Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

[buecke]

ich hab da mal eine kleine Frage bzgl. der Anpassung der Client-CFG:
Wenn ich als VPN-Client ein Notebook nutze, welches immer mal wieder in verschiedenen Netzwerken angemeldet ist, sollte ich dann nicht den Eintrag der accesslist

ändern in:
"deny ip any 192.168.0.0 255.255.0.0" ??

Damit erweitere ich den Adressbereich auf das 'gesamte' Klasse-C-Netz und sollte doch alle 192.168.er-Netze abgedeckt haben.
Die 10er-Netze lasse ich hier mal außen vor.

Hej Anarch!

Ja, das könnte funktionieren! Man schließt allerdings das Netz der FRITZ!Box aus, was vielleicht Probleme verursacht. Vermutlich kann man das Netz aber mit einem Eintrag nach dem deny in der accesslist wie folgt freigeben:

permit ip any 192.168.178.0 255.255.255.0

Du kannst ja mal berichten, ob das klappt...

Viele Grüße
buecke

 

[Volture]

Hallo!

Vielen Dank auch von mir für diese tolle Anleitung!

Gibt es eigentlich ein Programm oder ein Verfahren, mit dem ich prüfen kann ob auch wirklich alles über die FB getunnelt wird?

Tracert scheidet ja aus.....aber soetwas in der Art wäre optimal, das man sieht, das die Routenverfolgung oder Datenpaktete von Port XY oder IP XY von der FB kommen und nicht vom LAN , in dem man sich befindet?

Gruß Volture

 

[3949354]

Hallo,
Wenn Du von aussen auf Deine FB kommst, schaust Du, welche externe IP diese hat. Dann schaust Du einmal auf www.wieistmeineip.de! Sind sie gleich, sollte es klappen

 

[Volture]

Hallo,
Wenn Du von aussen auf Deine FB kommst, schaust Du, welche externe IP diese hat. Dann schaust Du einmal auf www.wieistmeineip.de! Sind sie gleich, sollte es klappen

Hallo 3949354 !

Danke für die Antwort. Das mit der IP Anzeigen lassen funktioniert ohne Probleme.

Würde aber gerne weitere Schritte, bzw Tests durchführen um sicher zu sein.
Wenn es sonst nichts gibt muss ich mich mit dem Anzeigen meiner IP auf www.wieistmeineip.de zufrieden geben.

Gruß Volture

 

[Powersup]

Ich habe erfolgreich eine VPN Verbindung zwischen meiner Fritz!Box 7390 und einem MacbookPro herstellen können. Ich habe auf der Fritz!Box den VPN User wie in der AVM Anleitung für eine VPN Verbindung eines iPhones eingerichtet. Einzige Änderung:

[...]

1. [...]
2. CFG-Datei der FRITZ!Box anpassen
   • 
     CFG-Datei mit einem Texteditor öffnen und nach der Zeile "accesslist" suchen. Beispiel:
     

     accesslist = "permit ip 192.168.178.0 255.255.255.0 [COLOR="Blue"]192.168.178.201[/COLOR] 255.255.255.255";

   • 
     Bestehende Zeile durch folgende austauschen:
     

     accesslist = "permit ip [COLOR="Red"][B]any[/B][/COLOR] [COLOR="Blue"]192.168.178.201[/COLOR] 255.255.255.255";

1. • 
     Macbook seitig habe ich nur eine Standard VPN IPsec Verbindung eingerichtet, ohne folgende Änderungen vorzunehmen:
     

     [*]CFG-Datei des FRITZ!Fernzugang anpassen (neue, einfachere Version dank User "DerLanWan")
     

     • 
       CFG-Datei mit einem Texteditor öffnen und nach der Zeile "accesslist" suchen. Beispiel:
       

       accesslist = "permit ip any 192.168.178.0 255.255.255.0";

     • 
       Bestehende Zeile durch folgende austauschen:
       

       accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

     
     

     • 
       Wenn der PC in einem LAN hängt, muss man folgende Zeile verwenden:
       

       accesslist = "deny ip any [COLOR="Red"]192.168.0.0 255.255.255.0[/COLOR]", "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

       Erläuterung: 192.168.0.0 255.255.255.0 ist das Subnet des LAN, an das der PC angeschlossen ist.

