1. Nimm jetzt an unserem Uhans - 3. ADVENT - Gewinnspiel teil - Alle Informationen findest Du hier!

IPSec VPN zur Fritz!Box?

Dieses Thema im Forum "Allgemeine VPN-Probleme" wurde erstellt von rauke, 12.12.2011.

  1. rauke, 12.12.2011 #1
    rauke

    rauke Threadstarter Android-Lexikon

    Beiträge:
    1,603
    Erhaltene Danke:
    193
    Registriert seit:
    05.11.2009
    Phone:
    Sony Xperia Z3 Compact
    Tablet:
    Sony Xperia Z3 Tablet Comact, Nexus 10
    Hallo Leute,

    Hat es jemand von euch geschafft mittels der neuen vpn Einstellungen eine Verbindung zur fritz.box herzustellen? Mit dem Ipsec xauth psk wird genau das von der fritz.box geforderte Protokoll unterstützt. Beim iphone klappt die Verbindung sofort - beim Galaxy Nexus kommt irgendwann ein timeout.

    Wie sieht das bei euch aus?

    Gesendet von meinem Galaxy Nexus
     
  2. pit0711, 12.12.2011 #2
    pit0711

    pit0711 Gast

    Interessiert mich auch brennend das Thema!
     
  3. quaddy, 12.12.2011 #3
    quaddy

    quaddy Junior Mitglied

    Beiträge:
    32
    Erhaltene Danke:
    1
    Registriert seit:
    13.09.2009
    Phone:
    Galaxy Nexus
    Servus!

    Funktioniert bei mir nach der Anleitung von AVM perfekt!

    Habe zuerst auch einen Timeout bekommen, aber man muss wohl die IP Adressen im "Fernzugang einrichten" Programm angeben, wie im Tutorial beschrieben.

    Gruß
     
  4. rauke, 12.12.2011 #4
    rauke

    rauke Threadstarter Android-Lexikon

    Beiträge:
    1,603
    Erhaltene Danke:
    193
    Registriert seit:
    05.11.2009
    Phone:
    Sony Xperia Z3 Compact
    Tablet:
    Sony Xperia Z3 Tablet Comact, Nexus 10
    Welche IP-Adressen meinst du?
    Sieht deine Config so aus:

    Code:
    vpncfg {
       connections {
          enabled = yes;
          conn_type = conntype_user;
          name = "benutzer1@firma.de";
          always_renew = no;
          reject_not_encrypted = no;
          dont_filter_netbios = yes;
          localip = 0.0.0.0;
          local_virtualip = 0.0.0.0;
          remoteip = 0.0.0.0;
          remote_virtualip = 192.168.100.201;
          remoteid {
             key_id = "benutzer1@firma.de";
          }
          mode = phase1_mode_aggressive;
          phase1ss = "all/all/all";
          keytype = connkeytype_pre_shared;
          key = "VPN-Kennwort";
          cert_do_server_auth = no;
          use_nat_t = yes;
          use_xauth = yes;
          use_cfgmode = no;
          xauth {
             valid = yes;
             username = "Benutzername";
             passwd = "Kennwort";
          }
          phase2localid {
             ipnet {
                ipaddr = 0.0.0.0;
                mask = 0.0.0.0;
             }
          }
          phase2remoteid {
             ipaddr = 192.168.100.201;
          }
          phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
          accesslist = "permit ip 0.0.0.0 0.0.0.0 192.168.100.201 255.255.255.255";
       }
       ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
    
    (Quelle: http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/images/FRITZBOX_iPhone.pdf)
     
    Zuletzt bearbeitet: 12.12.2011
  5. quaddy, 13.12.2011 #5
    quaddy

    quaddy Junior Mitglied

    Beiträge:
    32
    Erhaltene Danke:
    1
    Registriert seit:
    13.09.2009
    Phone:
    Galaxy Nexus
    Servus,

    richtig, sieht so aus. Ich muss allerdings hinzufügen: jetzt bekomme ich auch wieder einen Timeout. Die Verbindung zur Fritz!Box hat nur ein Mal geklappt, und dann konnte ich aber trotzdem keine Internetverbindung über das GN herstellen.

    Sehr seltsam..
     
  6. CryptMan, 19.12.2011 #6
    CryptMan

    CryptMan Neuer Benutzer

    Beiträge:
    14
    Erhaltene Danke:
    3
    Registriert seit:
    14.12.2010
    Hallo,

    ich hatte vor ICS die VPNC Lösung am Start, die klappte einigermaßen zuverlässig - von gelegentliche Verbindungsabbrüchen mal abgesehen.

