindungsaufbau startet und nicht erst wenn die Verbindung besteht.

Viele Grüße
buecke
 
Hi,

also bei mir lief alles soweit, daher nochmals danke für die bisherige Hilfe. Nun habe ich irgendwo eine Anleitung gefunden, dass ich mich nun auch vom Handy (Android) mit dem Heimnetz verbinden kann und das ist ja schön und funktioniert soweit auch, leider bekomme ich einfach die Kombination aus beiden nicht hin. Also ich habe die alte cfg und nun eine neue fürs Android, wenn ich die jeweils lade funktioniert es jeweils. Jetz habe ich versucht, eine neue cfg zu generieren mit Hilfe des Fernzugang einrichten, in der beide stehen, und dann die Passwörter und so anzupassen, aber wenn ich die Datei direkt vom Programm nehme, will die Fritzbox diese nichtmal mehr laden. Nun habe ich versucht die händisch zusammenzufügen, aber da klappt dann auch nicht beides. Ziel sollte ja dann sein, dass ich vom Handy mich über den Hausrouter in die bestehende VPN Verbindung zur Zweitwohnung einklinke, dass ich dann sogar vom Handy die 192.168,100.1 (Fritz zu Hause), 192.168.120.1 (Fritz in 2. Wohnung) und die 192.168.120.20 (PC in Zweitwohnung erreiche).
Hier also die beiden cfgs, die jeweils für sich funktionieren und beim Laden, leider immer die andere rausnehmen:
Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "b.hopto.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "b.hopto.org";
                localid {
                        fqdn = "a.hopto.org";
                }
                remoteid {
                        fqdn = "b.hopto.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "0000000";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.120.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.120.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
Code:
vpncfg {

        connections {

                enabled = yes;

                conn_type = conntype_user;

                name = "[email protected]";

                always_renew = no;

                reject_not_encrypted = no;

                dont_filter_netbios = yes;

                localip = 0.0.0.0;

                local_virtualip = 0.0.0.0;

                remoteip = 0.0.0.0;

                remote_virtualip = 192.168.100.201;

                remoteid {

                        key_id = "[email protected]";

                }

                mode = phase1_mode_aggressive;

                phase1ss = "all/all/all";

                keytype = connkeytype_pre_shared;

                key = "000000000000000";

                cert_do_server_auth = no;

                use_nat_t = yes;

                use_xauth = yes;

                use_cfgmode = no;

  xauth { 

  valid = yes; 

  username = "USER"; 

  passwd = "PASS"; 

  }

                phase2localid {

                        ipnet {

                                ipaddr = 0.0.0.0;

                                mask = 0.0.0.0;

                        }

                }

                phase2remoteid {

                        ipaddr = 192.168.100.201;

                }

                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";

                accesslist = 

                             "permit ip 0.0.0.0 0.0.0.0 192.168.100.201 255.255.255.255";

        }




        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 

                            "udp 0.0.0.0:4500 0.0.0.0:4500";

}
Da bei der automatischen cfg-Generierung von "Fernzugang einrichten", das xauth disabled ist, ich aber das benötige, musste ich also so oder so daran Hand anlegen:
Das ist mein letztes Ergebnis, aber entweder ich kann mich nur kurz connecten und fliege dann, sobald ich versuche z.B. wieistmeineip.de auf dem Handy aufzurufen, oder es geht nur die Handyverbindung, das VPN zwischen den Fritzen geht nicht, da muss also noch irgendwas in die cfg, das beides zusammenfunktioniert, das ist hier also meine letze getestete Version (wobei ich, wenn ich mich recht erinnere, hier sowieso nur eine VPN importiert bekam, so dass da dann das FritzenVPN erst recht nicht ging, aber hier habe ich wirklich 1 zu 1 die beiden oberen funktionierenden cfgs zusammengeschmissen):

Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "b.hopto.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "b.hopto.org";
                localid {
                        fqdn = "a.hopto.org";
                }
                remoteid {
                        fqdn = "b.hopto.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "0000000";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.120.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.120.0 255.255.255.0";
        } {

                enabled = yes;

                conn_type = conntype_user;

                name = "[email protected]";

                always_renew = no;

                reject_not_encrypted = no;

                dont_filter_netbios = yes;

                localip = 0.0.0.0;

                local_virtualip = 0.0.0.0;

                remoteip = 0.0.0.0;

                remote_virtualip = 192.168.100.201;

                remoteid {

                        key_id = "[email protected]";