     [...]

     
     Danke buecke!!!

 

[Bundesagent]

Hallo alle zusammen!

Wenn ich das in die Datei für den Clienten eingeben und im portieren will, sagt mir der Fritz Fernzugang: Die Verbindungsdatei konnte nicht importiert werden!

accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any .... usw.

Ich drehe bald durch!

 

[buecke]

Wenn ich das in die Datei für den Clienten eingeben und im portieren will, sagt mir der Fritz Fernzugang: Die Verbindungsdatei konnte nicht importiert werden!

Dann hast du vermutlich irgendwo ein Komma, Semikolon o.ä. vergessen.

Viele Grüße
buecke

 

[Bundesagent]

NEIN! Dachte ich auch erst! Hab es mehr als 100 mal probiert! Kannst mal hier schauen, was ich alles fertig habe: http://www.ip-phone-forum.de/showthread.php?t=226179

Aber leider mit dem FritzFernzugang kriege ich den Internet Tunnel nicht hin so wie bei Shrew Client, da bekomme ich es problemlos hin!

Freue mich auf Deine Infos!

 

[doc456]

@Bundesagent, und natürlich hast du alles so eingerichtet wie hier beschrieben?

 

[Bundesagent]

@Bundesagent, und natürlich hast du alles so eingerichtet wie hier beschrieben?

Nein nicht ganz! habe bei Fitzbox config das hier

phase2localid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;

in das

phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;

Entsprechend auch im Shrew Clienten bei Policy ebenfalls auf 0.0.0.0 usw... gesetzt und dann bei DNS im Shrew Clienten Automatic eingetragen würde aber auch klappen mit IP der FB!

Aber mit dem FernZugang von Fritz eben kann ich mir ein teufel coden!

 

[buecke]

Hej Bundesagent!

Bei der von dir angegebenen Fehlermeldung liegt im Normalfall ein Syntax-Fehler in der cfg-Datei vor. Du kannst ja mal deine cfg-Datei für den FRITZ!Fernzugang hier posten oder mir per PM schicken.

Viele Grüße
buecke

 

[Bundesagent]

[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
[Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

wie macht man das hier das so wie CODE da steht?

[Beitrag 2:]

/*
 * C:\Users\Admin\AppData\Roaming\AVM\FRITZ!Fernzugang\mein_dyndns_biz\mein_email_de\vpnuser_meine_email_de.cfg
 * Wed Nov 10 11:17:18 2010
 */

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "mein.dyndns.biz";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.192.202;
                remoteip = 0.0.0.0;
                remotehostname = "mein.dyndns.biz";
                localid {
                        user_fqdn = "meine EMail";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "ichbinschön";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.192.202;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.192.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "reject udp any any eq 53", "reject udp any any eq 500", reject udp any any eq 4500", "permit ip any any";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

Und beim Importieren, sagt der FritzFernzugang auf dem Clienten: BEIM IPORT DER DATEI "blabla" TRAT EIN SERVER-FEHLER AUF! DAS IMPORTIEREN DER DATEI SCHLUG FEHL!

FirtzFernzugang Version: 1.02.03

 

[buecke]

Wie vermutet Syntaxfehler. Es fehlt ein Anführungszeichen bei deiner accesslist-Zeile.

Falsch:

accesslist = "reject udp any any eq 53", "reject udp any any eq 500", reject udp any any eq 4500", "permit ip any any";

Richtig:

accesslist = "reject udp any any eq 53", "reject udp any any eq 500", [COLOR="Red"]"[/COLOR]reject udp any any eq 4500", "permit ip any any";

Viele Grüße
buecke

 

[Bundesagent]

[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
@buecke

Ich glaubs nicht! Wegen solcher scheiss gänsefüssen code ich mich tu tode!

Natürlich klappts mit den vergessenen Zeichen! I-Net wird getunnelt.

Aber mit dem FritzFernzugang gibts noch ein Problem!

Ich nutze den Drucker Samsung CLX-3160 als Netzerkdrucker!

