neue Labor Firmware 29.04.28-5702 (VPN Feature)

Status
Für weitere Antworten geschlossen.

Komsomol

Neuer User
Mitglied seit
7 Nov 2006
Beiträge
45
Punkte für Reaktionen
0
Punkte
6
[Edit Novize: Titel an die anderen Laborfirmwarethreads angeglichen]

Es sieht erst einmal so aus, als ob es ganz einfach wäre mit der Labor-Firmware 5702 und dem mitgelieferten Windows-Programm mit wenigen Klicks ein VPN aufzubauen. DAS TÄUSCHT!!
Wie es im Moment aussieht, gibt es mindestens 2 Probleme:
1. Man hat auf dem PC das Programm Fritz!Fernzugang installiert und startet es mit einem Benutzer mit Administratorrechten. Aber auch nach Import der Datei vpnuser.cfg wird im Programm die Verbindung nicht angezeigt und der Button "Aufbau" bzw. im Menü der Punkt "Datei -> Verbinden" sind ausgegraut.
2. Es ist gelungen, die VPN-Verbindung im Fritz!Fernzugang einzurichten, aber die Verbindung zur Fritz!Box gelingt nicht.

Zu 1:
Nachdem ich mich mit dem lokalen Benutzer "Administrator" (also nicht nur mit einem Benutzer mit Admin-Rechten) angemeldet hatte, musste ich das Programm erneut installieren (obwohl es schon installiert war)! Dann habe ich den Rechner durchgestartet und dann erst (wieder als "Administrator") das Programm aufgerufen und die vpnuser.cfg importiert -> Voila! Jetzt konnte diese Verbindung auch von anderen Benutzern (mit Admin-Rechten) verwendet werden.

Zu 2:
Schon ein einfacher NAT-Router ohne Firewall-Funktionalität kann die Verbindung blockieren!
Es muss mindestens der UDP-Port 500 aus- und eingehend auf Port 500 geroutet werden. In der Box wird für das VPN der Port 4500 freigeschaltet und muss vermutlich auch unverändert geroutet werden.
Da es sich um das IPsec-Protokoll handelt, sollte normalerweise auch das ESP-Protokoll verwendet werden, d.h. der Router müsste - falls das so ist - IPsec-Passthrough beherrschen und dieses dann auch in beide Richtungen freigeschaltet sein.
Ergo: Zumindest für einen ersten Test sollte man ohne Router arbeiten!!
 
Aha, ich hatte natürlich auch nicht unter dem Andminstrator Konto installiert sondern nur mit einem, das der Administratoren Gruppe angehört. Darüber hinaus gibt's auf diesem Rechner (wie auf alle Firmen Rechnern hier) dien Konto namens Andministrator (es wurde umbenannt, security by obscurity :cool:)

Tschö, Jojo
 
Hallo,

Komsomol schrieb:
Nachdem ich mich mit dem lokalen Benutzer "Administrator" (also nicht nur mit einem Benutzer mit Admin-Rechten) angemeldet hatte, musste ich das Programm erneut installieren (obwohl es schon installiert war)! Dann habe ich den Rechner durchgestartet und dann erst (wieder als "Administrator") das Programm aufgerufen und die vpnuser.cfg importiert -> Voila! Jetzt konnte diese Verbindung auch von anderen Benutzern (mit Admin-Rechten) verwendet werden.
Also das ganze Theater mit dem Administrator war bei mir nicht erforderlich. Ein Nutzer mit Admin Rechten reicht völlig für die Einrichtung des VPN Clients. Auf 3 PCs kein Problem.

Komsomol schrieb:
Es muss mindestens der UDP-Port 500 aus- und eingehend auf Port 500 geroutet werden.
Das glaube ich ebenfalls nicht. Ausgehend sollten die Ports 500 (und 4500?) wohl frei sein, eingehend braucht man sie definitv nicht (denn dann würde es aus unserem Firmennetz mit Sicherheit nicht gehen. Da gibts keine Portweiterleitungen für Arbeitsplatz-PCs). IPSec Pasthrough ist wohl erforderlich inkl. der verwendeten Protokolle (ISAKMP/IKE, ESP, AH, NAT-T). In einem ersten Wireshark-Log (Paketmitschnitt auf DSL Ebene) habe ich allerdings nur ISAKMP auf Port 500 gesehen. Der Client hatte allerdings auch eine öffentliche IP (via UMTS).

