Probleme mit VPN zu 7270 mit OSX

[the_voyager]

Ich habe ein Macbook, mit dem ich per Datenstick / fremdes WLAN in mein Netz möchte.
Ich habe alles genau nach Anleitung (IPSecuritas) von der AVM HP Konfiguriert, nur kann der Client keine Verbindung aufbauen

Hier die Config:

/*
 * OSX-Desktop\fritzbox.cfg
 * Tue Sep 11 14:21:02 2007
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "email adresse";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.0.201;
                remoteid {
                        user_fqdn = "email adresse";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "passwort";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.0.0 255.255.255.0 192.168.0.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Und hier das fehler Log vom IPSecuritas:

IPSecuritas 3.1 build 1860, Mon Oct 15 22:03:05 CEST 2007, nadig
Darwin 8.10.1 Darwin Kernel Version 8.10.1: Wed May 23 16:33:00 PDT 2007; root:xnu-792.22.5~1/RELEASE_I386 i386

Aug 09, 10:38:11  Info     APP  IPSec authenticating
Aug 09, 10:38:11  Info     APP  IKE daemon started
Aug 09, 10:38:11  Info     APP  IPSec started
Aug 09, 10:38:11  Error    IKE  Foreground mode.
Aug 09, 10:38:11  Info     IKE  @(#)ipsec-tools CVS (http://ipsec-tools.sourceforge.net)
Aug 09, 10:38:11  Info     IKE  @(#)This product linked OpenSSL 0.9.7l 28 Sep 2006 (http://www.openssl.org/)
Aug 09, 10:38:11  Info     IKE  Reading configuration from "/Library/Application Support/Lobotomo Software/IPSecuritas/racoon.conf"
Aug 09, 10:38:11  Info     IKE  Resize address pool from 0 to 255
Aug 09, 10:38:12  Info     APP  Initiated connection FritzBox@Home
Aug 09, 10:38:12  Error    IKE  inappropriate sadb acquire message passed.
Aug 09, 10:38:14  Info     IKE  couldn't find the proper pskey, try to get one by the peer's address.
Aug 09, 10:38:19  Info     APP  Initiated connection FritzBox@Home
Aug 09, 10:38:26  Info     APP  Initiated connection FritzBox@Home
Aug 09, 10:38:30  Error    IKE  "FritzBoxIP" give up to get IPsec-SA due to time up to wait.
Aug 09, 10:38:33  Info     APP  Initiated connection FritzBox@Home
Aug 09, 10:38:33  Error    IKE  inappropriate sadb acquire message passed.
Aug 09, 10:38:37  Error    IKE  fatal INVALID-ID-INFORMATION notify messsage, phase1 should be deleted.
Aug 09, 10:38:37  Error    IKE  Message: '&'.
Aug 09, 10:38:38  Error    IKE  fatal INVALID-ID-INFORMATION notify messsage, phase1 should be deleted.
Aug 09, 10:38:38  Error    IKE  Message: ''.
Aug 09, 10:38:38  Error    IKE  fatal INVALID-ID-INFORMATION notify messsage, phase1 should be deleted.
Aug 09, 10:38:38  Error    IKE  Message: ''.
Aug 09, 10:38:40  Info     APP  Initiated connection FritzBox@Home
Aug 09, 10:38:43  Error    IKE  fatal INVALID-ID-INFORMATION notify messsage, phase1 should be deleted.
Aug 09, 10:38:43  Error    IKE  Message: ''.
Aug 09, 10:38:45  Warning  APP  Connection FritzBox@Home timed out
Aug 09, 10:38:45  Warning  APP  Giving up
Aug 09, 10:38:48  Error    IKE  "FritzBoxIP" give up to get IPsec-SA due to time up to wait.
Aug 09, 10:38:58  Info     APP  IPSec stopping
Aug 09, 10:38:59  Info     APP  IKE daemon terminated
Aug 09, 10:38:59  Info     APP  IPSec stopped
Aug 09, 10:39:23  Info     APP  Network configuration change detected
Aug 09, 10:39:23  Info     APP  Smart Environment Detection: Off, reconfiguration
Aug 09, 10:39:35  Info     APP  Network configuration change detected
Aug 09, 10:39:35  Info     APP  Smart Environment Detection: Off, reconfiguration

 

[meimi039]

Du musst use_nat_t = yes; setzen! Dann noch in IPSecuritas Nat-Traversal enablen, dann gehts auch hinter genatteten Netzen...;-)

der meimi

 

[peter_silie]

Hallo zusammen,

auch wenn der Beitrag schon etwas älter ist, habe ich das gleiche Problem mit meinem VPN Zugang.

