Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

[buecke]

Die clientseitig abweichend erstellte VPN-Verbindung funktioniert sehr unzuverlässig. Aber selbst dann, wenn die VPN-Verbindung nicht hergestellt wird, ist doch auf der SERVER-FB zu erkennen "Verbindung wird aufgebaut" - schliesslich aber doch nicht hergestellt.

Hej!

Dieser Aussage entnehme ich, dass es aber grundsätzlich schon funktioniert oder? Eben nur unzuverlässig (Verbindungsabbrüche oder wie äußert sich das?)...

Wie baust du die VPN-Verbindung auf dem Nokia denn auf? Via WLAN oder via UMTS?

Das da "Verbindung wird aufgebaut" steht, kann auch vom letzten Verbindungsversuch kommen, auch wenn der schon länger her ist. Meine FRITZ!Box zeigt manchmal auch "verbunden" an, obwohl der Client schon länger die Verbindung getrennt hat.

Viele Grüße
buecke

 

[imagomundi]

Danke fürs Einklinken!

Unzuverlässig = mal wird tatsächlich hergestellt: dann funktioniert alles - Webseiten und auch (mein Hauptmotiv) VoIP über die zu Hause stehende FB

Mal wird nur "aufgebaut". Da ich gleichzeitig über ein Netbook+Fernzugang das Menü der
7270 zu Hause jeweils beobachte und vor jedem Schritt aktualisiere, beziehen sich alle Anzeigen immer auf den aktuellen Verbindungsversuch und nicht als "Hänger" auf vergangene Ereignisse.

Verbindung immer über WLan - habe hier kein UMTS.

Ich baue testweise die selbe Verbindung mit verschiedenen NOKIAs (N86, N95, X6, N8) und natürlich individuellen VPN-Configs für jeden Client auf - mal wird mit einem oder auch mehreren hergestellt während gleichzeitig der/die andere(n) nur "wird aufgebaut" anzeigen - auch das meine ich mit "unzuverlässig".

 

[buecke]

Sorry, leider habe ich auch keine konkrete Idee, woran das liegen könnte. Vielleicht würde es helfen, wenn du es mal über ein WLAN bei einem Freund/Bekannten ausprobierst. Immerhin gehst du über zwei FRITZ!Boxen via VPN auf eine dritte FRITZ!Box. Ich würde ja auf's Routing tippen...

Viele Grüße
buecke

 

[imagomundi]

Ich kann auch alternativ über das WLan der ersten, direkt die DSL-Verbindung herstellende 7240 gehen - das Ergebnis ist das selbe.

Es kommt offensichtlich die "Anmeldung" an der VPN-Server-FB an (dort wird ja angezeigt: wird aufgebaut), aber aus unbekanntem Grund kommt es (oft) nicht zum letzten Schritt "Verbindung hergestellt".

Ich werde mal Alternativen mit dem DNS-Server in der VPN-Config des Handys probieren - evtl. kommt ja der verschlüsselte FQDN beim Server nicht an? Oder ist DNS als Ursache ausgeschlossen?

 

[Ened]

Hey,

kann mir auch noch wer helfen - will meine FB 7270 per VPN mit der Uni (Cisco) verbinden. Dabei soll jeglicher Internetverkehr übers VPN laufen.

Mittlerweile kriieg ich die Verbindung auch aufgebaut, surfen geht aber noch nicht.

Meine vpn.cfg:

/*
 * C:\fritzbox.cfg		
 * Fri Feb 29 20:44:09 2008
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Zugang";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                remoteip = 192.168.219.254;
                localid {
                        user_fqdn = "blabla";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "blabla1";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
			xauth {
				valid = yes;
				username = "blabla1";
				passwd = "blabla2";
			}
                use_cfgmode = yes;
                phase2ss = "esp-all-all/ah-all/comp-all/no-pfs";
                accesslist = "permit ip any any";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

So wie ich das sehe, stimmt meine accesslist noch nich. Bei reject_not_encrypted = no; dont_filter_netbios = yes; und use_nat_t = yes; bin ich mir auch nicht sicher.

