nokia vpn

[Marcus F.]

Gestern abend gegen 22 Uhr habe ich mal den Datenverkehr auf der Fritzbox mitgeloggt. Erstaunlich war dabei, dass der Verbindungsaufbau dabei immer funktioniert hat, die Daten aber nu ganz langsam getröpfelt sind.
Kann es sein, dass der O2-Server erkennt, dass da eine VPN-Verbindung aufgebaut werden soll, diese aber mit der allergeringsten Priorität bearbeitet? Verbindungen von dem Nokia in das normale Internet waren zu dem Zeitpunkt angenehm schnell.

Marcus

 

[imagomundi]

Kann es sein, dass der O2-Server erkennt, dass da eine VPN-Verbindung aufgebaut werden soll, diese aber mit der allergeringsten Priorität bearbeitet?

Dürfte wohl nur o2 in der Lage sein, zu beantworten. Ob Du da allerdings eine zutreffende Auskunft erhältst?

 

[fye]

@Markus F.
Hast Du keine Möglichkeit das mal mit einem anderen GSM/UMTS Provider kurz auszutesten wie sich das dort verhält?

 

[Marcus F.]

Ich hab das nur noch mit einem Vodafonesurfstick am Laptop mit dem AVM-Fernzugang ausprobiert. Das ging gut, ist aber auch eine andere VPN-Configuration in der Fritzbox.

Ich habe mal die Pakete auf der FB mitgeloggt und mit Wireshark angesehen.

Hier ist die Verbindung mit Fehler -5259 gescheitert:

"No.","Time","Source","Destination","Protocol","Info"
"1","0.000000","Nokia-IP","lokale Fritzbox-IP","ISAKMP","Aggressive"
"2","0.642508","lokale Fritzbox-IP","Nokia-IP","ISAKMP","Aggressive"
"3","1.000000","Nokia-IP","lokale Fritzbox-IP","ISAKMP","Aggressive"
"4","16.031855","lokale Fritzbox-IP","Nokia-IP","ISAKMP","Informational"
"5","19.410000","Nokia-IP","lokale Fritzbox-IP","ISAKMP","Transaction (Config Mode)"
"6","19.420000","Nokia-IP","lokale Fritzbox-IP","ISAKMP","Transaction (Config Mode)"

Und so sicht das aus, wenn die Verbindung zustande kommt (aber sehr langsam):

"No.","Time","Source","Destination","Protocol","Info"
"1","0.000000","Nokia-IP","lokale Fritzbox-IP","ISAKMP","Aggressive"
"2","0.639480","lokale Fritzbox-IP","Nokia-IP","ISAKMP","Aggressive"
"3","1.270000","Nokia-IP","lokale Fritzbox-IP","ISAKMP","Aggressive"
"4","1.270000","Nokia-IP","lokale Fritzbox-IP","ISAKMP","Transaction (Config Mode)"
"5","1.501717","lokale Fritzbox-IP","Nokia-IP","ISAKMP","Transaction (Config Mode)"
"6","2.090000","Nokia-IP","lokale Fritzbox-IP","ISAKMP","Quick Mode"
"7","2.743264","lokale Fritzbox-IP","Nokia-IP","ISAKMP","Quick Mode"
"8","3.240000","Nokia-IP","lokale Fritzbox-IP","ISAKMP","Quick Mode"

Viele Grüße
von
Marcus

 

[mattberlin]

Mach doch die SIM-Karte von dem Vodafonestick in dein Handy

 

[chilango79]

Frage,
nachdem ich wochenlang mit VPN zwischen Nokia E71 E72 und meiner FB 7270 herumexperimentiert habe kann ich nun zumindest mit der Konfig von Imagomundi von Beitrag 80 eine Verbindung herstellen. Dies klappt zu Haus und auch von ausserhalb, allerdings nicht bei einem Hotspot.
Bei einem Hotspot kann ich mich mittels Smartconnect und WISPR-Anmeldung verbinden ohne mich noch extra auf der Seite einzuloggen, nur leider funktioniert automatisches Login mit VPN nicht an einem Hotspot.
Sowohl mein Provider als auch der Testzugang (ein Freund mit verschluesseltem Wlan) ist hier Telmex, was auch funktioniert. Auch der Hotspot ist von diesem Anbieter aber hier funktioniert es nicht.
Kann mir da jemand helfen?

 

[fbc]

Kann es sein, das O2 VPN behindert? Welche Ursachen kann diese Instabilität noch haben?

fragt
Marcus

Ich kann von den selben Problemen mit O2 berichten. Bei vodafone funktioniert es ohne Probleme.

 

[Marcus F.]

Wenn ich bei dem Nokia 5320 als Netzzugang fest GSM einstelle, funktioniert es (langsam, falls kein EDGE verfügbar) zuverlässig. Stelle ich Automatik oder UMTS ein, funktioniert der Aufbau der VPN-Verbindung oft nicht.

