Fritz!Box-Fernzugang und ShrewSoft VPN Client - Schritt für Schritt

[andilao]

1. Erstellen der cfg-Dateien für Fritz!Box und Client
Installiere und starte "Fritz!Box-Fernzugang einrichten"
FFZ1.png Neu
FFZ2.png Fernzugang für einen Benutzer einrichten
FFZ3a.png Neu oder bestehende Box, falls bereits eine existiert
FFZ3.png eine beliebige Bezeichnung (erscheint so in der Box!)
FFZ4.png Neu, falls noch keine keine Box existierte
FFZ5.png Die IP-Adresse der Box sollte möglichst nicht 192.168.178.x bleiben (bei Box-2-Box-VPNs ist sie nicht mal erlaubt), weil man diese sonst aus keinem 178er Fritz!Box-LAN/WLAN mehr erreichen würde. Auch sollte man sich IP-Bereiche verkneifen, die sehr häufig bei anderen Boxen vorkommen: z.B. 192.168.1.0 und 192.168.2.0. Die Benutzer-IP-Adr. wählt man außerhalb des DHCP-Bereichs, z.B. ... .201!
FFZ6.png die CFGs
FFZ7.png fritzbox_meine7390_dyndns_org.cfg in die Box laden/importieren (vpnuser_deine_mail_de.cfg ist für den AVM-Client)

2. Übernahme der Einstellungen:
Hinweis: Die rot und blau markierten Beispiel-Einträge müssen natürlich immer durch die eigenen Werte ersetzt werden!

Will man dagegen den ShrewSoft VPN Client benutzen, weil z.B. der Client von AVM über UMTS nicht funktioniert, benötigt man neben dem Adressbereich 192.168.100.0, deine@mail.de und meine7390.dyndns.org noch den Klartext-Schlüssel* aus der vpnuser_deine_mail_de.cfg:

Code:

targets {  
        policies {
           ...
                key = "5cae03t d5a1b98705a6b8051cb9[9dc8aaP";  (ja, kann Leerzeichen enthalten)

* Der Schlüssel aus dem Abschnitt vpn.cfg der FritzBox-Konfig ist codiert und hier nicht verwendbar.

Dann erstellt man eine Textdatei vpnuser_deine_mail_de.vpn z.B. mit Notepad und kopiert folgenden Abschnitt hinein:

Code:

n:version:2
s:network-host:meine7390.dyndns.org
s:policy-list-include:192.168.100.0 / 255.255.255.0
b:auth-mutual-psk:5cae03t d5a1b98705a6b8051cb9[9dc8aaP
s:ident-client-data:deine@mail.de
n:network-ike-port:500
s:client-auto-mode:pull
n:network-mtu-size:1380
s:client-iface:virtual
n:client-addr-auto:1
s:network-natt-mode:enable
n:network-natt-port:4500
n:network-natt-rate:15
s:network-frag-mode:enable
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-used:0
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:address
s:phase1-exchange:aggressive
n:phase1-dhgroup:2
s:phase1-cipher:aes
n:phase1-keylen:256
s:phase1-hash:sha1
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
s:phase2-transform:esp-aes
n:phase2-keylen:256
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
n:phase2-pfsgroup:2
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
s:policy-level:auto
n:policy-nailed:0
n:policy-list-auto:0

Und hier die Version zu VPN: Shrew und Internet komplett über Fritzbox routen (Dazu ändert man in der fritzbox.cfg: phase2localid: ip+mask auf 0.0.0.0 und füge hinzu accesslist: "permit ip any ...".): Muster2.vpn.txt

Code:

n:version:2
s:network-host:meine7390.dyndns.org
b:auth-mutual-psk:5cae03t d5a1b98705a6b8051cb9[9dc8aaP
s:ident-client-data:deine@mail.de
s:client-dns-addr:192.168.100.1
n:network-ike-port:500
s:client-auto-mode:pull
n:network-mtu-size:1380
s:client-iface:virtual
n:client-addr-auto:1
s:network-natt-mode:enable
n:network-natt-port:4500
n:network-natt-rate:15
s:network-frag-mode:enable
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-used:1
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:address
s:phase1-exchange:aggressive
n:phase1-dhgroup:2
s:phase1-cipher:aes
n:phase1-keylen:256
s:phase1-hash:sha1
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
s:phase2-transform:esp-aes
n:phase2-keylen:256
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
n:phase2-pfsgroup:2
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
s:policy-level:auto
n:policy-nailed:0
n:policy-list-auto:1

Wer möchte, kann natürlich auch streng nach der AVM-Anleitung vorgehen, mit der ich meine vpn-Datei erstellt habe.

