[HOWTO] VPN mit FritzBox

  • 431 Antworten
  • Neuester Beitrag
Diskutiere [HOWTO] VPN mit FritzBox im Allgemeine VPN-Probleme im Bereich Allgemeine EDV-Probleme.
U

unam

Neues Mitglied
Jo. Habe root aber dennoch diese merkwürdige Fehlermeldung :( Ich kann da auch nichts mit anfangen irgendwie :(

Sent from my GT-I9100 using Tapatalk
 
rauke

rauke

Experte
und man benötigt die tun.ko die bei stock nicht dabei ist.
 
Zuletzt bearbeitet:
U

unam

Neues Mitglied
Was ist die tun? Woher bekomme ich die? Habe die litening rom. Vielleicht ist sie da nicht dabei?

Sent from my GT-I9100 using Tapatalk
 
rauke

rauke

Experte
tun.ko ist ein kernelmodul für die vpn-verbindung.
 
bswpt

bswpt

Erfahrenes Mitglied
wir sollten hier keine Verwirrung stiften. Bislang war immer eine tun.ko erforderlich, im mit der FB verbinden zu können. Das war beim N1 und LG2X bei mir auch so.
Samsung scheint aber von Haus aus die notwendigen Basisdaten bereits implementiert zu haben. Ich habe mich nach Installation des VPNCWidget mit dem Stockrom, mit Villain und mit Cognition problemlos mit der FB verbinden können, ohne irgend etwas nachzulegen.
 
U

unam

Neues Mitglied
Hmm. Womit kann dann diese verwirrende Fehlermeldung zusammen hängen?

Sent from my GT-I9100 using Tapatalk
 
M

mcframe

Neues Mitglied
Das würde mich auch interessieren. Ich bekomme VPNC trotz root und (vermutlich richtiger) tun.ko nicht zu Laufen.
 
E

Eric100

Neues Mitglied
Habe es am Laufen.
Allerdings hatte ich Probleme mit dem MoDaCo ROM 3.1.
Mit Prime 1.5 und VPNC Widget hat's geklappt.
Tun.ko ist bereits eingebaut und muss nicht verändert werden.
Es musste lediglich eine Datei umbenannt werden. Siehe hier: Cisco VPN not working on Prime 1.5 - xda-developers

Viel Erfolg!
 
M

martin11

Neues Mitglied
nur zur Information:
Ich habe die gleiche Fehlermeldung.
 
G

GeriTrixx

Neues Mitglied
Ausgehend vom c't-Artikel „Das Nicht-ganz-so-Festnetz“ habe ich viele mehr oder weniger vollständige und aktuelle HowTo's gelesen, aber erst nach vielen Stunden des Probierens hat es geklappt. Dabei habe ich viele der Zusammenhänge erst mühselig ausprobieren müssen, was ich anderen hiermit ersparen möchte. Den Durchbruch brachte talicas Beitrag - vielen Dank .


Überblick:
Eigentlich sollte es ganz einfach sein: Das Programm FRITZ!Box Fernzugang erzeugt eine config-Datei, die in den Router über das reguläre Webfrontend unter „fritz.box“ importiert werden muss. Dann muss das VPNC-Widget auf dem Android entsprechend konfiguriert werden. Fertig. Eigentlich...
Die Fritzboxen setzen lt. c't das IPSec etwas ungewöhnlich um, so dass der VPNC-Client nicht out of the box mit dieser Konfiguration funktioniert, so dass man die Config-Datei nach Erzeugung mit einem Texteditor modifizieren muss: dort müssen einige kleine, aber feine Änderungen vorgenommen werden. Die simple Konfiguration des VPNC-Widgets muss diesen Einträgen entsprechen.

Allg. Voraussetzungen:
gerootetes Android-System
VPNC-Widget
neueste Fritzbox-FW
Dynamische DNS-Adresse eines DynDNS-Anbieters

optional:
Programm FRITZ!Box Fernzugang einrichten (VPNADMIN.exe)
FRITZ!AppFon Labor Fon 1.51

Wenn man nur am VPN-Zugang vom Androiden zur Fritzbox interessiert ist, dann kann man sich das Installieren der Fritz-Software sparen, wenn man die u.a. Config-Datei an sein Netz anpasst. Der Web-Import der Config-Datei macht wohl auch eine Syntaxprüfung, so dass hier nicht allzu viel schief gehen kann.


