VPN-Firmware für FRITZ!Box Fon WLAN 7170 v29.04.34 verfügbar (nicht LABOR)

[himinternational]

Korrekt, VPN läuft nur mit WPA/WPA2. Wählt man WEP sind automatisch die VPN Verbindungen weg.

 

[George99]

Bei eingeschaltetem WEP wäre VPN ja auch nur eine reine Alibiveranstaltung.
Gibt es denn immer noch Geräte, die nur WEP können?

 

[mega]

Gibt es denn immer noch Geräte, die nur WEP können?

Ja, solange man Alt-Geräte verwendet.
Mein Pinnacle Showcenter kann auch nur WEP, weshalb es per Kabel angeschloßen ist.

 

[DevilX]

Ich habe die Firmware mal installiert, alles eingerichtet, aber wenn nen kumpel versucht sich zu verbinden bekommt er immer zeitüberschreitung bei anvorderung..
ich sehe im webinterface verbindung wird aufgebaut.

Nen anderer Kumpel kann sich anmelden also sollte es nicht an mir liegen.. jemand ne idee wo ich ansetzten könnte?

 

[StevenV]

Auf die Gefahr das es schon gesagt wurde!?

Hab das Zeug auf zwei Fritzen an verschieden Orten. Fernzugriff klappt von meinem PC zu beiden Orten unter den bekannten Spielregeln:

1.) Die Firmware ist druff

2.) Die Konfiguration wurde für die Benutzer aus der "Ferne" erstellt, der Fritzbox durch Import bkannt gemacht, und in der jeweiligen Fernzugangssoftware importiert

3.) Ganz wichtig: Der jeweilige Bnutzer und die Fritz dürfen sich nicht im gleichen Netz befinden.
=> Fritz und Netz über den der Zugang erfolgt müssen bei "xxx" unterschiedlich sein:
Fritz: z.B. 192.168.xxx.1
Netz des Benutzers: 192.168.xxx.yyy

Gruß
Steven

 

[Felko]

Habe zwar gesucht, aber nichts gefunden.

Die LAN-Ports der 7170 lassen sich nun per Weboberfläche nicht mehr in verschiedene IP-Netze legen. Gibt es eine MÖglichkeit, dies zu realisieren?

Hintergrund ist, dass einerseits ein Internet-PC, der nur zum Surfen genutzt wird, angeschlossen ist. Andererseits soll via VPN & Remotezugriff auf einen Server zugegriffen werden. Aus Sicherheitsgründen sollen diese beiden Rechner nicht mit einander in Verbindung stehen, wie es bei einem regulär geswitchten LAN, also auch mit dieser FW der Fall ist.

Hat jemand eine Idee?
Geht es evtl. mit Openvpn?

 

[frank_m24]

Hallo,

Die LAN-Ports der 7170 lassen sich nun per Weboberfläche nicht mehr in verschiedene IP-Netze legen.

Das ging noch nie bei der 7170.

Gibt es eine MÖglichkeit, dies zu realisieren?

Evtl. mit dem ds-mod.

Aus Sicherheitsgründen sollen diese beiden Rechner nicht mit einander in Verbindung stehen, wie es bei einem regulär geswitchten LAN, also auch mit dieser FW der Fall ist.

Wenn man an der Fritzbox LAN Anschlüsse in verschiedene IP-Netze verschiebt, dann sind sie nicht voneinander getrennt! Das ist auch bei der 7050 so. Die Box ist ein Router und routet zwischen den Netzen.

Wenn du die Netze der Box trennen willst, musst du nicht nur die Switch Ports per VLAN trennen, sondern auch noch per iptables das Routing regeln. Nachteil: iptables auf der Box läuft nicht stabil.

Viele Grüße

Frank

 

[hugoegelchen]

Nen anderer Kumpel kann sich anmelden also sollte es nicht an mir liegen.. jemand ne idee wo ich ansetzten könnte?

Das will nix heißen ;-)
Du erstellst ja die vpnuser.cfg und da kann sich schon mal ein Tippfehler einschleichen. Ich bin auch feste am experimentieren und habe schon die tollsten Sachen (auch eigene Fehler) erlebt.

Checke mal die Subnetze 255.255.255.0 (wenn so eingestellt). Und natürlich wie oben beschrieben die richtige Vergabe der unterschiedlichen IP-Netze (also keinesfalls 192.168.178.0).

