Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

[gigigaga]

Okay alles klar, dann muss ich nochmal schauen...

Aber könnten wir bitte kurz grundlegende Fragen klären?

1. Braucht Gustav oder Herbert zwingend eine Fritzbox als Router?
2. Wenn ja, müssen sich die Fritzboxen und unterschiedlichen Gateways befinden?

Beispiel:
Hauptfriite: 192.168.188.1 255.255.255.128
Gustav: 192.168.198.1 255.255.255.0
Herbert: 192.168.158.1 255.255.255.0

oder ist das egal und Herbert und Gustav können die Standard Gateways von:
192.168.178.1 255.255.255.0

benutzen???

 

[aquarium]

1. Nein
2. Frage verstehe ich nicht, aber:

Die IP-Adressen usw. im entfernten Netz (also bei Gustav und Herbert) sind unwichtig. VPN-Verbindungen nutzt man ja vor allem aus Netzen, wo man keinen Einfluss auf die Netzwerktopologie hat, also Hotels oder PublicWlans.
Die einzige Einschränkung ist: Das heimische Netz muss ein anderes Subnetz haben als die fremden Netzwerk

 

[gigigaga]

PERFEKT.

Für einen User (mich) als Test hat alles perfekt gefunzt.... GEIL!

Nun kommt der dicke Batzen....

Ich möchte folgendes:
- Ich habe einen VPN Zugang zu meinem Router der funzt auch
- komme auch ins Subnet, was ich auch unbedingt will
- die Konfig ist die reine AVM, sonst nix geändert

Gustav:
- soll die Möglichkeit aus Thread eins bekommen (die externe Ip)
- KEIN Zugriff auf Subnet

Herbert:
- soll die Möglichkeit aus Thread eins bekommen (die externe Ip)
- KEIN Zugriff auf Subnet

Habe nun mit dem Programm "Fritzbox Fernzugang einrichten" einen weiteren User (Gustav) angelegt.

Dann habe ich die Fritzbox config verändert. Meine habe ich so belassen, die neu dazugekommene von Gustav habe ich nach Anleitung Thread 1 bearbeitet:

/*
 * C:\Users\Joker\AppData\Roaming\AVM\FRITZ!Fernzugang\Affe_no-ip_info\fritzbox_Affe_no-ip_info.cfg
 * Mon Dec 12 18:23:58 2011
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.188.202;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "dceabdAbTdf91b67fgd137Vf0V&e7";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.128;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.188.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.188.0 255.255.255.128 192.168.188.202 255.255.255.255";
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.188.201;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "0daa?+e218cd5d87fbaaaaced71f9b11_ ";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.128;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.188.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip any 192.168.188.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Der User_conf für Gustav sieht so aus....

/*
 * C:\Users\Joker\AppData\Roaming\AVM\FRITZ!Fernzugang\Affe_no-ip_info\Gustav_gmx_de\vpnuser_Gustav_gmx_de.cfg
 * Mon Dec 12 18:23:58 2011
 */

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "Affe.no-ip.info";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.188.201;
                remoteip = 0.0.0.0;
                remotehostname = "Affe.no-ip.info";
                localid {
                        user_fqdn = "[email protected]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "0daa?+e218cd5d87fbaaaaced71f9b11_ ";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.188.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.128;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

Nach logischen Denkmustern müsste das doch ales so passen oder?

leider bekommt mein Kollege und auch Ich mit dieser User.conf die Meldung:

Die Gegenstelle kann nicht aufgelöst werden

Hat jemand ne Idee, warum das so ist?

beste Grüße und DANKE

 

[Spellbinder]

DNS über Fritz VPN

Dazu muss IP-Adresse zur FRITZ!Box im DNS-Cache liegen oder direkt in der cfg-Datei für den FRITZ!Fernzugang hinterlegt sein. Die Routing-Regeln greifen nämlich sobald der Verbindungsaufbau startet und nicht erst wenn die Verbindung besteht.

Viele Grüße
buecke

Bis zu diesem Schritt klappt alles bei mir wunderbar. VPN wird aufgebaut, IP Traffic wird durchs VPN geleitet, DNS anfrage auch.