Unter den VPN-Verbindungen steht bei aufgebauter Verbindung:

Aktiv 	Name       Adresse im Internet    lokales Netz        entferntes Netz
        Zugang     192.168.219.254	  x.x.x.x             0.0.0.0

wobei 192.168.219.254 die IP des Cisco Concentrators ist und x.x.x.x die IP, die er mir im Internet zugeteilt hat.

Hoffe, ihr könnt mir helfen

mfg Ened

 

[EMY]

Guten Morgen erstmal an alle,..

könnte sich jemand mal mein Problem anschauen?

http://ting.ip-phone-forum.de/showthread.php?t=227561

Zur Ergänzung: Wir haben auf der FB2 Feste IP´s und die Kindersicherung aktiviert.
Wenn ich jetzt ohne VPN surfen will, bekomme ich die Meldung, das meine Online Zeit abgelaufen ist.
Via VPN geht es (allerdings wesentlich langsamer).

Vielleicht kann mir ja hier jemand weiterhelfen!?

Gruß,

EMY

 

[pat77ma]

Hallo zusammen,
ich habe diesen Forenbeitrag schon komplett durch und ich bin so langsam am verzweifeln.

Folgende Situtation:
Sitze mit meinem Notebook an der Uni: ungesichertes WLAN-Netzwerk. Von hier aus möchte ich mich per VPN nach Hause verbinden und den Verkehr auch über meine FritzBox zu Hause laufen lassen.

Konfig an der Uni:
IP-Adresse: 10.128.34.146 (ändern sich täglich an der letzten Stelle)
Sub-Maske: 255.255.254.0
Gateway + DHCP: 10.128.34.1
DNS-Server: 80.237.153.78 und 213.178.66.2
externe IP an der Uni: 217.70.192.227

Konfig zu Hause:
IP-Adresse: 192.168.178.25
Sub-Maske: 255.255.255.0
Gateway + DHCP: 192.168.178.1
DNS-Server: 192.168.178.1
externe IP zu Hause: 217.191.223.152 (wechselnd bei ehemals freenet jetzt 1und1)

Wenn ich die Standardkonfiguration anwende, die bei AVM.de steht befolge, habe ich eine Verbindung zum Router und kann auch drauf zugreifen. Der Traffic läuft jedoch nicht über den Router und ich bekomme die externe IP, die ich an der Uni habe.

Meine Config auf dem Router:
[Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]

/*
 * C:\Users\*.cfg
 * Tue Feb 08 18:58:30 2011
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "*@*";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.202;
                remoteid {
                        user_fqdn = "*@*";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "*";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.178.202 255.255.255.0 192.168.178.202 255.255.255.255";
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = "*@*";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "*@*";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "*";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.178.201 255.255.255.0 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Meine Conig in der AVM Fernzugriffs-Software:

/*
 * C:\Users\*.cfg
 * Tue Feb 08 18:58:30 2011
 */

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "*.dyndns.org";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.178.201;
                remoteip = 0.0.0.0;
                remotehostname = "*.dyndns.org";
                localid {
                        user_fqdn = "*@*";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "*";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.178.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
				accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";        
				wakeupremote = no;
        }
}


policybindings {
}


// EOF

Ich habe jetzt verschiedene Arten der Konfiguration versucht, aber ständig ohne Erfolg.

Vielleicht hat ja jmd. eine Idee.
Viele Grüße
Patryk

 

[3949354]

Hallo,
Ich kenn' mich im Bereich VPN nicht so sehr aus, aber könnte hier ein Bock sein :noidea:?

"permit ip 192.168.178.202 255.255.255.0 192.168.178.202 255.255.255.255";

 

[pat77ma]

Hallo,

das habe ich gar nicht gesehen. Danke für den Tipp.

Das ärgerliche ist, dass ich aufgrund der jetzigen Config nicht auf meinen Router zugreifen kann (sitze in der Uni) und somit die Änderung am Router erst heute Nachmittag machen kann. Die Funktionalität der geänderten Routereinstellungen kann ich dann erst wieder morgen an der Uni testen.

Falls jemand noch weitere Anmerkungen hat, bitte melden.

 

[KunterBunter]

Lies einfach nochmal in Ruhe das HowTo im ersten Beitrag dieses Threads und befolge genau, was dort steht.

P.S. In deiner Router Config sind zwei User eingetragen, ist das Absicht oder ein Versehen?

