VPN: Shrew und Internet komplett über Fritzbox routen

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
pfeffer schrieb:
so, ich habe es endlich geschafft mit dem Windows-Shrew-Client Version 2.1.4 den gesamten Internetverkehr über das VPN zu schicken.

Gruß,
Pfeffer.
Zum Vergrößern anklicken....

Könnte man die bat dahingehend erweitern, dass dtpd,iked und ipsecd.exe in unsichtbaren Fenstern gestartet werden bevor ipsecc startet? Ich hab schon ein wenig gegooglet kann aber derzeit nichts testen.
Meine Frage rührt daher, dass ich das Programm auf einer verschlüsselten Partition parken will, aber von dort die genannten 3 Programme nicht im Autostart funktionieren. Sie sind aber für das VPN notwendig.

Ich entschuldige mich für den 4.Post
Sowas ist mir auch nocht nicht untergelaufen...
 
Ich klink mich mal hier ein weil mein Ziel das selbe und das Problem ähnlich ist: FritzBox 7270 steht daheim, ich bin unterwegs in fremden WLANs und aller Traffic soll über die FB laufen. Unter Android funktioniert das schon, nur Windows will noch nicht so. Hab jetzt schon diverse Anleitungen für Shrew gelesen aber er mag nie verbinden, endet immer mit "negotiation timout occurred".
Die cfg der FB:
Code: 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        key_id = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "a8oWUGeyoyikEHOLULOTAHULAREZAKETIKEHEMAK";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
				xauth { 
					valid = yes; 
					username = "[email protected]"; 
					passwd = "a8oWUGeyoyikEHOLULOTAHULAREZAKETIKEHEMAK"; 
				}
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 0.0.0.0 0.0.0.0 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

In Shrew hab ich: Anhang anzeigen Shrew.zip

Für Hilfe wäre ich dankbar da ich ab dem Wochenende auf offene WLANs angewiesen bin :-(
 
Du würdest es einfacher machen, wenn Du nicht die einzelnen Bildchen zeigen würdest, sondern die Konfigurationsdatei aus Shrew.

Im ersten Bild hast Du als Hostname example.org stehen. Da muss natürlich Dein Hostname ( Dyndns oder so) hinein.
 
da steht in echt natürlich der reale host-name, genauso wie der benutzername nicht auf example.org endet

Code: 
n:version:2
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-used:0
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:phase1-dhgroup:2
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
n:phase1-keylen:256
n:phase2-keylen:256
s:network-host:example.org
s:client-auto-mode:pull
s:client-iface:virtual
s:client-ip-addr:192.168.178.201
s:client-ip-mask:255.255.255.255
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:address
s:ident-client-data:[email protected]
b:auth-mutual-psk:###key###
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:esp-aes
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
n:phase2-pfsgroup:2
s:policy-level:auto
s:policy-list-include:192.168.178.0 / 255.255.255.0
 
Kannst Du noch irgendeine Info posten, an welcher Stelle die Fehlermeldung kommt
 
die Fehlermeldung kommt direkt beim verbinden (nach ca 10 sek)
Code: 
config loaded for site xxx
configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
ipcomp proposal configured
client configured
local id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon ...
 
nachdem ich jetzt nochmal diverse beispiel-configs aus dem netz ausprobiert hab kam ich auf die idee, das ganze mal in einer VM zu testen. und siehe da, da gehts?!
Jemand eine Ahnung was an meinem WinXP verstellt sein könnte das zu diesem Ergebnis (Timeout) führt?
 
Habe die Anleitung aus dem Thread Seite 1 befolgt.

Soweit so gut. Internet funktioniert über die entfernte Fritzbox mit ShrewSoft auf dem Client-PC.

Aber wenn ich bsp. eine falsche www-Adresse in den Browser eingebe, dann erscheint die Homepage meines Client-Providers und nicht die meines fritz-box-providers.

=> D.h. doch das meine DNS weiterleitung nicht funktioniert.

Habt Ihr eine Ahnung warum?

