VPNC Widget taucht in Droidwall nicht auf

[Mei-er]

Hallo,

ich habe jetzt ein paar Tage lang nach einem brauchbaren VPNC-Clienten gesucht und mit VPNC Widget einen gefunden der (zwar nicht komplett aber) halbwegs meinen Wünschen entspricht. Problem: Es taucht in Droidwall nicht auf, ich kann dem App also keinen Zugriff über WLAN oder UMTS gestatten. Droidwall komplett abzuschalten kommt aber nicht in Frage, ich habe keine UMTS-Flat, die FW wurde zum sperren von unnötigen Traffic installiert.

Hier habe ich etwas dazu gefunden.

Droidwall etc arbeiten mit iptables. Es gibt aber Routing Mechanismen in Android, die an den Kernel-Routingtabellen vorbei gehen. Ich hatte mir die Sache mal beim VPNC Widget angesehen, dass Routen über den VPNC Tunnel erzeugen konnte, ohne dass dafür eine Route in der Kernel-Routingtabelle angelegt wurde.

Für mich klingt das allerdings so, als ob VPNC Widget komplett an Droidwall vorbei funktioniert, was ich nicht bestätigen kann. Ist Droidwall aktiv geht kein VPN (egal ob WLAN oder UMTS).

Droidwall wurde seit 2011 nicht mehr gepflegt und dem (inoffiziellen) Nachfolger AFWall+ hab ich bisher nicht installiert da es auch auf iptables aufsetzt, was laut o.g. Link bei VPNC Widget nichts hilft.

Hat jemand Vorschläge? Außer den Hinweis eines anderen VPN-Clienten

mei-er

 

[Sabai]

Hi,

ich benutze den strongSwan Client und der ist bei Droidwall gelistet. Ich weiss, das wolltest du nicht hören. Möglicherweise wird dein Client ja über den Eintrag
'VPN networking' abgedeckt. Schon getestet ?

Gruss

Sabai

 

[Mei-er]

Ich weiss, das wolltest du nicht hören.

Das hab ich in erster Linie geschrieben, wegen der üblichen VPN-Verdächtigen wie VPNcilla. Die hab ich halt alle schon getestet. Deinen Tipp kenne ich aber noch nicht. Mal versuchen.

Möglicherweise wird dein Client ja über den Eintrag
'VPN networking' abgedeckt.

Ja, klappte auch nicht.

edit + offtopic
gerade mal fix strongswan versucht. Die Eingaben erscheinen mir zu wenig. Was ist denn Gateway (die DNS-Adresse der Fritzbox)? Sonst musste ich noch Gruppenname, Pre-Shared-Key, Benutzername und Benutzerpasswort eingeben. Das fehlt hier komplett. Zertifikate musste ich nie angeben bei den anderen Clienten.

 

[Sabai]

Hi,

es würde dich im Prinzip auch niemand daran hindern, die paar iptables Rules selbst zu setzen. Ist nicht besonders komfortabel, aber machbar.

Strongswan ist IMHO zur Zeit die beste IPsec Implementierung im Opensource Bereich. Hat Free- und Openswan abgelöst und damit eine 'lange Tradition'.
Sehr fähige Leute...

OT: Gateway ist die (statische) IP oder der auflösbare FQDN deiner IPsec Gegenstelle. Key, Name und Passwort werden je nach Verbindungstyp verwendet.


Gruss

Sabai

 

[Mei-er]

Ist nicht besonders komfortabel, aber machbar.

Frage nur ob es etwas bringt, wenn der User des verlinkten Beitrages recht hat und VPNC Widget an iptables vorbei arbeitet.

Gateway ist die (statische) IP oder der auflösbare FQDN deiner IPsec Gegenstelle. Key, Name und Passwort werden je nach Verbindungstyp verwendet.

Kann dir gerade nicht folgen. Eine statische IP hab ich keine aber eine Adresse die ich für MyFritz bekommen habe (wie bei jedem anderen DynDNS-Anbieter).

Beim Verbindungstyp gibt es nur IKEv2 Zertifikal, da muss ich nichts eintragen nur ein Zertifikal - was ich nicht habe. Wenn ich IKEv2 EAP (B/PW) auswähle muss ich einen Benutzer und ein PW eingeben - und den Gruppennamen und Pre-Shared-Key?

 

[Sabai]

Hi,

nun, ich kann nichts über das VPNC Widget sagen. Was ipsec betrifft reden wir hier von portbasierenden Filternregeln und das geht mitnichten an iptables vorbei. Ich kann auch zur FritzBox Konfig nichts sagen, da ich mich direkt mit Linuxbasierenden VPN Gateways verbinde via ipsec-passthrough.

Ansonsten:
Wenn der nslookup der Fritzboxaddresse funktioniert ist das ausreichend.