    Mit ICS sollte es eigentlich auch klappen, aber da scheint in der Fritz!Box noch was zufehlen oder ungünstig gelöst zu sein.
    Die IPsec Phase1&2 werden bei mir idR. erfolgreich ausgehandelt, aber die F!B setzt meiner Meinung nach eine falsche oder keine Route ins LAN.
    Somit kann ich keine Geräte im LAN erreichen obwohl die IPsec Verbindung steht. Manuelles eingeben der Route unter Erweitern im Handy hat leider nicht geholfen

    Code:
    I/ActivityManager(  149): Displayed com.android.settings/.Settings$VpnSettingsActivity: +981ms
    I/ActivityManager(  149): Displayed com.android.settings/.Settings$VpnSettingsActivity: +522ms
    I/ActivityManager(  149): Displayed com.android.settings/.Settings$VpnSettingsActivity: +361ms
    I/Vpn     (  149): Switched from [Legacy VPN] to [Legacy VPN]
    V/LegacyVpnRunner(  149): Waiting
    V/LegacyVpnRunner(  149): Executing
    D/racoon  ( 6388): Waiting for control socket
    D/racoon  ( 6388): Received 9 arguments
    I/racoon  ( 6388): ipsec-tools 0.8.0 (http://ipsec-tools.sf.net)
    I/racoon  ( 6388): 192.168.xxx.xxx[500] used for NAT-T
    I/racoon  ( 6388): 192.168.xxx.xxx[500] used as isakmp port (fd=10)
    I/racoon  ( 6388): 192.168.xxx.xxx[4500] used for NAT-T
    I/racoon  ( 6388): 192.168.xxx.xxx[4500] used as isakmp port (fd=11)
    I/racoon  ( 6388): initiate new phase 1 negotiation: 192.168.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
    I/racoon  ( 6388): begin Aggressive mode.
    E/racoon  ( 6388): notification RESPONDER-LIFETIME received in aggressive exchange.
    E/racoon  ( 6388): notification payload: 800b0001800c0e10 .
    I/racoon  ( 6388): received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
    I/racoon  ( 6388): received Vendor ID: DPD
    I/racoon  ( 6388): couldn't find the proper pskey, try to get one by the peer's address.
    I/racoon  ( 6388): ISAKMP-SA established 192.168.xxx.xxx[500]-xxx.xxx.xxx.xxx[500] spi:f417a8b205b8023b:af5ae9dc09e59e75
    D/VpnJni  (  149): Route added on tun0: 0.0.0.0/0
    I/LegacyVpnRunner(  149): Connected!
    I/racoon  ( 6388): initiate new phase 2 negotiation: 192.168.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
    I/racoon  ( 6388): received RESPONDER-LIFETIME: 3600 seconds
    W/racoon  ( 6388): attribute has been modified.
    I/racoon  ( 6388): IPsec-SA established: ESP/Tunnel 192.168.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=121407041(0x73c8641)
    I/racoon  ( 6388): IPsec-SA established: ESP/Tunnel 192.168.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=588253733(0x23100a25)
    I/ActivityManager(  149): Displayed com.android.vpndialogs/.ManageDialog: +549ms
    I/Vpn     (  149): Switched from [Legacy VPN] to [Legacy VPN]
    E/racoon  ( 6388): Connection is closed
    I/racoon  ( 6388): Bye
    
    Ich hab auch noch Zugriff auf zwei Cisco ASA5510 (v7 und v8) hier klappt der IPsec Zugang vom Handy recht zuverlässig und auch schneller als bei der F!B. Auch die Routen werden meiner Meinung nach korrekt gesetzt, jedenfalls nicht auf "0.0.0.0/0". Geräte im LAN sind bei den Cisco's natürlich auch erreichbar ;).

    Fritz!Box 7390: BETA 84.05.07-21320
    Nexus S: Android 4.0.3
     
  7. 4boka, 20.12.2011 #7
    4boka

    4boka Junior Mitglied

    Beiträge:
    40
    Erhaltene Danke:
    0
    Registriert seit:
    02.11.2011
    Phone:
    Nexus S
    Hallo,

    bei mir kommen auch nur timeouts und ich habe daher einige Fragen:

    1. welche IP-SEC-ID gebt Ihr an? den aus remote_id?
    2. Welchen Typ wählt Ihr? IPSec XAuth PSK?
    3. Wie kommt man an das Log

    Gruß
     
  8. CryptMan, 20.12.2011 #8
    CryptMan

    CryptMan Neuer Benutzer

    Beiträge:
    14
    Erhaltene Danke:
    3
    Registriert seit:
    14.12.2010
    zu 1) Ja, bei mir remoteid -> key_id = IPsecID (hab da jedoch KEIN Mail Addi drin)
    zu 2) Ja, IPsec Xauth mit PSK
    zu 3) Is das normale Android log, z.B. aLogcat oder per "adb logcat"

    Hab aber jetzt gesehen das das VPNC unter Android 4.0 auch ohne zugebasteltes tun.ko Kernelmodul läuft. Ist vermutlich jetzt im Kernel integriert.