Bei allen Varianten (siehe meinen anderen Post) klappt Drucken usw.....

Nur NETZWERKSCAN Geht mit allen Varianten ausser mit FritzFernzugang da sagt er nicht gefunden! Komischerweise mit dem Shrew Cilenten klappt es.

Verwendete Software Samsung NETWORKSCAN Version: 1.11.21.04

Also die Software findet den Scanner im Lokalen (logisch) und per VPN über direkten XP Tunnel (siehe Szenario beim anderen Post) und klappen tut es auch bei VPN mit Shrew.... Aber bei VPN mit Fritzfernzugang gehts nicht heul!!!!!!!!!!!!!!!!!!!!!!!!!

[Beitrag 2:]
[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]
:groesste:

IST DAS NORMAL? Mache den Test gerade mit NETBOOK per UMTS! Klappt! Aber, die I-Netz Verbindung halbiert sich im Download! Normal?

 

[buecke]

Also die Software findet den Scanner im Lokalen (logisch) und per VPN über direkten XP Tunnel (siehe Szenario beim anderen Post) und klappen tut es auch bei VPN mit Shrew.... Aber bei VPN mit Fritzfernzugang gehts nicht heul!!!!!!!!!!!!!!!!!!!!!!!!!

Liegt vermutlich an der Namensauflösung. Warum verwendest du nicht einfach weiterhin Shrew, wenn da alles funktioniert wie es soll?

IST DAS NORMAL? Mache den Test gerade mit NETBOOK per UMTS! Klappt! Aber, die I-Netz Verbindung halbiert sich im Download! Normal?

Das kann schon sein und u.a. von folgenden Faktoren abhängen: Upload-Geschwindigkeit der FRITZ!Box, Routing zwischen UMTS und FRITZ!Box, automatische Komprimierung beim Surfen über die normale UMTS-Verbindung usw.

Viele Grüße
buecke

 

[Bundesagent]

@buecke

Also die FB hängt an VDSL 50 M/bit down und 10M/bit upload (Netto sind es ca. 48,3 M/bit und 10,11 M/bit)

Naja und bei UMTS je nach ANDRANG 5-6 M/Bit Download und 1-2 M/bit max Upload! Beim Surfen über FB Tunnel hat der UMTS Netbook nur noch 1-2 M/bit down und 0,5-1 M/bit upload!

Klar bei Shrew ist es blöd für meine "Frau" *lach*, weil sie nach dem conncet immer versehentlich das Fenster schließt anstatt minimiert. Dann ist VPN wieder weg *lach*

Beim Fritzfernzugang, klickt meine "Frau" versehentlich schließen, aber Fernzugang schließt nicht, sondern minimiert. Ist eben nur eine Bequemlichkeit für die Frau *totlach*

Was macht bezüglich des NETWORK SCAN Shrew anders, als FritzFernzugang? ne Ahnung? Vielleicht kann man rum schnipseln?

Kannst Du mal bitte in meinen Anderen Post schauen und lesen, hast Du da eine Idee?

 

[buecke]

Was macht bezüglich des NETWORK SCAN Shrew anders, als FritzFernzugang? ne Ahnung? Vielleicht kann man rum schnipseln?

Bei Verwendung des FRITZ!Fernzugangs wird weiterhin der Nameserver des Client-PCs genutzt, bei Shrew kann man die FRITZ!Box als DNS-Server einstellen. Das Thema wurde in diesem Thread schon mehrfach diskutiert...

Viele Grüße
buecke

 

[Bundesagent]

@buecke

Moin Moin,

habe bei Shrew nichts wegen DNS geändert! Also auch mit der Standard Einstellungen ging Network SCAN. Habe gearde den Beitrag druch forstet, aber keine Stelle gefunden, die das Problem, also das Network SCAN aus mit FritzFernzugang geht!

Kannst Du mir zeigen wo?

 

[buecke]

Kannst Du mir zeigen wo?

Ab Beitrag 100 geht es um die Namensauflösung...