In der Fritzbox cfg Datei steht bei mir auch use_nat_t = no;

Wenn ich mich in einem Netzwerk verbinden möchte, bekomme ich folgende Meldung:
fatal INVALID-ID-INFORMATION notify messsage, phase1 should be deleted.

Liegt das daran, das ich in einem Netzwerk hinter einem anderen Router hänge?
Im IP Securitas habe ich NAT-T eingeschaltet, genau so wie in der Anleitung von AVM beschrieben.

Ist diese use_nat_t = no dafür gedacht, das ich z.B. direkt mit einem UMTS Stick und nicht hinter einem Router in Internet bin?

Vielen Dank schon mal für die Hilfe,
Peter

 

[CaptainDXB]

Hi,

1. Vergiss was in der Anleitung von IPSecuritas steht. Die angegebene config für die Fritzbox macht u.a. genau diesen Fehler.

2. Vergiss die Beispieldatei von AVM, die ist leider auch falsch.

So hat es bei mir geklappt (jedenfalls für Internet und Rechnerzugiff):

1. Mit dem "FRITZ!Box Fernzugang einrichten" Programm das CFG File erzeugen
2. Die Parameter aus der Datei (User, PW, IP) in den Assistenten von IPSecuritas eintragen.
3. Im Menü von IPSecuritas "Phase 2" HMAC M5 abschalten - es darf nur SHA-1 aktiv sein.
4. Prüfen ob bei Optionen NAT-T "Ein" steht.

GANZ WICHTIG: Zum testen brauchst Du einen zweiten Internet Zugang (z.B. Handy), das klappt nur wenn der Rechner in einem anderen Netz ist als die Fritzbox.

viel Glück

 

[peter_silie]

Hallo,

bis auf "Phase 2" HMAC M5 abschalten hatte ich die Einstellungen so weit vorgenommen. Leider kommt die Meldung immer noch.

Die Meldung war ja:
fatal INVALID-ID-INFORMATION notify messsage, phase1 should be deleted.

... also stimmst doch wohl schon was in phase1 was nicht.

Hier noch mal die Fehlermeldung davor und danach:
Apr 27, 09:59:44 Info APP Initiated connection FritzBox
Apr 27, 09:59:45 Info IKE couldn't find the proper pskey, try to get one by the peer's address.
Apr 27, 09:59:45 Error IKE fatal INVALID-ID-INFORMATION notify messsage, phase1 should be deleted.
Apr 27, 09:59:45 Error IKE Message: ''.

Jemand eine Idee?
Gruß
Peter

 

[CaptainDXB]

Jup - ist korrekt. Phase 1 geht bei dir schief. Wenn Du _nichts_ ich meine wirklich nix - also auch nicht das secret oder den Namen an der CFG geändert hast, dann wirst du einen (tip) Fehler bei der Eingabe in den Assistenten haben. Möglicher weise gibt es auch Probleme mit Sonderzeichen. Am besten das cfg noch mal neu erzeugen und einen weiteren Versuch starten.

Der Fehler deutet jedenfalls darauf hin, das dein Key oder dein Username falsch ist.

cu
DXB

 

[peter_silie]

Hi CaptainDXB,

das wars. Es war ein Sonderzeichen im Key. Jetzt habe ich alles noch einmal neu eingestellt und es läuft.

Was mich nur wundert: Ich habe mit dem Fernzugriff Tool einen neue cfg für die FritzBox erstellt. Heute stand use_nat_t = yes drin.
In der letzten stand use_nat_t = no.

Wonach richtet sich denn das Fritz Fernzugriff Tool?

Gruß
Peter

 

[CaptainDXB]

Prima.
Warum das Fernzugriffstool so etwas macht weiß ich auch nicht. Mir viel nur auf, das es unterschiedlich lange Schlüssel generiert. Wie auch immer - braucht man ja nur einmal ;-) ...

cu
DXB

 

[peter_silie]

Naja, bin froh das es jetzt funktioniert.

Vielen Dank nochmal.....

Gruß
Peter

 

[FritzBoxFon]

Könnt Ihr Euren kompletten Traffic über das VPN ins Internet umleiten?

 

[CaptainDXB]

Umleiten - Ja, wenn man dahinter einen Proxy hat
Komplett - Nein (einige Ports gehen nicht)
Zuverlässig - bedingt, wenigstens die 7390 stürzt ab und zu ab wenn man es zu intensiv betreibt.

cu
DXB