Nutze Win7 plus neuesten ShrewSoft-Clienten. Meine Fritzbox ist eine 7270.

Was mir noch aufgefallen ist:
Die Setroutes.bat von pfeffer gibt mir unter anderem folgendes aus:
"nicht autorisierende Antwort: "VPN-Server IP: xxx.xxx.xxx.xxx""
 
yuriprime schrieb:
=> D.h. doch das meine DNS weiterleitung nicht funktioniert.
Zum Vergrößern anklicken....
Nicht unbedingt. Die DNS Server werden ja nicht automatisch durch die VPN Verbindung beeinflusst. Es ist also denkbar, dass die DNS Server deines Client-Provider über die Fritzbox angesprochen werden.
 
Erst mal vielen vielen Dank an alle, die sich seit 2 Jahren mit der Materie befasst haben!

Da ich mit dem sicheren bzw. unzensierten Surfen über sipgate regelmäßig Performance-Probleme bekam, habe ich mich mal mit der Materie befasst und hatte praktisch im ersten Anlauf Erfolg.

Was habe ich genau gemacht:

fritzbox.cfg:
- phase2localid: ip+mask auf 0.0.0.0 geändert
- accesslist: "permit ip any ..." hinzugefügt

Shrewsoft-Client:
- Orginalverbindung geklont
- Nameresolution: DNS aktiviert, 1. Server = lokale IP meiner Fritzbox daheim
- "Obtain Automatically" allein funktioniert nicht.
- Policy: alte "Route" gelöscht, "Obtain ... or Tunnel all" aktiviert (wie bei sipgate)

Somit ist in einer funktionierenden vpn-Config wie folgt zu ändern:
lösche: s:policy-list-include: ....
hinzu*: s:client-dns-addr:192.168.100.1
ändere: n:client-dns-used:1
ändere: n:policy-list-auto:1
*lokale IP der Fritzbox daheim
 
Zuletzt bearbeitet von einem Moderator:
Aktualisierung der Batch-Datei

Hallo,

nachdem ich drei Nächte ins Einrichten des VPNs auf der Fritzbox verbracht habe, hatte ich noch ein wenig Lust mich mit der Batch-Datei von pfeffer zu befassen.

Was wurde geändert:

  • Benutzerprofile werden aus lokalem Verzeichnis geladen, da in der Registrierung nur die Hosts gespeichert werden, nicht aber einzelne Profile
  • Profile werden untersucht, ob eine Route notwendig ist (braucht man nicht, wenn man nur einen Tunnel öffnen will)
  • Starten des Programms auch außerhalb des Programmverzeichnisses (also z.B. vom Desktop aus)

Bin für Verbesserungen offen, gerne Kommentare :p
 

Anhänge

  • addRoute.zip
    996 Bytes · Aufrufe: 55
Irgendwie hatte ich den Eindruck, dass der ShrewSoft-Client (Version 2.2.0-beta-2) Routing und DNS ganz allein hinbekommt.

In der aktuellen Version stehen auch keine Profile mehr in der Registry (das sind nur Reste von alten Versionen, die man löschen sollte) sondern generell hier:
privat: %LOCALAPPDATA%\Shrew Soft VPN\sites
public: %ALLUSERSPROPFILE%(%ProgramData%)\Shrew Soft VPN\sites
 
Moin,
leider habe ich zur Zeit nur 2x Umts (Vodafone) und zwei FB7390. Dies ist bedingt durch eine temporäre Wohnung und einen Hausbau.
So wie ich das verstanden habe geht Umts <-> Umts noch immer nicht, oder?
Möchte meine PV-Anlage (Hausbau) von der temporären Wohnung aus überprüfen können.
Gruß,
Kamures
 
UMTS <-> UMTS würde nur dann gehen, wenn mindestens eine Box eine öffentliche IP bekommt.
 
Alternativ lass bei der PV-Anlage einen PC laufen und greife via Teamviewer darauf zu.
 
Bei mir funktioniert es leider auch nicht richtig.