						}

                mode = phase1_mode_aggressive;

                phase1ss = "all/all/all";

                keytype = connkeytype_pre_shared;

                key = "00000000000";

                cert_do_server_auth = no;

                use_nat_t = yes;

                use_xauth = yes;

                use_cfgmode = no;

					xauth { 

							valid = yes;
							username = "USER"; 
							passwd = "PASS"; 

							}

                phase2localid {

							ipnet {

                                ipaddr = 0.0.0.0;

                                mask = 0.0.0.0;

								}

							}

					phase2remoteid {

                        ipaddr = 192.168.100.201;

									}

                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";

                accesslist = "permit ip 0.0.0.0 0.0.0.0 192.168.100.201 255.255.255.255";

				}
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Da habe ich einfach alles 1:1 übernommen und versucht, die richtigen {-Ebeneen zu erwischen, aber da erscheint, wenn ich die reinlade nur die User-VPN ...

Die Datei die das Einrichtenprogramm automatisch generiert, sieht mittlerweile ganz anders aus, und wie gesagt, wird direkt abgelehnt beim einlesen:

Code:
version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "a.hopto.org";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.100.201;
                remoteip = 0.0.0.0;
                remotehostname = "a.hopto.org";
                localid {
                        user_fqdn = "[email protected]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "0000000000000";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.100.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.100.0 255.255.255.0";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

Oder ist es so garnicht möglich zwei Netze zu verbinden? Denn Wohnung zwei ist per UMTS im Netz. D.h. diese muss zuerst eine VPN aufbauen zum Heimrechner, damit ich dann, so dachte ich, vom Handy über den Heimrechner dann in die Zweitwohnung komme.

Ich werde es auch mal weiter probieren, irgendwie die zwei funktionierenden cfgs so zusammenzubekommen, dass die eine dann auch beide VPNs importiert und das dann auch beide funktionieren. Sonst mit den IP-Ranges kann ich das doch so lassen (von wegen 0.0.0.0 oder sollte ich das auch noch alles anpassen, wenns eine gemeinesame Datei ist?). Auch fiel mir auf, dass der eigentliche AndroidLogin mal user_fqdn und mal key_id hieß, aber ich habe beides jeweils schon ausprobiert und es funktionierte dann trotzdem noch nicht.

Also vielen Dank schonmal, wenn jemand nen Tipp hat, wie ich das zusammenbringen kann, sonst müsste ich mich doch mal ins Freetz und OpenVPN oder so einlesen.

THX Olliberlin
 
Hallo Leute,
hab wie im ersten Post alles eingerichtet und funktioniert auch bestens.
Hätte aber noch eine Frage:
Wenn ich jetzt im Ausland bin und mich über ein ungesichertes WLAN einlogge, kann ich die Verbindung dann über diese VPN Verbindung laufen lassen.
Wie sicher ist die Verbindung hier??

Wäre für Hinweise sehr dankbar.

Gruß
 
Dazu muss IP-Adresse zur FRITZ!Box im DNS-Cache liegen oder direkt in der cfg-Datei für den FRITZ!Fernzugang hinterlegt sein. Die Routing-Regeln greifen nämlich sobald der Verbindungsaufbau startet und nicht erst wenn die Verbindung besteht.
Habe soweit alles durchgebastelt mit den CFGs und hänge jetzt an dem Problem, dass ich die DNS Anfragen auch gerne über das VPN laufen lassen würde. Dummerweise bekomme ich bei entsprechender Anpassung der CFG auf meinem Laptop die Meldung "Der Name der Gegenstelle konnte nicht aufgelöst werden", also genau das was du beschrieben hast. Wenn das "reject udp any any eq 53" drin bleibt klappt alles einwandfrei (allerdings halt ohne DNS).
Was muss ich jetzt wie und wo eintragen, damit auch die DNS übers VPN läuft? Die richtige IP Adresse zur Box bringts nicht, da die ja regelmäßig wechselt, daher habe ich das ganze über Dyndns gelöst. Tipps?
 
Servus Jungs,

mal ne Question: Ich habe es nun geschafft, wie VPN eine Verbindung von meinem Fritzbox Netzwerk (Wohnung) meiner Fritzbox (Urlaubsort) aufzubauen.
Kann auch ohne Prob auf alle lokalen Ips von meinem Urlaubsort zugreifen.