AVM scheint für Phase 1 den Aggressive Mode und für Phase 2 den Quick Mode zu verwenden. Ersteres ist zwar nicht ideal, lässt sich aber aufgrund der dynamischen IP-Adressvergabe in den deutschen Internetanbindungen wohl nicht umgehen.
Das für diejenigen, die mal mit anderen VPN Clients experimentieren wollen.

Weitere Analysen folgen. ;)

Viele Grüße

Frank
 
Zuletzt bearbeitet:
Installation als Administrator hat mir nix genutzt.

Tschö, Jojo
 
Bei uns hat das einwandfrei nach Anleitung funktioniert.

Die Anleitung für die beiden Konfigurationsdateien, welche für die Fritz.Box ist und welche für den VPN-Assistenten ist, ist nicht ganz eindeutig.

Es werden nämlich 3 Konfigurationsfiles erzeugt !!!
1. vpnadmin.cfg "links liegen lassen", keine Ahnung wofür gut sein soll
2. fritzbox.cfg in die Fritz.box laden (Internet->Fernzugang->VPN-Konfiguration importieren)
3. vpnuser.cfg in den FRITZ!Fernzugang laden (Datei->Import)

MFG
Homar
 
kann man den VPN Zugang tunneln über den 80er port?
 
Hallo,

@user31085: Unwahrscheinlich. Zum einen benötigt man möglicherweise mehr als nur einen Port. Dazu kommt, dass viele VPN Server das Umstellen der Eingangsports nicht erlauben: Nicht umsonst gibt es Portzuordnungen bei IANA. Gibt es doch sogar VPN Sever, die empfindlich darauf reagieren, wenn der Abgangsport des Clients nicht richtig ist (Stichwort VPN Passthrough durch NAT/PAT Router). Auch der Client muss erst mal umgestellt werden (oft auch nicht möglich).
Und nicht zuletzt: Wenn in einer Firewall alles bis auf Port 80 gesperrt ist, so hat sich der Betreiber sicher was dabei gedacht: Durch einen VPN Tunnel macht man immerhin ein ziemlich dickes Loch in alle Sicherheitsmechanismen, hat man doch plötzlich Internetzugang ohne die üblichen Proxys und Firewalls etc. Fängt man sich darüber einen Virus oder Wurm möchte ich nicht in der Haut des Verursachers stecken ...

Viele Grüße

Frank
 
Jo, jetzt funktioniert es. FB Zugriff zu Hause vom Büro aus.

User mit Admin Rechten hat gereicht zur Installation.

Erst nach Weiterleitung der UDP-Port 500 und UDP-Port 4500 (habe beide genommen) auf Port 500 bzw. Port 4500 gehts! Danke für den Hinweis.

Habe zu Hause die xxx.xxx.xx1.1 der FB vergeben, hier läuft die FB mit IP xxx.xxx.xx2.1. Hätte man die Subnetmaske auch ändern müssen von 255.255.255.0 auf was anders? Tue ich das-meldet die FB Fehler, (z.B. 255.255.255.128 etc. gehen nicht). Na ja, jetzt läuft es auch ohne Änderung der Subnetzmaske...

So und nun die Große Frage, wie greift man auf die an der entfernten FB hängenden Rechner zu. Sagt nicht, die müssten im gleichen Netzwerk sein (Name etc. ist ja klar), Aber so weit bringt es die VPN Verbindung bei mir noch nicht. Probiere noch etwas rum.

Aber auf jeden Fall kann ich jetzt von zu Hause meine Büro Anrufweiterleitung ändern etc. (wenn ich es auch andersherum eingerichtet habe) Sehr geil!

1. vpnadmin.cfg "links liegen lassen", keine Ahnung wofür gut sein soll
Die ist für das admin-fernzugang Programm. Das speichert darin die erstellten Zugänge...
 