Damit denke ich scheiden DynDNS oder Konfiguration von Fritzbox oder Nokia als Fehlerquelle aus. Die Qualität des O2-Netzes ist ohnehin in Verruf geraten: http://wir-sind-einzelfall.de/

Gibt es bei IPSEC mobilfunkspezifische Einstellungen, die die VPN-Verbindung toleranter gegen Störungen oder Unterbrechungen machen?

Marcus

 

[Voxnihili]

Herzliches Danke an alle die zu diesem Thema beitrugen!

Hallo in die Runde,

als eher lesendes Mitglied möchte ich heute doch wenigstens einmal ein sehr herzliches DANKE an euch alle loswerden. Dabei richte ich mich vor allen anderen an imagomundi, ohne zu verheimlichen, dass mir die Beiträge und sogar die vielen Fragen der Anderen sehr geholfen haben.

Seit langem verwende ich einige E90 mit direktem SIP-Profil zum Betrieb als Telefon an der Fritzbox. An vpn hatte ich mich nie herangetraut. Nun für mein neues E7-00 wollte ich aber unbedingt die Möglichkeit nutzen, mich anderen Ortes in meine FB Zuhause als registriertes Telefon einzuklinken.

Es ist mir voll zufriedenstellend gelungen! Mein E7 kann ich nun über jedes WLAN zu dem ich zugang habe (auch in meinem Stamm-Cafe) einbuchen. Bin somit nicht nur für alle meine Festnetz-Telefonnummern zu erreichen, sondern kann wie von Zuhause am Schreibtisch, Anrufe und Rückrufe tätigen, bei denen die jeweils von mir verwendete Festnetznummer übertragen wird.
Besonders letzteres war mir wichtig, damit ich Angerufenen die ihnen bekannte Rufnummer übermittele. So merken diese nicht, dass ich gar nicht am Schreibtisch sitze.

Das selbe werde ich nun auch noch für meine älteren Geräte einrichten. Doch will ich nun zum PUNKT kommen:
Die Einstellungen und Dateien genau zu prüfen ist das A & O!
Bei mir hatte sich - wie auch immer - in eine der Config-Dateien ein "zuvielener" Punkt eingeschlichen. Also 192.168.X..X statt 192.168.X.X
Dieses war mir wärend 3 Tagen verzweifelter Suche nicht aufgefallen. Ich habe alle Seiten hier doppelt gelesen und erst bei exaktem Vergleich den Fehler gemerkt.

An alle die evtl. nach Fehlern suchen sei gesagt, die in den oft zitierten Beiträgen dieses Themas gelisteten Dateien funktionieren bei mir perfekt. Wenn es nicht geht, alles nich mal PUNKT für PINKT prüfen!

Nochmals: Meinen ergreifenden Händedruck an alle hier Beteiligten!

Wenn gewünscht, kann ich die von mir verwendeten Dateien und Konfiguration hier einstellen, wie sie auf dem E7-00 (Symbian Anna) und der FB 7270 v2 (Firmware-Version 54.05.05) bestens funktionieren.

 

[imagomundi]

Wenn gewünscht, kann ich die von mir verwendeten Dateien und Konfiguration hier einstellen, wie sie auf dem E7-00 (Symbian Anna) und der FB 7270 v2 (Firmware-Version 54.05.05) bestens funktionieren.

So etwas ist immer hilfreich!

 

[Voxnihili]

Gerne doch!

Nur zur Info vorab: Als erste VPN-Verbindung zur Fritzbox ist bei mir ein Notebook eingerichtet worden. Dies wurde mit dem AVM-Programm erledigt. Das Nokia E7 ist also die zweite VPN-Verbindung zur Fritzbox.
Dies soll bitte nicht verwirren, weil nun in der .pol-Datei für's E7 und in der fritzbox.cfg diese beiden Zugänge durch "_1" und "_2" unterschieden werden.

Hier erst mal die .pin für das Nokia:

[POLICYNAME]
VPN@FB
[POLICYVERSION]
1.0
[POLICYDESCRIPTION]

[ISSUERNAME]

[CONTACTINFO]

Hier die .pol für das Nokia (wer nur einen VPN-Zugang hat, wird in Zeile 5 ein "_1={" am Ende stehen haben)

SECURITY_FILE_VERSION: 1
[INFO]
VPN@FB
[POLICY]
sa VPN@FB_2 = {
esp
encrypt_alg 12
max_encrypt_bits 128
auth_alg 3
identity_remote 192.168.1.0/24
src_specific
hard_lifetime_bytes 0
hard_lifetime_addtime 3600
hard_lifetime_usetime 3600
soft_lifetime_bytes 0
soft_lifetime_addtime 3600
soft_lifetime_usetime 3600
replay_win_len 0
pfs
}



remote 0.0.0.0 0.0.0.0 = { [EMAIL="VPN@FB_2%28mein.dyn.dns"]VPN@FB_2(mein.dyn.dns[/EMAIL]) }
inbound = { }
outbound = { }

