nokia vpn

Alles garantiert nur eine Einstellungssache !

Habe meine vpn.pol im Post über diesem mal angepasst nachdem Smithy mir seine N97-pol geschickt hat,
die bei seinem N97mini garantiert läuft !

Irgendetwas Anderes mache ich wohl falsch. Habe das Gefühl, der VPN-Server startet gar nicht und ich weiß
auch nicht wie man ihn explizit anstubst.

Hat noch irgendjemand eine Idee (oder Tools), wie man dem Problem auf den Grund gehen kann ?
(erhalte ja auch im VPN-Protokoll keine vergeblichen Verbindungsaufbauten protokolliert,
nur den Hinweis, dass die Policy mit dem 624 -Anschluß verknüpft ist )
 
Ich hänge mein N97 Mini mal ans Ladegerät und lasse es frisch erwachen. Vielleicht finde ich noch was raus ;)

Dies müsste glaub noch die Config sein, bin mir aber nicht sicher:

Code:
{
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.5.201;
                remoteid {
                        key_id = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "278b9dxxxxxxxxxxxxxxxx4c9H:ca22";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = yes;
		xauth {
		valid = yes;
		username = "username";
		passwd = "password";
		}
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.5.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = "permit ip any 192.168.5.201 255.255.255.255";
 
Fritzbox-cfg OK

Das könnte die vpn.cfg der Fritzbox sein, aber meine (jetzt hier unten angepasst) wollte ich ursprünglich nicht auf das
Nokia anpassen (müssen), da die Konfig mit Laptop und PhonerLite samt Fritzfernzugang aus einem Fremdnetz ja sehr gut
funktioniert und auch mit dem N97mini laufen sollte.
Die alte mvpn_4_0_091231.sisx statt der neuen mVPN_4_0_121022_249999.sisx brachte bisher auch keinen Durchbruch.
Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "625";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.202;
                remoteid {
                        user_fqdn = "625";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "meinpasswort";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip any 192.168.178.201 255.255.255.255";
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255", 
        } {                         /* Ab hier die funktionierende Phonerlite-cfg : */
                enabled = yes;
                conn_type = conntype_user;
                name = "624";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "624";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "meinpasswort";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255", 
                             "permit ip any 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
 
Zuletzt bearbeitet:
Hatte schon immer getrennte Configs für N97Mini und für PC. Die gleiche Config hat für beide Geräte nie funktioniert ;)
Also mach doch einfach einen zweiten User in die VPN Config. Kostet nichts, stört nicht und ein Versuch sollte es wert sein.
 
Verbindungsmanager ?

So war das bei mir ursprünglich auch (und jetzt auch wieder) angelegt: LAN-Telefon "624" für den PC und "625" für das N97mini.

Aber wofür steht bei Dir das "[email protected]" ? Bei mir habe ich es nur "625" genannt (funktioniert per PC als "624" ja auch).

Und weiter die Frage: Wie teste ich die VPN-Verbindung bzw. starte sie bzw erzwinge einen Verbindunsaufbauversuch ?
(192.168.178.1 akzeptiert Opera Mobile im Browser nicht und fritz.box findet er nicht; könnte ein Richtlinienserver helfen?)

Und was mir gerade einfällt: Ich erhalte auf dem Nokia gar keine Abfrage des Passwortes beim (dann offenbar gar nicht statt
findenden) Verbindungsaufbauversuches (Beim SIP-Telefonversuch kommt nur so etwas wie "keine Verbindung verfügbar" ).
 
Zuletzt bearbeitet:
[email protected] ist die E-Mail-Adresse vom VPN Nutzer die man bei der Konfiguration vom VPN eingibt.
VPN musst du im N97Mini in den Zugangspunkten konfigurieren.

LAN Telefon / SIP Client ist nochmal eine andere Baustelle. Erst mal VPN ans laufen bringen ;) Und dann brauchst du die VoipAdmin sisx um die Telefonie ans laufen zu bekommen ;)

Mir fehlt leider im Moment die Zeit das ausführlich zu beschreiben und zu testen.

Aber mache erst VPN, dann kümmere dich um um SIP. Und per 3G testen, nicht per eigenem WLAN ;)
 
SIP geht doch schon auf dem N97 und 3G kann/will ich finanziell nicht investieren.

Die SIP-Telefonie funktioniert bei mir ja schon mit dem Nokia !

