Wie muss eine VPN-Einstellungsdatei aussehen?

[daniela.waranie]

Hallo,

ich habe eine .export-Datei von meiner Fritzbox 7490 erstellen lassen (unverschlüsselt) und daraus den Bereich "vpncfg { ... }" in eine separate Datei kopiert und versucht diese über den Menüpunkt:

Internet / Freigaben / VPN / VPN-Verbindung hinzufügen / Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren

zu importieren.

Wenn die Datei diesen Inhalt hat sagt Sie auch, dass Sie die Datei erfolgreich importiert hat:

/*
 * /var/tmp.cfg
 * Tue Oct 14 22:28:06 2014
 */
meta { encoding = "utf-8"; }

vpncfg {
        connections {
                ...
        } {
                ...
        } {
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Die VPN-Verbindungen werden in der Oberfläche nach dem Import dieser Datei auch angezeigt (habe sie direkt vorher einzeln gelöscht).
Ich bekomme aber keine VPN-Verbindung mehr hin.

In den ersten 10 Zeilen der .export-Datei steht eine Zeile (Wert für das Forum verändert):
Password=$$$$lksdjflkajsflkjdaslkfjasdfjsdoajfasdkljflksdajflkasdj
von der ich annehme, dass ich Sie auch in die VPN-Einstellungsdatei übernehmen muss - jedoch weiß ich nicht wo. Die Fritzbox schein sehr sensibel zu sein. Beispielsweise sind Leerzeilen und deren Anzahl offensichtlich wichtig.

Ich würde bei einigen VPN-Usern, die derzeit nur auf eine einzige IP in meinem Netzwerk zugreifen dürfen, ein paar weitere IPs freischalten (aber nicht pauschal auf alle IPs).

                accesslist = 
                             "permit ip 192.168.1.229 255.255.255.255 192.168.1.205 255.255.255.255";

würde ich gerne ändern in:

                accesslist = 
                             "permit ip 192.168.1.229 255.255.255.255 192.168.1.205 255.255.255.255",
                             "permit ip 192.168.1.230 255.255.255.255 192.168.1.205 255.255.255.255",
                             "permit ip 192.168.1.231 255.255.255.255 192.168.1.205 255.255.255.255",
                             "permit ip 192.168.1.232 255.255.255.255 192.168.1.205 255.255.255.255",
                             "permit ip 192.168.1.233 255.255.255.255 192.168.1.205 255.255.255.255",
                             "permit ip 192.168.1.234 255.255.255.255 192.168.1.205 255.255.255.255",
                             "permit ip 192.168.1.235 255.255.255.255 192.168.1.205 255.255.255.255",
                             "permit ip 192.168.1.236 255.255.255.255 192.168.1.205 255.255.255.255",
                             "permit ip 192.168.1.237 255.255.255.255 192.168.1.205 255.255.255.255",
                             "permit ip 192.168.1.238 255.255.255.255 192.168.1.205 255.255.255.255";

By-the-way: Der VPN-User bekommt in meinem LAN die IP 192.168.1.205.

PS: Ich möchte bewusst nicht die .export-Datei verändern und nicht über den Menüpunkt:
System / Sicherung / Wiederherstellen
arbeiten, da die Fritzbox dann neustartet.

Wer weiß, worauf man bei der VPN-Einstellungsdatei achten muss?

 

[Tieflieger]

Password=$$$$lksdjflkajsflkjdaslkfjasdfjsdoajfasdkljflksdajflkasdj

Das ist das Verschlüsselte Passwort
es müsste duch das Orginale ersetzt werden

 

[koyaanisqatsi]

Moin

Mit "unverschlüsselt" meint der TE bestimmt: Ohne Passwort exportiert

...früher* einmal konnte mit telnet auf die Box und: allcfgconv -c -C vpn -o vpn.txt
...diese Konfiguration dekodiert werden.

Jetzt wäre es wohl besser, mit telnet auf die Box, und: nvi /var/flash/vpn.cfg
...zu editieren, außer den kodierten: key_id, key, username, passwd

Nach dem Speichern sofort das Kommando: reboot
Du hast ja noch eine aktuelle Exportdatei.

* Bei der 7360SL gehts noch, bei der 7270v2 nicht, Fritz!OS siehe Signatur

 

[PeterPawn]

Nach dem Speichern sofort das Kommando: reboot

PS: Ich möchte bewusst nicht die .export-Datei verändern und nicht über den Menüpunkt:
System / Sicherung / Wiederherstellen
arbeiten, da die Fritzbox dann neustartet.

Ich sehe da einen gewissen Interessenkonflikt.

Mein Vorschlag:

1. Telnet verwenden
2. vpn.cfg auf der Box dekodieren
3. den betreffenden VPN-Eintrag (die vpn.cfg kann mehrere enthalten) aus der Datei extrahieren
4. permit-Statements ändern (da vermute ich ein Verständnisproblem bei der TE)
5. geänderten VPN-Eintrag über das GUI (oder per Telnet über eine Nachbildung mit direktem Aufruf von firmwarecfg) importieren, dabei erfolgt kein Neustart der Box ... nur der avmike wird neu geladen, damit gehen bestehende VPN-Verbindungen "kaputt" und müssen neu aufgebaut werden

 

[PeterPawn]

Beim Durchsuchen meiner Notizen im Zusammenhang mit der heute erschienenen 7490i habe ich dann noch folgende Möglichkeit zusätzlich gefunden:

Das VPN der Box kann auch direkt über 'msgsend' an den 'dsld' gesteuert werden.

msgsend dsld { vpndisable | vpnenable | vpnreload }

Der ctlmgr hält - vermutlich (ich habe nur noch mal kurz die 06.20 für die deutsche 7490 getestet) - doch keine eigene Kopie der vpn.cfg im Speicher bzw. schreibt sie seinerseits nicht neu, solange man nicht an den Checkboxen in der VPN-Liste herumfummelt oder Verbindungen per GUI hinzufügt/löscht/bearbeitet. Selbst wenn er sie überschreiben sollte, kann man ihn vor der Änderung (kurzfristig, also nicht für manuelles Editieren geeignet) mit 'ctlmgr -s' stoppen und anschließend mit 'ctlmgr' wieder starten. Dabei werden die VPN-Verbindungen allerdings noch nicht von dsld/avmike neu geladen, dazu braucht es wohl noch das o.a. Kommando. Wenn man nur temporäre Änderungen an der vpn.cfg vornehmen will, kann man mit ein wenig Geschick dieses Verhalten des ctlmgr sogar zu seinem Vorteil einsetzen (ändern, vpnreload, Original wiederherstellen). Früher hatte ich auf diesem Weg mal die Einrichtung einer "versteckten" VPN-Verbindung getestet, die mangels Eintrag im ctlmgr gar nicht in der Liste im GUI auftauchte und trotzdem funktionierte ... ob das heute (nach Meldung an AVM vor langer Zeit) auch noch funktioniert, habe ich nicht getestet.

Es sollte also aber in jedem Falle möglich sein, die Datei per Editor (am besten automatisiert per sed) zu ändern und dann den dsld zum Neuladen zu überreden, auch ohne die Box neu zu starten und sogar ohne die DSL-Verbindung zu beeinträchtigen. Dabei muß man nur noch berücksichtigen, daß wohl vpnreload auch vpnenable beinhaltet, also ein Laden von Verbindungen, die man nicht starten will, immer mit "enabled = no" für diese Verbindungen erfolgen muß.