Zuletzt bearbeitet:
die entfernten rechner/netzwerkfreigaben erreichst du nur über deren IP-adresse. wenn du die rechner in der windows-netzwerkumgebung namentlich "browsen" willst, brauchst du im remote-netzwerk einen dienst zur namensauflösung (DNS oder WINS) - die namensauflösung über netbios klappt nur im gleichen subnetz...

s.a. http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/6290.php3
 
ah ja, Danke! So was habe ich mir doch gedacht, über die IP-Adresse, bloss wo die einzutragen war, war mich nicht ganz klar. (Dass es nicht "direkt" geht war mir klar.)
 
du kannst die computer übrigens auch ohne LMHOST über "Suchen" / "Computer und Personen" / "Nach einem Computer im Netzwerk" durch eingabe der IP finden...
 
der user der sich verbinden will bekommt immer:
"Im IKE-Modul ist der Fehler 0 aufgetreten"

macht ihr automatische adress vergabe oder feste?
 
Befindet der User sich hinter einem Router? Macht dieser IPSec Pasthrough?

Schau 'mal in das Log "access0.log" im Verzeichnis X:\Programme\FRITZ!Fernzugang\access . Dort steht vermutlich irgend etwas mit
Datum Zeit "avmike: " hostadresse [Aggr Mode]
und dann die Information, dass der Client auf seinen Verbindungsversuch gar keine Antwort bekommen hat. URL und Zieladresse kannst Du ja noch 'mal überprüfen, aber wenn diese OK ist und auf der Fritz!Box alles korrekt eingerichtet ist und läuft, dann wird die Verhandlung über den VPN-Aufbau zu einem ziemlich frühen Zeitpunkt unterbunden, vermutlich von dem Router. Und ich tippe 'mal auf das nicht funktionierende IPsec Passthrough.

Noch viel Spaß mit IPsec!
 
DevilX schrieb:
"Im IKE-Modul ist der Fehler 0 aufgetreten"
Das war bei mir auch so, bis ich die Ports (UDP s.o.) weitergeleitet habe und zwar auf dem rechner bzw. der Fritzbox, von dem ich mich verbinden will. Dann gings sofort.
 
Zuletzt bearbeitet:
Software-Installation auf entferntem PC?

Hallo,
vorab die Info, ich habe diese Version der Firmware noch nicht installiert.

Meine Frage ist, wie greift man vom entfernten PC aus auf die FritzBox zu?
Muss dazu auf dem entfernten PC eine Software installiert werden?
Müssen bestimmte Ports geöffnet sein?
Wenn ja, brauche ich nämlich diese Firmware nicht installieren, da ich auf dem Büro-PC keine Software installieren kann.

Und ergänzend noch die Frage, falls keine Softwareinstallation erforderlich ist, kann auch über den Internet-Browser eines Handys, hier Nokia 6280, auf die FritzBox zugegriffen werden?

Danke schon mal für die Antworten

Omega
 
hab mal das log angehängt..
mein Kumpel hat nen scheiß Router..
 

Anhänge

  • log.txt
    7 KB · Aufrufe: 120
Du brauchst einen IPSec-Client.
Wenn es den im Büro schon gibt, dann erübrigt sich das mit dem installieren.
Windows bringt einen schon von Haus aus mit, müsste man aber auch noch konfigurieren, was du im Büro vergessen kannst.
 
o.k. das hatte ich wo anders anders verstanden.
 
@devilX

"2006-12-21 23:25:37 avmike: [87.122.200.206][devilx.dyndns.tv][Aggr Mode][Start][IC:6f49a7d2eda5602f][RC:00000000][Initiator]

2006-12-21 23:26:07 avmike: [87.122.200.206][devilx.dyndns.tv][Aggr Mode][SA negotiation failed,Timeout beim warten auf Antwort][IC:6f49a7d2eda5602f][RC:00000000][Initiator]"


Wie ich befürchtet habe: Die Aushandlung der Verbindung (IKE) kommt erst gar nicht durch. Die Anfrage durch den Client wird nicht etwa abgelehnt sondern verschwindet einfach im Nirwana.
Kannst du dich mit dem Rechner auf dem der Client läuft direkt mit dem Internet verbinden?
 
Was meint ihr wird AVM auch einen Linux Client bringen oder kann man das Protokoll auch auf die *NIX IPSec Struktur umbiegen. AVM meint ja, dass man den Industriestandard benutzt, daher sollte man doch annehmen, dass man NICHT auf AVM Software angewiesen ist, oder ??
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.