3G habe ich gar nicht (nur eine ungültig geschaltete, weil mehr als 3 Monate nicht mehr benutzte
Xtrcard), denn das ist ja der Sinn des VPN zumindest bei mir nämlich per externem WLAN zu telefonieren,
weil bei den von mir genutzten Fremd-WLAN-Netzen (auch im Ausland) Port 5060 meist gesperrt ist.

SIP mit dem 624-SIP-Profil läuft also und ich meine immer noch, dass ein "625" bei der
VPN-E-Mailadressangabe im Fritz-Tool auch für das Nokia-VPN reichen muss, da es für das PC-VPN mit "624"
als Name ja auch reicht.

Testen muss ich das VPN also schon per Fremd-WLAN, nur eben wie? Per SIP-Anruf ("Verbindung
nicht verfügbar") oder Browseraufruf 192.168.178.1 (Zeitüberscheitung) oder gibt es sonst noch
eine Möglichkeit, die mit dem VPN-Zugangspunkt "625" laut Protokoll auf dem N97mini verknüpfte
Richtlinie auch mit dem WLAN richtig zu aktivieren und das zu testen ?
 
Zuletzt bearbeitet:
Alternativ kannst du es auch zu Hause per Gastzugang testen. ;)

http://192.168.178.1 muss funktionieren.

UND nochmals - VPN hat nichts mit SIP zu tun von der Config. Sind zwei unterschiedliche paar Stiefel ;)
 
Welche Ziele wo wie definieren ?

Das ist schon klar, dass SIP und VPN nichts miteinander zu tun haben; deshalb
habe ich ja weiter das SIP-Profil 624 auf PC, Fritzbox und Nokia zum Telefonieren
(was intranet ja auch klappt) und eben das VPN-Profil "625" für VPN.

Habe in einem anderen Forum gelesen, dass auch neue Firmware sinnvoll sein kann: ;)
cuco aus dem thinkpad-forum schrieb 2011 :
Leider hatte das N97 einen Bug, der zwar SIP funktionieren ließ und VPN funktionieren ließ,
aber SIP über VPN ging nicht.
Habe daher meine alte Software Version v11.0.102 vom 01-02-10 (Abfrage *#0000#) durch die
"neue" v12.0.110 vom 11-06-10, die Du auch haben müßtest ersetzt.
Unter Einstellungen->Verbindungen->VPN->VPN-Protokoll erhalte ich nach den beiden blauen Ausrufezeichen
"Created VPN access point '625' " und "Installed policy '625' from file" je nach Verbindungs-/Ziele-Anlegen zudem
noch jede Menge rote Ausrufezeichen "Received no response from VPN gateway" und dann
"Failed to activate VPN access point code -5257" (muss ich mal recherchieren was 5257 bei Nokia heißt).

Wenn Du mal Zeit hast, kannst Du ja mal die Verbindungen (Internet wie Intranet und "VPN-nötige") und Ziele
und alles Andere, was man auf dem N97mini beachten muss aufschreiben (Viel kann es ja eigentlich nicht mehr sein,
denn ich gehe davon aus, dass die Fritzbox-vpn.cfg und die Nokia-VPN-policy.pol/.pin jetzt hier stimmen).
 
Ich wurde gerufen? :D

Ja, das N97 hatte da mal einen Bug. Der wurde aber tatsächlich mit neuerer Firmware behoben, wenn ich mich recht erinnere.. Ohje, schon so lange her und ich bin schon so lange ins Android-Lager gewechselt ^^
 
Alt, aber wenn's erst mal funktioniert...

Ja, das alte N97. Habe mir die 15€ für das N97mini ja auch nur leisten können, weil ich kein Einkommen/kein Geld für
ein teures Android-Handy habe (will ja "nur" VPN-WLAN-telefonieren) . ;)

Smithy's N97mini liegt auch schon über ein Jahr im Schrank. Kann ja verstehen, dass man da nicht immer die Zeit hat,
die Einstellungen zum Posten durchzuwurschteln (zumal bei den vielen Kombinationsmöglichkeiten).

Aber immerhin zeigt die Meldung "Received no response from VPN gateway me.i.ne.ip, VPN access point VPN (WLAN-Netz)",
aus dem Fremd-WLAN im Nokia, dass die dyn-dns bzw. no-ip.biz-IP-Auflösung beim Nokia schon mal klappt!
Verstehe nur nicht, wieso die fritzbox zwar dem PC aber nicht dem Nokia antwortet (oder keine Antwort zulässt?).
Der Nokia-Fehlercode 5257 "IKE negotiation with gateway failed because there was no response" hilft da auch wenig.

