Neue Labor-FW 29.04.34-7728 (VPN-Feature)

[andyalmera]

Ist es denn nun eigentlich möglich z.B. 3 FritzBoxen mit einander über VPN zu verbinden. Wurde schon ein Paar mal gefragt aber nie beantwortet. Wenn ja wie wäre dies möglich?

 

[frank_m24]

Hallo,

Wurde schon ein Paar mal gefragt aber nie beantwortet. Wenn ja wie wäre dies möglich?

Doch, wurde beantwortet. Es gibt ausführliche Diskussionen im Laufe der Threads über die Vor- und Nachteile der beiden Konfigurationsmöglichkeiten.

In Kürze: Es gibt zwei Möglichkeiten. Einmal kannst du eine der drei Boxen als zentrale Stelle einrichten oder du richtest Punkt-zu-Punkt Verbindungen zwischen den Boxen ein, musst dabei aber beachten, kein Routing-Kuddel-Muddel zu erzeugen.
Details in den Threads zu den VPN Firmwares.

Viele Grüße

Frank

 

[andyalmera]

Das Problem welches ich habe ist das ich gerne eine zentrale Stelle einrichten würde, es sich hierbei aber um einen FritzBox7050 handelt. Die beiden anderen Netze (FritzBox7170) sollen per VPN auf die 7050 zugreifen können.
Leider gibt es für die 7050 keine Laborversion in der VPN integriert ist und ich müsste dies wie hier:
http://wiki.ip-phone-forum.de/gateways:avm:howtos:mods:openvpn#weitere_clients_hinzufuegen realisieren. Würde dies überhaupt mit der 7050 funktionieren und wie füge ich die weitere FritzBox hinzu. Leider weiss ich aus der Anleitung heraus nicht wie.

 

[frank_m24]

Hallo,

@andyalmera: Damit bist du natürlich im falschen Thread. Für die 7050 gibt es keine Labor VPN Firmware, und Labor VPN Version ist nicht kompatibel mit openvpn. Du musst also alle drei Boxen mit openvpn versehen und dich folglich auch in den openvpn Threads nach Hilfe umsehen.

Viele Grüße

Frank

 

[EJ_Hoover]

VPN Aktiv - Zwangstrennung

Hallo zusammen,

ich hänge das mal an diesen Thread dran, da es hier am besten passt.

Ich betreibe folgende Konf.

Eine FB7170 mit der FW .34-7728 Labor baut ein VPN zu einem AVM Access Server auf. (LAN LAN Kopplung). (ja ich habe die fritzbox.cfg per Hand editiert).
Das klappt auch prima, leider hakt es an einigen Stellen. Da die Laborverison ohne Support kommt, würde ich mich über ein paar Tipps/Meinungen freuen.

1. Die Aussenstelle (FB7170), ist so konfiguriert, dass Sie sofort ein VPN aufbaut (auch ohne request aus dem Netz) und alles in den Tunnel routet.
Ich dachte immer, das beträfe nur die Paket aus dem LAN...?!
Leider macht die Box aber auch kein Update bei dyndns mehr. Liegt das an der Einstellung?

2. Die zeitgesteuerte Trennung des Internetzugangs (um der Zwangstrennung zuvor zu kommen) funkioniert nicht mehr. Das liegt sicher nicht am routing... Gibt es da Erfahrungen von Euch? (bei meiner Box-Box Kopplung habe ich keine Problem damit).

Das Problem damit ist bei 1. nach 24 Stunden stimmt der Dyndns-Name nicht mehr und die VPN-Strecke bricht nach 120sec zusammen (timeout der ipsec.cfg des Access-Servers, weil die Gegenseite nicht verifiziert werden kann). Das habe ich nun mit einer festen IP gelöst (hoffentlich). Bei 2. ist die Verbindung halt manchmal tagsüber unter Last plötzlich getrennt. Ich hätte das gerne nachts!

Irgendwelche Tipps?!

Grüße Manuel

 

[himinternational]

Also zwischen Boxen ist das nicht reproduzierbar. Unsere Boxen trennen automatisch nach einer Stunde wenn keine Aktivität da ist. Es scheint also, als ob das Problem eher auf Seiten des AVM Access Servers liegt. Warum nehmt ihr keine 7170 oder eine 5188 ??

 

[frank_m24]

Hallo,

1. Die Aussenstelle (FB7170), ist so konfiguriert, dass Sie sofort ein VPN aufbaut (auch ohne request aus dem Netz)

Wie genau hast du das denn gemacht? Mit "connect_on_channelup"?

und alles in den Tunnel routet.

Und wie das? Mit "reject_not_encrypted"? Oder eine Route in den Clients?

Ich dachte immer, das beträfe nur die Paket aus dem LAN...?!