Aber ich habe noch eine Frage:
Meine Verbindung zur 2. Box klappt super. Ich sehe auch mit IP-scan alle Geräte. Leider kann ich nur ein Netzlaufwerk per \\IP-Adresse\Freigabename erfolgreich anmelden, wenn auf der Gegenseite die XP-Firewall für die Netzwerkverbindung deaktiviert wird. Welche Dienste / Adressen oder Ports müßte man denn da als Ausnahme einstellen, daß VPN funzt und trotzdem die Firewall wieder aktiv wird ?

Danke
Hugoegelchen

 

[Oehrl]

Hallo,

wollte mal nachfragen ob es bei euch auch Probleme mit der Firmware v29.04.34 und den Wahlregeln gibt?
Seit dem ich diese Firmware eingespielt habe kann ich entweder nur über das Internet telefonieren oder Festnetz (Telekom). Dies muss ich aber vorher immer in der FritzBox ändern.
Eigentlich habe ich Festnetzgespräche über das Internet eingestellt und u.a. Mobilfunk über das Festnetz (als Call-by-Call). Dies funktioniert aber nicht mehr.

Hat einer eine Idee woran das liegen kann?

Mfg
Oehrl

 

[hugoegelchen]

Hallo Oehrl,

Probleme mit der Firmware v29.04.34 und den Wahlregeln gibt?

Habe es eben getestet: In den Wahlregeln 0171xxxx Festnetz eingetragen, mein Handy angeklingelt -> Festnetz OK

Eigentlich habe ich Festnetzgespräche über das Internet eingestellt und u.a. Mobilfunk über das Festnetz (als Call-by-Call). Dies funktioniert aber nicht mehr.

Arbeitest Du mit den Anbietervorwahlen? (Einstellungen-Telefonie-Wahlregeln -> Register Anbietervorwahlen). Da habe ich nichts drin. Würde also auf nochmaliges Überprüfen der Regeln tippen. An der Firmware liegt es offensichtlich nicht. Oder Du testest es mal ohne Call-Vorwahl. Vielleicht liegt hier der Hase im Pfeffer.

Beste Grüße
Hugo

 

[frank_m24]

Hallo,

@Oehrl: Möglicherweise Config-Kuddel-Muddel? Hast du mal einen Reset auf Werkseinstellungen durchgeführt mit Neueingabe aller Daten von Hand?

Viele Grüße

Frank

 

[Oehrl]

@ Hugo / Frank: Ich habe die FritzBox mal auf Werkseinstellung zurück gesetzt und alles von Hand eingegeben. Jetzt scheint es richtig zu funktionieren. Danke

 

[robodrill]

Hallo,

mein erster Beitrag hier im Forum und direkt ein Problem mit der VPN Software.
Habe die aktuelle VPN Software drauf auf meiner 7170 und auch die fritbox.cfg so wie die vpnuser.cfg erstellt. Da ich feste IP im internen Netz( 192.168.6.xxx hinter der Fritzbox) habe, habe ich auch dies entsprechend eingetragen.

Mein Problem ist das ich keinen Rechner hinter der Fritzbox erreichen kann, aber die Fritzbox ohne Probleme (Webconfig und Ping ).

Hier die fritzbox.cfg:

/*
* C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\AVM\FRITZ!Fernzugang\xxxxxxxxxxxxxxxxxxx\fritzbox.cfg
* Sat Nov 10 15:27:28 2007
*/

vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "Loewenfoss";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.6.50;
remoteid {
user_fqdn = "xxxxxxxxxxxxxxxxxxx";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = " xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.6.1 255.255.255.255 192.168.6.50 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Und die vpnuser.cfg:

/*
* C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\AVM\FRITZ!Fernzugang\xxxxxxxxxxxx\vpnuser.cfg
* Sat Nov 10 15:27:28 2007
*/

version {
revision = "$Revision: 1.30 $";
creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
security = dpsec_quiet;
icmp {
ignore_echo_requests = no;
destunreach_rate {
burstfactor = 6;
timeout = 1;
}
timeexceeded_rate {
burstfactor = 6;
timeout = 1;
}
echoreply_rate {
burstfactor = 6;
timeout = 1;
}
}
masqtimeouts {
tcp = 15m;
tcp_fin = 2m;
tcp_rst = 3s;
udp = 5m;
icmp = 30s;
got_icmp_error = 15s;
any = 5m;
tcp_connect = 6m;
tcp_listen = 2m;
}
ipfwlow {
input {
}
output {
}
}
ipfwhigh {
input {
}
output {
}
}
NAT_T_keepalive_interval = 20;
}


targets {
policies {
name = "xxxxxxxxxxxxxxxxxxxxxxxx";
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = 192.168.6.50;
remoteip = 0.0.0.0;
remotehostname = "xxxxxxxxxxxxxxxxxxxx";
localid {
user_fqdn = "Loewenfoss";
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = " beced2=xxxxxxxxxxxxxxxxxxxxx";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.6.1 255.255.255.255";
wakeupremote = no;
}
}


policybindings {
}


// EOF

.

