vpnc Fritzbox 7050

[stevy92]

Hallo,
erstmal ein Dankeschön, an alle, die hier schon über Freetz, Telnet usw. gepostet haben. Habe mir schon einen ganzen Tag damit um die Ohren gehauen und habe den Eindruck stehe kurz vor der Lösung. Aber komme nicht weiter...

Also zu meinem Problem.
Ich wohne in einem Studentenwohnheim und wir sind über die Uni ans Internet gebunden. Aber vorher läuft das ganze noch mal über einen Router, dieser blockt so einiges. Voip hat selbst über Portfreigabe nicht funktioniert. Deswegen muss ich mich immer über vpn mit der Uni direkt verbinden (also den Router tunneln) und kann mich dann mit meinem voip clienten anmelden.

Ich habe in meinem Zimmer noch mal eine Fritz Box als Nat stehen, mit der ich ursprünglich telefonieren wollte, aber geht momentan leider nicht.
Deswegen suche ich eine Lösung meine Fritzbox 7050 vpn fähig zu machen.

Auf die Fritzbox habe ich jetzt mittels Freetz vpnc draufbekommen (was gar nicht so einfach war, wegen des kleinen Speichers) und brauch jetzt Hilfe.
Wenn ich versuche vpnc zu starten, bekomm ich immer eine Fehlermeldung. Wahrscheinlich weil es falsch konfiguriert ist.

Die Uni verwendet cisco und soweit ich das richtig verstehe IPSec, weswegen ich vpnc und nicht openvpn verwende.
somit benötige ich noch zusätzlich zu dem Passwort ein Zertifikat.
Wobei auf der Uniseite steht, dass ich drei Zertifikate downloaden muss.
Es handelt sich dabei um das CA-Zertifikat, DFN-PCA Zertifikat und das Wurzelzertifikat.
Dieses kann ich mir ohne Probleme über telnetbefehle auf die Fritzbox ziehen, aber ich weiß nicht, was die Zertifikate genau machen sollen.

Normalerweise ist es so gedacht, dass man einen VPN Clienten auf dem PC installiert, z.B. den "VPN Client" von Cisco, die Zertifikate importiert, die Konfigurationsdatei importiert und auf starten klickt, Benutzernamen und Passowrt eintippt und dann steht die Verbindung.

Das Problem ist eigentlich, dass ich das, was in der Konfigurationsdatei steht so nicht in das Webinterface von vpnc auf der Freetzseite übernehmen kann, weil das Webinterface nur ein minimalanteil von dem anzeigt, was man einstellen muss.

Wäre schön, wenn sich jemand finden würde, der davon mehr Ahnung hat als ich und mir weiterhelfen kann.
Hilfreich wäre schon zu wissen, ob ich die Zertifikate überhaupt alle brauche.


Angefügt hier die Konfigurationsdatei: FAU-Fulltunnel.pcf

[main]
Description=Alle Daten werden durch den Tunnel geschickt
Host=ciscovpn.rrze.uni-erlangen.de
AuthType=5
GroupName=ipsec_full
GroupPwd=
enc_GroupPwd=852E76F7316A510D16D174A579142C99294708E066F0C4072826250F3C157AD6F2008341239C95DC88F5054D64C3BB9E447638A6F808A4DA6C6E62894718A86C
EnableISPConnect=0
ISPConnectType=0
ISPConnect=
ISPPhonebook=
ISPCommand=
Username=
SaveUserPassword=0
UserPassword=
enc_UserPassword=
NTDomain=
EnableBackup=0
BackupServer=
EnableMSLogon=1
MSLogonType=0
EnableNat=1
TunnelingMode=0
TcpTunnelingPort=10000
CertStore=1
CertName=
CertPath=
CertSubjectName=
CertSerialHash=00000000000000000000000000000000
SendCertChain=0
PeerTimeout=90
EnableLocalLAN=0

 

[stevy92]

Ich bin jetzt soweit gekommen, dass ich vpnc einigermaßen ausführen kann.
Ich führe vpnc jetzt mit folgender conf datei aus:

IPSec gateway ciscovpn.rrze.uni-erlangen.de
IPSec ID ipsec_vpntest
IPSec secret ipsec-vpntest-key
IKE Authmode hybrid
Xauth username vpntest
Xauth password vpntest
CA-File /var/tmp/root.pem
Debug 3

und verwende als zertifikat das wurzelzertifikat von der uniseite.
Damit scheint vpnc weiter zu kommen, als mit den andern Zetifikaten.
Er scheint auch irgendwas zu machen, aber am Ende kommt folgende Meldung:

Subject name hash: 4e18c148
Certificate-chain verified correctly!
Decrypted-Size: -1
decr_hash: 00
expected hash:
abfbbc43 2273e949 602faf87 4885593f 7aa8dd1f
The hash-value, which was decrypted from the received signature, and the expecte
d hash-value differ in size.

kann mir jemand helfen und erklären, was das bedeutet?
unter google finde ich dazu leider nicht viel.