Was betrifft nur Pakete aus dem LAN?

Leider macht die Box aber auch kein Update bei dyndns mehr. Liegt das an der Einstellung?

Also das hat mit VPN wohl nichts zu tun. Und wofür auch? Für den Betrieb als VPN-Client brauchst du es nicht.
Bei mir jedenfalls funktioniert das dyndns Aupdate problemlos mit der VPN-Labor.

2. Die zeitgesteuerte Trennung des Internetzugangs (um der Zwangstrennung zuvor zu kommen) funkioniert nicht mehr.

Auch das geht bei mir.

Ich muss dazu sagen, dass ich eine ähnliche Konfiguration betreibe, allerdings mit einem Cisco 3000 VPN Concentrator als Gegenstelle.

Das Problem damit ist bei 1. nach 24 Stunden stimmt der Dyndns-Name nicht mehr und die VPN-Strecke bricht nach 120sec zusammen (timeout der ipsec.cfg des Access-Servers, weil die Gegenseite nicht verifiziert werden kann).

Wieso brauchst du einen dyndns-Namen, um beim AVM Access-Server die Gegenstelle zu verifizieren? Ein dyndns Name ist in der Beispiel-Konfig für den AVM Access-Server gar nicht drin. Und ein Reverse Lookup liefert niemals einen dyndns Account zurück.

Viele Grüße

Frank

 

[EJ_Hoover]

@himinternational: weil das so gewachsten ist. Die Aussenstelle hatte vorher auch einen Access-Server unter XP. Aber eine FBist einfacher zu warten (und zu resetten!) ;-)

@Frank:
Danke erstmal für die detailreiche Nachfrage.


In der fritzbox.cfg stehen folgende 2 Zeilen:

alway_renew = yes; 
reject_not_encrypted = yes;

Damit wird sofort ein VPN aufgebaut und alles geht in den Tunnel. Das klappt auch prima, die Aussenstelle soll immer über die Zentrale müssen; das hat administrative Gründe (sicherheitstechnisch und Zugriffsregeln für die Clients im Proxy).

Ich dachte die Regel, dass alle Paket in den Tunnel laufen, beträfe nur das LAN, also angeschlossene Geräte. Die Box selbst - denke ich - kann auch direkt über WAN, sprich DSL, kommunizieren. Liege ich da falsch? Das wäre eine Erklärung dafür, dass der dyndns-Eintrag nicht gemacht werden kann. Wenn nun die Box nach der Zwangstrennung wieder connected, kann sie womöglich keinen neuen Eintrag bei dyndns erzeugen, da die route über die Hauptstelle immer durch den (nicht transparenten) Proxy läuft.

Der dyndns ist schon wichtig, da der Access-Server grundsätzlich in der ike phase 1 den dyndns-Namen mit der IP des Clients abgleicht. Dafür gibt es auch einen Eintrag in der ipsec.cfg des Access-Servers mit einem timeout von 120 sec. Nach einer Zwangstrennung kann also der Access-Server nicht die in der ike phase 1 genannten IP-Namen xxx.dyndns.org mit dem gerade connectierenden verifizieren. So verstehe ich jedenfalls den Vorgang an dieser stelle. Liege ich da falsch?
Ändere ich innerhalb der 120sec übers Web den dyndns-Einträge, trennt der Access-Server nicht.
Ich habe das nun mit einer festen IP geregelt - ist vielleicht sowieso besser...

Zu der Trennung:
Ja das kann ich mir auch nicht erklären, sollte doch eigentlich nichts mit dem VPN zu tun haben. Aber wer weiss schon, was da die Entwickler so zusammengeschmissen haben (siehe WLAN-Verschlüsselung und VPN). Bei allen anderen (allerdings Box-Box) Kopplungen gibt mit der Trennung keine Probleme.

Grüße Manuel

 

[frank_m24]

Hallo,

Ich dachte die Regel, dass alle Paket in den Tunnel laufen, beträfe nur das LAN, also angeschlossene Geräte. Die Box selbst - denke ich - kann auch direkt über WAN, sprich DSL, kommunizieren. Liege ich da falsch?

Das kann ich dir nicht mit Sicherheit sagen. Es kann durchaus sein, dass nur noch VPN Kommunikation erlaubt ist - inkl. dem Traffic der Box.

Viele Grüße

Frank

 

[EJ_Hoover]

Alles klar.
Das Problem ist nun bei AVM in der Entwicklung gelandet. Die haben das Problem nachstellen können.
Also, gute Chancen, dass es in der nächsten Version funtioniert!

Gutes Thema, wann kommt die nächste VPN-Version? :noidea: naja..

Grüße Manuel

 

[s24195]

VPN Zugriff von Linux

Hat es denn jetzt schon jemand geschafft mit einem freeware Programm von Linux auf die FB zuzugreifen?
Ich habe zwei 7170 (Labor FW) gekoppelt, will mich aber auch noch mit einer Linuxbox verbinden.
Da ich unter Linux nur auf der Konsole arbeite, kommt der NCP Client nicht in Frage, außerdem ist er ja keine freeware.


Vielen Dank für Euere Hilfe!
Jörg

 

[frank_m24]

Hallo,

nein, hab ich nicht. Ich habs in letzter Zeit aber auch nicht mehr intensiv versucht, da ich seit einiger Zeit OpenVPN auf der Box hab. Damit ist es natürlich kein Problem.
Mit dem PDF aus der aktuellen VPN Labor, in dem Konfigurationsvorschläge für die Verbindung mit anderen VPN Lösungen erläutert werden, sollte es aber machbar sein. Meines Erachtens müssten sowohl racoon als auch OpenSWAN in der Lage sein, eine Verbindung zur AVM Lösung aufzubauen.

Viele Grüße

Frank

 

[George99]

Kennt ihr schon das Service-Portal über VPN? Habe ich heute zum ersten Mal gesehen.
Interessant ist, das es nicht nur für die 7170 und den VoIP-Gateway eine VPN-Lösung gibt, sondern auch für die 2170 und 3170 geplant ist.

http://www.avm.de/de/Service/Servic....x=69&suchestartenneu.y=18&suchestartenneu=ok

 

[frank_m24]

Hallo,

cool. Es gab ja schon vor einiger Zeit Gerüchte, dass AVM die VPN Funktionalität in die nächste finale Firmware einziehen lässt. Das ist dann wohl ein eindeutiges Anzeichen für den Wahrheitsgehalt dieser Behauptung.

Viele Grüße

Frank

 

[EJ_Hoover]

cool. Es gab ja schon vor einiger Zeit Gerüchte, dass AVM die VPN Funktionalität in die nächste finale Firmware einziehen lässt. Das ist dann wohl ein eindeutiges Anzeichen für den Wahrheitsgehalt dieser Behauptung.

Hi,

habe dazu etwas in http://www.ip-phone-forum.de/showthread.php?t=149354&p=956185 geschrieben.

Gruß

 

[canoodle]

Hi leute hab zwar noch bissl Probleme mit Software-Client -> VPN-FritzBox aber....

Hab auf der 7170 das aktuelle VPN Image vom AVM Labor.

vpn-fritz_box-labor-7728.zip
FRITZ.Box_Fon_WLAN_7170_VPN.AnnexB.29.04.34-7728.image

WINRAR KANN ÜBRIGENS DIE .IMAGE FILES ÖFFNEN! Nur so spaßeshalber mal reingeguckt ...

Ist eigentlich irgend jemand aufgefallen dass die VPN-Box jetzt auch per Browser aus dem INTERNET ansprechbar ist?

http://dforstner.selfip.biz/
check it out!

Das war mit der aktuellen Firmware die ich vorher drauf hatte ohne VPN nicht so.

Die Box frägt mich nach username und passwort.

Was soll ich denn da eingeben?
Den VPN User?
root?

Muss ich die passwd shadow per telnet anpassen?

Wie heißt denn der Standard User im Fritzbox linux?

root isses schonmal nicht...
gast... auch nicht...

(habe gleiches passwort wie es auch bei WebAdmin-GUI aus'm LAN heraus funktioniert)

Per Software-Client konnte ich zwar aus dem LAN (192.168.0.XXX) heraus erfolgreich Zugreifen, als ich die vpnuser.cfg aber auf mein Virtuelles XP unter Parallels unter Mac OS verschoben habe hat es aus dem LAN heraus funktioniert (192.168.0.XXX)!

Sitz jetz bei der Arbeit und mein virtuelles XP hat die IP 10.150.2.59 zugewiesen bekommen.
Jetzt spuckt das ding folgendes aus:

---------------------------
FRITZ!Fernzugang
---------------------------
Die verwendete Identität ist der Gegenstelle nicht bekannt
---------------------------
OK
---------------------------

Aber ich hab doch nur den Einen user per fritzbox.cfg bzw. vpnuser.cfg angelegt?

Wird die MAC- oder IP-Adresse des Clients etwa auch zur identifizierung verwendet?

Wie kann man mehreren Clients erlauben auf ein und die selbe FBox zuzugreifen?

hochachtungsvoll euer canoodle

ich poste mal meine vpnuser.cfg
Stimmt es dass es egal ist ob da Unix (vim) oder Windows (notepad.exe) zweilenumbrüche drin sind? nur so ne vermutung von mir...