Wenn ich im Shrewsoft das Netzwerk 192.168.180.0/255.255.255.0 eintrage, geht der Zugriff auf das VPN.
Wenn ich allerdings 0.0.0.0/0.0.0.0 eintrage, geht gar nichts mehr. Weder das 192.168.180.0/24 Netzwerk, noch irgendeine andere IP aus dem Internet.

Könnte das Problem in der Fritzbox Config liegen?

Code: 
targets {
        policies {
                name = "etc.dyndns.org";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.180.201;
                remoteip = 0.0.0.0;
                remotehostname = "etc.dyndns.org";
                localid {
                        user_fqdn = "VPN_all";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "abckey123";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.180.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.180.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.180.0 255.255.255.0", 
                             "reject udp any any eq 53", 
                             "reject udp any any eq 500", 
                             "reject udp any any eq 4500", 
                             "permit ip any any";
                wakeupremote = no;
        }
}
 
Anfrage hierher verschoben da hier nicht passend.
 
Zuletzt bearbeitet:
VIch hab das jetzt in allen Varianten ohne erfolg versucht.

Zugriff nur auf das lokale Netzgeht ohne Problehm.
Sobald ich
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
einfüge geht nix mehr.

Windows 8.1
Shrew 2.2.2 basic.
Fritzbox 7390 mit der aktuellen FW 6.0

aktuelle config 1 x fritzbox und 3 versionen die ich immer im pc teste.
Firewall hatte ich bereits ausgeschaltet.
Code: 
{
               enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.xxx.206;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "-------------key---------------";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.xxx.206;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist =   
                             "permit ip any 192.168.xxx.206 255.255.255.255";
        }

myipch.homelinux.net_V2.vpn
n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-used:1
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:phase1-dhgroup:2
n:phase1-keylen:256
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:256
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
n:client-dns-suffix-auto:1
s:network-host:xxxxxx.xxxxxx.xxx
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:client-dns-addr:192.168.xxx.1
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:address
s:ident-client-data:[email protected]
b:auth-mutual-psk:-------------key---------------
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:esp-aes
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
n:phase2-pfsgroup:2
s:policy-level:auto
s:policy-list-include:192.168.xxx.0 / 255.255.255.0,0.0.0.0 / 0.0.0.0

myipch.homelinux.net_V3.vpn
n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-used:1
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:phase1-dhgroup:2
n:phase1-keylen:256
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:256
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
n:client-dns-suffix-auto:1
s:network-host:xxxxxx.xxxxxx.xxx
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:client-dns-addr:192.168.xxx.1,8.8.8.8
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:address
s:ident-client-data:[email protected]
b:auth-mutual-psk:-------------key---------------
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:esp-aes
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
n:phase2-pfsgroup:2
s:policy-level:auto
s:policy-list-include:0.0.0.0 / 0.0.0.0



myipch.homelinux.net_V4.vpn
n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-used:1
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:phase1-dhgroup:2
n:phase1-keylen:256
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:256
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
n:client-dns-suffix-auto:1
s:network-host:xxxxxx.xxxxxx.xxx
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:client-dns-addr:192.168.xxx.1
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:address
s:ident-client-data:[email protected]
b:auth-mutual-psk:-------------key---------------
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:esp-aes
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
n:phase2-pfsgroup:2
s:policy-level:auto
accesslist = "permit ip any 192.168.xxx.0 255.255.255.0",
"reject udp any any eq 53",
"reject udp any any eq 500",
"reject udp any any eq 4500",
"permit ip any any";
und
accesslist = "permit ip any 192.168.180.0 255.255.255.0",
"permit ip any 192.168.xxx.0 255.255.255.0";
und
accesslist = "permit ip any any";

hab ich auch schon versucht.

Hat es jemend mit windows 8.x und Fritzbox os 6.0 am laufen???
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 784 (Mitglieder: 35, Gäste: 749)

Neueste Beiträge

Statistik des Forums

Themen
246,139
Beiträge
2,246,735
Mitglieder
373,640
Neuestes Mitglied
Hubitz
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück