Sipgate VPN und FritzBox

[stephanehrhardt]

Mit Sipgate kann man nun eine VPN Verbindung zum Inet und VoIP aufbauen.

Kann man nun eine FritzBox (7270) als VPN User einrichten und den gesamten Datenverkehr und VoIP über die VPN Session laufen lassen?

Ich habe die VPN Verbindung mal mit einen Cisco Client getestet - ging auf Anhieb. Inet ist auch recht zügig gewesen.

Gruß
Stephan

 

[PsychoMantis]

Wenn ich das richtig verstanden habe, setzen die irgendeine Fritzbox-kompatible Art von VPN ein (also kein OpenVPN oder so). Müsste demnach gehen.

 

[RollinCHK]

Ehm ich hb das mit Sipgate und dem VPN auch gelesen. Mic hwürde interessieren, wie ich meine Rufnummern in der Fritz!Box 7270 entsprechend konfigurieren kann, damit diese Gratis-Verschlüsselung halt greift, um es einmal so zu benennen.

 

[DESONATOR]

http://info4admins.com/configuring-fritzbox-router/

Ich übernehme keine garantie oder gewährleistung für das, was ihr mit euren fritzboxen anstellt

 

[mimox]

Hat es jemand zum Laufen bekommen? Datenverkehr über dieses VPN laufen zu lassen interessiert mich nicht aber VOIP wäre cool...

 

[µRaCoLi]

Würde das nicht auch die NAT-Problematik beseitigen? Wer hat das schon mal unter Linux mit vpnc getestet?

Edit: Habs mit Freetz und vpnc getestet und es läuft!

 

[Joogoli]

Hallo,

ich weiß dieser Beitrag ist schon ein halbes Jahr alt. Aber hats noch jemand hinbekommen? Ich kann mich nicht verbinden. Logfile für Vpnc habe ich auch keins gefunden. Kann mir vielleicht jemand die Einstellungen in der Weboberfläche nennen?

Danke für einige Antworten

 

[paranoidpenguin]

Also ich hab es auf meiner 7270 auch hin bekommen.

Ich hab mir aus dem Trunk ein neues Freetz Image gebaut. Wichtig sind hierbei die Pakete:

- Vpnc (Package Selection/Standard Packages)
Ich habe den Nat Support und Hybrid Auth mit installiert, ich weiß nicht ob das nötig ist.

- Iptables (Package Selection/Unstable Packages)
Auch hier hab ich alle installiert, um auf Nummer sicher zu gehen.

- GnuPG crypto library (Advanced Options/Shared Libraries/Crypto & SSL)

Nach erfolgreichem Updaten der Firmware auf der Fritzbox, kann man in der Freetz Oberfläche die vpnc Datene eingeben:

Gruppenname: secureconnect.sipgate.net
Gruppenpwt: sipgate-key

Benutzername: SIPGATE_LOGIN_NAME
Benutzerpwt: SIPGATE_LOGIN_PASSWORT

IPSecGateway: secureconnect.sipgate.net
IK DH Group: dh2
Perfect Forward Secrecy: nofs
Local Port: 0
UDP/DES/NAT: aus

Network: 217.116.117.0
Mask: 255.255.255.0

Ich habe mich versucht hier ran zu orientieren:
http://www.cy8aerology.de/blog/2010/11/15/sipgate-vpn-und-eigener-asterisk-split-tunneling-und-firewall/

wie auch in der Anleitung unter Asterisk bricht aber auch bei mir die VPN Verbindung nach einer gewissen Zeit ab.
Ich würde diese Problem nun auch über freetz gerne mit einem Skript lösen, aber ich weiß nicht genau wie ich es schaffe, dass das Skript ständig die Verbindung überprüft.

Kann mir da jemand helfen?

 

[Andre]

Um die NAT-Problematik für VoIP zu umgehen, gibt es ja die Funktion, die Verbindung in einem einstellbaren Intervall aufrecht zu erhalten (ich finde den Punkt nicht in meiner aktuellen Firmware der 7170, in der letzten Labor gab es ihn definitiv noch).
An meinem Zweitwohnsitz nutze ich genau das: Meine dortige FBF refreshed die VoIP-Verbindung alle 30 Sekunden, die VoIP-Verbindung geht über VPN, die VPN-Verbindung wird dadurch gleich mit aufrecht erhalten - einen Timeout gibts nicht..

