[Gelöst] VPN (IPSec) zu entfernter 7490: funktioniert mit ShrewSoft - nicht mit Fritz-Fernzugang

[imagomundi]

ping zu 8.8.8.8 mit FF:

C:\Users\ditma>ping 8.8.8.8

Ping wird ausgeführt für 8.8.8.8 mit 32 Bytes Daten:
Antwort von 8.8.8.8: Bytes=32 Zeit=247ms TTL=58
Antwort von 8.8.8.8: Bytes=32 Zeit=250ms TTL=58
Antwort von 8.8.8.8: Bytes=32 Zeit=248ms TTL=58
Antwort von 8.8.8.8: Bytes=32 Zeit=249ms TTL=58

Ping-Statistik für 8.8.8.8:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 247ms, Maximum = 250ms, Mittelwert = 248ms

WinMTR Ausgabe, ebenfalls mit FF

|-------------------------------------------------------------------------------------------|
|                                      WinMTR statistics                                    |
|                       Host              -   %%  | Sent | Recv | Best | Avrg | Wrst | Last |
|-------------------------------------------------|------|------|------|------|------|------|
| dns.google                               -    0 |  219 |  219 |  242 |  244 |  259 |  245 |
|_________________________________________________|______|______|______|______|______|______|
   WinMTR-Refresh v0.97 GPL V2

ping mit SHREW (192.168.171.203 ist die Shrew Verbindung in der entfernten FB)

:\Users\ditma>ping 8.8.8.8

Ping wird ausgeführt für 8.8.8.8 mit 32 Bytes Daten:
Antwort von 192.168.171.203: Zielhost nicht erreichbar.
Antwort von 8.8.8.8: Bytes=32 Zeit=13ms TTL=60
Antwort von 8.8.8.8: Bytes=32 Zeit=12ms TTL=60
Antwort von 8.8.8.8: Bytes=32 Zeit=12ms TTL=60

Ping-Statistik für 8.8.8.8:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 12ms, Maximum = 13ms, Mittelwert = 12ms

C:\Users\ditma>

WinMTR Ausgabe

|-------------------------------------------------------------------------------------------|
|                                      WinMTR statistics                                    |
|                       Host              -   %%  | Sent | Recv | Best | Avrg | Wrst | Last |
|-------------------------------------------------|------|------|------|------|------|------|
| dns.google                               -    0 |    8 |    8 |  243 |  250 |  276 |  243 |
|_________________________________________________|______|______|______|______|______|______|
   WinMTR-Refresh v0.97 GPL V2

Schalte doch mal alle Deine NICs aus, bis auf die benötigte und prüf erneut.

Gibt nichts auszuschalten - einzige NIC ist ein externer WiFi/BT USB Stick

 

[stoney]

seltsam
meine Ausgabe von "ipconfig /all" bei nur einem NIC sieht so aus:

C:\Users\stoney>ipconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : W10
   Primäres DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : fritz.box

Ethernet-Adapter Ethernet 2:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Realtek PCIe GbE Family Controller
   Physische Adresse . . . . . . . . : A8-A1-59-0B-A1-A4
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.10.10(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Montag, 19. Februar 2024 17:25:10
   Lease läuft ab. . . . . . . . . . : Donnerstag, 29. Februar 2024 17:25:09
   Standardgateway . . . . . . . . . : 192.168.10.1
   DHCP-Server . . . . . . . . . . . : 192.168.10.1
   DNS-Server  . . . . . . . . . . . : 192.168.10.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Wenn ich hingegen alle einschalte, incl virtuellen:

C:\Users\stoney>ipconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : W10
   Primäres DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : fritz.box

Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : PANGP Virtual Ethernet Adapter
   Physische Adresse . . . . . . . . : 02-50-41-00-00-01
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::4d95:cfcb:59d:9ef7%21(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 10.10.4.8(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.255
   Standardgateway . . . . . . . . . :
   DHCPv6-IAID . . . . . . . . . . . : 620908609
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-28-7C-CE-5D-A8-A1-59-0B-A1-A4
   DNS-Server  . . . . . . . . . . . : 172.16.0.44
                                       172.16.0.196
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter VirtualBox Host-Only Network:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : VirtualBox Host-Only Ethernet Adapter #2
   Physische Adresse . . . . . . . . : 0A-00-27-00-00-09
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::4276:c91:af66:5e0a%9(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.56.1(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . :
   DHCPv6-IAID . . . . . . . . . . . : 319422503
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-28-7C-CE-5D-A8-A1-59-0B-A1-A4
   DNS-Server  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter Ethernet 2:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Realtek PCIe GbE Family Controller
   Physische Adresse . . . . . . . . : A8-A1-59-0B-A1-A4
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.10.10(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Montag, 19. Februar 2024 17:25:10
   Lease läuft ab. . . . . . . . . . : Donnerstag, 29. Februar 2024 17:25:10
   Standardgateway . . . . . . . . . : 192.168.10.1
   DHCP-Server . . . . . . . . . . . : 192.168.10.1
   DNS-Server  . . . . . . . . . . . : 192.168.10.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter Ethernet 5:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : VirtualBox Host-Only Ethernet Adapter
   Physische Adresse . . . . . . . . : 0A-00-27-00-00-03
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::6d98:983:e8ad:ad3e%3(Bevorzugt)
   IPv4-Adresse (Auto. Konfiguration): 169.254.179.72(Vorläufig)
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Standardgateway . . . . . . . . . :
   DHCPv6-IAID . . . . . . . . . . . : 738852903
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-28-7C-CE-5D-A8-A1-59-0B-A1-A4
   DNS-Server  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter VirtualBox Host-Only Network #2:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : VirtualBox Host-Only Ethernet Adapter #2
   Physische Adresse . . . . . . . . : 0A-00-27-00-00-13
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::1e11:bf3a:d373:4d3%19(Bevorzugt)
   Standardgateway . . . . . . . . . :
   DHCPv6-IAID . . . . . . . . . . . : 654966823
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-28-7C-CE-5D-A8-A1-59-0B-A1-A4
   DNS-Server  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter Ethernet 3:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Phantom TAP-Windows Adapter V9
   Physische Adresse . . . . . . . . : 00-FF-8D-0A-60-1E
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Laut Deinen CODE-Block in #6 sind bei Dir augenscheinlich mehr als nur einer aktiv.

Aber dann haben wir diesen Punkt ja nun auch ausgeschlossen.

Danke für Deine Rückmeldung.

 

[frank_m24]

Was ist das für ein TAP Adapter? Der Shrew Adapter ist ja noch mal separat.

Ich vermute immer noch ein weiteres VPN. Möglicherweise über Google.

 

[imagomundi]

Was ist das für ein TAP Adapter?

Ich vermute immer noch ein weiteres VPN.

Habe diesen TAP Adapter separat deinstalliert - keine Änderung. Wenn ich allerdings Cyber Ghost wieder aktiviere taucht auch dieser virtuelle wieder unter den Netzwerkadaptern auf. Ist dann wohl der virtuelle Adapter für CyberGhost.

 

[armin56]

Bei den "route print" Ausgaben aus #10 ist bei FF keine Route in das Netzwerk 192.168.171.0 vorhanden. Ein zusätzlicher Adapter ist auch nicht vorhanden.

 

[PeterPawn]

Auch das ist "voll normal". Die Shrewsoft-Software bietet zwei Verfahren, die für die VPN-Verbindung gedachten Pakete zu behandeln, einmal mit einem virtuellen Netzwerk-Adapter und einmal mit einem "Filter" in der Verarbeitungskette für Netzwerk-Pakete. Bei dieser Software kann man den Modus auch umstellen in der Konfiguration, die AVM-Software arbeitet immer nur als "Filter". Ein Eintrag in der Routing-Tabelle des OS-Stacks wird nur benötigt, wenn der virtuelle Adapter zum Einsatz kommt.

Interessant wäre hier ggf. noch, ob sich die Shrewsoft-Software als Filter ebenso verhält, wie die AVM-Software - andererseits dürfte nach der "Erwähnung" von CyberGhost (https://www.cyberghostvpn.com/de_DE/) das "Rätsel" bereits gelöst sein.

 

[imagomundi]

Auch das ist "voll normal". Die Shrewsoft-Software bietet zwei Verfahren, die für die VPN-Verbindung gedachten Pakete zu behandeln, einmal mit einem virtuellen Netzwerk-Adapter und einmal mit einem "Filter" in der Verarbeitungskette für Netzwerk-Pakete

und wovon hängt es ab, welches Verfahren SHREW nutzt? Ich sehe nämlich einmal einen Shrew Soft Virtual Adapter im Gerätemanager, und etwas später ist er nicht mehr da. - ohne daß ich irgendwo etwas geändert hätte. Davon hängt anscheinend auch ab, ob die IP Abfrage bei den genannten Webseiten die entfernte IP4 als Public IP4 ausgibt, und -weit unerfreulicher- ob ich meinen Streaming Anbieter aufrufen kann oder er mir antwortet "in deiner Region nicht verfügbar".

In diesem Augenblick scheinen beide (Shrew und FF) das selbe Verfahren (per Zufallsgenerator oder wie?) anzuwenden, und weisen die entfernte öffentliche IP4 Adresse als "not detected" aus (mit der Folge, daß mein Streaming Dienst wieder einmal meldet "bin in Deiner Region nicht verfügbar").

@ PeterPawn: wo-in den Konfigurationsparametern- kann/muß ich denn den Funktionsmodus von Shrew umstellen bzw. kann ihn dauerhaft auf "virtual adapter" einstellen - anscheinend ist es ja nur beim "Filter"-Modus so, daß die entfernte öffentliche IP4 nicht gefunden und ausgegeben wird.

 

[frank_m24]

Deinstalliere erst mal Cyberghost, da liegt das Hauptproblem. Wenn dann noch Probleme übrig sind, kümmern wir uns darum.

 

[PeterPawn]

wo-[...]- kann/muß ich denn den Funktionsmodus von Shrew umstellen bzw. kann ihn dauerhaft auf "virtual adapter" einstellen

Shrew Soft VPN Client Administrator's Guide

 

[imagomundi]

Deinstalliere erst mal Cyberghost, da liegt das Hauptproblem. Wenn dann noch Probleme übrig sind, kümmern wir uns darum.

Cyberghost auf dem Surface ist längst deinstalliert, das Problem selbst ist noch ungelöst. Da ich sowohl mit einem Android Handy als auch einem Android Tablet mit einer VPN Verbindung über die selbe 7490 den Streaming Dienst aktivieren kann muß das Problem wohl entweder mit ShrewSoft oder Windows (bzw. dem Surface, auf dem Win 10 installiert ist) zusammenhängen. Auf beiden Android Geräten zeigt "Whatsmyip" die korrekte entfernte IP4 an, die auch unter dem ShrewSoft Reiter "network" angezeigt wird.
Das Verändern verschiedener Parameter des ShrewSoft Client hat nichts gebracht.
Schliesslich noch die Antwort auf eine naheliegende Frage: das Surface kann ich über den Display Port an einen TV anschliessen - Sport auf einem 6,5" Handy oder einem 11" Tablet Display zu schauen ist dagegen allenfalls eine Not-Alternative.

 

[frank_m24]

Cyberghost auf dem Surface ist längst deinstalliert, das Problem selbst ist noch ungelöst.

Und du bist sicher, dass da alle Reste entfernt wurden? Das ist bei VPN Software nicht selbstverständlich.

Welche weitere Netzwerksoftware hast du noch installiert? Da ist noch was - der Traceroute ist nicht anders zu erklären.

 

[imagomundi]

Welche weitere Netzwerksoftware hast du noch installiert? Da ist noch was - der Traceroute ist nicht anders zu erklären.