'The free strongSwan App can be downloaded from Google Play. The VPN client currently supports IKEv2 only with EAP-MD5 or EAP-MSCHAPv2 password-based user authentication and certificate-based VPN gateway authentication.'

http://wiki.strongswan.org/projects/strongswan/wiki/SimpleCA

Wenn ich IKEv2 EAP (B/PW) auswähle muss ich einen Benutzer und ein PW eingeben - und den Gruppennamen und Pre-Shared-Key?

Kannst du denn nicht den 'hauseigenen' VPN Client nutzen, wenn du PSK nutzen möchtest, musst, willst ? Der unterstützt das doch.

Gruss

Sabai

 

[Mei-er]

Der technische Hintergrund zu VPN ist mir so detailiert nicht klar, daher kann ich dir nicht recht folgen.

Evtl. hat noch jemand eine Idee wieso VNPC Widget nicht auftaucht. Sonst versuche ich mal eine andere Firewall.

 

[4ndr0]

Also erstmal solltest du kein Droidwall mehr verwenden. Das wurde von Avast aufgekauft und wird daher nicht mehr weiterentwickelt. Der Quasi-Nachfolger ist AFWall+.

Avast verwende ich übrigens und da taucht VPNC Widget auch in der Liste auf. Ich blocke allerdings nach Bedarf (Blacklist).

Hast du mal versucht, Root Execution, Linux Shell und Linux Kernel freizugeben?

 

[Mei-er]

Also erstmal solltest du kein Droidwall mehr verwenden. Das wurde von Avast aufgekauft und wird daher nicht mehr weiterentwickelt

Weiß ich. Ich hatte dazu im 1. Beitrag etwas gepostet. Die Frage war halt ob das Problem bei der anderen FW auch auftaucht.

Das gleiche Problem hab ich bei CIFS Manager. Gibts auch nicht. Wenn du mir aber sagst, dass es bei AFWall+ auftaucht, werd ich das wohl mal testen.

Hast du mal versucht, Root Execution, Linux Shell und Linux Kernel freizugeben?

Was bewirkt das? Ich hab solche großen Systempakete nicht freigegeben, da ich nie weiß was sie alles genau machen.

 

[Sabai]

Hi,

1. Wie kommst du darauf zu behaupten:

- DroidWall wäre von 'Avast' aufgekauft worden, wenn AF+ auf dem Sourcecode von der 1.57 aufbaut ?

- Man sollte die App nicht mehr verwenden ?

Ich finde das sollte jeder für sich entscheiden. Man darf nicht vergessen, dass es sich hier lediglich um ein Frontend für iptables handelt.
Und solange im Entwicklerthread fast ausschliesslich kosmetische Aspekte diskutiert werden, sehe ich (für mich) erstmal keinen Grund zu wechseln.

Der Author schreibt übrigens:' I'm planning to rewrite the entire code to make it faster and stable. But for now, it will be continue as it is.'

Was davon zu halten ist, muß jeder selbst entscheiden.

Gruss

Sabai

 

[Mei-er]

Hab jetzt AFWall+ installiert, geht aber auch da icht. VPNC Widget taucht nicht auf. CIFS Manager im übrigen auch nicht - also die beiden App die vorher auch Ärger machten. Auch wenn ich alles freigebe was "VPN" im Namen hat geht kein VPNC.

Der ursprüngliche Beitrag von 12:14 Uhr wurde um 12:44 Uhr ergänzt:

@ Sabai

Ich habe mir hier IPsec VPN mit strongSwan und FRITZ!Box Fon WLAN 7270 v3 | layer9. eine Anleitung für stronswan gesucht. Die Änderung an der Datei vor dem Import in der Fritzbox schön und gut. Aber ich kann im App nirgendwo de Werte eintragen. Wie gesagt: in allen anderen VPN-Apps wird abgefragt:

• Serveradresse (statische IP oder DynDNS-Adresse)
• Gruppenname
• Pre-Shared-Key (auch Group Password)
• Benutzername
• Benutzerpasswort

Bei stronswan gibt es

• Gateway -> Serveradresse
• Typ-> hier IKEv2 EAP eingestellt
• Benutzername = Gruppenname oder Benutzername?
• Passwort = Pre-Shared-Key oder Benutzerpasswort

Es fehlen hier 2 Angaben. Den Punkt mit der "Die Tunneldefinition in der ipsec.conf" versteh ich nicht. Soll hier eine *.conf erstellt werden die dann im Ap importiert wird?

 

[4ndr0]

Hi,

1. Wie kommst du darauf zu behaupten:

- DroidWall wäre von 'Avast' aufgekauft worden, wenn AF+ auf dem Sourcecode von der 1.57 aufbaut ?i

Schon seit einer längeren Zeit gibt es die Open-Source-App Droidwall, die eine eben solche Firewall-Funktion umsetzt. Allerdings wird diese nicht mehr weiterentwickelt, seitdem der Entwickler den Code an Avast verkauft hat, die auf Basis von Droidwall ihre avast! Mobile Security Suite um eben diese Firewall-Funktion ergänzt haben. Der Code von Droidwall wurde leider seit Dezember 2011 nicht mehr angefasst, daher hat die App auch Probleme mit aktuellen Android-Versionen.