ABER:

Die DNS Anfrage wird nicht beantwortet. Also daher meine Frage: Kann man irgendwo in der Fritz VPN Config-Datei einen DNS Server configurieren und wenn ja, kann ich dort die IP der Fritz Box im lokalen LAN nehmen? Die sollte ja die DNS Anfrage an den in ihr configurierten DNS Server weiterleiten. Oder?

 

[buecke]

Also daher meine Frage: Kann man irgendwo in der Fritz VPN Config-Datei einen DNS Server configurieren und wenn ja, kann ich dort die IP der Fritz Box im lokalen LAN nehmen? Die sollte ja die DNS Anfrage an den in ihr configurierten DNS Server weiterleiten. Oder?

Soweit ich weiß gibt es leider keine Möglichkeit, einen DNS-Server in der Config-Datei zu hinterlegen. D.h. du musst den DNS-Server manuell im PC eintragen, dann sollte es funktioneren.

Viele Grüße
buecke

 

[andilao]

Die DNS-Server kann man auch per Batch eintragen mit "netsh interface ip set dns ...". Wenn man das mit dem Start des Clients kombiniert und sich einen zweiten Batch für das "normale Surfen" erstellt, wird das schon fast komfortabel.

Aber wieso macht man sich das mit dem AVM-Client so kompliziert, wenn der Shrew Soft Client schon alles mitbringt?

 

[Spellbinder]

Shrew

Shrew have ich auch ausprobiert. Internet+DNS haben prima funktioniert aber ich habe meine Network Shares nicht mehr erreicht. Da bastel ich aber auch weiter...

 

[andilao]

Deine Network-Shares, also die Freigaben in Deinem lokalen Netzwerk?
Dann füge als 2. DNS-Server Deinen lokalen hinzu und als Policy statt "... Tunnel all", exclude "192.168.xxx.0 / 255.255.255.0" und include "0.0.0.0 / 0.0.0.0"

 

[Spellbinder]

Shrew

Nein, ich meine die Netzlaufwerke im System von der Fritzbox. Mit Fritz-VPN komme ich ohne Probleme darauf. Wenn ich alles so mache wie in der Shrew Anleitung komme ich nicht mehr drauf.

 

[andilao]

Also im Netz der "fernen" Fritzbox und Du kommst so nur noch ins "ferne" Internet? Nach welcher "Shrew-Anleitung" hast Du denn gearbeitet? So ging es sofort bei mir. Wichtig war es, die Änderungen in einer funktionierenden vpn-Config zu machen.

 

[StefannafetS]

Hallo Jungs, könnt ihr mir evtl auch weiterhelfen? Ich habe mir jetzt die ersten zehn Seiten mal durchgelesen und Blicke jetzt garnicht mehr durch, da es ja immer mehr vers. Varianten gibt. Das nächste Problem ist, dass ich VPN-technisch überhaupt nicht fit bin. Meine Situation habe ich hier schonmal beschrieben. Ich wohne z.Zt. in einem Wohnheim. Ich habe die Möglichkeit über das Uni Netz ins Internet zugehen. Dafür muss ich immer über den VPN Client von Cisco eine Verbindung herstellen. Dies funktioniert aber leider bis jetzt nur über LAN. Jetzt wollte ich versuchen das meine FritzBox die Aufgabe übernimmt, damit ich mit Laptop via WLAN und mit XBOX ohne VPNClient ins Internet kann. Ich hab geschafft, das der Punkt für aktive VPN Verbindung grün leuchtet. Aber ich komm noch nicht ins Inet. Ich glaub dazu muss ich den ganzen Verkehr über die Uni routen. Aber was genau muss ich jetzt wo ändern? Kann ich einfach an jedem Client hinter der Client Box eine fest DNS Adresse einstellen oder kann ich die cfg in der FB so anpassen das sie das für mich übernimmt? Was ist der richtige weg? Vielen Dank schonmal Stefan

P.s. und wichtig wäre noch, dass ich unter den laptops dem netzwerk drucker und der xbox die an der fb hängen ein netzwerk habe

 

[StefannafetS]

keiner einen tipp?

 

[andilao]

Hast Du denn überhaupt schon mal eine feste DNS-Adresse z.B. 8.8.8.8 versucht? Geht denn das Uni-Netz so?

 

[StefannafetS]

Soll ich die in die .cfg einsetzten oder dann an meinem WLan-Adapter am PC?