Schritte:

  1. Config-Datei mit Text-Editor erzeugen bzw. kopieren&anpassen
  2. Config-Datei in die Fritzbox importieren
  3. VPNC-Widget konfigurieren (Achtung: die App starten)
  4. VPN über das Widget starten :tongue:

Generische, anzupassende Config-Datei (kommentiert):
Code:
vpncfg {
         connections {
                 enabled = yes;
                 conn_type = conntype_user;
                     
                 name = "[COLOR=Red]DeinselbstGewählterName[/COLOR]";
                   [COLOR=Red]// Dieser Name taucht im Webfrontend auf
                   // muss unter VPNC als „IPSec Group Name“ eingetragen[/COLOR] werden
 

                 always_renew = no;
                 reject_not_encrypted = no;
                 dont_filter_netbios = yes;
                 localip = 0.0.0.0;
                 local_virtualip = 0.0.0.0;
                 remoteip = 0.0.0.0;
                 remote_virtualip = [COLOR=Red]10.20.30.40; // Deine neue IP für den Androiden[/COLOR]
                 remoteid {                      
                 key_id = "[COLOR=Red]DeinselbstGewählterName[/COLOR]";
                 [COLOR=Red]// entspricht dem o.a. mame  [/COLOR]  
                 }
                 mode = phase1_mode_aggressive;
                 phase1ss = "all/all/all";
                 keytype = connkeytype_pre_shared;
 

                 key = "[COLOR=Red]DeinPasswort[/COLOR]“;
               [COLOR=Red]//PW  bzw. PSK für den o.a. Nutzer/name
               // muss unter VPNC als „IPSec Group Password“ eingetragen werden[/COLOR]
 

                 cert_do_server_auth = no;
                 use_nat_t = yes;
                 use_xauth =[COLOR=Red]yes[/COLOR];
                 use_cfgmode = no;
         xauth {
             valid = yes;
             username = "kannAndererNamesein";
             [COLOR=Red]//muss unter XAuthUsername eingetragen werden[/COLOR]
             passwd = "einAnderesPasswort";
             [COLOR=Red]//muss unter XAuthPassword eingetragen werden[/COLOR]
             }
                 phase2localid {
                         ipnet {
                                ipaddr = 0.0.0.0;
                                 mask = 0.0.0.0;  
                         }
                 }
                 phase2remoteid {
                         ipaddr = [COLOR=Red]10.20.30.40[/COLOR]; //Deine neue Rechner-IP im Heimnetz
                 }
                 phase2ss = "esp-all-all/ah-none/comp-all/[COLOR=Red]no-[/COLOR]pfs"; // hier ist das no wichtig
                 accesslist =    "permit ip [COLOR=Red]10.20.30.0[/COLOR] [COLOR=Red]255.255.255.0 10.20.30.40[/COLOR] [COLOR=Red]255.255.255.255[/COLOR]";
    [COLOR=Red] //dein Heimnetz mit der passenden Subnet-Mask (letztes Oktett eben auf 0)
     // und die o.a. Neue IP im Heimnetz[/COLOR]
         }
         ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",  
                             "udp 0.0.0.0:4500 0.0.0.0:4500";
 }
 // EOF
:confused: Mir unterlaufene Fehler/Hürden:

  1. VPNC-Widget auf SD-Karte installiert => kein Widget auf dem Screen (also: dies auf dem Telefon installieren)
  2. VPN-Zugang via Widget klappt gelegentlich NICHT beim ersten mal: ruhig mehrmals versuchen
  3. Meine DynDNS-Adresse wurde ein paar mal nicht aktualisiert: ich bin deshalb zu no-ip.org gewechselt. (Wenn die VPN-Verbindung nicht klappt, den eigenen Host im cmd-Fenster als Test anpingen, ob die Namensauflösung überhaupt funktioniert)
  4. In VPNC-Widget werden sowohl IPSecID/IPSecGroupPassword genutzt als auch XAuthUsername & XauthPassword: IPSEc und XAuth müssen nicht identisch sein, müssen aber beide mit User und Passwort vorhanden sein.
  5. Nach Struktur-Sichtung der CFG-Datei habe ich festgestellt, dass das Format mehrere Konfigurationen in einer Datei zulässt. Man kann also seine modifizierte Config in eine Fritz-erzeugte Datei einfügen und diese dann importieren. Klappt, ist aber gar nicht nötig, weil der Import auch verschiedene Konfigurationen aus unterschiedlichen Dateien akzeptiert.
Von mir eingesetzte Hardware/Software/Parameter:

  • LG GT540 Optimus (Android 2.3.4, Kernel: 2.6.29 mur4ik, CyanogenMod-7.0.3)
  • Fritzbox 7240 (Firmware-Version 73.05.05)
  • Windows 7 x64.
  • No-Ip.org statt DynDns.org
Viel Erfolg.
 
M

martin11

Neues Mitglied
sorry, ich dachte es funktioniert - aber es funktioniert nur über ein fremdes WLAN ... über 3 G nicht
Hier meine Konfiguration:

galaxy s2 mit cf-root

aktuelles vpnc widget ohne jede veränderung,

FritzBox entsprechend der Anleitung für das IPhone konfiguriert, 0.0.0.0 0.0.0.0 vorsichtshalber durch "any" ersetzt.
 
Zuletzt bearbeitet:
bswpt

bswpt

Erfahrenes Mitglied
ich verstehe das alles nicht. Wir haben an beiden Enden die gleiche Hardware, also sollte bei richtiger Konfiguration auch der Tunnel klappen. Ich vermute sehr stark, daß in irgendeinem Detail ein Fehler gemacht wird....
Wenn ich Zeit habe, werde ich mal meine cfg auf Fritz-Seite hier einstellen und die Konstellation auf VPNC-Seite...dann ist zumindest einmal klar, "warum" mein Tunnel sowohl über WLan als auch über 3G funktioniert, und es kann jeder nochmals seine Vorgehensweise checken....
 
M

martin11

Neues Mitglied
Mittlerweile funktioniert es bei mir reibungslos - ohne jede Veränderung, einfach durch Zeitablauf ;-)

Verstehen tue ich es allerdings nicht ...
 
G

GeriTrixx

Neues Mitglied
Also, ich konnte eben meine o.a. Konfigurationaus #27 checken:

meine VPN-Verbindung über ein fremdes WLAN funktioniert, aber die Telefonie klappt nicht: ich kann über die Fritz-App auf die Box zugreifen (Telefonbuch, etc), aber das Telefonie-Label oben rechts bleibt GELB, später dann rot. Kann das dann an der cfg-Datei liegen ?

Hab ich irgendwie die Möglichkeit zu checken, woran das Nicht-Klappen liegt ? Existieren bei der FB Log-Dateien, auf die ich zugreifen kann ?

Gruß, GeriTrixx
 
bswpt

bswpt

Erfahrenes Mitglied
Hier mal mein Versuch einer Anleitung....ganz schön Arbeit....


Nach kurzem Überblick unterscheidet sich meine Anleitung durchaus ein wenig von GeriTrixx's. Zum Beispiel darf die Key_id nicht irgendein Name sein, sondern eine funktionierende eMail-Adresse - das geht so aus AVM-Beschreibung hervor.

Aber, eigentlich alles egal: so wie von mir beschrieben und konfiguriert, komme ich dauerhaft und replizierbar mit jeglicher Funkverbindung jederzeit auf meine Fritzbox und die freigegebenen Netzlaufwerke.
 
G

GeriTrixx

Neues Mitglied
@bspwt: Man sieht, dass es Arbeit war, die Anleitung in #32 zu erstellen: es ist sehr übersichtlich.


Ich kann mir eigentlich nicht vorstellen, dass die Benutzer-ID eine gültige E-Mail-Adresse benötigt und ich kann mir auch nicht vorstellen, dass das letzte Oktett der IP "201" sein muss...

