IPSec VPN zur Fritz!Box?

rauke

rauke

Dauergast
404
Hallo Leute,

Hat es jemand von euch geschafft mittels der neuen vpn Einstellungen eine Verbindung zur fritz.box herzustellen? Mit dem Ipsec xauth psk wird genau das von der fritz.box geforderte Protokoll unterstützt. Beim iphone klappt die Verbindung sofort - beim Galaxy Nexus kommt irgendwann ein timeout.

Wie sieht das bei euch aus?

Gesendet von meinem Galaxy Nexus
 
Interessiert mich auch brennend das Thema!
 
Servus!

Funktioniert bei mir nach der Anleitung von AVM perfekt!

Habe zuerst auch einen Timeout bekommen, aber man muss wohl die IP Adressen im "Fernzugang einrichten" Programm angeben, wie im Tutorial beschrieben.

Gruß
 
Welche IP-Adressen meinst du?
Sieht deine Config so aus:

Code: 
vpncfg {
   connections {
      enabled = yes;
      conn_type = conntype_user;
      name = "benutzer1@firma.de";
      always_renew = no;
      reject_not_encrypted = no;
      dont_filter_netbios = yes;
      localip = 0.0.0.0;
      local_virtualip = 0.0.0.0;
      remoteip = 0.0.0.0;
      remote_virtualip = 192.168.100.201;
      remoteid {
         key_id = "benutzer1@firma.de";
      }
      mode = phase1_mode_aggressive;
      phase1ss = "all/all/all";
      keytype = connkeytype_pre_shared;
      key = "VPN-Kennwort";
      cert_do_server_auth = no;
      use_nat_t = yes;
      use_xauth = yes;
      use_cfgmode = no;
      xauth {
         valid = yes;
         username = "Benutzername";
         passwd = "Kennwort";
      }
      phase2localid {
         ipnet {
            ipaddr = 0.0.0.0;
            mask = 0.0.0.0;
         }
      }
      phase2remoteid {
         ipaddr = 192.168.100.201;
      }
      phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
      accesslist = "permit ip 0.0.0.0 0.0.0.0 192.168.100.201 255.255.255.255";
   }
   ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
(Quelle: http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/images/FRITZBOX_iPhone.pdf)
 
Zuletzt bearbeitet:
Servus,

richtig, sieht so aus. Ich muss allerdings hinzufügen: jetzt bekomme ich auch wieder einen Timeout. Die Verbindung zur Fritz!Box hat nur ein Mal geklappt, und dann konnte ich aber trotzdem keine Internetverbindung über das GN herstellen.

Sehr seltsam..
 
Hallo,

ich hatte vor ICS die VPNC Lösung am Start, die klappte einigermaßen zuverlässig - von gelegentliche Verbindungsabbrüchen mal abgesehen.

Mit ICS sollte es eigentlich auch klappen, aber da scheint in der Fritz!Box noch was zufehlen oder ungünstig gelöst zu sein.
Die IPsec Phase1&2 werden bei mir idR. erfolgreich ausgehandelt, aber die F!B setzt meiner Meinung nach eine falsche oder keine Route ins LAN.
Somit kann ich keine Geräte im LAN erreichen obwohl die IPsec Verbindung steht. Manuelles eingeben der Route unter Erweitern im Handy hat leider nicht geholfen

