[Gelöst] VPN-Verbindungsaufbau scheitert an der Meldung "Das Kennwort ist falsch."

akahige

Neuer User
Mitglied seit
28 Sep 2018
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Ich versuche seit Tagen vergeblich, mit der AVM-VPN-Software auf meinem Windows-10-Notebook (Version 1803) über meinen DynDNS-Dienstleister acedns.org einen VPN-Zugang zu meiner Fritz!Box 7430 (neueste SW, Problem trat aber schon vorher auf) einzurichten. Wenn ich mein Notebook an mein Mobiltelefon anschließe, in "Fritz!Fernzugang" auf "Aufbau" klicke und in die Eingabeaufforderung das Kennwort eingebe, das ich auf der Fritz!Box für den dort eingerichteten VPN-Benutzer vergeben habe, erscheint die Meldung, "Das eingegebene Kennwort ist falsch." Kurioserweise erscheint dieselbe Meldung auch dann, wenn überhaupt keine Verbindung zum Internet besteht, dabei dürfte die Fritz!VPN-Zugangs-Software das auf der Box vergebene Kennwort doch gar nicht kennen, schließlich wird es bei der Einrichtung der Verbindung mit "Fritz!Box-Fernzugang einrichten" nicht abgefragt?! Handelt es sich um ein anderes Kennwort? Ich habe auch schon die Zeichenkette aus den beiden .cfg-Dateien eingegeben, natürlich ohne Erfolg. Worin könnte die Ursache liegen? Gibt es sonstige Einstellungen auf der Fritz!Box, die vorzunehmen sind? Ich nutze nebenbei auf meinem Notebook keine SW-Firewall, der Virenscanner ist Avira Antivirus Pro.
 
Stelle doch mal ein paar Screenshots mit deinen Einstellungen in der VPN Software hier rein ...
Hast du denn auch schon mal getestet ob der Fehler auch bei einer LAN Verbindung zu einen DSL Anschluss kommt
 
Du musst das VPN-Kennwort im Mobilfunktelefon einrichten. Dieses sollte die VPN-Verbindung aufbauen. (AVM gibt Anleitung für Android +Apple-Phones) Das Kennwort wird in der 7430 beim Einrichten eines Benutzers generiert und nicht durch das Programm "VPN-Einrichten" iirc
LG
 

Anhänge

  • Screen Shot 09-28-18 at 06.55 PM.JPG
    Screen Shot 09-28-18 at 06.55 PM.JPG
    203.2 KB · Aufrufe: 30
Beiden zunächst einmal vielen Dank. OK, der VPN-Zugang ist also auf dem Android-Telefon auch dann einzurichten, wenn man es eigentlich nur als "Modem" verwenden will. Habe ich gemacht, und tatsächlich gelingt es mir, mit dem "Benutzernamen" eine VPN-Verbindung von meinem Smartphone aus aufzubauen. In den Zugangsdaten von Fritz!Fernzugang auf meinem Notebook ist jedoch eine E-Mail-Adresse hinterlegt, und ich erhalte weiterhin die Meldung, das Kennwort wäre falsch. Nachfolgend die die Konfigurationsdaten:

Config-Datei für Fritz!Box:

Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[angegebene E-Mail-Adresse]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.nn.201; [den dritten IP-Block habe ich auf meiner Fritz!Box geändert]
                remoteid {
                        user_fqdn = "[angegebene E-Mail-Adresse]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "…";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.nn.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.nn.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist =
                             "permit ip 192.168.nn.0 255.255.255.0 192.168.nn.201 255.255.255.255",
                             "permit ip any 192.168.nn.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


Config-Datei für Fernzugang:

Code:
version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "[mein DynDNS-URL]";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.nn.201;
                remoteip = 0.0.0.0;
                remotehostname = "[mein DynDNS-URL]";
                localid {
                        user_fqdn = "[angegebene E-Mail-Adresse]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "…";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.nn.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.nn.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.nn.0 255.255.255.0",
                             "reject udp any any eq 53",
                             "reject udp any any eq 500",
                             "reject udp any any eq 4500",
                             "permit ip any any";
                wakeupremote = no;
        }
}


policybindings {
}

Sieht jemand, wo das Problem liegt?

//edit by stoney: [CODE] TAGs [/CODE] gesetzt
 
Zuletzt bearbeitet von einem Moderator:
das auf der Box vergebene Kennwort doch gar nicht kennen, schließlich wird es bei der Einrichtung der Verbindung mit "Fritz!Box-Fernzugang einrichten"

Das sieht nach nicht korrekt eingerichtetem VPN-User in der Fritzbox aus;
Bitte nimm doch das Web-IF und richte dort den VPN-User ein (wahlweise Android oder iPhone als Profile wählen), dieses Kennwort ist bei Win10 in "Fritz!Box-Fernzugang" zu verwenden.

siehe auch #3:
hier Option "Fernzugang für einen Benutzer einrichten" wählen.

Wichtig: Pro VPN-Client einen separaten VPN-User anlegen und darauf achten, dass in vpn.cfg der Box jeder VPN-User-Profile eine separate IP-Adresse zugewiesen wurde.


Bitte auch sicherstellen, dass die localid nach Anlegen des VPN-Users per Web-IF in der vpn.cfg der Box und auf Win10-Rechner identisch ist,
ich verwende hier den Username_XY oder Computernamen des VPN-Clients und keine EMail-Adresse.

