nokia vpn

Ich hab mir eine Freetz-Firmware gemacht mit PPP-VPN-Server

Sowas gibt's auch? Jetzt mußte ich für Spanien meine Firmware Mutli-Annex machen und die Multicoutry von einer anderen Version hinzufügen, damit alles läuft (läuft gerade super, seit Version 74.04.80v3 mit 74.04.76international ) und jetzt muß noch ein PPP-VPN-Server rein.

Na ja, was soll's. Hauptsache ich kann mit dem N95 über VPN auf die Sip-Konten der Fritzbox zugreifen. Ohne VPN geht es ja, aber es ist halt nicht sicher und außerdem sind bei vielen Providern die nötigen Ports dann zu.

Edit:
Ach so, bitte antworte ob es geklappt hat und wie. Danke.
 
Hi!

Ich bin mir recht sicher, dass die Einstellungen, die ich gepostet habe, schon mal richtig sind. Vielleicht muss man noch mehr einstellen. (Inzwischen?) gibt es eine ausführliche Dokumentation bei Nokia: http://europe.nokia.com/support/download-software/nokia-mobile-vpn/compatibility-and-download - da sind auch How-Tos dabei für manche VPN-Server.

Ich denke, es müsste möglich sein mit dem Nokia-VPN-Tool und dem Server, der in der Fritzbox integriert ist. Denn beide sprechen IPSec.

Gruß,
Pfeffer.
 
Das dachte ich mir auch immer, das wir einfach nur zu blöd sind und etwas übersehen/vergessen. Aber Nimrod sieht das anders und meint das es nicht klappt. Ist IPSEC nicht gleich IPSEC?
Ich habe aber schon so viele Einstellungen durch.
 
IPSec kann auf viele Weisen konfiguriert werden. Nicht alle Endgeräte unterstützen alle Konfigurationen -> beide IPSec muss nicht heißen, dass es funktioniert. Wenn allerdings eine Seite IPSec vollständig implementiert hat, dann muss es gehen (Vorausgesetzt kein Bug verhindert das). Ich habe den Eindruck, dass Nokia IPSec recht vollständig implementiert hat. Bei der FritzBox hingegen fehlen manche Teile (Ich glaub' AH=Authentication Header kann die FritzBox nicht und ich glaub auch keine Zertifikate zur Autentifizierung, da bin ich mir aber nicht so sicher).

Gruß,
Pfeffer.
 
ja, habe es mit Shrew verwechselt, ich glaube, das kann kein AH. Aber ganz sicher bin ich mir da nicht.

Welche Fehlermeldung(en) erhälst Du denn, wenn Du es versuchst?

Gruß,
Pfeffer.
 
Weiß die Fehlermeldungen im Moment nicht mehr. Werde es demnächst noch mal ausprobieren. Ich brauche ja dafür ein anderes WLAN, mit dem gleichen Zuhause kann ich es ja nicht testen, da VPN im gleichen Netzwerk nicht funktionieren kann.
 
ich habe jetzt auch schon einige einstellungen durchprobiert aber bin noch zu keinem ergebnis gekommen...

kannn man nicht auf der box nen log sehen damit man eingrenzen kann woran die verbindung scheitert?
 
Ich hab mir eine Freetz-Firmware gemacht mit PPP-VPN-Server und habe vor das mit SymVPN zu testen, werde hoffentlich am Wochenende dazu kommen. Wenn man keine passende Hardware hat soll der Nokia VPN-Client nicht mit anderen zusammenarbeiten. OpenVPN, FritzVPN und andere gehen mit hoher Wahrscheinlichkeit nicht. Habe bisher keinen einzigen Eintrag gefunden dass es damit ginge und ich hab schon eine Weile gesucht.

Hallo Nimrod.
Bist du damit weiter gekommen? Läuft es?
Wie sieht es eigentlich mit OpenSwan aus? Kann man den auch mit Freetz in die Fritzbox implantieren? Der OpenSwan-Server soll ja direkt mit dem Nokia-Client laufen.
 
Hallo zusammen,

ich versuch mich jetzt mal in meinem 1. Post hier im Forum. Habt also etwas Nachsicht ;-)

Da ich es endlich geschafft habe mein Nokia Handy per VPN mit der FritzBox zu verbinden,
möchte ich gern die gesammelten Informationen mit euch teilen.

Meine Hardware:
Nokia 5730 XpressMusic
FRITZ!Box Fon WLAN 7170 (UI) Firmware-Version 29.04.76
Internet Provider 1und1 mit arcor DSL Leitung

Software:
Nokia Mobile VPN - mVPN_4_0_090527 von dem schon genannten Link
Tool und Details (pdf mit Syntax und Error Codes) gibts ja hier
http://europe.nokia.com/support/download-software/nokia-mobile-vpn/compatibility-and-download

Ziel:
Ist natürlich mich per Handy aus öffentlichen Netzen (z.B. HotSpot) per VPN
auf das private Netz hinter meiner FritzBox zuzugreifen und bestenfalls dann darüber
im Internet surfen zu können.

Vorab:
Zum Testen konnte ich sogar mein Handy per WLAN lokal anmelden und eine VPN Verbindung
zur dynDNS Adresse der FB aufbauen. Ich hab zwar schon Beiträge gesehen, die aussagen
dass dies nicht funktionieren würde, ging aber doch. Ich konnte das also alles lokal
ohne weitere Kosten probieren. Final gabs natürlich noch nen Test per UMTS.

Config-Files:
FB VPN - Ich habe mir eine standard Config per Fritz Fernzugangssoftware erstellt und diese angepasst.
Nokia VPN Policy - Hier habe ich auch eine Config mit ein paar Settings mit dem Policy Tool (Nokia)
erstellt und diese dann meinen Bedürfnissen angepasst. Man kann die erstellte .vpn Datei mit einem
Packer (ich benutze TotalCommander) entpacken, editieren und dann in die .vpn zurückpacken.

Ich habe die Policy Dateinamen und Details immer gleich meinem Verbindungsnamen "[email protected]"
benannt. Glaubs zwar nicht, aber es könnte sein das das wichtig ist.

Die folgende Datei kann man per Text Editor bearbeiten, und sie dann per WebInterface in die FB laden.
Dabei werden auch die Passwörter "ver-hasht".

Hier nun die Configs (Natürlich müssen meine Kommentare raus):

"FB.cfg"
Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";	<-- Name der Verbindung						
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201; <-- IP die das Handy bekommen soll
                remoteid {
                        user_fqdn = "[email protected]"; <-- UserID des Handys (wie name)
                }
                mode = phase1_mode_aggressive;	<-- Agressive mode, Main müsste auch gehen
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "TopSecret"; <-- PreSharedKey, hab den von Fritz erstellten behalten
                cert_do_server_auth = no;
                use_nat_t = yes;	<-- NatTraversal einschalten
                use_xauth = yes;	<-- Ich benutze zusätzlich xauth (wird beim vpn Aufbau abgefragt)
					xauth { <-- Hier steht dann der Account drin. Wenn xauth=no, kann dies gelöscht werden
						valid = yes;
						username = "UserID"; <-- Nicht die VPN ID oder fqdn!
						passwd = "Passw0rd"; <-- Nicht der PSK!
					}
                use_cfgmode = yes; <-- In diesem Modus konfiguriert die FB mein Handy mit IP usw. 
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0; <-- Default FB Subnetz
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201; <-- Default Remote (Handy) IP (wie von AVM vorgeschlagen.
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip any 192.168.178.201 255.255.255.255"; 
							<-- Hier habe ich die source auf "any" geändert um Internet Zugriff zu haben. 
							<-- Mit der default source (192.168.178.0/24) sollte man nur Zugriff aufs lokale Netz haben.
							<-- Dies muss zur SA bei der Nokia Policy passen (siehe "remote")
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Hier nund das Policy File für das Handy. Wie schon gesagt, entpackt kommt aus der .vpn Datei eine .pin und eine .pol.
"[email protected]"