Code: 
I/ActivityManager(  149): Displayed com.android.settings/.Settings$VpnSettingsActivity: +981ms
I/ActivityManager(  149): Displayed com.android.settings/.Settings$VpnSettingsActivity: +522ms
I/ActivityManager(  149): Displayed com.android.settings/.Settings$VpnSettingsActivity: +361ms
I/Vpn     (  149): Switched from [Legacy VPN] to [Legacy VPN]
V/LegacyVpnRunner(  149): Waiting
V/LegacyVpnRunner(  149): Executing
D/racoon  ( 6388): Waiting for control socket
D/racoon  ( 6388): Received 9 arguments
I/racoon  ( 6388): ipsec-tools 0.8.0 (http://ipsec-tools.sf.net)
I/racoon  ( 6388): 192.168.xxx.xxx[500] used for NAT-T
I/racoon  ( 6388): 192.168.xxx.xxx[500] used as isakmp port (fd=10)
I/racoon  ( 6388): 192.168.xxx.xxx[4500] used for NAT-T
I/racoon  ( 6388): 192.168.xxx.xxx[4500] used as isakmp port (fd=11)
I/racoon  ( 6388): initiate new phase 1 negotiation: 192.168.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
I/racoon  ( 6388): begin Aggressive mode.
E/racoon  ( 6388): notification RESPONDER-LIFETIME received in aggressive exchange.
E/racoon  ( 6388): notification payload: 800b0001800c0e10 .
I/racoon  ( 6388): received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
I/racoon  ( 6388): received Vendor ID: DPD
I/racoon  ( 6388): couldn't find the proper pskey, try to get one by the peer's address.
I/racoon  ( 6388): ISAKMP-SA established 192.168.xxx.xxx[500]-xxx.xxx.xxx.xxx[500] spi:f417a8b205b8023b:af5ae9dc09e59e75
D/VpnJni  (  149): Route added on tun0: 0.0.0.0/0
I/LegacyVpnRunner(  149): Connected!
I/racoon  ( 6388): initiate new phase 2 negotiation: 192.168.xxx.xxx[500]<=>xxx.xxx.xxx.xxx[500]
I/racoon  ( 6388): received RESPONDER-LIFETIME: 3600 seconds
W/racoon  ( 6388): attribute has been modified.
I/racoon  ( 6388): IPsec-SA established: ESP/Tunnel 192.168.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=121407041(0x73c8641)
I/racoon  ( 6388): IPsec-SA established: ESP/Tunnel 192.168.xxx.xxx[500]->xxx.xxx.xxx.xxx[500] spi=588253733(0x23100a25)
I/ActivityManager(  149): Displayed com.android.vpndialogs/.ManageDialog: +549ms
I/Vpn     (  149): Switched from [Legacy VPN] to [Legacy VPN]
E/racoon  ( 6388): Connection is closed
I/racoon  ( 6388): Bye
Ich hab auch noch Zugriff auf zwei Cisco ASA5510 (v7 und v8) hier klappt der IPsec Zugang vom Handy recht zuverlässig und auch schneller als bei der F!B. Auch die Routen werden meiner Meinung nach korrekt gesetzt, jedenfalls nicht auf "0.0.0.0/0". Geräte im LAN sind bei den Cisco's natürlich auch erreichbar ;).

Fritz!Box 7390: BETA 84.05.07-21320
Nexus S: Android 4.0.3
 
Hallo,

bei mir kommen auch nur timeouts und ich habe daher einige Fragen:

1. welche IP-SEC-ID gebt Ihr an? den aus remote_id?
2. Welchen Typ wählt Ihr? IPSec XAuth PSK?
3. Wie kommt man an das Log

Gruß
 
zu 1) Ja, bei mir remoteid -> key_id = IPsecID (hab da jedoch KEIN Mail Addi drin)
zu 2) Ja, IPsec Xauth mit PSK
zu 3) Is das normale Android log, z.B. aLogcat oder per "adb logcat"

Hab aber jetzt gesehen das das VPNC unter Android 4.0 auch ohne zugebasteltes tun.ko Kernelmodul läuft. Ist vermutlich jetzt im Kernel integriert.

Werd das morgen mal testen, wenn das klappt reicht mir des erstmal. Is zwar nich so schön aber so hab ich zumindest alle 3 für mich interessanten VPN Endpunkte im Zugriff. Was auch schonmal besser ist weil das VPNC kann ja nur auf einen konfiguriert werden. Und die beiden Ciscos laufen ja nativ unter Android 4.

Kommt Zeit kommt Patch, würd ich mal sagen :D. Dann klappts bestimmt auch mit der F!B.
 
Zuletzt bearbeitet:
Danke für Deine Info, dann weiß ich ja das es so nicht funktioniert. Schade
 
So, hab es eben kurz mit VPNC zur Fritz!Box probiert ... klappt.

Also irgendwie scheints da zwischen dem Android IPsec und der Fritz!Box kleine Verständigungsschwierigkeiten zu geben.

Da (zu mindest bei mir) Phase 1 & Phase 2 durchrauschen tippe ich mal sollte das kein allzugroßes Problem sein das zu fixen.
Könnte man ja mal evtl. bei AVM durchklingeln ob sie sich das ansehen möchten :).
 
Hallo,

leider läuft es bei damit nicht. Die HW schaut so aus oder?

-VPNC Widget von Matthias Meier
-gerootetes Android 4.0, kein MOD.
- Firtzbox

Mal gucken ob ich meine Fehler finde
 
Also an der Fritz ist der Client verbunden, aber im LOG finde ich eine Fehler: ip: can't find device 'tun0'

Da fehlt wohl doch die tun.ko. Ich habe ein Nexus S mit der org. 4.0.3
 
Hmm,

eine "tun.ko" liegt bei mir definitiv NICHT unter /system/modules/.

Was sag denn das VPNC wenn du es direkt startest und auf "Check Prerequisites" clickst ?

Bei mit kommt: "checked successfully ... should work".

Mein Nexus S ist 4.0.3 per manuellem Update von der VQ...irgendwas.zip. Sowie gerooted (Handarbeit). Rest Auslieferungszustand.
 
hm, wir haben die gleiche Hard-/Software. "checked successfully ... should work" kommt auch. Sehr sehr komisch. Die Fritz zeigt mir auch online des Nexus an, nur http per ip auf die fritz klappt nicht. Im Log des VPNC Widget ist mir nur halt die Meldung mit dem tun aufgefallen.

Ich prüfe morgen nochmal die Config.
 