[IKE]
ADDR: mein.dyn.dns 255.255.255.255
IKE_VERSION: 1
MODE: Aggressive
REPLAY_STATUS: FALSE
USE_MODE_CFG: TRUE
IPSEC_EXPIRE: TRUE
USE_XAUTH: FALSE
USE_COMMIT: FALSE
ESP_UDP_PORT: 0
SEND_NOTIFICATION: TRUE
INITIAL_CONTACT: TRUE
USE_INTERNAL_ADDR: FALSE
DPD_HEARTBEAT: 90
NAT_KEEPALIVE: 60
REKEYING_THRESHOLD: 90
ID_TYPE: 3
FQDN: VPN@FB
PRESHARED_KEYS:  
FORMAT: STRING_FORMAT
KEY: HIER ANZAHL STELLEN UND KEY
DNS_SERVER: 192.168.1.1
GROUP_DESCRIPTION_II: MODP_1024
USE_NAT_PROBE: FALSE
PROPOSALS: 1
ENC_ALG: AES128-CBC
AUTH_METHOD: PRE-SHARED
HASH_ALG: SHA1
GROUP_DESCRIPTION: MODP_1024
GROUP_TYPE: DEFAULT
LIFETIME_KBYTES: 0
LIFETIME_SECONDS: 3600
PRF: NONE

Und nun noch die Fritzbox.cfg. Auch hier beachten, ich habe 2 Geräte die per VPN zugreifen, daher sind einige zusätzliche Einträge für den NOTEBOOK enthalten.
Diese sind ab dem zweiten Eintrag " enabled = yes;" und gehen bis vor dem Eintrag " ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "VPN@FB";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.1.202;
                remoteid {
                        user_fqdn = "VPN@FB";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "HIER NUR DER KEY";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.1.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip any 192.168.1.202 255.255.255.255";
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = " NOTEBOOK";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.1.201;
                remoteid {
                        user_fqdn = "NOTEBOOK";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "KEY FÜR NOTEBOOK";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.1.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.1.0 255.255.255.0 192.168.1.201 

255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

--------------------
Wie schon geschrieben will ich auch meine Nokia E90 noch per VPN an der FB teilhaben lassen, das berichte ich dann gerne auch, sobald ich Zeit dafür hatte und alles klappt.
Ich würde mich freuen, wenn ich wenigstens einen kleinen Beitrag hiermit leisten konnte, evtl. für jene, die - wie ich - am liebsten ein genau auf ihr Problem passendes Beispiel (Fritzbox und Nokia E7) sehen wollen.
Außerdem kann es tatsächlich hilfreich sein, wenn man erkennen kann, dass die oben genannten Veränderungen mit den "_1" und "_2" mit der Anzahl der Geräte an der FB zu tun haben, welche per VPN zugreifen können.

Nochmals allen meinen Dank, ich bin froh, dass es euch gibt!

 

[Voxnihili]

Da bin ich wieder. Ich wollte ja noch mein E90 neben dem Notebook und dem E7 per VPN mit der FB verbinden.
Und ich habe es sogar geschafft!

Leider habe ich noch einen Schönheitsfehler. Wärend ich mit dem E7 von jedem WLAN zu dem ich Zugang habe per VPN mit "Zuhause" verbinden kann ohne darüber nachzudenken, muss ich beim E90 immer den jeweiligen Internetzugangspunkt angeben, über den ich die Verbindung aufbauen will. Jedes mal unter (System / Einstellungen / Verbindung / VPN / VPN-Zugangspunkte / "Meine VPN-Verbindung" / Internetzugangspunkt) das entsprechende WLAN auszuwählen ist aber sehr nervtötend.
Übersehe ich eine Möglichkeit das zu umgehen?

 

[Peter.Winter]

Hallo Leute,

vielen Dank erst einmal an die vielen fleißigen Schreiberlein, die mir schon tolle Tips gegeben haben.
Dankt des Forums habe ich es nun geschafft, mein Nokia C7 (mit Belle) als IP Telefon an meiner Fritzbox 7390 anzumelden.
VoIP funktioniert sehr gut, die Sprachqualität ist vernünftig und bis auf ein wenig Echo ist es wirklich Klasse.

Nun wollte ich den nächsten Schritt wagen und VPN einrichten, ...daran bin ich aber leider völlig verzweifelt.
Ich habe mir dann einfach mal die Konfiguration von Voxnihili "gestohlen" und bin damit schon so weit wie noch nie gekommen, aber nun brauche ich HILFE.

