VPN: Shrew und Internet komplett über Fritzbox routen

[mj084]

servus...

versuche hier hinter nem proxy(nein nicht inner firma) ne vpn verbindung zu meiner fritzbox aufzubauen und den traffic zu tunneln....
probiere das ganze mit shrew da der avm kram ja net unter x64 läuft...
bekomme aber keinen tunnel aufgebaut, udp port 500 scheint hier auch dicht zu sein im proxy und ein ändern auf tcp port 443 in der vpn konfig (analog shrew datei) brachte keine abhilfe....

auch die setroutes.bat hilft mir netr wirklich weiter, da die dyndns adresse net mehr zur ip der fritzbox passt, also trage ich die route manuell ein:

win+r
cmd

route add 86.184.xxx.xxx mask 255.255.255.255 192.168.xxx.xxx (gateway des proxy)

ist das erstmal korrekt so?

bzw. jmd nen lösungsvorschlag für mein problem? oder is irgendwo nen denkfehler drin?

[pfeffer]

sehe ich das richtig:
1. Du musst den Proxy verwenden, um ins Internet zu kommen?
2. Das ist ein http-Proxy? (Etwas anderes wäre z.B. ein SOCKS-Proxy)

Wenn es ein http-Proxy ist, dann - glaube ich - gibt es keine Chance mit IPSec dadurch zu kommen. Http setzt nämlich auf das IP-Protokoll TCP auf, IPSec ist sozusagen eine Alternative zu TCP (wo allerdings TCP noch weiter drauf bauen kann, aber nicht umgekehrt, IPSec kann nicht auf TCP aufsetzen). Für NAT-Traversal wird bei IPSec UDP verwendet (eine weitere Alternative zu TCP). IPSec kann also statt direkt auf IP aufzubauen auch auf IP/UDP aufsetzen. Wenn Du aber hinter einem http-Proxy sitzt, dann kann der kein UDP.

Eine weitere Frage ist, ob es ein echter http-Proxy ist und nur http-Pakete weiterleitet (dann hättest Du kaum eine Chance mit einem VPN dadurch zu kommen) oder ob er einfach alles, was TCP ist, weiterleitet. In diesem Fall hättest Du mit einer kleinen Modifikation der FritzBox und OpenVPN eine Chance. (ok, OpenVPN kann auch irgendwie so gefrickelt werden, dass es sogar durch einen http-Proxy durchkommt, aber das ist mit sehr viel Overhead verbunden).

Gruß,
Pfeffer.

PS: es ist hier üblich Groß- und Kleinschreibung zu verwenden.

[mj084]

Hallo,

danker erstmal für die rasche Antwort....

Es müsste meiner Meinung nach nen http-Proxy sein, basierend auf (squid/2.6.STABLE5)

Also Chancen bei 0,1% hier was vernünftiges zu bauen?

[pfeffer]

ja, genau, Chance nahe 0: nur für Leute, die echt Ahnung haben möglich und wegen der schlechten Performance mehr dazu geeigent zu zeigen, was alles möglich ist als dass man es nutzen wollte.

Gruß,
Pfeffer.

[mj084]

Gut wenn du sagst das die Performance eh mies ist...
Aber hätte mich schon gereizt es einfach mal hinzubekommen, aber nur mit shrew und der Box ohne Erweiterungen ist nix zu machen?

[cppcodeguru]

Hallo,

ich habe wie alle anderen auch ein Problem mit dem Shrew Client.
Ich versuche den kompletten Internet-Verkehr über meine FritzBox zu leiten.
Habe eine VPN-Verbindung vom ShrewClient zu meiner FritzBox über (zur Zeit Vodafone UMTS nur zum testen -> später über (unsichere) Hotspots) inzwischen hinbekommen. Ich kann mein lokales Netz pingen und auch ins internet, nslookup funktioniert auch. tracert auch, allerdings alles nur über das Vodafone Gateway.

Habe mehrere Konfigurationen die hier vorgestellt worden probiert, aber es will mir nicht gelingen, mir schwirrt aber auch der Kopf bei so vielen Postings.

Kann mir vielleicht jemand eine Anleitung geben, wie ich es hinbekomme?
Hatte auch schon die c't 21/09 Anleitung probiert, allerdings auch ohne Erfolg.

Vielen dank,

Andreas.

[pfeffer]

Die Anleitung steht auf der ersten Seite dieses Threads, nämlich hier: http://www.ip-phone-forum.de/showpos...2&postcount=12

Ich habe leider nicht genau verstanden, wo Dein Problem liegt. Du kannst Dich einwählen, aber nur die Pakete, die an das Subnetz der FritzBox gehen, gehen über das VPN, der Rest nicht, richtig?

Warum verwendest Du den Shrew-Client?
Welcher Anleitung bist Du gefolgt?
Die Anleitung aus der C't kenne ich nicht.

Gruß,
Pfeffer.

[cppcodeguru]

Hallo,
also ich verwende den ShrewClient, da die FritzBox (FB) Fernzugangssoft nicht auf Windows 7 64 bit läuft.

Ich möchte wenn ich unterwegs bin mich über einen Hotspot mit VPN mit meiner FB verbinden und den kompletten Internetverkehr sicher über die FB leiten.

Ich bin sowohl Deiner Anleitung http://www.ip-phone-forum.de/showpos...2&postcount=12 als auch der von c't http://www.heise.de/ct/inhalt/2009/21/128/ gefolgt.

Ich habe im Gegensatz zur Anleitung von AVM http://www.avm.de/de/Service/Service...php?portal=VPN noch das Flag in der FB Konfig use_nat_t auf yes setzen müssen, da Vodafone (mit dem ich das ganze hier teste) mir eine lokale IP aus dem 10.x.x.x Netz gibt.

-> Du kannst Dich einwählen, aber nur die Pakete, die an das Subnetz der FritzBox gehen, gehen über das VPN, der Rest nicht, richtig?

Ja richtig, ich kann die VPN-Verbindung zwischen Client und FB aufbauen und auf die Geräte im FB LAN zugreifen (Pakete gehen über VPN), der Rest geht normal immer noch über den Provider, wenn ich mir meine öffentliche IP ansehe http://www.heise.de/netze/tools/ip sehe ich immer noch die meines Providers, nicht die externe IP der FB.

Ich hoffe das war etwas verstädlicher,

Grüße,
Andreas.

[cppcodeguru]

Hier noch meine Routen:

Aktive Routen (ohne VPN-Verbindung):
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 10.249.x.x 10.249.x.x 40
10.249.x.x 255.255.255.240 Auf Verbindung 10.249.x.x 296
10.249.x.x 255.255.255.255 Auf Verbindung 10.249.x.x 296
10.249.x.x 255.255.255.255 Auf Verbindung 10.249.x.x 296
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 10.249.x.x 296
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 10.249.x.x 296
----

Aktive Routen (mit aktiver VPN-Verbindung zur FB):
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 10.249.x.x 10.249.x.x 40
10.249.x.x 255.255.255.240 Auf Verbindung 10.249.x.x 296
10.249.x.x 255.255.255.255 Auf Verbindung 10.249.x.x 296
10.249.x.x 255.255.255.255 Auf Verbindung 10.249.x.x 296
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.z.z.z 255.255.255.0 Auf Verbindung 192.z.z.z 31
192.z.z.z 255.255.255.255 Auf Verbindung 192.z.z.z 286
192.z.z.255 255.255.255.255 Auf Verbindung 192.z.z.z 286
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 10.249.x.x 296
224.0.0.0 240.0.0.0 Auf Verbindung 192.z.z.z 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 10.x.x.x 296
255.255.255.255 255.255.255.255 Auf Verbindung 192.z.z.z 286

Grüße,

Andreas

[pfeffer]

die Routen sind falsch: Die Default-Route (0.0.0.0) zeigt weiterhin auf Deinen Mobilfunkprovider (10.....), sie muss aber auf die interne IP der FritzBox zeigen, wenn aller Datenverkehr über sie laufen soll.
Außerdem muss eine Hostroute zur externen IP der FritzBox gsetzt werden, die als Gateway das alte Default-Gateway des Mobilfunk-Providers eingetragen hat.

Hast Du mein Skript zum Setzen der Routen gestartet?
Das Skript liest die VPN-Konfig aus der Registry aus - vielleicht klappt das nicht in Windows7?
Was gibt das Skript aus?

Gruß,
Pfeffer.

[cppcodeguru]

[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
Hallo,

Ich probiere es gerade nochmals komplett neu von vorne, mir ist bei Deiner Beschreibung Punkt 4) unklar, da Du schreibst
4.
In Shrew muss man unter dem Reiter "Policy" als eine Policy "include, Adress 0.0.0.0, Netmask 0.0.0.0" hinzufügen. Leider wird das in der Grafischen Benutzeroberfläche verhindert (man bekommt die Meldung "The network mask you have specified is invalid"), darum muss man einen anderen Weg finden, 0.0.0.0 dort einzu tragen.

hinzufügen, aber in Deinem Beispiel hat Du den AVM
Eintrag ersetzt, nicht hinzugefügt. Was ist denn da nun der richtige Eintrag?
Hinzufügen, oder ersetzen?

Grüße,
Andreas.

[Beitrag 2:]
Also der FritzBox habe ich folgende Config verpasst:

Code:

/*
 * BLA_dyndns_org.cfg
 * Fri Jan 08 19:35:34 2010
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "NAME";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.2.201;
                remoteid {
                        user_fqdn = "NAME";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "KEY";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.x.y.z;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.x.y.z 255.255.255.255";

        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Richtig?

[pfeffer]

In Shrew ist die Policy-Liste am Anfang leer. Das bedeutet, man muss 1 hinzufügen, damit man 1 hat. Kurz: Sowohl in der FritzBox alsauch in Shrew hat es bei mir nur funktioniert mit genau 1 Eintrag in der Policy-Liste bei Shrew bzw. der Accesslist in der FritzBox.

EDIT: Auf anhieb sehe ich keinen Fehler in der FritzBox.cfg. Hast Du sie per webinterface eingespielt? - oder per editor direkt auf der Fritzbox geändert? dann müsstes Du die Box mal neu booten, damit die Änderungen wirksam werden.


Gruß,
Pfeffer.

[cppcodeguru]

[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]

Code:

n:version:2
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:0
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:0
n:client-dns-used:0
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:phase1-dhgroup:2
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
n:phase1-keylen:256
n:phase2-keylen:256
s:network-host:BLA.dyndns.org
s:client-auto-mode:pull
s:client-iface:virtual
s:client-ip-addr:192.x.y.z
s:client-ip-mask:255.255.255.0
s:network-natt-mode:disable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:address
s:ident-client-data:NAME
b:auth-mutual-psk:Crypted_KEY
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:esp-aes
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
n:phase2-pfsgroup:2
s:policy-list-include:0.0.0.0 / 0.0.0.0

Diese Config habe ich in Shrew importiert, richtig?

[Beitrag 2:]
In Shrew bekomme ich dann einen
gateway authentication error
Hast Du eine Idee, was nun falsch ist?

[Beitrag 3:]
Sorry, habe gerade gesehen, erst route setzen, dann verbinden, versuche es nochmals.

[pfeffer]

hmm - da würde ich als erstes Nutzername (Email-Adresse) und Preshared-Key auf Tippfehler prüfen.
Ansonsten: schalte mal NAT-Traversal ein. Bitte mach mal um Deine Zitate aus den Configs [/code] am Ende und [code] vor den Anfang, dann kann man es besser lesen.

Gruß,
Pfeffer.

[cppcodeguru]

[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
Bekomme eine Fehlermeldung von Deinem Skript:
Nicht autorisierende Antwort:
"VPN-Server IP: a.b.c.d"

[Beitrag 2:]
Benötige außerdem zum setzen der route höhere Rechte, also muss ich das Skript als Admin starten.

Also Skript lief bis auf die Meldung mit der nichtautorisierten Antwort.
Die IP die zurückgegeben wurde war meine dyndns ip, also war das ja richtig.

Und in Shrew kam dann:
bringing up tunnel ...
gateway authentication error
tunnel disabled

Grüße,
Andreas.

[cppcodeguru]

Nat traversal hatte ich in der FritzBox Config schon eingeschaltet: use_nat_t = yes.

[pfeffer]

aber in Deiner Shrew-config ist es aus:

s:network-natt-mode:disable

[cppcodeguru]

Also der Befehl route print gibt eine zusätzliche route aus:
Ziel: dyndns ip Maske: 255.255.255.255 Gateway: ProviderIP GW Schnitstelle: Provider IP aus.

[pfeffer]

das ist richtig.
das default gateway wird dann von Shrew automatisch auf den Tunnel gesetzt, wenn der Tunnel aufgebaut ist. Aber dazu musst Du erstmal den Tunnel aufbauen. Das hattest Du doch schon mal am Laufen, oder?

Gruß,
Pfeffer,

[cppcodeguru]

[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
Ja, hatte einen Schreibfehler in dem KEY für die Shrew Config habe die "" mitkopiert. Also der Tunnel wurde nun erfolgreich aufgebaut,
aber ich habe nur Zugriff auf das interne Netz, kein Zugriff mehr ins Internet, ping google.de kann host google nicht mehr finden.

Grüße,
Andreas.

[Beitrag 2:]
Die Namensauflösung funktioniert nicht mehr, aber wenn ich von google die IP im Browser verwende, dann komme ich auf die Seite.