VPN erst per Telefon aktivieren?

[rookie0]

Hi Leute,

ich wollte auf meiner Fritz.Box (7270 Labor-Version 54.04.99-13225) den VPN-Zugang einrichten und bin dabei nach der Anleitung von AVM vorgegangen (VPN-Verbindung von Mac OS X mit IPSecuritas zur FRITZ!Box (Client-LAN-Kopplung).

Leider kommt keine Verbindung zu Stande und was mich sehr wundert, ist die Tatsache, dass keinerlei Informationen in den Logs von Fritz.box auftauchen. Die Gegenstelle antwortet einfach nicht, obwohl die dnydns-Adresse richtig umgesetzt wird (auch ohne dyndns habe ich es probiert).

Nun habe ich mir die Frage gestellt, ob man die VPN-Funktion in der Fritzbox erst irgendwie per Telefon-Code freigaben muss oder ob man an der Firewall etwas drehen muss, damit es funktioniert.

Kann mir da jemand eine Auskunft geben, der es hin bekommen hat?

(Natürlich habe ich nicht versucht aus meinem WLAN heraus eine Verbindung aufzubauen, sondern war hierzu in einem anderen Netzwerk unterwegs)

 

[frank_m24]

Hallo,

in der Fritzbox muss man nichts weiter einrichten, wenn eine korrekte Konfiguration erfolgreich importiert wurde. Wichtig ist natürlich der VPN Client und vor allem sein Internetzugang. Dort müssen Firewall-Einstellungen und VPN Passthrough ordnungsgemäß eingerichtet sein.

 

[rookie0]

Hi,

ich mache die Testverbindung aus dem UMTS-Netz. Eine Verbindung zu einem PPTP-Server funktioniert, weswegen ich davon ausgehe, dass VPN grundsätzlich über diese UMTS-Verbindung möglich ist.

Zur Fritz.box geht es leider nicht und es kommt mir so vor, als müsste man noch irgendwelche Ports öffnen damit überhaupt der VPN-Server erreicht wird. Wie gesagt: Der Verbindungsversuch wird von der Fritz.box nicht registriert und es tauchen keine Einträge in den Log-Dateien auf.

Gruß

 

[frank_m24]

Hallo,

Eine Verbindung zu einem PPTP-Server funktioniert, weswegen ich davon ausgehe, dass VPN grundsätzlich über diese UMTS-Verbindung möglich ist.

Das ist ein Irrtum. Es gibt direkt mehrere Gründe, warum IPSec über UMTS scheitern kann. U.a. wird IPSec von einigen Anbietern gesperrt. Außerdem sitzt man heutzutage bei UMTS häufig hinter einem NAT Router, und das ist immer problematisch bei IPSec. Auf jeden Fall musst du NAT-T aktivieren, siehe die entsprechenden Threads hier im Forum.

Zur Fritz.box geht es leider nicht und es kommt mir so vor, als müsste man noch irgendwelche Ports öffnen damit überhaupt der VPN-Server erreicht wird.

Nein, definitiv nicht. Sobald die VPN Konfig erfolgreich importiert wurde, öffnet die Box die Ports zum Internet. Sieh dir die Konfig im Texteditor an. Die Portfreigaben im ar7.cfg Format stehen drin.

 

[rookie0]

Ich habe es heute erneut in der Firma über eine Leitung probiert, die speziell für VPN genutzt wird. Dabei ist nun wieder das gleiche Ergebnis zu beobachten, wie schon über UMTS:

- PPTP funktioniert
- IPSec zur Fritz.box funktioniert nicht. Dabei steht im Log folgendes:

