Neue Labor-FW 29.04.34-7728 (VPN-Feature)

[ktw2003]

@frank: Ja, Du warst gemeint Sonst scheint ja keiner mit cisco rumzuspielen...

Habe es jetzt auch endlich geschaft eine Verbindung zwischen der FritzBox und dem Cisco-Konzentrator aufzubauen.

Mein Problem jetzt ist, dass ich keine Informationen finde, um die Accesslist automatisch abzufragen, sprich die Routes die in den Tunnel sollen, sollen automatisch beim VPN-Konzentrator erfragt werden, so wie es der Client von Cisco auch tut.

Im Augenblick habe ich das manuell versucht:
z.B.

accesslist = "permit ip any 172.17.0.0 255.255.0.0", "permit ip any 172.18.0.0 255.255.0.0";

Wobei leider immer nur die erste Zeile verarbeitet wird. Sprich das Netz 172.17. ist erreichbar, 172.18. nicht. Es wird nur der erste Befehl berücksichtigt, dass ist doch nicht normal.

 

[himinternational]

VPN hinter Modem

Weiß hier jemand ob die VPN-Funktion der Labor-FW auch hinter einem Modem funktioniert ?? Hintergrund ist, dass ich die VPN-Funktion gerne unter Annex A nutzen will. Ich hab es bereits einmal probiert, konnte es aber nicht zum laufen kriegen. Möglicherweise geht es aber nur mit bestimmten Boxen oder ich einen Denkfehler drin.

 

[himinternational]

Gut, dann antworte ich mir eben selbst ........;-)
Also mit Modem vor der Box laufen die VPN Funktionen nicht, aber auf einer auf Annex A umgeflashten Box läuft die VPN-Labor und auch die kompletten VPN-Funktionen.

 

[eDonkey]

Bei mir hängt eine FB7170 FW 29.04.34-7728 als Client hinter einer FB7170 FW 29.04.37 (siehe Signatur), funktioniert tadellos !

 

[edward]

Könnte man die Konfigurationsdaten der VPN zwischen Fritz und Client so ändern, dass man über die VPN in Internet surfen kann?

Bsp.: Man ist unterwegs und es wird ein Hotspot benutzt. Da diese Hotspots unverschlüsselt sind, möchte man gerne die Verbindung natürlich verschlüsseln. Hier kommt dann Fritz!Fernzugang ins Spiel. Ich baue ein VPN-Tunnel zu Fritzbox und dann findet die Kommunikation über die Fritzbox.

Ich habe ein paar Sachen versucht, zb. das Default Getaway zu ändern... hat mich nicht weiter gebracht.
Oder liegt es daran, dass diese Fritz!Fernzugang keine virtuelle Lan Adapter erstellt? so dass auch in der Übersicht von Route die zugewiesene IP aus dem Fritz-Netz angezeigt wird.

 

[frank_m24]

Hallo,

Oder liegt es daran, dass diese Fritz!Fernzugang keine virtuelle Lan Adapter erstellt?

Richtig, deshalb kann man über die Verbindung keine eigenen Routen leiten (z.B. die Defaultroute).
Es gibt aber Alternativen, z.B. den NCP Secure Entry, der ein virtuelles LAN Interface anlegt und folglich sowas erlaubt. Konfiguration siehe Thread zur VPN Labor 6111.

Viele Grüße

Frank

 

[Oberchefe]

Hallo,
hat es schon jemand geschafft, den Nortel Contivity Client 4.65 zur Zusammenarbeit mit der Fritz! Box zu überreden? Ich bekomme beim Versuch mich zu verbinden die Fehlermeldung "Remote Host not responding". Das hört sich so an als würde die Fritz!Box gar nicht antworten. Der Client kann eigentlich "IPSEC", von daher könnte es ja generell funktionieren. Den Client habe ich auf dem Firmenrechner drauf, nach Möglichkeit sollte ich da keine andere Software installieren. Zudem simuliert der eine Netzwerkkarte, eine Namensauflösung geht damit problemlos.

 

[frank_m24]

Hallo,

hat es schon jemand geschafft, den Nortel Contivity Client 4.65 zur Zusammenarbeit mit der Fritz! Box zu überreden?

Ist der frei verfügbar? Dann kann ich es mal probieren.

Der Client kann eigentlich "IPSEC", von daher könnte es ja generell funktionieren.

Von IPSec gibts viele Varianten und Sub-Konfiguration, die einen Betrieb zuverlässig verhindern können. Der Cisco VPN Client macht auch IPSec, aber den kann man nicht mit der Box verheiraten.

Zudem simuliert der eine Netzwerkkarte, eine Namensauflösung geht damit problemlos.