Code:
               localid {
                       user_fqdn = "[angegebene E-Mail-Adresse]";
               }

Config-Datei für Fernzugang:
Code:
               localid {
                       user_fqdn = "[angegebene E-Mail-Adresse]";
               }
 
Zuletzt bearbeitet:
Ist dein Passwort für das SharedSecret und Benutzername länger als 32 Zeichen? Wenn ja, das sollte es nicht sein.
 
@Phoenixtime: In der Tat war das SharedSecret zwei Zeichen länger. (Doch nicht etwa deshalb, weil auch der WPA2-Schlüssel zu meinem WLAN bei mir zwei Zeichen länger ist?!) Jedoch auch, nachdem ich in beiden config-Dateien die beiden letzten Zeichen gelöscht und die jeweiligen Benutzer (Box und Fernzugang) ersetzt habe, erhalte ich weiterhin dieselbe Fehlermeldung, wobei ich weiterhin den Eindruck habe, daß die Überprüfung nur lokal auf dem Notebook und nicht auf meiner Box erfolgt.

@Scirocco88: Was meinst Du mit Web-Interface? Ich habe den Benutzer direkt in System/Fritz!Box-Benutzer eingerichtet, das Häkchen bei VPN gesetzt. Dorthin wird man auch geleitet, wenn man wie vorgeschlagen in Internet/Freigaben/VPN VPN hinzufügen wählt, und dort kann man nichts falsch machen, zumal wie geschrieben sich auf meinem Android-Mobile eine VPN-Verbindung erfolgreich aufbauen läßt, nur eben nicht von meinem PC aus. Und: Ja, die LocalIDs sind identisch.

Nachtrag: Um diese naheliegende mögliche Fehlerursache ausschließen zu können: Die Windows-Dienste RAS-Verbindungsverwaltung und Telefoniedienst sind gestartet (RAS-V. automatisch, Tel.-D., der angeblich für ersteren benötigt wird, manuell). Gibt's sonst noch Dienste oder vielleicht auch Gruppenrichtlinien, die als Ursache in Frage kämen? Ich komme wohlgemerkt via Tethering ohne VPN vom Rechner aus über dasselbe Mobiltelefon ins Internet.
 
Zuletzt bearbeitet:
Tausend Dank, das war's! :) Tatsächlich fand sich als Wert von "Kennwort" 80(!) hexadezimale Zeichen langer Datenmüll. Nachdem ich das korrekte Kennwort eingetragen hatte (falls jemand nach mir das Problem haben sollte: ASCII-Zeichenkette in Hex-Code übersetzen und als .reg-Datei importieren), ging's! Bleibt die Frage, woher die 80 Hex-Zeichen stammten ...
 
Bleibt die Frage, woher die 80 Hex-Zeichen stammten ...

so wie ich es verstehe ist das ein Kennwort für das Programm "Fritz!Fernzugang", welches bei jedem VPN-Verbindungsaufbaus einzugeben ist, sofern man ein Kennwort bei der Installation bzw. erstem Start angegeben hat.

Habe gerade noch einen KB-Artikel von AVM gefunden:
https://avm.de/service/fritzbox/fri...-Verbindungsaufbau-nach-unbekanntem-Kennwort/

Ursache: Die Kennwortabfrage in FRITZ!Fernzugang ist nicht richtig eingerichtet.

Hinweis: Beim ersten Start von FRITZ!Fernzugang erscheint ein Fenster, in dem ein Kennwort festgelegt werden kann. Wird die Option "Diesen Hinweis in Zukunft nicht mehr anzeigen." darin ohne Angabe eines Kennworts aktiviert und das Fenster danach über "Abbrechen" oder "Fenster schließen" geschlossen, erscheint die Kennwortabfrage vor jedem Verbindungsaufbau.
 
Zuletzt bearbeitet:
Falls sich das Verbindungsproblem mit der Fehlermeldung „Verbinden zu ...myfritz.net schlug fehl. Das Kennwort für den Fernzugang wurde nicht akzeptiert" durch die o. a. Kennwortänderung nicht beseitigen lässt, helfen vielleicht folgende Informationen:

Für jeden per VPN zu verbindenden Windows-PC muss eine individuelle Konfiguration angelegt werden mit entsprechenden Einstellungen in der FritzBox und in FritzFernzugang. Diese Einstellungen erzeugt FritzFernzugangEinrichten und schützt sie durch ein internes einzigartiges Kennwort (Pre-Shared-Key). Das Kennwort wird bei jedem Programmlauf neu vergeben und in die cfg-Dateien eingetragen, die anschließend in die FritzBox und in FritzFernzugang importiert werden müssen. Später beim Verbindungsaufbau vergleicht FritzFernzugang die beiden Kennwörter und bricht mit der o. a. Fehlermeldung ab, wenn sie nicht übereinstimmen.

Nachdem ich dies in Erfahrung gebracht, ShrewSoft deinstalliert und FritzFernzugang sowie FritzFernzugangEinrichten neu installiert hatte, gelang der Verbindungsaufbau problemlos anhand der AVM-Anleitung „VPN-Verbindung zur FRITZ!Box unter Windows einrichten (FRITZ!Fernzugang)“.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.