"[email protected]"
Code:
[POLICYNAME]
[email protected] # Auch hier wieder mein "Connection-Name"
[POLICYVERSION]
1.0
[POLICYDESCRIPTION]
Connection to Home # Freitext soweit ich weiss
[ISSUERNAME]

[CONTACTINFO]

"[email protected]"
Code:
SECURITY_FILE_VERSION: 1
[INFO]
[email protected]		# Auch hier wieder mein "Connection-Name"
[POLICY]
sa [email protected]_1 = {	# Wenn man per Tool (Nokia) den Nameen unter INFO erstellt, wird die SA autom. so benannt.
esp				# Nur ESP, kein AH (AH geht nicht per NAT-Traversal (NAT-T)
encrypt_alg 12			# 12 = AES Encryption
max_encrypt_bits 256		# 256 Bit maximal für die AES Verschlüsselung
auth_alg 3			# 3 = SHA-1
identity_remote 192.168.178.0/24# Passend zu FB:phase2localid 
src_specific				
hard_lifetime_bytes 0
hard_lifetime_addtime 3600
hard_lifetime_usetime 3600
soft_lifetime_bytes 0
soft_lifetime_addtime 3600
soft_lifetime_usetime 3600
replay_win_len 0
pfs			        # Perfect Forward Secrecy einschalten
}

# Folgenden remote Eintrag hab ich aus anderen Quellen übernommen. Soweit ich das
# sehe, ist dies als access-list zu sehen, wie "accesslist" der FB.cfg.
# Schlicht: Jedes Paket an jede Adresse (any) wird in den Tunnel geschickt.
# Tunnel beginnt mit der SA und hat als Endpunkt den DynDNS Host (FB)

remote 0.0.0.0 0.0.0.0 = { [email protected]_1(yourdynhost.dynamic-dns.xy) }
inbound = { }
outbound = { }


[IKE]
ADDR: yourdynhost.dynamic-dns.xy 255.255.255.255	# Hier die eigentliche FB Inet Adresse per DynDNS (/32 Maske ist wichtig)
IKE_VERSION: 1		        # Soweit ich weiss, macht die FB nur IKEv1
MODE: Aggressive	        # Aggressive mode wie in FB:mode
REPLAY_STATUS: FALSE
USE_MODE_CFG: TRUE	        # Passenden Config mode zu FB:use_cfgmode
IPSEC_EXPIRE: TRUE
USE_XAUTH: TRUE	                # Xauth einschalten. FB:use_xauth
USE_COMMIT: FALSE
ESP_UDP_PORT: 0	                # Muss auf 0 stehen für IEFT NAT-T Mode! Auch wenns verlockt, "4500" geht nicht.
SEND_NOTIFICATION: TRUE
INITIAL_CONTACT: TRUE
USE_INTERNAL_ADDR: TRUE	        # Ich glaub das hat was mit dem Config Mode und der zugewiesenen IP zu tun. 
DPD_HEARTBEAT: 90
NAT_KEEPALIVE: 60
REKEYING_THRESHOLD: 90
ID_TYPE: 3			# 3 = Fully qualified user name im nächsten Feld FQDN
FQDN: [email protected]	        # Passend zu FB: user_fqdn
PRESHARED_KEYS:  
FORMAT: STRING_FORMAT	        # Format des PSK
KEY: 9 TopSecret		# Wie FB: key (nicht xauth). Die Zahl gibt die Anzal der Stellen an!
GROUP_DESCRIPTION_II: MODP_1024	# DH Group 2 (1024Bit) bei PFS Quick Mode
USE_NAT_PROBE: FALSE	        # Muss auf False stehen, damit IEFT NAT-T läuft und nicht Nokia IPSec over NAT
PROPOSALS: 1
ENC_ALG: AES256-CBC		# Verschlüsselung für IKE kommunikation
AUTH_METHOD: PRE-SHARED	        # Hier wird PSK eingestellt (siehe FORMAT + KEY)
HASH_ALG: SHA1			# SHA1 bei IKE
GROUP_DESCRIPTION: MODP_1024	# DH Group 2 (1024Bit) bei IKE
GROUP_TYPE: DEFAULT
LIFETIME_KBYTES: 0
LIFETIME_SECONDS: 3600	        # Diese Lifetime muss zur FB passen. Die benutzt 3600 soweit ich weiss.
PRF: NONE
DNS_SERVER: 192.168.178.1	# Hier den DNS der FB eintragen. Ohne diesen Eintrag geht kein Internet Zugriff!