Hier mal meine CFG aus der F!B, wobei die ziehmlich gleich ist mit der die schon gepostet wurde.
Aber evtl. hilfts ja da nochmal durchzugehen.

Code: 
/*
 * Nexus S mit VPNC oder ICS als Client
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "Nexus S";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.1.2;
                remoteid {
                        key_id = "IPsecVPN";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "mega-streng-geheim-nr1";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
                xauth {
                       valid = yes;
                       username = "luser";
                       passwd = "noch-viel-geheimer-nr2";
                }
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.1.2;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = "permit ip 0.0.0.0 0.0.0.0 192.168.1.2 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
Code: 
Nexus S (ICS) - erster Dialog
=============================

Name...............................: wurscht
Typ................................: IPsec Xauth PSK
Serveradresse......................: myhost.dyndns.org
IPsec-ID...........................: IPsecVPN
Vorinstallierter IPsec-Schlüssel...: mega-streng-geheim-nr1

Nexus S (ICS) - zweiter Dialog
==============================

Nutzername.........................: luser
Passwort...........................: noch-viel-geheimer-nr2
Code: 
VPNC
====

IPsecGateway....: myhost.dyndns.org
IPsecId.........: IPsecVPN
IPsecSecret.....: mega-streng-geheim-nr1
XAuthUsername...: luser
XAuthPassword...: noch-viel-geheimer-nr2
Man beachte die beiden UNTERSCHIEDLICHEN Passwörter !
 
  • Danke
Reaktionen: TheCritter und 4boka
Danke für Deine Mühe. Ist ja ein rochtiges HowTo geworden. Und das mitten in der Nacht ;-)


EDIT

Sorry mein Fehler. Jetzt klappt alles genau so wie Du es beschrieben hast. Super.
 
Zuletzt bearbeitet:
Ich habe folgendes festgestellt :confused2::
(Android 4.0.3, FB 7390 84.05.05)

VPNC: Nur der erste Benutzer in der Fritzbox-VPNconfig funktioniert bei der Authentifizierung der Phase2. (Ansonsten Fehler: "Auth Err") Mit dem ersten Benutzer klappt alles nach Anleitung wunderbar.

ICS_IPSEC: Nur der erste Benutzer in der Fritzbox-VPNconfig funktioniert bei der Authentifizierung der Phase2. (Ansonsten Fehler: "TIMEOUT") Mit dem ersten Benutzer klappt nach Anleitung nur die Verbindung. Scheinbar macht Android allerdings Fehler in der Routingtabelle, da absolut keine Daten übertragen werden.

Ist das bei Euch auch so?
 
CryptMan schrieb:
So, hab es eben kurz mit VPNC zur Fritz!Box probiert ... klappt.

Also irgendwie scheints da zwischen dem Android IPsec und der Fritz!Box kleine Verständigungsschwierigkeiten zu geben.

Da (zu mindest bei mir) Phase 1 & Phase 2 durchrauschen tippe ich mal sollte das kein allzugroßes Problem sein das zu fixen.
Könnte man ja mal evtl. bei AVM durchklingeln ob sie sich das ansehen möchten :).
Zum Vergrößern anklicken....
Hallo,
bei mir klappt der stock vpn mit 1und1 also vodafone -> öffentliche IP
mit eplus und o2 gehts nicht -> private ip nat-t ist notwendig
mit eplus und o2 klappt zwar der Tunnelaufbau, es werden jedoch keine Daten ausgetauscht.

Wie du schon gesagt hast muss das an der Fritzbox liegen, da das ganze mit dem Cisco-Gedöns funktioniert. Komisch ist nur, dass es mit VPNC-Widget klappt.

Gruß
 
Hallo,

ich habe ähnliche Probleme mit o2. Der Tunnelaufbau klappt. Jetzt kommt jedoch der Hammer:

- Datenaustausch mit internen Servern hinter der Fritzbox (z.B. NAS) über SMB funktioniert ohne Probleme
- Datenaustausch über HTTP (also z.B. Ansurfen der Konfigurationsoberfläche der FritzBox) sowie Surfen allgemein funktionieren nicht

An was könnte das liegen?
 
Hab ich das richtig verstanden und man braucht unter ICS kein root / extra tun.ko Kernel Modul und keine extra App wie VPNC Widget um VPN zur Fritz! Box in der Theorie funktionieren zu lassen?

Gesendet von meinem GT-I9100 mit Tapatalk
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

pueh
Zwei Fritzboxen verbinden, IPSec oder WireGuard?
  • pueh
Antworten
13
Aufrufe
1.486
mblaster4711
mblaster4711
JohnyV
Günstige und zuverlässige VPN Anbieter?
  • JohnyV
Antworten
5
Aufrufe
145
flying fox
F
Jumper04
Wie VPN Server über mobilen Router einrichten?
  • Jumper04
Antworten
5
Aufrufe
116
mblaster4711
mblaster4711
Zurück
Oben Unten