Nur habe ich mal ne Frage:
Wenn ich nach dem Aufbau der VPN-Verbindung meine externe IP checke, dann sehe ich leider nicht die Ip von meinem Urlaubsort, sondern die externe Ip von meiner Wohnung.

Kann man das irgendwie ändern?
Sprich, kann man über die Vpn-Verbindung die externe ip der "fremden entfernten Fritzbox" annehmen?

Über Antworten würde ich mich sehr freuen...

Greetz
 
Sorry,

diese Info ist mir leider so sehr klar geworden....

Werde es testen und berichten....

Servus Jungs,

soooooooooooooo, gelesen, gelesen, gelesen...

[Beitrag 2:]
Nun kommen meine Fragen: anschnallen bitte ;);)

So ich möchte folgendes tun (nach reiflicher Überlegung):

1. Ich habe eine Box in Germany (Wohnung)
- über die soll alles laufen

2. Ich habe einen Kollegen Herbert in Italien, der möchte sich via Vpn-Tunnel meiner IP ermächtigen

3. Zusätzlich kenne ich noch einen Gustav, der möchten ebenflass meine Ip via Vpn-Tunnel bekommen.

Ablauf: Beide Kollegen werden eigentlich nie gleichzeitig "online" sein, jedoch kann es vorkommen und es sollte auch dann funzen.....


Wenn ich die Anlteiung von Seite 1 aus dem Thread verstehe, dann ist ja bei beiden Jungs die Konfiguration identisch außer

CFG-Datei der FRITZ!Box anpassen

Herbert
bekommt folgendes:

Code:
accesslist = "permit ip any [COLOR=Blue]192.168.188.201[/COLOR] 255.255.255.255";

und Gustav bekommt

Code:
accesslist = "permit ip any [COLOR=Blue]192.168.188.202[/COLOR] 255.255.255.255";


Ist das so korrekt, wenn meine Box in Germany die Ip-Rage 192.168.188.0 und Subnetmaske 255.255.255.128 besitzt???

oder muss sie folgend lauten?

Code:
accesslist = "permit ip any [COLOR=Blue]192.168.188.202[/COLOR] 255.255.255.128";


beste Grüße
 
Zuletzt bearbeitet von einem Moderator:
soooooooooooooo, gelesen, gelesen, gelesen...
Ist ja gerade mal eine Stunde vergangen. Da braucht man noch keinen neuen Beitrag eröffnen, "Beitrag ändern" reicht aus :p

Aber lies es dir trotzdem nochmal genau durch. Hint: Unter Punkt 3. im ersten Beitrag sind die Änderungen für Herbert und Gustav.
 
Zuletzt bearbeitet:
Servus Jungs,

wenn ich das ganze nach Anleitung einrichte...

Gehts leider net..
Fehler:Der Name der Gegenstelle kann nicht aufgelöst werden....

Nur zu Info:
Meine Heimbox hat die Daten:

192.168.188.1
255.255.255.128

Muss ich auf Grund dessen die Konfiguration anpasssen aus Thread 1?

Beste Grüße


Hier die config für Gustav:
Nur zum Verständnis: MUSS Gustav auch ne Fritzbox haben, um das Suzenarion durchspielen zu können?

Wenn nein, okay. Wenn ja, muss er dann sein Standard Gateway auch ändern?
Also weg von 192.168.178.1 und 255.255.255.0??


Code:
/*
 * C:\Users\Joker\AppData\Roaming\AVM\FRITZ!Fernzugang\xxxxxxxxxxxx\gustav_gmx_de\vpnuser_gustav_gmx_de.cfg
 * Sun Dec 11 11:26:14 2011
 */

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "xxxxxxxxxxxxxx";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.188.202;
                remoteip = 0.0.0.0;
                remotehostname = "xxxxxxxxxxxxxxx";
                localid {
                        user_fqdn = "[email protected]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "10cb90{16f40949d1d401327c5a8b90606E";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.188.202;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.128;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF


Wo liegt der Fehler??

DANKE euch sehr
 
Zuletzt bearbeitet:
Servus,

Hab den Namen nur xxxxxxx, die Adresse, die dort normalerweise steht, ist korrekt :)

Also muss der Fehler noch woanders liegen

EDIT:

Die conf. Datei ist aber richttig, oder? Laso von den IPs-Ranges her gesehen?
 
Zuletzt bearbeitet:
Wenn die Adresse, die dort normalerweise steht, korrekt ist, aber der Name nicht aufgelöst werden kann, dann funktioniert der DNS-Server von Gustav nicht.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.