Viele Grüße
buecke

 

[imagomundi]

Habe interessiert eben alle Beiträge hier durchgelesen - Prinzip (hoffentlich) auch verstanden. Dennoch eine Abwandlung: der entfernte (IpSec)Client meiner zu Hause stehenden 7270 ist kein PC, sondern ein NOKIA-Handy. Im Normalfall geht dieser Handy-Client lokal über eine FB (7170), die wiederum selbst als Client (mit fester IP im internen Netz) an einer die WAN-Verbindung herstellenden 7240 (FW 73.04.87) hängt, ins Netz.

Für das NOKIA gibt es eigene Konfigurationsanleitungen des Herstellers (VPN Policy Richtlinie, Einzelheiten [post=1463312]hier[/post]), die eine Verwendung der FB-User-config ausschliessen. Serverseitig (7270 zu Hause) ist alles genau so wie auch bei der Anbindung eines PC oder einer entfernten FRITBox.

Die clientseitig abweichend erstellte VPN-Verbindung funktioniert sehr unzuverlässig. Aber selbst dann, wenn die VPN-Verbindung nicht hergestellt wird, ist doch auf der SERVER-FB zu erkennen "Verbindung wird aufgebaut" - schliesslich aber doch nicht hergestellt. Deshalb vermute ich, daß auch hier das Problem in der (in der Client-Konfiguration gar nicht vorhandenen) "accesslist" liegt.

Wie könnte ggfls. der geänderte Accesslist-Eintrag aus Ziff. 3 von #1 (accesslist = "deny ip any 192.168.0.0 255.255.255.0", "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any") angepasst an die NOKIA-Client-VPN-Config übernommen werden?

Die (entfernte) Modem/Router-FB 7240 hat die übliche interne IP 192.168.178.1 mit Subnetz 255.255.255.0 - die 7170 hat eine feste IP an dieser FB.

Die zu Hause als Server stehende 7270 hat die IP 192.168.174.1 -Subnetz 255.255.255.0.

Eine Muster-NOKIA-VPN-Config hänge ich hier mal zur besseren Veranschauung an:

SECURITY_FILE_VERSION: 1
[INFO]
[email protected]
[POLICY]
sa [email protected]_1 = {
esp
encrypt_alg 12
max_encrypt_bits 128
auth_alg 3
identity_remote 0.0.0.0/0
src_specific
hard_lifetime_bytes 0
hard_lifetime_addtime 3600
hard_lifetime_usetime 3600
soft_lifetime_bytes 0
soft_lifetime_addtime 3600
soft_lifetime_usetime 3600
replay_win_len 0
pfs
}



remote 0.0.0.0 0.0.0.0 = { [email protected]_1(hansi.dyndns.org) }
inbound = { }
outbound = { }

[IKE]
ADDR: hansi.dyndns.org 255.255.255.255
IKE_VERSION: 1
MODE: Aggressive
REPLAY_STATUS: FALSE
USE_MODE_CFG: TRUE
IPSEC_EXPIRE: TRUE
USE_XAUTH: FALSE
USE_COMMIT: FALSE
ESP_UDP_PORT: 0
SEND_NOTIFICATION: TRUE
INITIAL_CONTACT: TRUE
USE_INTERNAL_ADDR: FALSE
DPD_HEARTBEAT: 90
NAT_KEEPALIVE: 60
REKEYING_THRESHOLD: 90
ID_TYPE: 3
FQDN: [email protected]
PRESHARED_KEYS:
FORMAT: STRING_FORMAT
KEY: 35 dasvomFRITZ-Fernzugang generiertePW
DNS_SERVER: 192.168.174.1
GROUP_DESCRIPTION_II: MODP_1024
USE_NAT_PROBE: TRUE
PROPOSALS: 1
ENC_ALG: AES128-CBC
AUTH_METHOD: PRE-SHARED
HASH_ALG: SHA1
GROUP_DESCRIPTION: MODP_1024
GROUP_TYPE: DEFAULT
LIFETIME_KBYTES: 0
LIFETIME_SECONDS: 3600
PRF: NONE


Ist es evtl. ein Problem, daß als DNS Server die häusliche 7270 angegeben ist? Falls ja, was sollte ich an deren Stelle setzen?