Weiterentwicklung von Droidwall AFWall+ jetzt im Play Store verfügbar | Linux und Ich

- Man sollte die App nicht mehr verwenden ?

Ich finde das sollte jeder für sich entscheiden.

Klar, jeder kann selbst entscheiden, ob er veraltete Software einsetzen will. Ich habe auch nix dagegen, wenn du mit Windows 95 ins Internet gehst. Trotzdem sollte man mal darauf hinweisen

 

[Sabai]

Hi,

naja, sagen wir es mal so:

Der Code der 1.5.7 steht immernoch unter der GPL v3

Auf Basis dieses Codes haben sich bereits mehrere Forks gebildet. Das würde ich als Weiterentwickung bezeichnen.

Welche 'Rechte' da der Bloatware Hersteller AVAST gekauft haben will weiss ich nicht und es ist mir auch Wurscht. Wer sowas einsetzt ist IMHO selber schuld, wenn die es schon nötig haben für ein läppisches iptables FE Open-Source Code zu 'kaufen'. Was ein Armutszeugnis.

Der von dir empfohlene Fork ist leider das negativ Bespiel einer erfolgreichen Weiterentwickung. Bei iptables selbst sieht das zum Glück anders aus.
Ich hab zu Zeiten, als Windows95 deinen PC erobert hat, schon Linux von Floppies installiert. Von daher ist meine Sichweise da ganz anders geprägt.


Gruss

Sabai

 

[4ndr0]

Der von dir empfohlene Fork ist leider das negativ Bespiel einer erfolgreichen Weiterentwickung.

Kannst du das auch begründen oder hast du dir das einfach mal so ausgedacht?

 

[Sabai]

Hi,

Ich habe mir hier IPsec VPN mit strongSwan und FRITZ!Box Fon WLAN 7270 v3 | layer9. eine Anleitung für stronswan gesucht.

Wie ich schon sagte, mangels FritzBox ist das bei mir etwas schwierig, aber ich schau mir die Anleitung morgen mal an.

Kannst du das auch begründen oder hast du dir das einfach mal so ausgedacht?

Das hab ich bereits weiter vorne in diesem Thread begründet, aber spätestens sollte dir das bei der überaus erbaulichen Lektüre des betreffenden xda Threads klar werden.


Gruss

Sabai

 

[4ndr0]

Weil im Dev-Thread über die GUI diskutiert wird, ist das für dich ein "negativ Bespiel einer erfolgreichen Weiterentwickung"? Das meinst du doch jetzt hoffentlich nicht ernst

 

[Sabai]

Nein, wenn aber auf ca. 80 Seiten fast nur hirnloser Müll von irgendwelchen Noobs zu dem Thema steht (sorry ist leider so) und der 'Author' nach der 30ten Anfrage die Farben der Icons zu ändern meint 'ich schreibe den Code jetzt komplett neu', dann gibt mir das allerdings zu denken. Irgendwie passt das aber auch zu xda, da fast alle Threads zu 85% aus Icons bestehen.

Just my 2 cents

 

[4ndr0]

Aaaahja. Nun gut, ich nehme an, du hast Droidwall bereits selbst geforkt und das da alles viel besser gemacht? Wo kann ich das runterladen?

 

[Sabai]

Hi,

Zum Glück hast du deinen Humor nicht verloren
Ich habe schon vor über 10 Jahren recht wasserdichte Firewalls mit ipchains aufgesetzt und bin auch heute noch durchaus in der Lage iptables vernünftig einzusetzen. Ein FE brauchte ich dazu allerdings nie. Das ist auch unter Android nicht zwingend notwendig und im Augenblick ist (für mich) der Funktionsumfang von Droidwall völlig ausreichend (S2 mit JB). Wenn ich mich anders entscheiden sollte, wärst du als Betatester immer willkommen

Edit: Ging es hier nicht eigentlich um VPN bzw. strongSwan und Fritzbox ?
Wir driften ab.

Gruss

Sabai

 

[4ndr0]

Da hättest du ganz schön viel zu tun, wenn du die ganzen --uid-owner Regeln manuell confen wolltest

Eine vernünftige GUI ist da schon hilfreich. Und da Droidwall nunmal nicht mehr weiterentwickelt wird, werden auch Bugs nicht mehr gefixt.

Issue 260 - droidwall - Dangerous file permissions on droidwall.sh - DroidWall - Android Firewall - Google Project Hosting
Issue 223 - droidwall - Application silently applies rules for 3G network to a wired USB connection - DroidWall - Android Firewall - Google Project Hosting

Das wurde z.B in AFWall+ gefixt.

Ich verstehe nicht, warum du unbedingt veraltete Software bevorzugst, obwohl an anderer Stelle weiterentwickelt wird. Nur weil ein paar Noobs im XDA Thread über Icons diskutieren? Deshalb ist der Fork für dich ein "negativ Bespiel"? RLY?