Was hat die virtuelle Netzwerkkarte mit der Namensauflösung zu tun?

Viele Grüße

Frank

 

[tomster]

Gut, dann antworte ich mir eben selbst ........;-)
Also mit Modem vor der Box laufen die VPN Funktionen nicht, aber auf einer auf Annex A umgeflashten Box läuft die VPN-Labor und auch die kompletten VPN-Funktionen.

Bei mir hängt eine FB7170 FW 29.04.34-7728 als Client hinter einer FB7170 FW 29.04.37 (siehe Signatur), funktioniert tadellos !

Nun was jetzt? Ich hab hier eine FBF direkt an ADSL 6000 und eine FBF mittels externem Modem an VDSL 50MBit. Der Verbindunsgaufbau (Config: Box<->Box) klappt einwandfrei und wird auf beiden Boxen als aktiv gezeigt. Leider klappt ein Zugriff NUR von der VDSL-Box in Richtung ADSL. Andersrum geht gar nix.

Wenn ich euren beiden Postings Glauben schenke, dann bleibt nur die Vermutung, dass es augenscheinlich einen Unterschied darstellt, ob die FBF als Client (also OHNE Einwahl über PPPoE) hinter einem Router hängt, oder als "aktive" Box hinter einem Modem. Warum das aber einen Unterschied machen kann? Hat jemand eine Idee?

 

[frank_m24]

Hallo,

Leider klappt ein Zugriff NUR von der VDSL-Box in Richtung ADSL. Andersrum geht gar nix.

Wie definierst du "der Zugriff klappt"? Ping geht? Verzeichnisfreigaben gehen?

Selbst wenn nur in eine Richtung nur ein Ping funktioniert, ist die bidirektionale VPN Verbindung schon mal in Ordnung, sonst würde die Antwort des Pings nicht durchkommen. Gibt es dann noch irgendwelche weiteren Effekte, wie Zugriff nur in eine Richtung oder keine Datenübertragung, dann ist nicht mehr die VPN Verbindung schuld. Irgendwelche Firewalls oder das IP-Setup in den Subnetzen kommt dann als erstes in Frage.

Viele Grüße

Frank

 

[fa_demion]

fritzbox.cfg kein Import

Hallo Zusammen,

ich habe ein sehr merkwürdiges Problem.

Habe bei meinen Kunden mehrere Fritzboxen 7170 und auf allen die neueste
VPN_Labor - Version installiert.

Der Witz, bei einigen Fritz Boxen lässt sich die fritzbox.cfg sauber importieren,
bei einigen anderen wiederum erhalte ich während des Imports zwar die Meldung "Die VPN-Konfiguration wurde erfolgreich importiert.

FRITZ!Box übernimmt jetzt die VPN-Konfiguration. Dies dauert ungefähr 20 Sekunden. Sie werden danach zur Übersichtsseite weitergeleitet"

Tja und nach dem Neustart ist keine VPN - Konfiguration zu sehen.

Wie gesagt, bei manchen Boxen geht es bei manchen nicht..

Der Einzige Unterschied, einmal 1und1 Boxen und einmal AVM Boxen.

Auf allen Boxen von 1und1 wurde nach AVM geflasht um das Branding zu von 1und1 zu entfernen, da mein Verdacht dahin ging, dass es am Branding liegen könnte.

Hast jemand schon ähnliche Erfahrungen gesamelt oder kann mir hier einen Tipp geben??

AVM liefert zu diesem Problem keinen Support, da BETA - Status.

Viele Grüße
Holger

 

[Miniatur]

@fa_demion:

Hatte das Problem auch schon mal, allerdings lag es nur einfach daran, dass ich vergessen hatte WLAN zu aktivieren. VPN funktioniert in der Labor-Version nur bei eingeschalteten WLAN. Falls es schon aktiviert ist, dann scheint es ein anderes Problem zu sein.
Ein Kollege hat auch eine original AVM und dort funktioniert es einwandfrei.

Viele Grüße

 

[achim1108]

War das nicht eher, "falls WLAN aktiv ist, muß mind WPA eingestellt sein" ?
Gruß
Achim

 

[fa_demion]

Habe es sowohl mit WLAN als auch mit LAN und mit Recovery - Image alles zurückgesetzt, manuell neu konfiguriert.. nix funzt..

Habe mehrere Boxen bei Kunden, da ging es ohne Probleme und widerum bei 2 Boxen, unter anderem auch meine eigene, da geht es nicht. Werde das mit dem WPA mal noch testen, steht auf WEP, mal sehen ob ich dann erfolg habe.
Also muss WLAN definitiv aktiv sein????

MfG.
Holger

 

[fa_demion]

Sodele...