Anbei meine Config:

für die Fritz Box

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "VPN@FB";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "VPN@FB";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "mein key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.201;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip any 192.168.178.201 255.255.255.255";
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = " NOTEBOOK";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "NOTEBOOK";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "mein key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.201;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip any 192.168.178.201 255.255.255.255 

255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

und fürs Nokia

[POLICYNAME]
VPN@FB
[POLICYVERSION]
1.0
[POLICYDESCRIPTION]

[ISSUERNAME]

[CONTACTINFO]

und

SECURITY_FILE_VERSION: 1
[INFO]
VPN@FB
[POLICY]
sa VPN@FB_2 = {
esp
encrypt_alg 12
max_encrypt_bits 128
auth_alg 3
identity_remote 192.168.178.0/24
src_specific
hard_lifetime_bytes 0
hard_lifetime_addtime 3600
hard_lifetime_usetime 3600
soft_lifetime_bytes 0
soft_lifetime_addtime 3600
soft_lifetime_usetime 3600
replay_win_len 0
}



remote 192.168.178.0 255.255.255.0 = { VPN@FB_2(xxx.selfhost.me) }
inbound = { }
outbound = { }

[IKE]
ADDR: xxx.selfhost.me 255.255.255.255
IKE_VERSION: 1
MODE: Aggressive
REPLAY_STATUS: FALSE
USE_MODE_CFG: TRUE
IPSEC_EXPIRE: TRUE
USE_XAUTH: FALSE
USE_COMMIT: FALSE
ESP_UDP_PORT: 0
SEND_NOTIFICATION: TRUE
INITIAL_CONTACT: TRUE
USE_INTERNAL_ADDR: FALSE
DPD_HEARTBEAT: 90
NAT_KEEPALIVE: 60
REKEYING_THRESHOLD: 90
ID_TYPE: 3
FQDN: VPN@FB
PRESHARED_KEYS:  
FORMAT: STRING_FORMAT
KEY: 32 mein key
DNS_SERVER: 192.168.178.1
GROUP_DESCRIPTION_II: MODP_1024
PROPOSALS: 1
ENC_ALG: AES128-CBC
AUTH_METHOD: PRE-SHARED
HASH_ALG: SHA1
GROUP_DESCRIPTION: MODP_1024
GROUP_TYPE: DEFAULT
LIFETIME_KBYTES: 0
LIFETIME_SECONDS: 3600
PRF: NONE

die DynDNS Adresse:xxx.selfhost.me habsch beachtet und auch der PRESHARED_KEYS stimmt.

Mein Problem ist, ich bekomme eine Verbindung und auch eine Private IP Adresse am Nokia zugewiesen.
Soweit stimmt also schon mal alles.

Aber das war's dann auch, in der Fritzbox steht "VPN wird aufgebaut" und dann nach ca. 3 min wird alles wieder abgebrochen, ohne Fehlermeldung.

Im Nokia steht:

Error: Received an error response from VPN gateway 93.217.x.x
VPN access point VPN@FB, error code 14
aber auch: Activated VPN access point VPN@Fb IP adress 192.168.178.201

Kann mir hier einer helfen?

Danke schon mal
Peter

 

[imagomundi]

Hast Du in der "accesslist" der Box tatsächlich 2 x "255.255.255.255" stehen?

 

[Peter.Winter]

Hast Du in der "accesslist" der Box tatsächlich 2 x "255.255.255.255" stehen?

Ja habe ich, aber auch das Umstellen auf 255.255.255.0, bringt keinerlei Änderung, leider.

 

[imagomundi]

Nur 1x 255.255.255.255 (nicht ....0),s. #30.

 

[Peter.Winter]

vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "VPN@FB";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.178.201;
remoteid {
user_fqdn = "VPN@FB";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "my ke";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = yes;
phase2localid {
ipnet {
ipaddr = 192.168.178.201;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.178.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip any 192.168.178.201 255.255.255.255";

}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

ist es so besser?

.. aber auch hierbei keine Verbesserung

 

[imagomundi]

Hat der ferne access point auch die ip 192.168.178.1?

 

[Peter.Winter]

Hat der ferne access point auch die ip 192.168.178.1?

verstehe ich das richtig , das hier die IP der Fritzbox gemeint ist, dann ja.

 

[imagomundi]

Gemeint ist das Netz, von dem aus Du versuchst, eine VPN-Verbindung zu Deiner FB zu Hause aufzubauen. Wenn beide Endpunkte die selbe IP haben, kann das Konflikte verursachen. Eine Verbindung ist mir auch dann nicht gelungen, wenn der ferne Zugangsrouter hinter einem Modem hängt und nicht direkt selbst die DSL-Verbindung herstellt.