 

[KunterBunter]

Die Frage war, kommst du via Fritzbox-VPN problemlos in Uni-Netz?
Was steht denn jetzt genau in der Zeile "accesslist =" in deiner Config? Versuche es einfach mal mit
accesslist = "permit ip any any";

 

[StefannafetS]

Alles klar, ich habe mich auf das mit fester DNS-Adresse bezogen. Habe ich dann aber scheinbar falsch verstanden.
Also die "Verbindung" im FritzBox Menü leuchtet grün, falls ihr das meint. Wenn nicht, weiß ich nicht wie ich das überprüfe, da es bei uns im UniNetz keine Freigaben oder so gibt, woran man das erkennt. Bis jetzt hatte ich in der .cfg

accesslist = "permit ip any 192.168.221.0 255.255.254.0";

stehen. Ich probiers heute Abend, wenn ich wieder dort bin dann mal mit

accesslist = "permit ip any any";

.

 

[StefannafetS]

Hallo Jungs,
ich habe den accesslist-Eintrag jetzt erfolgreich geändert. Komm jetzt aber leider immernoch nicht ins Internet.
Ich hab jetzt mal alles angehängt an den Post

1. Startseite Fritzbox
2. IP-Konfig Teil 1 (verbunden via LAN und VPN-Client, Inet geht)
3. IP-Konfig Teil 2 (verbunden via LAN und VPN-Client, Inet geht)

Danke nochmal an alle die hier aktiv sind & kurze Woche an alle

 

[StefannafetS]

Hallo, hab vergessen die Bilder anzufügen, jetzt kommen sie hier
Und ich glaub die Änderung hat zumindest einen teilweise positiven Effekt.
Ich kann mich jetzt via W-Lan mit Hilfe des VPN-Clients einwählen.
Jetzt muss ich nur noch schaffen, dass die FB das übernimmt (Auf die XBOX, kann ich den Client ja leider nicht aufspielen).
Und wieder mal ist die Frage wie?
Hilft es euch was, wenn ich die IPs wieder rauskopiere also (Wlan mit und ohne IP Client)?
Hier noch die vorherigen Bilder:

 

[schwafli]

Fritzbox hinter Firewall: Internetzugriff wird von Firewall geblockt

Hallo zusammen! Erst einmal vielen herzlichen Dank für dieses how-to. Es funktioniert hervorragend!

Ich habe folgendes Problem:
Meine FritzBox befindet sich in einem Netz an einer Firewall (Zyxel Zywall 2 plus). Dort bekommt sie die IP 192.168.1.22. An der FritzBox ist ein PC und ein Drucker angeschlossen (192.168.100.20 etc.). Der Fernzugang zu dieser Box funktioniert tadellos. Sowohl mit dem Drucker an der FritzBox, als auch mit dem Drucker, der direkt an der Firewall liegt, kann ich dann drucken. Auch die Oberfläche der FritzBox (192.168.100.1) und des Druckers an der Firewall (192.168.1.20) ist im Browser nach Aufbau des Fernzugangs erreichbar.

Was aber nicht geht, ist das Surfen. Interessanterweise klappt es die erste Minute (mit der korrekten IP!), danach blockt die Firewall den Internetzugang abrupt ab. Im Firewall-Log findet man dann ab diesem Abblocken folgende rote Fehlermeldung: ATTACK: none ICMP (L to W, Redirect Datagram for the Network (or subnet)). Hinten sieht man als Ursprung-IP diejenige der FritzBox (192.168.1.22). Wenn ich die FritzBox neustarte, dann klappt es wieder für ca. 1 Minute.

Kann mir jemand einen Tipp geben, wie ich der Firewall sagen kann, dass sie solche Internetzugriffe über VPN zulässt? Mit dem Computer, der direkt an der FritzBox angehängt ist, klappt es tadellos.

Vielen Dank!
Schwafli


PS: Meine Konfiguration kann man auch hier sehen. Ein grosses Dankeschön an doc456, der mir hier schon sehr viel geholfen hat.

 

[andilao]

Das ist kein VPN-Problem, Du solltest a) in dem alten Thread bleiben und Dich b) in Verwaltung der Zyxel Zywall 2 plus einarbeiten, das können wir schlecht für Dich tun.