VPNUSER.CFG

/*
 * C:\Dokumente und Einstellungen\eo\Anwendungsdaten\AVM\FRITZ!Fernzugang\dforstner_selfip_biz\david_forstner_gmx_de\vpnuser.cfg
 * Mon Sep 24 22:33:05 2007
 */

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "dforstner.selfip.biz";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.0.1;
                remoteip = 0.0.0.0;
                remotehostname = "dforstner.selfip.biz";
                localid {
                        user_fqdn = "TUTNICHTSZURSACHE";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "DERKEYTUTAUCHNICHTSZURSACHEIHRCHINESISCHENHACKER";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

FRITZBOX.CFG

/*
 * C:\Dokumente und Einstellungen\eo\Anwendungsdaten\AVM\FRITZ!Fernzugang\dforstner_selfip_biz\fritzbox.cfg
 * Mon Sep 24 22:33:05 2007
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "SCHONWIDEREGAL";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.0.1;
                remoteid {
                        user_fqdn = "JASAGAMAL";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "GANZÜBLESZAHLENGEWURSCHTEL";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.0.0 255.255.255.0 192.168.0.1 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

�
Weiß es eigentlich irgendwo im Netz eine erklärung was die einzelnen Zeilen bewirken?bedeuten?



SOWAS HAT DIE WELT NOCH NICHT GESEHEN!

FROHES FRITZBOXEN MIT DER EIER-LEGENDE-WOLLMILCHSAU MADE IN GERMANY! Genauer gesagt: BERLIN

Anbieterkennzeichnung nach § 5 TMG:

AVM Computersysteme Vertriebs GmbH
Alt-Moabit 95
10559 Berlin
Tel. +49-30-399 76-0
Fax +49-30-399 76-299
E-Mail [email protected]

Berlin, HRB 57000
AG Charlottenburg
Geschäftsführer: Johannes Nill
USt-IdNr.: DE 184 232 585
WEEE-Reg.-Nr. DE 86990390

Verantwortlicher gemäß § 55 Absatz 2 RfStV:
Urban Bastert, AVM Computersysteme Vertriebs GmbH, Alt-Moabit 95, 10559 Berlin, Deutschland

 

[frank_m24]

Hallo,

also ich hab selten einen derart chaotischen Post gelesen ...

WINRAR KANN ÜBRIGENS DIE .IMAGE FILES ÖFFNEN! Nur so spaßeshalber mal reingeguckt ...

Natürlich. Das sind tar Dateien. Was meinst du, wie die Jungs vom ds-mod die modifizierten Firmwares schnüren? Die packen die ein- und aus nach belieben. Das geht nicht nur mit WinRAR.

Ist eigentlich irgend jemand aufgefallen dass die VPN-Box jetzt auch per Browser aus dem INTERNET ansprechbar ist?

Das ist nicht der Webserver der Fritzbox, der dahinter lauscht, darauf läuft kein Apache 2.2.4.
Meine ist auch nicht erreichbar aus dem Netz. Da hast du also irgendwas grundlegendes zerkonfiguriert.

---------------------------
FRITZ!Fernzugang
---------------------------
Die verwendete Identität ist der Gegenstelle nicht bekannt
---------------------------
OK
---------------------------

In deinem Firmennetz ist VPN ausgehend geblockt.

Aber ich hab doch nur den Einen user per fritzbox.cfg bzw. vpnuser.cfg angelegt?

Das hat mit den Usern in der Konfig nicht das geringste zu tun.

Weiß es eigentlich irgendwo im Netz eine erklärung was die einzelnen Zeilen bewirken?bedeuten?

Wieso nimmst du nicht einfach die Anleitung von AVM? Dort ist für nahezu jeden Eintrag eine Erklärung drin.

Viele Grüße

Frank

 

[canoodle]

danke frank_m24! war auch mein erster post...

Kennst du dich auch damit aus?
o Wie kann man mehreren Clients erlauben auf ein und die selbe FBox zugreifen?

 

[frank_m24]

Hallo,

gleichzeitig kann die Box meines Wissens nur eine VPN Verbindung aufrecht erhalten. Wie man mehrere Accounts in die Box bringt, erklärt u.a. das Service Portal:
AVM VPN Service Portal.

Viele Grüße

Frank

 

[egal-ip]

Hi,

gleichzeitig kann die Box meines Wissens nur eine VPN Verbindung aufrecht erhalten.

Verstehe ich jetzt nicht:
Habe hier auf der Box 3 Acounts parallel aktiv (2 ausgehend, 1 ankommend aufgebaut);
kann zeitgleich zu allen 3 VPN's kommunizieren, auch zwischen den VPN Daten kopieren.

Oder meint ihr was anderes?