    Werd das morgen mal testen, wenn das klappt reicht mir des erstmal. Is zwar nich so schön aber so hab ich zumindest alle 3 für mich interessanten VPN Endpunkte im Zugriff. Was auch schonmal besser ist weil das VPNC kann ja nur auf einen konfiguriert werden. Und die beiden Ciscos laufen ja nativ unter Android 4.

    Kommt Zeit kommt Patch, würd ich mal sagen :D. Dann klappts bestimmt auch mit der F!B.
     
    Zuletzt bearbeitet: 21.12.2011
  9. 4boka, 21.12.2011 #9
    4boka

    4boka Junior Mitglied

    Beiträge:
    40
    Erhaltene Danke:
    0
    Registriert seit:
    02.11.2011
    Phone:
    Nexus S
    Danke für Deine Info, dann weiß ich ja das es so nicht funktioniert. Schade
     
  10. CryptMan, 21.12.2011 #10
    CryptMan

    CryptMan Neuer Benutzer

    Beiträge:
    14
    Erhaltene Danke:
    3
    Registriert seit:
    14.12.2010
    So, hab es eben kurz mit VPNC zur Fritz!Box probiert ... klappt.

    Also irgendwie scheints da zwischen dem Android IPsec und der Fritz!Box kleine Verständigungsschwierigkeiten zu geben.

    Da (zu mindest bei mir) Phase 1 & Phase 2 durchrauschen tippe ich mal sollte das kein allzugroßes Problem sein das zu fixen.
    Könnte man ja mal evtl. bei AVM durchklingeln ob sie sich das ansehen möchten :).
     
  11. 4boka, 21.12.2011 #11
    4boka

    4boka Junior Mitglied

    Beiträge:
    40
    Erhaltene Danke:
    0
    Registriert seit:
    02.11.2011
    Phone:
    Nexus S
    Hallo,

    leider läuft es bei damit nicht. Die HW schaut so aus oder?

    -VPNC Widget von Matthias Meier
    -gerootetes Android 4.0, kein MOD.
    - Firtzbox

    Mal gucken ob ich meine Fehler finde
     
  12. 4boka, 21.12.2011 #12
    4boka

    4boka Junior Mitglied

    Beiträge:
    40
    Erhaltene Danke:
    0
    Registriert seit:
    02.11.2011
    Phone:
    Nexus S
    Also an der Fritz ist der Client verbunden, aber im LOG finde ich eine Fehler: ip: can't find device 'tun0'

    Da fehlt wohl doch die tun.ko. Ich habe ein Nexus S mit der org. 4.0.3
     
  13. CryptMan, 21.12.2011 #13
    CryptMan

    CryptMan Neuer Benutzer

    Beiträge:
    14
    Erhaltene Danke:
    3
    Registriert seit:
    14.12.2010
    Hmm,

    eine "tun.ko" liegt bei mir definitiv NICHT unter /system/modules/.

    Was sag denn das VPNC wenn du es direkt startest und auf "Check Prerequisites" clickst ?

    Bei mit kommt: "checked successfully ... should work".

    Mein Nexus S ist 4.0.3 per manuellem Update von der VQ...irgendwas.zip. Sowie gerooted (Handarbeit). Rest Auslieferungszustand.
     
  14. 4boka, 21.12.2011 #14
    4boka

    4boka Junior Mitglied

    Beiträge:
    40
    Erhaltene Danke:
    0
    Registriert seit:
    02.11.2011
    Phone:
    Nexus S
    hm, wir haben die gleiche Hard-/Software. "checked successfully ... should work" kommt auch. Sehr sehr komisch. Die Fritz zeigt mir auch online des Nexus an, nur http per ip auf die fritz klappt nicht. Im Log des VPNC Widget ist mir nur halt die Meldung mit dem tun aufgefallen.

    Ich prüfe morgen nochmal die Config.
     
  15. CryptMan, 22.12.2011 #15
    CryptMan

    CryptMan Neuer Benutzer

    Beiträge:
    14
    Erhaltene Danke:
    3
    Registriert seit:
    14.12.2010
    Hier mal meine CFG aus der F!B, wobei die ziehmlich gleich ist mit der die schon gepostet wurde.
    Aber evtl. hilfts ja da nochmal durchzugehen.

    Code:
    /*
     * Nexus S mit VPNC oder ICS als Client
     */
    
    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_user;
                    name = "Nexus S";
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 0.0.0.0;
                    remote_virtualip = 192.168.1.2;
                    remoteid {
                            key_id = "IPsecVPN";
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "mega-streng-geheim-nr1";
                    cert_do_server_auth = no;
                    use_nat_t = yes;
                    use_xauth = yes;
                    use_cfgmode = no;
                    xauth {
                           valid = yes;
                           username = "luser";
                           passwd = "noch-viel-geheimer-nr2";
                    }
                    phase2localid {
                            ipnet {
                                    ipaddr = 0.0.0.0;
                                    mask = 0.0.0.0;
                            }
                    }
                    phase2remoteid {
                            ipaddr = 192.168.1.2;
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                    accesslist = "permit ip 0.0.0.0 0.0.0.0 192.168.1.2 255.255.255.255";
            }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
    
    
    // EOF
    
    
    Code:
    Nexus S (ICS) - erster Dialog
    =============================
    
    Name...............................: wurscht
    Typ................................: IPsec Xauth PSK
    Serveradresse......................: myhost.dyndns.org
    IPsec-ID...........................: IPsecVPN
    Vorinstallierter IPsec-Schlüssel...: mega-streng-geheim-nr1
    
    Nexus S (ICS) - zweiter Dialog
    ==============================
    
    Nutzername.........................: luser
    Passwort...........................: noch-viel-geheimer-nr2
    
    Code:
    VPNC
    ====
    
    IPsecGateway....: myhost.dyndns.org
    IPsecId.........: IPsecVPN
    IPsecSecret.....: mega-streng-geheim-nr1
    XAuthUsername...: luser
    XAuthPassword...: noch-viel-geheimer-nr2
    
    Man beachte die beiden UNTERSCHIEDLICHEN Passwörter !
     
    TheCritter und 4boka haben sich bedankt.
  16. 4boka, 22.12.2011 #16
    4boka

    4boka Junior Mitglied

    Beiträge:
    40
    Erhaltene Danke:
    0
    Registriert seit:
    02.11.2011
    Phone:
    Nexus S
    Danke für Deine Mühe. Ist ja ein rochtiges HowTo geworden. Und das mitten in der Nacht ;-)


    EDIT

    Sorry mein Fehler. Jetzt klappt alles genau so wie Du es beschrieben hast. Super.
     
    Zuletzt bearbeitet: 22.12.2011
  17. brabblbassi, 02.01.2012 #17
    brabblbassi

    brabblbassi Gast

    Ich habe folgendes festgestellt :confused2::
    (Android 4.0.3, FB 7390 84.05.05)

    VPNC: Nur der erste Benutzer in der Fritzbox-VPNconfig funktioniert bei der Authentifizierung der Phase2. (Ansonsten Fehler: "Auth Err") Mit dem ersten Benutzer klappt alles nach Anleitung wunderbar.

    ICS_IPSEC: Nur der erste Benutzer in der Fritzbox-VPNconfig funktioniert bei der Authentifizierung der Phase2. (Ansonsten Fehler: "TIMEOUT") Mit dem ersten Benutzer klappt nach Anleitung nur die Verbindung. Scheinbar macht Android allerdings Fehler in der Routingtabelle, da absolut keine Daten übertragen werden.

    Ist das bei Euch auch so?
     
  18. androidschlack, 02.01.2012 #18
    androidschlack

    androidschlack Neuer Benutzer

    Beiträge:
    4
    Erhaltene Danke:
    0
    Registriert seit:
    13.11.2011
    Hallo,
    bei mir klappt der stock vpn mit 1und1 also vodafone -> öffentliche IP
    mit eplus und o2 gehts nicht -> private ip nat-t ist notwendig
    mit eplus und o2 klappt zwar der Tunnelaufbau, es werden jedoch keine Daten ausgetauscht.

    Wie du schon gesagt hast muss das an der Fritzbox liegen, da das ganze mit dem Cisco-Gedöns funktioniert. Komisch ist nur, dass es mit VPNC-Widget klappt.

    Gruß
     
  19. cycroft, 08.01.2012 #19
    cycroft

    cycroft Neuer Benutzer

    Beiträge:
    7
    Erhaltene Danke:
    0
    Registriert seit:
    08.01.2012
    Hallo,

    ich habe ähnliche Probleme mit o2. Der Tunnelaufbau klappt. Jetzt kommt jedoch der Hammer:

    - Datenaustausch mit internen Servern hinter der Fritzbox (z.B. NAS) über SMB funktioniert ohne Probleme
    - Datenaustausch über HTTP (also z.B. Ansurfen der Konfigurationsoberfläche der FritzBox) sowie Surfen allgemein funktionieren nicht

    An was könnte das liegen?
     
  20. crapman!, 08.01.2012 #20
    crapman!

    crapman! Junior Mitglied

    Beiträge:
    28
    Erhaltene Danke:
    2
    Registriert seit:
    20.10.2011
    Hab ich das richtig verstanden und man braucht unter ICS kein root / extra tun.ko Kernel Modul und keine extra App wie VPNC Widget um VPN zur Fritz! Box in der Theorie funktionieren zu lassen?

    Gesendet von meinem GT-I9100 mit Tapatalk
     

Diese Seite empfehlen