Mar 31, 17:11:09  Info     APP  IPSec authenticating
Mar 31, 17:11:14  Info     APP  Connection meine_dyndns_adresse is started
Mar 31, 17:11:14  Info     APP  IKE daemon started
Mar 31, 17:11:14  Info     APP  IPSec started
Mar 31, 17:11:15  Error    IKE  Foreground mode.
Mar 31, 17:11:15  Info     APP  Initiated connection meine_dyndns_adresse
Mar 31, 17:11:15  Info     IKE  @(#)ipsec-tools CVS (http://ipsec-tools.sourceforge.net)
Mar 31, 17:11:15  Info     IKE  @(#)This product linked OpenSSL 0.9.7l 28 Sep 2006 (http://www.openssl.org/)
Mar 31, 17:11:15  Info     IKE  Reading configuration from "/Library/Application Support/Lobotomo Software/IPSecuritas/racoon.conf"
Mar 31, 17:11:15  Info     IKE  Resize address pool from 0 to 255
Mar 31, 17:11:22  Info     APP  Initiated connection meine_dyndns_adresse
Mar 31, 17:11:29  Info     APP  Initiated connection meine_dyndns_adresse
Mar 31, 17:11:34  Error    IKE  phase2 negotiation failed due to time up waiting for phase1. ESP <externe_fritzbox_ip_adresse>[500]->10.255.255.18[500] 
Mar 31, 17:11:36  Info     APP  Initiated connection meine_dyndns_adresse
Mar 31, 17:11:38  Error    IKE  phase2 negotiation failed due to time up waiting for phase1. ESP <externe_fritzbox_ip_adresse>[500]->10.255.255.18[500] 
Mar 31, 17:11:43  Info     APP  Initiated connection meine_dyndns_adresse
Mar 31, 17:11:45  Error    IKE  phase2 negotiation failed due to time up waiting for phase1. ESP <externe_fritzbox_ip_adresse>[500]->10.255.255.18[500] 
Mar 31, 17:11:48  Warning  APP  Connection meine_dyndns_adresse timed out
Mar 31, 17:11:48  Error    APP  Error while deactivating IPSec policies for connection meine_dyndns_adresse
Mar 31, 17:11:48  Warning  APP  Giving up
Mar 31, 17:11:48  Error    IKE  phase1 negotiation failed due to time up. b013cbd001d42331:0000000000000000
Mar 31, 17:11:52  Error    IKE  phase2 negotiation failed due to time up waiting for phase1. ESP <externe_fritzbox_ip_adresse>[500]->10.255.255.18[500] 
Mar 31, 17:11:58  Info     APP  IPSec stopping
Mar 31, 17:11:59  Info     APP  IKE daemon terminated
Mar 31, 17:11:59  Info     APP  IPSec stopped

Das gleiche passiert über UMTS. Daher meine Vermutung, dass die Fritzbox gar nicht reagiert. Die VPN-Config sieht so aus:

vpncfg { 
        connections { 
                enabled = yes; 
                conn_type = conntype_user; 
                name = "<meinlogin>";     
                always_renew = no; 
                reject_not_encrypted = no; 
                dont_filter_netbios = yes; 
                localip = 0.0.0.0; 
                local_virtualip = 0.0.0.0; 
                remoteip = 0.0.0.0; 
                remote_virtualip = 192.168.0.201; 
                remoteid { 
                        user_fqdn = "<meinlogin>"; 
                } 
                mode = phase1_mode_aggressive; 
                phase1ss = "all/all/all"; 
                keytype = connkeytype_pre_shared; 
                key = "<das geheime passwort>";      
                cert_do_server_auth = no; 
                use_nat_t = yes; 
                use_xauth = no; 
                use_cfgmode = no; 
                phase2localid { 
                        ipnet { 
                                ipaddr = 192.168.0.0; 
                                mask = 255.255.255.0; 
                        } 
                } 
                phase2remoteid { 
                        ipaddr = 192.168.0.201; 
                } 
                phase2ss = "esp-all-all/ah-none/comp-all/pfs"; 
                accesslist =  
                             "permit ip 192.168.0.0 255.255.255.0 
192.168.0.201 255.255.255.255"; 
        } 
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",  
                            "udp 0.0.0.0:4500 0.0.0.0:4500"; 
}

 

[rookie0]

Geht leider immer noch nicht mit der VPN-Verbindung zur Fritz.box. Hat da keiner eine Idee?

 

[rookie0]

OK, muss ein Bug gewesen sein in der alten Firmware, denn nach dem heutigen Update auf die *.76 Version funktioniert endlich das VPN per UMTS (und auch überhaupt!). Endlich