 

[paranoidpenguin]

Blöd, ich finde diese Einstellung bei mir auch nicht. Aber dafür habe ich ein neues Problem gefunden:

Wenn sich der Sipgate VPN aufhängt, kann ich ihn über Freetz auch nicht mehr neu starten, auf Restart bekomme ich diese Fehlermeldung:

can't initialise tunnel interface: Device or resource busy

Wenn ich den Dienst stoppe und wieder starte, sagt mir das Freetz Interface zwar, dass VPNC wieder läuft, aber eine IP-Adressen Prüfung zeigt, dass ich eben nicht über VPN im Internet bin.
Einzige Abhilfe schafft der Neustart der Fritzbox, was echt nervig ist.
Wie kann ich denn sehen, ob auch das Voip über VPN geht?

 

[Andre]

Ich weis jetzt, woran es liegt, dass ich die Einstellung nicht finde - die gibts nur, wenn die Box als IP-Client konfiguriert ist. Habe an meinem Zweitwohnsittz die Box hinter einer EB 802, die den UMTS-Stick hat.
Ob man die wohl irgendwie (durch Konfigdateien) auch beim Normalbetrieb aktiviert bekommt?

Bei mir ist es klar, dass VoIP über VPN geht - Ich bin nicht bei Sipgate, sondern an einer anderen Box über VPN angebunden. Ohne VPN war die Anbindung nicht möglich. Also gehts über VPN...

 

[paranoidpenguin]

Gut, so gehts also - zumindest bei mir - schon mal nicht, aber wie geht es?

Irgendjemand muss das doch schon geschafft haben.
Also wie ich das verstehe, muss ich irgendwie das tunnel interface neu starten, aber wie mache ich das?

 

[paranoidpenguin]

Kann es sein, dass es an den iptables liegt?

 

[chrischros]

Hallo, da ich ne 6360 habe kann ich sie nicht freetzen, gibt es auch eine Möglichkeit den eingebauten VPN Mechanismus zu nutzen?

 

[tomtom1000]

Die neueren Fritzboxen unterstützen ja VPN von sich aus. Ich habe versucht, mit einer Fritz!Box 7390 einen VPN Tunnel zu Sipgate aufzubauen, bisher vergeblich. Leider finden sich im Ereignisprotokoll keine Fehlereinträge, daher komme ich momentan nicht weiter.

Dennoch möchte ich mal posten, was ich bislang zusammengetragen habe, vielleicht hat ja einer von Euch noch eine Idee. Meine VPNCFG-Datei für die Fritzbox sieht wie folgt aus:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "SipgateVPN";				/*Name nur zur Anzeige im Box-Monitor*/
                always_renew = no;				/*Wofür könnte das sein?*/
                reject_not_encrypted = yes;			/*yes=keine Internetverbindung bei VPN*/
                dont_filter_netbios = no;			/*yes=Netbios durchlassen*/
                localip = 0.0.0.0;		
                local_virtualip = 0.0.0.0;			/*IP falls cfgmode=no - also hier nicht notwendig*/
                remoteip = 0.0.0.0;            			/*IP-Adresse Gegenstelle, remotehostname dann weglassen - also hier weglassen, da wir einen hostnamen haben*/
                remote_virtualip = 0.0.0.0;			/*Identität Phase 2 Gegenstelle ggf. - dürfte nicht benötigt werden*/
                remotehostname = "secureconnect.sipgate.net";	/*DNS-Name der Gegenstelle falls keine remoteip direkt angegeben*/
                localid {
                        fqdn = "secureconnect.sipgate.net";  	/*Eigene Identitaet Phase 1*/
                }
                
                mode = phase1_mode_aggressive;
                phase1ss = "alt/3des/sha";			/*Syntax: DH-Exchange/Cipher Algorithm/Hash-Algorithm, z. B. /def/3des/sha*/
		/* Nach einerfunktionierenden Shrew-Konfiguration müsste es Gruppe 2 / 3des / SHA1 sein! */
                keytype = connkeytype_pre_shared;		/*Schlüssel-Art*/ 
                key = "sipgate-key";				/*Gruppenschlüssel*/
                cert_do_server_auth = no;			/*yes=Zertifikate statt preshared Key*/
                use_nat_t = no;					/*ist im shrew-profil auch eingeschaltet*/
                use_xauth = yes;				/*yes=Radius Server oder Cisco etc., dann xauth {} */
			xauth {
				valid = yes;
				username = "[Mein Sipgate Web-Login Name]";
				passwd = "[Mein Sipgate Web-Login Passwort]";
		}

                use_cfgmode = yes;				/*yes=virtuelle IP von Gegenstelle + autom. NAT*/

                phase2ss = "esp-aes-sha/ah-all/comp-deflate/no-pfs"; /* Keine Ahnung ob daas so hier stimmt. Aus einer funktionierenden Shrew-Konfiguration habe ich folgendes herausgelesen: ESP-AES, SHA1, PFS disabled, Compress algorithm = deflate */
                accesslist = "permit ip any any";		/*Durch VPN geroutete Verbindungen*/
								/*PS: Firewall zur Gegenstelle wird autom. geöffnet*/




        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Keine Ahnung, woran es jetzt noch hängen könnte. Kennt jemand Möglichkeiten, wie man bei der Fritz!Box ein sinnvolles VPN Troubleshooting machen kann?