Konfiguration:
Die beiden Dateien werden nun jeweils installiert. Die FB.cfg per WebInterface in die FB und die Nokia Policy per
Bluetooth ans Handy geschickt.
Im Handy die SMS öffnen.. der Rest geht von alleine. Bei mir hab ich jetzt ein "Ziel" Intranet und mein lokales WLAN
im Ziel "Internet".

Verbindungsaufbau:
Im Handy den Broswer öffnen. Als Default Ziel hab ich "Intranet" gewählt.
URL http://192.167.178.1 eintippen und los. Handy fragt, ob es sich per VPN verbinden und danach per WLAN verbinden soll.
Eine kurze Sekunde nach dem WLAN Aufbau kann man auf der FB Startseit bei VPN sehen "wird aufgebaut". Dann stimmen auf jeden
Fall schonmal die Grundsätzlichen Einstellungen wie IP's, VPN-ID etc. und Handy und FB schnacken.
Kurz danach sollte das "Lämpchen" auf grün umschalten und das VPN ist aktiv. Die FB Startseite sollte sich öffnen.

Auf dem Handy kann man Details im VPN Logging sehen. --> Einstellungen -> Einstellungen -> Verbindung -> VPN -> VPN-Protokoll
Interessant ist hier insb. die "Address info ...": virtual IP muss die 192.168.178.201 enthalten! local ist die WLAN IP..
Zusätzlich steht bei mir noch "NAT status code 3". Hab leider keine Ahnung was das bedeutet, scheint aber gut zu sein ;-) .

Noch ein paar Kleinigkeiten, die ich bei meinen Tests herausgefunden habe:
- Beim packet sniffen per Wireshark kann man sehen, dass die FB nicht auf den initialen Verbindungsaufbau per ISAKMP
reagiert, wenn die SA nicht korrekt ist (z.B. falscher Username [email protected]). Man wird dann keine Antworten
sehen und sollte mal den Text in den Configs vergleichen (hat mich Tage gekostet ;-) )
- Sehr gut testen kann man vom lokalem Windows PC mit der Testversion vom NCP VPN Client, ob das VPN überhaupt läuft. Siehe AVM Anleitung
im ServicePortal. Geht auch lokal per LAN.
- Achtet darauf, dass die "Ziele" im Handy aufgeräumt bleiben und ihr immer nur die aktuelle Policy installiert habt.
Sonst versuchts Handy eventuell eine frühere Policy zu nutzen.
- Es kann passieren, dass man durchs editieren der Nokia Policy mit nem Editor die Zeilenumbrüche killt. Das Handy wird
dann diese nicht akzeptieren. Man sollte also die Config vom Tool (gilt auch für die FB.cfg) erstellen lassen und diese dann anpassen. Das spart Fehlersuche.

Sooo, viel Text ... ich hoffe nicht zu viel für meinen 1. Post, aber dennoch genug ums nachzubauen oder Anregungen zu geben.
Hoffe das klappt nicht nur bei mir, ist hilfreich und ich hab keine wichtigen Details vergessen...

Viele Grüsse und viel Erfolg,
Ceemly
 
Hallo Ceemly,

herzlich Willkommen im Forum und vielen, vielen Dank für deine ganz ausführliche Anleitung. :p

Ich habe es jetzt auch geschafft, mein Nokia N78 via VPN an die Fritzbox zu klemmen und darüber zu surfen! Perfekt! :cool:

Also nochmals danke und viele Grüße! :groesste:

Smithy
 
Nokia E71 mit VPN auf FB

Hallo,
was muß ich denn bei use_Xauth eintragen, welcher user/password ?
Geht das auch ohne? Wozu braucht man denn ?
 
Hallo

geht auch ohne - bei mir jedenfalls. Xauth muss dann sowohl in der Konfig von der Fritzbox, als auch von Handy auf NO bzw. FALSE stehen.

Gruß
Smithy
 
Vpn

Ja jetzt gehts, stimmt geht auch ohne XAUTH!
Wenn man es aktiviert, muß der Benutzername und passwort im Handy eingetragen sein und gleich sein in der FB.cfg !!!

Vielen Dank an Alle, Daumen hoch ! :rock:
 
Moin moin...

Vielen Dank erstmal für die Begrüssung :)
Freut mich, dass meine Anleitung geholfen hat!

Zu dem xauth:
Aktiviert hatte ich das in erster Linie, um zu testen ob es überhaupt funktioniert.
Ein sinnvoller Grund wäre z.B. zu verhindern das sich jemand mit einen gestohlenem Handy ins private Netz einwählen kann.
Im policy file steht ja auch der PSK im Klartext drin. Mit xauth muss derjenige dann immernoch das zusätzliche PW wissen.

User/PW für xauth in der FB.cfg können von Hand vergeben werden. Ist also nur ein Account in der FB.cfg und hat nix mit der FB selbst zu tun.

Gruss Ceemly
 
[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
Hallo, diese Anleitung habe ich schon gesucht ;-)

Mein Datentarif bei Vodafone läßt nur Port 80 durch, gibts ne möglichkeit VPN nur über port 80 laufen zu lassen ?

[Beitrag 2:]
Diese VPN-Verbindung ist das eine PPTP (nativ) oder L2TP (coexistant) ? Oder gibts noch andere ?
 
N'Abend,

hier handelt es sich um ein IPSec VPN.
Das ist grundsätzlich was anderes als PPTP oder L2TP oder SSL.. Siehe --> de.wikipedia.org/wiki/Virtual_Private_Network

Ein IPSec lässt sich leider nicht über port 80 (http) tunneln. Sorry...
 
Hi,

sollte das auch mit der Version 3.1 funktionieren? Ich hab hier ein E90, doch leider kann die Verbindung nicht aufgebaut werden. Im VPN-Protokoll steht:

Error: Failed to activate VPN access point 'FritzBox', reason code -2

EDIT: Also es klappt. Man sollte die aktuelle V.3_1_090519 verwenden und die Dateien unter Windows editieren. Ich hab dafür EditPad Lite verwendet.

Vielen, vielen Dank, ceemly!!!

Beste Grüße,
Whoopie
 
Zuletzt bearbeitet:
Klar funktioniert es mit der Version 3.1. Auf meinem N95 läuft es mit Nokia-Client 3.1 so wie es Ceemly beschrieben hat.
Daher meinen größten Dank an Ceemly.
Nur schade das man dann nicht über VPN ein LAN-Telefon anmelden kann. Ohne VPN geht es.
Vielleicht hat da noch einer eine Idee?
 
...VIELEN DANK an ceemly...

Habe es mit dem "Nokia Mobile VPN Client Policy Tool" auch zum laufen bekommen... ein paar Bilder im Anhang...
 

Anhänge

  • VPN Nokia2FritzBox.pdf
    179.2 KB · Aufrufe: 1,171
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.