FritzBox 7390 VPN mit FritzBox Fernzugang

[riff-raff]

Ich habe bei der FritzBox 7390 mehrere User angelegt und jeweils einen VPN-Zugang eingerichtet. Alle Zugänge erfolgen über Android bzw. Linux-Clients was soweit hervorragend funktioniert.

Nun habe ich einen Windows-Client (Windows 8.1), welcher mit einer möglichst einfachen, übersichtlichen VPN-Software einwählen können soll.

Mit dem ShrewSoft-Client habe ich rumgespielt, funktionierte aber nicht. Die Fehlersuche habe ich auch aufgegeben, da ich die Software für die Person, welche sie nutzen soll, zu unübersichtlich ist.

Ich habe nun via "Fernzugang Einrichten" eine "vpnuser_xxx.cfg" erzeugt mit den gegebenen Vorgaben des Benutzers der FritzBox. Anschließend im AVM Fernzugang importiert was jedoch keinen Erfolg brachte.

Parameter: user/email, key, user, passwort ...

Wie und wo müsste ich die CFG anpassen, sodass nur Anfragen in das Hostnetzwerk getunnelt werden und überhaupt mal eine Verbindung zustande kommt?

/*
 * C:\Users\XXX\AppData\Roaming\AVM\FRITZ!Fernzugang\DOMAIN\XXX\vpnuser_XXX.cfg
 * Fri Oct 30 12:30:45 2015
 */

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "DOMAIN";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.5.101;
                remoteip = 0.0.0.0;
                remotehostname = "DOMAIN";
                localid {
                        user_fqdn = "XXX";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "xxxxxxxxxxxxxxxxxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.5.101;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.5.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.5.0 255.255.255.0";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

 

[mineRaptor]

Fritz Fernzugang ist manchmal etwas zickig wenn andere von Software auf dem PC läuft oder mal installiert war. Ich hab da schlechte Erfahrung gemacht. Du kannst mal schauen ob von dem anderen Programm noch Spuren da sind, in den Adapter Einstellungen des Netzwerkadapters, Treiber oder Dienste.

Wie ist der client mit den Internet verbunden? Weil Fritz Fernzugang kommt mit manchen UMTS Treibern nicht klar, also wenn du über UMTS arbeiten willst kann das auch ein Problem sein.

 

[riff-raff]

Ist ein Laptop, welcher ausschließlich aus einem WLAN hinter einer FB 7170 bzw. einer FB 6490 heim funkt.

ich fand in der CFG keine Möglichkeit den User und das Passwort anzulegen, ausschließlich Email und den Key.

Im Gerätemanager sind bis auf die AVM-Tunnelgeräte keine weiteren gelistet; der Shrew-Client ist deinstalliert.

 

[raekaos]

Du musst auf dem Client Fritz!Fernzugang(64bit) installieren und FRITZ!Box-Fernzugang einrichten einmal durchführen, hab es nicht mehr genau im Kopf, aber wenn du dich an die Schritt-für-Schritt-Anleitung: Fernzugang für einen Benutzer einrichten hältst, funktioniert es super.
Hab letztens auch wieder geflucht, weil unter Linux/iOS/Android funktioniert es problemlos, nur unter Windows kann man sich nicht mit VPN-Boardmitteln zu einer Fritz!Box verbinden.

Edit: Ist auf der Seite von AVM irgendwie total blöd gemacht, die wichtigste Möglichkeit für Windows geht irgendwie auf der Seite von denen unter und man überlist sie schnell.

 

[riff-raff]

AVM Fernzugang 64 bit habe ich installiert, via Fernzugang einrichten eine Konfiguration erzeugt (also eine für die Box, eine für den Client). Dann in der CFG-Datei den Namen, sowie den Key durch den des bereits in der Box angelegten users ersetzt. Geht leider nicht. Die Umsetzung ist als Code im Initalpost angehängt.

 

[raekaos]

Sieht bei mir fast genauso aus, wie bei dir.
Win 8.1 -> Fritz!Box 4390

targets {
        policies {
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.5.0; #Hier habe ich die interne IP des Routers der Gegenstelle stehen#
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.5.0 255.255.255.0";
                wakeupremote = no;
        }

 

[Sc0rc3d]

@ riff: Was genau funktioniert den nicht?

Dann in der CFG-Datei den Namen, sowie den Key durch den des bereits in der Box angelegten users ersetzt.

Das führt zu Problemen! Vor allem bei der verwendeten IP-Adresse.

Deine CFG-DAtei sieht darüber hinaus leider hier und da falsch aus. Es fehlt z.b:

accesslist = "permit ip any 192.168.5.0 255.255.255.0",
"reject udp any any eq 53",
"reject udp any any eq 500",
"reject udp any any eq 4500",
"permit ip any any";
wakeupremote = no;

 

[riff-raff]

Die Fehlermeldung lautet:

Verbinden zu DOMAIN schlug fehl. Die Gegenstelle hat die Aushandlung durch Löschen der IKE-Phase 1 abgebrochen

Füge ich die

"reject udp any any eq 53",
"reject udp any any eq 500",
"reject udp any any eq 4500",
"permit ip any any";

in der Config an entsprechender Stelle ein so lässt sie sich bei Fritz Fernzugang nicht mehr importieren.

Ebenso scheint der installierte VPN-Client "Fritz Fernzugang" Probleme mit dem WLAN empfang zu verursachen. Sehr oft ist wird keine IP vom Host bezogen.

Mit dem ShrewSoft-Client (Anleitung von AVM bevolgt) funktioniert es ebenso wenig. Der Tunnel wird aufgebaut, es scheitert aber an der Authentifizierung. Zugriffe auf das entfernte Netz sind nicht möglich.

NERVIGES Thema ... gibt es denn keinen einfachen, übersichtlichen VPN-Clienten, welcher mit der FB funktioniert?!

 

[raekaos]

Leider nein vernünftige VPN Clients sind rar. Finde den Draytek VPN Client recht gut, aber einfach zu bedienen ist der auch nicht und mit Fritz!Box VPN mag er auch nicht.
Wie gesagt, bei mir hat es erst funktioniert als ich mich Schritt für Schritt an die verlinkte Anleitung gehalten habe.

 

[mineRaptor]

Zum Testen könntest du mal versuchen eine direkte Verbindung zwischen 2 der Fritzboxen zu erstellen, ist bestimmt nicht optimal als Lösung auf dauer, aber vielleicht hilft es dir mit der Software besser um zu gehen. Du solltest in der Einrichten Software auch Verbindung zwischen Fritboxen auswählen können.

Wie bereits erwähnt ist Fritzfernzugang etwas anfällig für Probleme.

 

[error]

Moin,

wenn du den User direkt auf der Fritzbox-Oberfläche anlegst, bekommst du Einwahldaten.
Die Erstellung über das Fritzbox-Tool ist veraltet und hat mehr Probleme auf Windows 8, genau wie der Fernzugriff-Client....

Ich hänge dir mal meine Shrew-Konfiguration an. Diese ist so eingerichtet, dass alle Daten über VPN getunnelt werden.

n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-dns-used:1
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:client-wins-used:1
n:client-wins-auto:1
n:phase1-dhgroup:2
n:phase1-life-secs:1800
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:1
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
n:phase1-keylen:0
n:phase2-keylen:256
s:network-host:#####DNS der Fritte############
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:force-rfc
s:network-frag-mode:disable
s:auth-method:mutual-psk-xauth
s:ident-client-type:keyid
s:ident-server-type:address
s:ident-client-data:#######Fritzbox-User#######
b:auth-mutual-psk:#####generierter Fritzbox-Key###########
s:phase1-exchange:aggressive
s:phase1-cipher:auto
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:0
s:policy-level:require

Das kannst du einfach in eine Textdatei kopieren und anpassen. Anschließend als .vpn umbenennen und in Shrew importieren.
Beim Einwählen wird nach User und Passwort gefragt.

Ich kann damit auch auf Win 10 ein VPN ohne Probleme herstellen.
Viel Spass damit

mfg

EDIT:
Sobald das VPN-Profil steht ist die Handhabung recht einfach. Es muss nur Connect gedrückt und dann Benutzer und Passwort eingegeben werden. Danach steht die Verbindung.

 

[riff-raff]

TOP! Rennt!

Wie passe ich an, dass nur der Client-Netzwerktraffic getunnelt wird?

Unter "Policy" "Obtain Auto" aus, oder?

Tausend Dank ersteinmal!

 

[error]

Fast,

im Reiter "Policy" musst du folgendes ändern:

Policy Generation Level: Shared
Haken bei "Obtain Topology Automatically or Tunnel All" raus
Darunter dann die IP-Ranges eintragen, die über das VPN geroutet werden sollen.

Zugriffe über DNS-Namen haben bei mir nicht direkt funktioniert. Nur Zugriffe über die IP direkt.
Falls du also Laufwerke oder ähnliches via DNS-Namen routen willst, lege entsprechende Einträge in der "hosts"-Datei im Windows an.
Damit funktioniert zumindest bei mir das Aufrufen über den DNS-Namen.

Viel Spass damit.

gruß

EDIT:
Ich habe selber einige Zeit in die Konfiguration investiert, da AVM nicht unbedingt die beste Doku in diesem Gebiet hat.

 

[riff-raff]

Routing via IP reicht mir, ob ich Samba nun via IP oder DNS erreiche ist Wurst.

Die config wird ja zukünftig via Suchmaschine zu finden sein. Somit hast du nicht nur mir sondern auch kommenden Suchenden einen großen Gefallen getan!

Danke!

 

[Tiffman]

Hallo zusammen,

ich grabe diesen Thread nochmal aus. Auch ich hatte Schwierigkeiten mit dem Fritz!Fernzugang, habe dann aber mit Shrew einen funktionierenden VPN-Tunnel erstellen können (und zwar mit der shrew-config von error).

Wenn ich per VPN verbunden bin, kann ich andere Computer anpingen und in Windows auch auf deren freigegebene Ordner zurgreifen. Aber dies alles nur per IP-Adresse! Benutze ich den Netzwerknamen des jeweiligen Computers, kann ich diesen nicht finden. Bsp.:
ping 192.168.178.22 funktioniert
ping tiffman funktioniert nicht

Nun dachte ich, dass da etwas mit der Name Resolution nicht funktioniert und habe deshalb verschiedene Einstellungen durchprobiert (DNS DISABLE/Automatically/manuell auf 192.168.178.1, DNS Suffix Automatically/multi.box, und einiges mehr). Nichts hat geholfen.

Weiß jemand, woran das liegen kann?

Warum ich überhaupt frage: Ich möchte mit einer weit entfernt wohnenden Freundin ein LAN-Spiel über VPN spielen. Im Spiel finden wir uns jedoch nicht, obwohl der VPN-Tunnel steht. Ich denke, das könnte an oben beschriebenem Phänomen liegen. Was meint ihr?

Danke im Voraus!
Viele Grüße
Tiffman

PS: Ich benutze ine Fritz!Box 7360. Aber daran sollte es wohl nicht liegen. Der VPN an sich funktioniert ja.

Nachtrag: Das Problem tritt sowohl unter Windows 10 als auch Vista auf. Heute habe ich übrigens einmal versucht, die IPs und Namen in die hosts Datei einzutragen. Dann kann man sich im Spiel sehen! Das wäre also die Lösung für mein Problem. Allerdings ist sie wenig elegant und darüber hinaus würde ich gerne verstehen, warum die Namensauflösung in meinem VPN grundsätzlich nicht funktioniert.

 

[Tiffman]

Das mit der hosts Datei funktioniert doch nicht zuverlässig.

Hat niemand eine Idee, warum die Namensauflösung nicht funktioniert?

Ich habe auch mal versucht meine Dynamic DNS Domain in der Fritz!Box unter Rebind Schutz einzutragen. Auch das hat nicht geholfen.

Es müssen doch auch andere Forenmitglieder dieses Problem haben. Wäre für einen Tipp dankbar.