Und wozu die fritzbox-vpn.cfg-Unterschiede use_xauth=yes beim Nokia und =no beim PC-Profil?
Und warum user_fqdn="624" beim PC und key_id="625" beim Nokia? (Ob's doch an der fb.vpn.cfg liegt?)
 
Zuletzt bearbeitet:
Und wozu die fritzbox-vpn.cfg-Unterschiede use_xauth=yes beim Nokia......

"xauth"-Verschlüsselung und -passwort sind nicht identisch mit "name" und "key", sondern sind eine zusätzliche Verschlüsselung der Box-Konfig Ich benutze diese zusätzliche Verschlüsselung selbst nie. Versuch's mal einfach mit "xauth=no". Würde mich nicht überraschen, wenn's damit klappen würde.

Ich hänge hier auch noch meine eigene funktionierende Box-Konfig und eine NOKIA-"policy" an:

BOX

Code:
vpncfg {
        connections {                
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.174.203;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "12345678901234567890";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.174.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.174.203;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.174.0 255.255.255.0 192.168.174.203 255.255.255.255", 
                             "permit ip any 192.168.174.203 255.255.255.255";
        } 
}

Die vpn.cfg. des öfter benutzten 808 sieht so aus:

Code:
policies {
                name = "dyndnsname";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.174.203;
                remoteip = 0.0.0.0;
                remotehostname = "dyndnsname";
                localid {
                        user_fqdn = "[email protected]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "12345678901234567890";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.174.203;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.174.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.174.0 255.255.255.0", 
                             "reject udp any any eq 53", 
                             "reject udp any any eq 500", 
                             "reject udp any any eq 4500", 
                             "permit ip any any";
                wakeupremote = no;
        }
 
Es ist zum ...

Wenn nicht wenigstens die dyndns-ip im Handy aufgelöst würde und ein Verbindungsaufbauversuch stattfände,
würde ich nach diesen endlosen Wochen ja aufgeben, aber es ärgert schon sehr um die verlorene Zeit.

Habe meine NOKIA.pol und meine Fb.cfg mal angepasst.
USE_XAUTH der Policy lasse ich bei FALSE und ENC_ALG bei AES128-CBC. USE_INTERNAL_ADDR sollte beim N97mini auch
nur mit FALSE gehen und ID_TYPE bleibt 3, USE_NAT_PROBE:FALSE und USE_MODE_CFG sollte TRUE bleiben !?
In der Fb.cfg bleibt dann auch use_cfgmode=yes, das max_encrypt_bits=128 und phase2ss=.../pfs und nicht .../no-pfs .
Teste auch nur noch mit user_fqdn statt key_id !?

Komme nach ersten Anfangsfehlern wie
Received no response from VPN gateway .....
Failed to activate VPN access point "....." reason code -5257 (rotes Ausrufezeichen)

jetzt schon zu
Failed to aktivate VPN access point 'verbindungsname' reason code -5256 (Negotiation with gateway failed)
Sent an error response to vpn gateway 'me.in.e.ip' VPN access point 'verbindungsname' ,error code 23

und
Received an error response from VPN gateway 'me.in.e.ip' VPN access point 'verbindungsname' , error code 14
aber was sind Error code 23 und was Error code 14 ?

Die Lösung stand eventuell einmal als Link zu www.family-martens.de von Gallschneppe hier im Thread, aber
die Seite existiert leider nicht mehr.

Ob ich das per /capture.lua Mitgeschnittene per Wireshark jemals sinnvoll d.h. zur Fehlereingrenzung hilfreich
ausgewertet bekomme wage ich auch sehr zu bezweifeln.

Immerhin löst das NOKIA-VPN nicht nur die dyndns-adresse auf; ich sehe auf Seite der Fritzbox auch "schon"
die FremdrouterIP des Nokia neben dem Verbindungsnamen, aber die Lampe wird und wird nicht grün :( :mad: :evil: :( :mad: :evil: :( :mad: :evil:

Hat noch jemand einen Tip zur Fehlereingrenzung nach obigen Fehlermeldungen?
 
Zuletzt bearbeitet:
Sorry - ich bin bisher nicht dazu gekommen. Zu viel zu tun. Nächste Woche habe ich Urlaub. Da schaue ich nochmal...
 
NO_PROPOSAL_CHOSEN 14 in Phase 2

@smithy: Dann überprüfe einmal Deine Handy-Policy im Vergleich zur geposteten Fb-Konfiguration und
korrigiere gegebenenfalls eine von beiden hier. Das passt nämlich mit USE_XAUTH:FALSE im Nokia und
use_xauth=yes in der Box so nicht zusammen. Oder habe ich eine andere Software auf Box oder Nokia die Phase 2 nicht mehr kann?