Nu läuft es. Es scheint wirklich an der WPA Verschlüsselung zu liegen.
WPA muss einmal aktiviert werden, damit die Konfig - Datei sauer importiert werden kann. Anschließend kann wieder auf LAN oder WEP - WLAN gewechselt werden.

Ist zwar sehr merkwürdig, da man ja auch sehr oft die Fritz Box in einem reinen LAN - Netzwerk betreibt und dafür kein WLAN mittels WPA aktiviert, aber wenn es nur der Konfiguration dient, mag mir das egal sein.

Auf jeden Fall werde ich AVM einen kurzen Rapport schicken, damit dies in der Dokumentation mit aufgenommen wird.

Vielleicht wird VPN ja noch einmal dahingehend geändert, dass es auch ohne WLAN oder auch mit WEP Verschl. geht, denn nicht alle WLAN - Adapter unterstützen das WPA Verschl - Protokoll.

 

[achim1108]

ich meine es geht auch ohne WLAN. ABER wenn WLAN an, dann mindestens WPA und das hat mindestens auch Sicherheitsgründe:
Warum macht man einen SICHEREN VPN Tunnel übers Internet, wenn jeder Hinz und Kunz in mein WLAN einbrechen kann (weil nur WEP gesichert...).

Ich gebe Dir aber recht, das AVM das kurz anmerken sollte....

Gruß
Achim
P.S. mit der jetzigen Beta läuft wie Box echt wie geleckt...

 

[fa_demion]

Das stimmt so nicht ganz,

1. geht es nur, wenn WLAN aktiviert. Ist WLAN aus, dann ist die Config nicht
sichtbar. Wurde sie jedoch mittels WLAN und WPA einmal richtig importiert, kann man das WLAN wieder abschalten.

2. Wenn SSID unsichtbar und weitere WLAN - Adapter zulassen deaktiviert ist,
kann niemand ins Netz einbrechen. Nur so sollten WLAN Boxen überhaupt betrieben werden.

Es würde keinen Sinn machen, wenn weitere WLAN - Adapter zulassen deaktiviert ist und dennoch weitere WLAN - Adapter, welche ja an einer eindeutigen MAC - Adresse identifiziert werden, zugelassen werden würden.

MfG.
Holger

 

[jojo-schmitz]

SSID unsichtbar zu machen ist "Security by Obscurity" und nützt nur wenn der potentielle Einbrecher Windows und das dortige standard Utility verwendet und glaube mir: das werden sie nicht tuen, es hält also allenfalls Deine Nachbarn davon ab, Dich bei WLAN Problem kontaktieren zu können (mit entsprechend sichbarer und eindeutiger SSID könnte sie es, ob meine SSID "SCHMITZ!Box" hier im Rheinland eindeutig genug ist sei mal dahingestellt )

MAC Adressen lassen sich fälschen, und glaube mir: Einbrecher können das!

Bei WPA und WPA2 ist man hinreichend sicher, alles andere ist wie eine nicht abgeschlossene Haustür oder ein Fenster, das auf Kipp steht. Niemand sollte sich aud WEP verlassen, egal was sonst noch so konfiguriert ist.

Tschö, Jojo

 

[fa_demion]

Ich sagte ja auch nicht, dass WEP sicher ist, nur dass man weitere WLAN Adapter zulassen deaktivieren sollte, dann läßt die Box niemanden mehr rein.

Und MAC Adressen inklusive dem ARP (Adress Resolution Protokol) lassen sich definitiv nicht fälschen. Bin SecurityAlliance Partner von McAfee und kenne mich gerade mit den Protokollen sehr gut aus.

Es nützt z.B.: auch nichts, wenn jemand seine IP - Adresse verstecken will, Programme gibt es ja genügend dafür.

Doch mittels ARP erhält man die Adresse immer, da der Adapter direkt abgefragt werden kann.

Will aber jetzt das Thema hier nicht sprengen, denn das gehört hier nicht hin.

Vielmehr geht es darum, dass durch die zwingende WPA Verschlüsselung der Import vom VPN erschwert wird bzw. nicht möglich war und AVM darauf nirgends hingewiesen hat.

Vielleicht sollte man diesbezüglich einen separaten Thread aufmachen, wo nicht diskutiert werden kann, sondern nur Tips und Infos durch die Moderatoren zur Verfügung gestellt werden.

Ist bei der Fehlersuche und Problemfindung oft einfacher, als hunderte von Threads lesen zu müssen, wo es um Frage und Antwort geht.

Nur so ein Vorschlag von mir

MfG. Holger

 

[jojo-schmitz]

Manche Netzwerkkarten erlauben die Änderung der MAC Adresse, via Software...