ABER: Deine Config läuft und meine eben nicht, also nähere ich mich schrittweise: ich habe meine oben gepostete Config mit der neuen IP modofziert und die Access-List im vorderen Bereich wie bei der IPhone-Config auf 0.0.0.0 gesetzt.

Zitat aus der Anleitung von bspwt: "Die 201 hingegen sollte fix für die VPN-Verbindung reserviert sein." Also versuche ich es so...

Code:
phase2remoteid { ipaddr = 10.20.30.[COLOR=Red]201[/COLOR]; }

accesslist ="permit ip [COLOR=Blue]0.0.0.0[/COLOR] [COLOR=SeaGreen]0.0.0.0[/COLOR] 10.20.30.[COLOR=Red]201 [/COLOR]255.255.255.255";
Morgen kann ich es in einem Fremd-Wlan testen, dann werde ich berichten...
 
Zuletzt bearbeitet:
bswpt

bswpt

Erfahrenes Mitglied
GeriTrixx schrieb:
Ich kann mir eigentlich nicht vorstellen, dass die Benutzer-ID eine gültige E-Mail-Adresse benötigt und ich kann mir auch nicht vorstellen, dass das letzte Oktett der IP "201" sein muss...
Stimmt schon, ich weiß im Grunde genommen auch nicht, was die eMail-Adresse soll, und statt 201 ist jede andere Zahl denkbar innerhalb der IP-Regeln...aber ich halte mich damit sklavisch an die Beschreibung von AVM. Daß eine eMail-Adresse für die Key-ID genommen werden soll, steht dort aus meiner Sicht deutlich, irgendeinen Grund werden die Jungs hierfür wohl haben..
Erklären kann ich das nicht, dafür fehlen mir die Kenntnisse.

Ich wünsche dir, dass es klappt.
 
G

GeriTrixx

Neues Mitglied


Leider hat es mit meiner letzten cfg-Datei auch nicht geklappt - es lag also nicht (nur) an der 201 im letzten IP-Oktett.

Das Gleiche in grün bzw. gelb:
Contact via VPN zur Fritzbox war problemlos möglich, so dass ich via App auf die Anrufliste, Telefonbuch, etc. zugreifen kann... (die untere Statusanzeige in der App oben rechts wird ja auch grün angezeigt. Der Telefonie-Status bleibt aber gelb, manchmal später dann rot. Was heißt denn Status "gelb" ? Gibt es irgendwo in der FB Log-Dateien, die das festhalten ?

Ich werde mich whl demnächst - wie von bswpt vorgschlagen - "sklavisch" an dessen cfg halten...

Oder muss ich neben dem Import der cfg-Datei an der Fritzbox mehr einstellen (Patchen der vpn.cfg der Fritzbox, Portweiterleitungen, etc.) ???

Gruß, GeriTrixx
 
T

tallica

Neues Mitglied
Hm, freut mich dass es doch dem ein oder anderen hilft...

Kleines Update: Ich kann leider keine Fritzbox Telefonie App testen, da meine Fritzbox einer 3er und keine 7er ist...

@GeriTrixx: Normal ist es nur die .cfg, mit der du die fritzbox speisen musst, keine Portweiterleitungen. Versuchs doch erstmal mit der genauen Befolgung der AVM-Anleitung. Und dann versuch Schritt für Schritt die Anleitung so abzuwandeln, dass es dir passt.

Warum das mit der email sein muss, weiß ich auch nicht.

Außerdem kann ich noch berichten, dass sich durch ein backup mit Titanium Backup und anschließendem einspielen auf folgenden ROMs keine Probleme ergeben haben und das VPN weiterhin wunderbar funktioniert:
Litening 1.2
Villain 2.0
Cognition 1.11
 
G

GeriTrixx

Neues Mitglied
Der Status für "Telefonie" bleibt auch nach Anpassung der cfg auf gelb - was heißt denn das, weiß das jemand ?

Gruß, GeriTrixx
 
Ähnliche Themen - [HOWTO] VPN mit FritzBox Antworten Datum
1
30
0