 

[yxt]

deine Uni bietet doch auch OpenVPN an.....

 

[stevy92]

hatte gelesen, dass cisco von OpenVPN nicht unterstützt wird.
oder ist das was anders?
Kannst du mir das bisschen genauer erklären?

 

[yxt]

deine uni bietet aber Cisco VPN und OpenVPN an! Versuch es doch mal mit openvpn

http://www.rrze.uni-erlangen.de/dienste/internet-zugang/vpn/cisco-vpn.shtml
http://www.rrze.uni-erlangen.de/dienste/internet-zugang/vpn/openvpn.shtml
Die Studenten von heute ;-)

 

[stevy92]

habs grade selbst gefunden.
natoll 2 Tage suchen um sonst.
Jetzt muss ich von vorne anfangen

 

[yxt]

mir gehts doch auch nicht beeser...
http://www.ip-phone-forum.de/showthread.php?t=247254

 

[stevy92]

auf den thread bin ich sogar schon gestoßen während meiner suche

 

[stevy92]

Es funktioniert immer noch nicht.
Weder OpenVPN noch VPNC.
OpenVPN sagt, dass er den Server nicht finden kann, es findet also gar keine Kommunikation statt.

Also wenn jemand noch Tipps hat oder noch Infos braucht, einfach mal schreiben.

Bin über jeden Tipp dankbar

 

[stevy92]

Noch mal ein paar mehr Infos:
OpenVPN geht hier vom Wohnheim sowieso nicht. also muss es mit vpnc funktionieren.
Ich habe alle drei Zertifikate in eine Datei gespeichert und wenn ich vpnc auf "Debug 2" einstelle kommt folgende Meldung:

root@fritz:/var/mod/root# vpnc /var/tmp/vpnc.conf

vpnc version 0.5.3

S1 init_sockaddr
[2000-01-01 15:13:15]

S2 make_socket
[2000-01-01 15:13:15]

S3 setup_tunnel
[2000-01-01 15:13:15]
sh: /etc/vpnc/vpnc-script: not found
using interface tun0

S4 do_phase1_am
[2000-01-01 15:13:15]

S4.1 create_nonce
[2000-01-01 15:13:15]

S4.2 dh setup
[2000-01-01 15:13:15]

S4.3 AM packet_1
[2000-01-01 15:13:15]

S4.4 AM_packet2
[2000-01-01 15:13:15]
(Cisco Unity)
(Xauth)
(DPD)
(Nat-T 02N)
(unknown)
(unknown)
got ike lifetime attributes: 2147483 seconds
IKE SA selected hybrid(rsa)-aes128-sha1
peer is DPD capable (RFC3706)
peer is NAT-T capable (draft-02)\n
peer is using type 130 (ISAKMP_PAYLOAD_NAT_D_OLD) for NAT-Discovery payloads
peer is using type 130 (ISAKMP_PAYLOAD_NAT_D_OLD) for NAT-Discovery payloads
Decrypted-Size: -1
The hash-value, which was decrypted from the received signature, and the expecte
d hash-value differ in size.

Im Debug 3 sieht man noch ein bisschen mehr, sprengt aber glaub ich das Forum.
Soweit ich das sehen kann sind aber die wichtigsten Zeilen die letzten:


Subject name hash: 4e18c148
Certificate-chain verified correctly!
Decrypted-Size: -1
decr_hash: 00
expected hash:
0e0ec666 8a7ed98a 50cc340c 129bdb8d b99bd5e4
The hash-value, which was decrypted from the received signature, and the expecte
d hash-value differ in size.


Wenn ich das Wurzelzertifikat der Telekom herausnehme kommt am Ende folgende Fehlermeldung
Error verifying the certificate-chain

somit gehe ich davon aus, dass das Zertifikat an und für sich akzeptiert wird, verstehe aber leider nicht wo dann noch der Fehler ist.

 

[stevy92]

Mitterweile ist es möglich OpenVPN Verbingungen von meinem Wohnhaus aus zu starten. Ich habe mit dem Admin gesprochen und der hat den Port 1194 freigegeben.
Ich habe es auch erfolgreich geschafft mit meinem PC (win 7) über OpenVPN eine VPN Verbindung herzustellen. Dabei gab es keinerlei Probleme.
Mit der Fritzbox habe ich noch einige. Vielleicht kann mir jemand helfen.

Ich habe eine fertige .ovpn datei, die ich mit Zertifkat (.crt) und meinem persönlichen Kennwort in /var/tmp der Fritzbox lade.
Öffne ich nun eine Konsole und verbinde mich über telnet mit der Fritzbox und führe "openvpn /var/tmp/RRZE-full-tunnel.ovpn" aus wird eine VPN Verbindung scheinbar erfolgreich aufgebaut.
Trotzdem bleibt meine IP die alte. Es scheint also etwas nicht mit dem Routen zu funktionieren, d.h. die Fritzbox nutzt nicht das neue tun0 gerät.
Ich habe vorhin gelesen, dass man ip-tables noch braucht, stimmt das?
Ich habe auch noch nicht richtig verstanden, wie ich openvpn über das webinterface von freetz konfiguriere. Bei den einstellungen der Zertifikate muss ich da einen Dateipfad angeben, an welchem Ort sich das Zertifikat befindet, oder einfach den Inhalt des Zertifikats reinkopieren?

