VPN: Shrew und Internet komplett über Fritzbox routen

[.Sun]

Interessant. Danke schonmal für den Test!
Dann muss ich den Fehler woanders suchen.

[.Sun]

VPN_standard hat die ganze Sache blockiert. Jetzt sind 3 Profile drin und es läuft.

Wie passe ich denn die Batch an, dass ich es von jedem Pfad aus starten kann?

"c:\Program Files\ShrewSoft\VPN Client\ipsecc.exe"

[.Sun]

so, ich habe es endlich geschafft mit dem Windows-Shrew-Client Version 2.1.4 den gesamten Internetverkehr über das VPN zu schicken.

Gruß,
Pfeffer.

Könnte man die bat dahingehend erweitern, dass dtpd,iked und ipsecd.exe in unsichtbaren Fenstern gestartet werden bevor ipsecc startet? Ich hab schon ein wenig gegooglet kann aber derzeit nichts testen.
Meine Frage rührt daher, dass ich das Programm auf einer verschlüsselten Partition parken will, aber von dort die genannten 3 Programme nicht im Autostart funktionieren. Sie sind aber für das VPN notwendig.

Ich entschuldige mich für den 4.Post
Sowas ist mir auch nocht nicht untergelaufen...

[qxthff]

Ich klink mich mal hier ein weil mein Ziel das selbe und das Problem ähnlich ist: FritzBox 7270 steht daheim, ich bin unterwegs in fremden WLANs und aller Traffic soll über die FB laufen. Unter Android funktioniert das schon, nur Windows will noch nicht so. Hab jetzt schon diverse Anleitungen für Shrew gelesen aber er mag nie verbinden, endet immer mit "negotiation timout occurred".
Die cfg der FB:

Code:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "vpn@example.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        key_id = "vpn@example.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "a8oWUGeyoyikEHOLULOTAHULAREZAKETIKEHEMAK";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
				xauth { 
					valid = yes; 
					username = "vpn@example.org"; 
					passwd = "a8oWUGeyoyikEHOLULOTAHULAREZAKETIKEHEMAK"; 
				}
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 0.0.0.0 0.0.0.0 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

In Shrew hab ich: Shrew.zip

Für Hilfe wäre ich dankbar da ich ab dem Wochenende auf offene WLANs angewiesen bin

[aquarium]

Du würdest es einfacher machen, wenn Du nicht die einzelnen Bildchen zeigen würdest, sondern die Konfigurationsdatei aus Shrew.

Im ersten Bild hast Du als Hostname example.org stehen. Da muss natürlich Dein Hostname ( Dyndns oder so) hinein.

[qxthff]

da steht in echt natürlich der reale host-name, genauso wie der benutzername nicht auf example.org endet

Code:

n:version:2
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-used:0
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:phase1-dhgroup:2
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
n:phase1-keylen:256
n:phase2-keylen:256
s:network-host:example.org
s:client-auto-mode:pull
s:client-iface:virtual
s:client-ip-addr:192.168.178.201
s:client-ip-mask:255.255.255.255
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:address
s:ident-client-data:vpn@example.org
b:auth-mutual-psk:###key###
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:esp-aes
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
n:phase2-pfsgroup:2
s:policy-level:auto
s:policy-list-include:192.168.178.0 / 255.255.255.0

[aquarium]

Kannst Du noch irgendeine Info posten, an welcher Stelle die Fehlermeldung kommt

[qxthff]

die Fehlermeldung kommt direkt beim verbinden (nach ca 10 sek)

Code:

config loaded for site xxx
configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
ipcomp proposal configured
client configured
local id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon ...

[qxthff]

nachdem ich jetzt nochmal diverse beispiel-configs aus dem netz ausprobiert hab kam ich auf die idee, das ganze mal in einer VM zu testen. und siehe da, da gehts?!
Jemand eine Ahnung was an meinem WinXP verstellt sein könnte das zu diesem Ergebnis (Timeout) führt?

[yuriprime]

Habe die Anleitung aus dem Thread Seite 1 befolgt.

Soweit so gut. Internet funktioniert über die entfernte Fritzbox mit ShrewSoft auf dem Client-PC.

Aber wenn ich bsp. eine falsche www-Adresse in den Browser eingebe, dann erscheint die Homepage meines Client-Providers und nicht die meines fritz-box-providers.

=> D.h. doch das meine DNS weiterleitung nicht funktioniert.

Habt Ihr eine Ahnung warum?

Nutze Win7 plus neuesten ShrewSoft-Clienten. Meine Fritzbox ist eine 7270.

Was mir noch aufgefallen ist:
Die Setroutes.bat von pfeffer gibt mir unter anderem folgendes aus:
"nicht autorisierende Antwort: "VPN-Server IP: xxx.xxx.xxx.xxx""

[frank_m24]

=> D.h. doch das meine DNS weiterleitung nicht funktioniert.

Nicht unbedingt. Die DNS Server werden ja nicht automatisch durch die VPN Verbindung beeinflusst. Es ist also denkbar, dass die DNS Server deines Client-Provider über die Fritzbox angesprochen werden.

[andilao]

Erst mal vielen vielen Dank an alle, die sich seit 2 Jahren mit der Materie befasst haben!

Da ich mit dem sicheren bzw. unzensierten Surfen über sipgate regelmäßig Performance-Probleme bekam, habe ich mich mal mit der Materie befasst und hatte praktisch im ersten Anlauf Erfolg.

Was habe ich genau gemacht:

fritzbox.cfg:
- phase2localid: ip+mask auf 0.0.0.0 geändert
- accesslist: "permit ip any ..." hinzugefügt

Shrewsoft-Client:
- Orginalverbindung geklont
- Nameresolution: DNS aktiviert, 1. Server = lokale IP meiner Fritzbox daheim
- "Obtain Automatically" allein funktioniert nicht.
- Policy: alte "Route" gelöscht, "Obtain ... or Tunnel all" aktiviert (wie bei sipgate)

Somit ist in einer funktionierenden vpn-Config wie folgt zu ändern:
lösche: s:policy-list-include: ....
hinzu*: s:client-dns-addr:192.168.100.1
ändere: n:client-dns-used:1
ändere: n:policy-list-auto:1
*lokale IP der Fritzbox daheim

[IchHabRecht]

Hallo,

nachdem ich drei Nächte ins Einrichten des VPNs auf der Fritzbox verbracht habe, hatte ich noch ein wenig Lust mich mit der Batch-Datei von pfeffer zu befassen.

Was wurde geändert:

• Benutzerprofile werden aus lokalem Verzeichnis geladen, da in der Registrierung nur die Hosts gespeichert werden, nicht aber einzelne Profile
• Profile werden untersucht, ob eine Route notwendig ist (braucht man nicht, wenn man nur einen Tunnel öffnen will)
• Starten des Programms auch außerhalb des Programmverzeichnisses (also z.B. vom Desktop aus)

Bin für Verbesserungen offen, gerne Kommentare

[andilao]

Irgendwie hatte ich den Eindruck, dass der ShrewSoft-Client (Version 2.2.0-beta-2) Routing und DNS ganz allein hinbekommt.

In der aktuellen Version stehen auch keine Profile mehr in der Registry (das sind nur Reste von alten Versionen, die man löschen sollte) sondern generell hier:
privat: %LOCALAPPDATA%\Shrew Soft VPN\sites
public: %ALLUSERSPROPFILE%(%ProgramData%)\Shrew Soft VPN\sites

[IchHabRecht]

Irgendwie hatte ich den Eindruck, dass der ShrewSoft-Client (Version 2.2.0-beta-2) Routing und DNS ganz allein hinbekommt.

Stimmt, das kann ich so bestätigen.

[k@mures]

Moin,
leider habe ich zur Zeit nur 2x Umts (Vodafone) und zwei FB7390. Dies ist bedingt durch eine temporäre Wohnung und einen Hausbau.
So wie ich das verstanden habe geht Umts <-> Umts noch immer nicht, oder?
Möchte meine PV-Anlage (Hausbau) von der temporären Wohnung aus überprüfen können.
Gruß,
Kamures

[andilao]

UMTS <-> UMTS würde nur dann gehen, wenn mindestens eine Box eine öffentliche IP bekommt.

[Novize]

Alternativ lass bei der PV-Anlage einen PC laufen und greife via Teamviewer darauf zu.

[australien2006]

Bei mir funktioniert es leider auch nicht richtig.

Wenn ich im Shrewsoft das Netzwerk 192.168.180.0/255.255.255.0 eintrage, geht der Zugriff auf das VPN.
Wenn ich allerdings 0.0.0.0/0.0.0.0 eintrage, geht gar nichts mehr. Weder das 192.168.180.0/24 Netzwerk, noch irgendeine andere IP aus dem Internet.

Könnte das Problem in der Fritzbox Config liegen?

Code:

targets {
        policies {
                name = "etc.dyndns.org";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.180.201;
                remoteip = 0.0.0.0;
                remotehostname = "etc.dyndns.org";
                localid {
                        user_fqdn = "VPN_all";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "abckey123";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.180.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.180.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.180.0 255.255.255.0", 
                             "reject udp any any eq 53", 
                             "reject udp any any eq 500", 
                             "reject udp any any eq 4500", 
                             "permit ip any any";
                wakeupremote = no;
        }
}

[doublyou]

Anfrage hierher verschoben da hier nicht passend.