 

[pat77ma]

Ich habe den Beitrag heute schon drei Mal gelesen.
Ich habe das was dort steht auch befolgt und habe es mit folgender Kombination probiert:
accesslist = "deny ip any 10.128.34.0 255.255.254.0", "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

Habe es auch damit probiert:
accesslist = "deny ip any 10.128.34.0 255.255.254.0", "deny ip any 80.237.153.78 255.255.255.255", "deny ip any 213.178.66.2 255.255.255.255", "permit ip any any";

Außerdem habe ich viele weitere Konfigurationen probiert, leider erfolglos.

Ja, die zwei Nutzer sind gewollt. Macht das einen großen Unterschied bzw. Komplikationen beim Einrichten?

Ich habe jetzt folgende Konfiguration gewählt: Shrew Soft VPN Connect zur FRITZ!Box und gucke mir morgen das Ergebnis an der Uni an. Je nachdem was morgen passiert, werde ich mich dann am WE nochmal intensiver mit dem Thema beschäftigen.

Grüße
Patryk

 

[KunterBunter]

Für die Client Config ist die accesslist, so wie du die erste geschrieben hast, doch ok. Aber in der Fritzbox Config hat dich doch 3949354 schon auf einen Bock hingewiesen. Das erste Netz muss mit any ersetzt werden, so wie es auch im ersten Beitrag steht, also für den User 192.168.178.201:

accesslist = "permit ip any 192.168.178.201 255.255.255.255";

 

[pat77ma]

Ich werde das mal ausprobieren und mich melden, aber leider erst morgen.

Wenn man sich mehrere Stunden lang mit einem Problem beschäftigt, sieht man oft den Wald vor lauter Bäumen nicht. x]

 

[pat77ma]

Hallo zusammen,

vielen Dank für Eure Hilfe. Es scheint zu funktionieren. Habe Zugriff auf meine FritzBox und bei wieistmeineip.de erscheint die IP der FritzBox.

Mein Router-Config sieht jetzt wie folgt aus:

erster VPN-Nutzer:
accesslist = "permit ip any 192.168.178.201 255.255.255.255";

zweiter VPN-Nutzer:
accesslist = "permit ip any 192.168.178.201 255.255.255.255";

Config in den beiden Client-Dateien:

accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

 

[Novize]

...und wenn beide Clients gleichzeitig sich an der Box anmelden, gibt's Scherereien, weil beiden die selbe IP (192.168.178.201) zugewiesen wird

 

[KunterBunter]

Wahrscheinlich kriegt der zweite gar keinen Zugriff, weil in seiner Client Config virtualip = 192.168.178.202; steht.
Und in der Remote Config sogar zwei User mit .201 und .202 eingerichtet sind

 

[pat77ma]

Es sind in der Grundconfig zwei User eingerichtet mit jeweils ihrer eigenen IP-Adresse, aber wenn ich das richtig bei AVM gelesen habe, ist es gar nicht möglich sich mit zwei Usern gleichzeitig anzumelden. Aber das kann ich zur Zeit noch nicht testen.

EDIT: Habe mich beim abtippen vertan, sollte natürlich .202 bei zweiten User heißen.

 

[Novize]

EDIT: Habe mich beim abtippen vertan, sollte natürlich .202 bei zweiten User heißen.

:hehe: Deshalb hat der liebe Gott, der kleine Pinguin namens Tux, der angebissene Apfel, Bill das Gatter oder wer auch immer die phänomenale Idee des Copy'n Paste gehabe :hehe:

 

[imagomundi]

... aber wenn ich das richtig bei AVM gelesen habe, ist es gar nicht möglich sich mit zwei Usern gleichzeitig anzumelden.

Das hast Du falsch gelesen. Ich hatte zeitweise schon bis zu 6 User über vpn an meiner zu Hause stehenden FB angemeldet.

 

[KunterBunter]

erster VPN-Nutzer:
accesslist = "permit ip any 192.168.178.201 255.255.255.255";

zweiter VPN-Nutzer:
accesslist = "permit ip any 192.168.178.202 255.255.255.255";

Dann darfst du aber nicht bestimmt zweimal ein accesslist Statement in der Router Config haben.
Wenn das überhaupt angenommen wird, überschreibt das zweite den Inhalt vom ersten.