Ach und noch etwas, wie kann man diese Dateien editieren ohne das sie nachher unbrauchbar sind.

Gruss
Frank

 

[frank_m24]

Hallo,

Da ich feste IP im internen Netz( 192.168.6.xxx hinter der Fritzbox) habe, habe ich auch dies entsprechend eingetragen.

Was haben die festen IPs deines Heimnetzes mit dem VPN Client zu tun? Ich hoffe doch stark, du hast nicht eine VPN IP vergeben, die es auch sonst schon in deinem Heimnetz gibt?
Ein ernst gemeinter Hinweis: Belasse es bei der .201 für den VPN Client. Da kommt dir aller Voraussicht nach kein DHCP und keine andere feste IP ins Gehege.

permit ip 192.168.6.1 255.255.255.255

Die Subnetzmaske ist falsch. Statt 255.255.255.255 muss sie 255.255.255.0 sein.

Ach und noch etwas, wie kann man diese Dateien editieren ohne das sie nachher unbrauchbar sind.

In dem Bereich, wo es nun erforderlich ist, wahrscheinlich gar nicht. Du muss neue CFGs erzeugen.

Viele Grüße

Frank

 

[robodrill]

@frank_m24:
Nein ich habe keine IP doppelt und die 201 wird von meiner Fonera Box verwendet und aus diesem Grund ist die virtuelle IP 192.168.6.50.
Und das mit dem falschen Subnetz habe ich mir auch schon gedacht, aber es lässt sich in der Konfigurationssoftware nicht ändern, sobald ich die IP für die Fritzbox eingebe wird nur noch 32-255.255.255.255 angezeigt. Daher auch meine Frage ob man die *.cfg editieren kann.
Habe auch eben schon mal die *.cfg editiert mit Wordpad, aber nach dem auspielen auf Fritz und dem Laptop( Client ) kommt bei der VPN Einwahl "Benutzer ... nichr bekannt".

Gruss
Frank

 

[frank_m24]

Hallo,

Habe auch eben schon mal die *.cfg editiert mit Wordpad, aber nach dem auspielen auf Fritz und dem Laptop( Client ) kommt bei der VPN Einwahl "Benutzer ... nichr bekannt".

Genau die Erfahrung hab ich auch gemacht. In den Subentzinformationen verbergen sich die Zugangsdaten für Phase 2, und AVM scheint den Key als eine Checksum über die Zugangsdaten auszulegen. D.h.: Änderung der Daten => ungültiger Zugang.
Du kannst nur eine neue Konfig mit dem Tool herstellen und dabei die Daten so eingeben, dass die 24 - 255.255.255.0 auswählbar bleibt - notfalls, indem du die Standard-Konfig nimmst.

Viele Grüße

Frank

 

[robodrill]

Fehler gefunden.

Es muss nicht die IP Adresse der Fritzbox bei der manuellen IP Vergabe eingegeben werden sondern die Broadcastadresse ( d.h. Fritzbox 192.168.6.1 und Eingabe 192.168.6.0 ) dann kann man auch 255.255.255.0 als Subnetmask auswählen. Sind halt CIDR Regeln.

Gruss
Frank L.

 

[frank_m24]

Hallo,

Es muss nicht die IP Adresse der Fritzbox bei der manuellen IP Vergabe eingegeben werden sondern die Broadcastadresse ( d.h. Fritzbox 192.168.6.1 und Eingabe 192.168.6.0 )

Das ist nicht die Broadcastadresse, sondern das Subnetz. Die Broadcastadresse ist 192.168.6.255.

Viele Grüße

Frank

 

[robodrill]

Das ist nicht die Broadcastadresse, sondern das Subnetz. Die Broadcastadresse ist 192.168.6.255.

Bei Windows 9x waren 192.168.x.0 und 192.168.x.255 die Broadcastadressen.
Irgendwie habe ich das Gefühl man lernt nie aus.:lamer:

Frank

 

[jojo-schmitz]

Nö, das ist auch in Win9x nicht anders. Und wenn's dort tatsächlich anders genannt wird, ist's schlicht falsch.