Ich füge mal hinzu, was die Fritzbox mir ausspuckt, wenn ich "openvpn /var/tmp/RRZE-full-tunnel.ovpn" aufrufe.


root@fritz:/var/tmp# openvpn RRZE-full-tunnel.ovpn
Mon Apr 9 20:42:42 2012 OpenVPN 2.2.1 mipsel-linux [SSL] [LZO2] [MH] [IPv6 payload 20110424-2 (2.2RC2)] built on Apr 9 2012
Mon Apr 9 20:42:42 2012 WARNING: file 'genau.txt' is group or others accessible
Mon Apr 9 20:42:42 2012 WARNING: No server certificate verification method hasbeen enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Apr 9 20:42:42 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Apr 9 20:42:42 2012 LZO compression initialized
Mon Apr 9 20:42:42 2012 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Apr 9 20:42:42 2012 Socket Buffers: R=[110592->131072] S=[110592->131072]
Mon Apr 9 20:42:42 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Apr 9 20:42:42 2012 UDPv4 link local: [undef]
Mon Apr 9 20:42:42 2012 UDPv4 link remote: [AF_INET]131.188.12.10:1194
Mon Apr 9 20:42:42 2012 TLS: Initial packet from [AF_INET]131.188.12.10:1194, sid=d5304d28 c59fdb37
Mon Apr 9 20:42:42 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Apr 9 20:42:42 2012 VERIFY OK: depth=1, /C=DE/ST=BAVARIA/L=ERLANGEN/O=FAU/OU=RRZE/CN=openvpn.rrze.uni-erlangen.de/[email protected]
Mon Apr 9 20:42:42 2012 VERIFY OK: depth=0, /C=DE/ST=BAVARIA/O=FAU/OU=RRZE/CN=o
penvpn.rrze.uni-erlangen.de/[email protected]
Mon Apr 9 20:42:43 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Apr 9 20:42:43 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 9 20:42:43 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Apr 9 20:42:43 2012 NOTE: --mute triggered...
Mon Apr 9 20:42:43 2012 2 variation(s) on previous 5 message(s) suppressed by --mute
Mon Apr 9 20:42:43 2012 [openvpn.rrze.uni-erlangen.de] Peer Connection Initiated with [AF_INET]131.188.12.10:1194
Mon Apr 9 20:42:45 2012 SENT CONTROL [openvpn.rrze.uni-erlangen.de]: 'PUSH_REQUEST' (status=1)
Mon Apr 9 20:42:45 2012 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway,redirect-gateway autolocal,dhcp-option DNS 131.188.0.10,dhcp-option DNS 131.188.0.11,route 10.79.16.1,topology net30,ping 10,ping-restart 120,ifconfig 10.79.27.110 10.79.27.109'
Mon Apr 9 20:42:45 2012 OPTIONS IMPORT: timers and/or timeouts modified
Mon Apr 9 20:42:45 2012 OPTIONS IMPORT: --ifconfig/up options modified
Mon Apr 9 20:42:45 2012 OPTIONS IMPORT: route options modified
Mon Apr 9 20:42:45 2012 NOTE: --mute triggered...
Mon Apr 9 20:42:45 2012 1 variation(s) on previous 5 message(s) suppressed by --mute
Mon Apr 9 20:42:45 2012 TUN/TAP device tun0 opened
Mon Apr 9 20:42:45 2012 TUN/TAP TX queue length set to 100
Mon Apr 9 20:42:45 2012 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Apr 9 20:42:45 2012 /sbin/ifconfig tun0 10.79.27.110 pointopoint 10.79.27.109 mtu 1500
Mon Apr 9 20:42:45 2012 NOTE: unable to redirect default gateway -- Cannot read
current default gateway from system
Mon Apr 9 20:42:45 2012 /sbin/route add -net 10.79.16.1 netmask 255.255.255.255 gw 10.79.27.109
Mon Apr 9 20:42:45 2012 Initialization Sequence Completed

 

[stevy92]

habe es jetzt endlich hinbekommen
OpenVPN läuft auf meiner Fritzbox!

Folgende Seite hat mir sehr geholfen:
http://blog.rotzoll.net/2011/03/fri...ver-ins-internet/comment-page-1/#comment-4173

und mit hilfe des --up befehls von OpenVPN wird bei jedem Verbindungsaufbau meine routingtabelle gerichtet.
verbesserungsmöglichkeiten gibt es zwar noch, momentan passt auf meine fb 7050 kein Voip drauf, werde es aber vielleicht so regeln, dass die Fritzbox sich OpenVpn runterläd und somit auch die Voip Dateinen noch drauf passen.

Schade, dass mir hier nur wenige Leute helfen konnten, aber dank "yxt" habe ich es dann doch noch geschafft.