Die Phase 1 wir bei mir ja inzwischen durchlaufen. Das Nokia-VPN-Protokoll zeigt:
!Information: Address info for VPN access point '[email protected]': virtual IP '192.168.178.201', local IP '192.168.178.20', NAT status code 3
!Information: Authenticated to VPN gateway 'me.in.e.ip', VPN access point '[email protected]'
!Information: Activated VPN access point '[email protected]', IP adress '192.168.178.201'
!Received an error response from VPN gateway 'me.in.e.ip' VPN access point '[email protected]' , error code 14
!Information: Deactivated VPN access point '[email protected]'


error code 14 ist NO_PROPOSAL_CHOSEN 14, d.h die Verschlüsselungseinstellung der IPsec Phase 2 stimmt von den
Proposals her zwischen Box und Handy nicht überein (aber wo sind die Proposals im Nokia und wie erweitere ich diese?
 
hallo,

ich versuche seit einigen Tagen, mein Nokia x6-00 (16 GB Typ RM 559 SW-Version 40.0.002) und dem Nokia VPN Client 40.12(10.22) mit meiner FRITZ!Box 7312 (UI) FRITZ!OS 05.51 Firmware-Version: 117.05.51 über VPN vergeblich zu verbinden. Als dynDNS habe ich meine dynDNS.myfritz.net angegeben. Die hier im Forum gefundenen Anleitungen habe ich schon erfolglos getestet.
Folgende Meldungen werden auf meinem Handy angezeigt:

Authenticated to VPN gateway '217. . .167', VPN access point [email protected]

danach:
Adress info for VPN access 'point [email protected]':
virtual IP '192. ...', local IP '10. . .133', NAT status code 3

danach:
Activated VPN access point [email protected], IP adress 192. . .201
danach 8 x :
Received an error response from VPN gateway '217. . .167', VPN access point [email protected], error code 14
gefolgt von:
Received no response from VPN gateway '217. . .167', VPN access point [email protected]
und :
Deactivated VPN access point [email protected]

In der FB wird unter "Adresse im Internet" bei jedem Verbindungsversuch eine IP angezeigt, die nur in der letzten Zahl mit mit der auf das Handy angezeigten "local Ip" übereinstimmt z.B. "local IP" aufs Handy: x.y.z.q während "Adresse im Internet" in der FB: a.b.c.q

In der FB werden der Verbindungaufbau und deren IP Adresse im Internet angezeigt, aber keine IP Adresse im entfernten Netz und die grüne Status-Anzeige bleibt ausgeblendet.

Könnte mir jemand sagen was error code 14 bedeutet, oder mir einen Hinweis geben, wo der Fehler sein könnte?

Vom PC aus kann ich mit Fritz!Fernzugang problemlos eine VPN-Verbindung über X6 (we.vodafone.de) zur Fritz!Box herstellen und im Internet surfen. Nur direkt vom X6 (we.vodafone.de) kann ich keine VPN-Verbindung zur Fritz!Box herstellen (error code 14).

Vielen Dank!
 
Zuletzt bearbeitet:
Mal über 'nen anderen APN versucht? PC und X6 routen VPN über den selben APN?
 
http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/err_msgs/8_x/ccmalarms801.html

MalformedRegisterMsg - (SIP only) A SIP REGISTER message could not be processed because of an illegal format. Possible causes include a missing Call-ID header, a missing AoR in the To header, or an expires value that is too small. Check the REGISTER message for any of these issues and if you find one, correct the issue.

Was steht im Systemlog der Fb zum Thema VPN-Aufbau?

Ansonsten schicke einfach mal deine Konfigdateien, wobei username und Passwort und dyndns etc entsprechend geändert werden sollten

Zudem wurde der Erroir code 14 auf hier auf Seite 3 schon erwähnt.

Hast du diesen Thread durchgearbeitet oder bist du zu faul und willst uns für dich suchen lassen?
 
Zuletzt bearbeitet:
danke für die schnelle Antwort.
1. Ja, leider mit dem gleichen Fehler.
2. Beide über den selben APN (web.vodafone.de). PC über x6 geht, X6 direkt leider nicht (error code 14).
VG
 

Statistik des Forums

Themen
246,361
Beiträge
2,250,839
Mitglieder
374,013
Neuestes Mitglied
erolerol
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.