ICH habe mit Sicherheit keine weitere Netzwerksoftware installiert - allerdings habe ich das Surface gebraucht erworben und weiß deshalb nicht, was der Vorbesitzer so alles noch installiert hatte. Deshalb bin ich noch etwas weiter in die "Innereien" eingestiegen - z.B. in die Registry - dort gibt es bei Suche nach "vpn" eine große Anzahl von Treffern, allerdings kann ich als Laie nicht erkennen, ob es sich um (Rest-)Teile eines installiert gewesenen und gelöschten Programms oder es sich um allgemein im OS vorhandene Dateien handelt.
Aufgefallen ist mir, daß im Windows Defender verschiedene Komponenten eines "SoftEther VPN" auftauchen - sogar jeweils 2 x - das müsste wohl installiert gewesen sein, sonst würde es ja nicht als "zugelassen" in der Defender Liste erscheinen. Falls dem so ist, und davon noch uninstallierte Reste vorhanden sind, wüsste ich allerdings nicht, wie ich diese finden und eliminieren könnte.
Ich hatte auch gleich zu Beginn der Nutzung durch mich den Eindruck, daß sich eine Netzwerkkarte automastisch eine Verbindung zu einem (möglicherweise) Firmen-oder Schul-/Hochschulnetzwerk suchte.

 

[Grisu_]

Macht man heute kein Werksreset mehr, wenn man gebraucht Geräte anschafft?
Dann sollte der ganze Spuk doch Geschichte sein und der Beitrag hier obsolet.

 

[imagomundi]

Natürlich habe ich den Werksreset gemacht, und sogar Windows 10 von Grund auf neu installiert - ein Upgrade von dem ursprünglich installierten Win 8.1 war wegen Fristablaufs nicht mehr möglich

 

[Novize]

sogar Windows 10 von Grund auf neu installiert

Wahrscheinlich "drüber installiert" richtig?
Bei einer kompletten Neuinstallation, also Festplatte/Partition löschen und alles neu anlegen, dürften sich kaum MS-fremde VPN-Treiber in dem System finden lassen.

 

[Micha0815]

Wahrscheinlich "drüber installiert" richtig?

Oftmals wird eine Hersteller-Recovery-Partition verwandt! Da kann ganz schön viel Bloatware dabei sein
LG

 

[Novize]

Ja,. Bloatware leider viel zu viel und oft, doch eine VPN-Software? Dass habe ich bisher noch nie erlebt...

Wobei in diesem Fall ist ja eine Win10-Installation über eine herstellerseitige Win8-Installation gebügelt worden. Da wird die Quelle vermutlich eine Original-MS-DVD / ISO-Stick gewesen sein und damit frei von Bloatware

 

[imagomundi]

Wahrscheinlich "drüber installiert" richtig?

Ja, war so, musste situationsbedingt damals schnell gehen - deshalb auch schon der Kauf selbst.
Mein praktisches Problem (TV und Streaming mit IP der entfernten Box im entfernten Land) ist jetzt zunächst einmal gelöst nachdem ich in der dafür benutzten Netzwerkkonfiguration in den Adaptereigenschaften IPv6 deaktiviert habe. Damit läuft das Gewünschte sowohl mit Shrew als auch mit FF.
Wenn ich wieder zurück bin an der entfernten Box werde ich mal überlegen, ob ich doch noch eine ECHTE Neuinstallation von Windows mache - nur damit tracert eine ordentliche Ausgabe auswirft scheint mir das derzeit allerdings den Aufwand nicht wert.
Danke für alle Antworten

 

[frank_m24]

Mein praktisches Problem (TV und Streaming mit IP der entfernten Box im entfernten Land) ist jetzt zunächst einmal gelöst nachdem ich in der dafür benutzten Netzwerkkonfiguration in den Adaptereigenschaften IPv6 deaktiviert habe.

Auf Dauer keine gute Lösung. Aber der sichere Beweis dafür, dass deine Netzwerkkonfiguration wirklich komplett verhunzt ist.

 

[Novize]

Wenn ich wieder zurück bin an der entfernten Box werde ich mal überlegen, ob ich doch noch eine ECHTE Neuinstallation von Windows mache - nur damit tracert eine ordentliche Ausgabe auswirft scheint mir das derzeit allerdings den Aufwand nicht wert.

Tracert zeigt nur einen tief im System sitzenden gravierenden Mangel. Was da noch schief läuft, weißt du vielleicht nie, vielleicht später…
Ganz böse vermutet steckt da irgendeine Schadsoftware im System, wer weiß das schon?
Alleine schon wegen des sauberen Systems würde ich es komplett neu aufsetzen. Alten PCs traue ich keinen Millimeter über den Weg.
Es ist also nicht der Aufwand wg. tracert sondern für ein sauberes System.
Dieser andere Blickwinkel ist entscheidend.