 

[tomtom1000]

noch keine Lösung...

Auch wenn dieses Thema kein großes Interesse mehr hervorrufen zu scheint, will ich doch mal über meine Fortschritte berichten, vielleicht kommt irgendwann noch jemand auf eine Lösung...

Das Problem mit der Konfiguration im letzten Post ist folgendes:

phase1ss = "alt/3des/sha";

Die Konfigurationsbegriffe zwischen den Schrägstrichen sind nicht unabhängig, sondern der gesamte String muss genau einem vordefinierten Wert entsprechen. Welche Strings es gibt findet sich z.B. hier.

Eine anscheinend funktionierende Konfiguration für die Phase 1 (Aggressive) ist

phase1ss = "alt/all-no-aes/all";

Zusammen mit einem korrekten String für Phase 2, z.B.

phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";

verhält sich die FritzBox dann auch anders: zunächst wird die Konfiguration wieder angeblich fehlerfrei eingelesen (das war allerdings vorher auch schon so), dann erscheint unter VPN-Verbindungen bei Adresse im Internet zunächst die Dummy-Adresse 255.255.255.255.

Sobald nun Traffic in den unter accesslist definierten Bereich gesendet wird, versucht die Fritzbox den Tunnel aufzubauen. Dies beginnt mit einer Namensauflösung von secureconnect.sipgate.net zu 217.10.68.135, was dann auch korrekt unter Adresse im Internet im Webinterface der Fritzbox angezeigt wird. Der Tunnelaufbau scheitert dann aber bereits vor Beginn der IKE Phase 2 (ein Wireshark-Mitschnitt zeigt eine Hand voll Pakete, die zwischen der FritzBox und Sipgate ausgetauscht werden: ISAKMP Aggressive, Informational und Transaction (Config Mode) aber kein Quick Mode oder ESP). Passend dazu steht nun im Ereignisprotokoll ein

Fehler 0x203D

bedeutet: ("phase 1 sa removed during negotiation"), den auch schon ein anderer User in diesem Thread beobachtet hat.

Also nach wie vor leider keine Lösung...

 

[pfeffer]

Gibt es irgendwelche Neuigkeiten? Ist es inzwischen vielleichz jemanden gelungen, eine stabile VPN-Verbindung zwischen FritzBox und Sipgate-VPN aufzubauen, die sich auch selbst wieder herstellt, falls das Internet mal kurz weg war?

Hintergrund:
Ich bin seit kurzem bei UnityMedia und es scheint als blockiere Unity Media manchen RTP-Verkehr: Ein bestimmter anderer Sipgate-Teilnehmer kann mich nicht hören (ich ihn aber schon). Wenn ich ihn mit dem Laptop anrufe, gibt es das gleiche Problem. Wenn ich mit dem Laptop vorher eine VPN-Verbindung zum sipgate-VPN-Server aufbaue, dann hört mich mein Gesprächspartner.
Manchmal ist die Sprachqualität sehr schlecht - obwohl die Internetverbindung (gemessen mit ping) hervorragend ist (zur Zeot etwa 7 ms zu sipgate.de). Auch das deutet für mich darauf hin, dass Unitymedia offenbar gezielt RTP-Verkehr ausbremst.
Damit Unitymedia per deep-packet-inspection nicht mehr sieht, ob es sich um RTP-Daten handelt, möchte ich ein dauerhaftes VPN über sipgate-VPN aufbauen.

Viele Grüße,
Pfeffer.

 

[ktw2003]

@Pfeffer: Du hast leider keine Signatur und machst auch sonst keine Aussage was für einen Unitymedia-Anschluss Du hast. Auch nicht darüber ob mit oder ohne IPv4-Adresse.

 

[steve0564]

..... jemanden gelungen, eine stabile VPN-Verbindung zwischen FritzBox und Sipgate-VPN aufzubauen, .....

Hier wurde eine ganz ähnliche Frage gestellt! ;-)

 

[pfeffer]

@Pfeffer: Du hast leider keine Signatur und machst auch sonst keine Aussage was für einen Unitymedia-Anschluss Du hast. Auch nicht darüber ob mit oder ohne IPv4-Adresse.

Entschuldige - öffentliche IPv4.
Hast Du eine Idee, wie man es mit der FritzBox und Sipgate-VPN hinbekommen könnte?
Ich wollte den Thread nicht kapern - für VPNartige Lösung bitte hier antworten, für alle anderen bitte hier: http://www.ip-phone-forum.de/showthread.php?t=258795

Viele Grüße,
Pfeffer.