3. ShrewSoft VPN Client konfigurieren

Installiere den aktuellen ShrewSoft VPN Client, wenn noch nicht geschehen und starte den Access Manager.
- Mit File - Import vpnuser_deine_mail_de.vpn importieren. Ja, der Klartext-Schlüssel funktioniert direkt beim Import, er muss nicht (mehr) unter "Pre Shared Key" eingetragen werden!
- Optional einen passenderen Namen vergeben.
- Save

Alternativ zum Import kopiere die VPN-Datei OHNE Erweiterung einfach in einen der folgenden Ordner:
privat: %LOCALAPPDATA%\Shrew Soft VPN\sites
public: %ALLUSERSPROPFILE%(%ProgramData%)\Shrew Soft VPN\sites
Die Codierung des PSK übernimmt Shrew Soft wie auch beim Import.

Jetzt ist die neue Verbindung fertiggestellt, die man nun per Doppelklick, Connect-Button oder ipsecc-Kommandozeile* starten kann.

*Kommandozeilen-Optionen für ipsecc.exe:
-r "name" [-u <name>][-p <pass>][-a]
-r = lädt Verbindung "name"
-a = automatisch verbinden
-u = Benutzername für Verbindung "name"
-p = Kennwort für Verbindung "name"

Beispiel FritzBox-VPN: "C:\Program Files\ShrewSoft\VPN Client\ipsecc.exe" -r verbindungsname -a
Beispiel sipgate-VPN: "C:\Program Files\ShrewSoft\VPN Client\ipsecc.exe" -r sipgate_vpn -a -u sg_user -p sg_password

Nützliche Einstellungen Acess Manager:
User Preferences:
- Access Manager und VPN Connect: Windows Style = "Visible in System Tray only"
- VPN Connect - Windows Style: [x] Minimize when connection succeeds

Erfahrungen mit dem Ruhezustand auf Note- und Netbooks:
- ShrewSoft-Meldung "failed to attach to key daemon":
- Dann per Trace Utility (...\ShrewSoft\VPN Client\ipsect.exe) den (abgestürzten?) IKE-Service wieder starten und wenn das nicht hilft, Windows neu starten
- Verbindung wird nicht "Established" (ohne Fehlermeldungen), FritzBox zeigt ewig "wird verbunden":
- Allein der Windows-Neustart kann das "reparieren", der Gund ist mir noch unklar.
Beide Probleme traten bei mir nicht mehr auf, seitdem ich immer vor dem Ruhezustand ("ganz ordentlich" und entgegen seiner Funktion) aktive VPN-Verbindungen manuell beende.

Bitte Info, wenn etwas unverständlich oder falsch rübergekommen ist.

[Novize]

Sehr tolle Anleitung!

=> Ich habe diese gleich mal oben angepinnt

[decoder2]

ein RIESEN Dank an andilao!!!

ich hab stunden mti fritz fernzugang verbracht bis ich hier gelesen hatte das das tool keine umts karten unterstützt.

nun klappt der zugang von zuhause und über umts O2 problemlos dank dieser Anleitung.

das ganze war innerhalb von 10 minuten eingerichtet und funktionierte auf anhieb.

TOP

[andilao]

Du solltest auch AVM danken, wo man die VPN-Kombinationen getestet und die Einrichtung sauber dokumentiert hat.

Ganz erstaunlich bei AVM ist, dass die Fritz!Boxen keinerlei Schwierigkeiten haben, (einseitig) ein VPN über UMTS zu einer anderen per DSL angeschlossenen Box aufzubauen. Der AVM-Klient ist nicht generell bei allen UMTS-Konstellationen ohne Funktion, das Weglassen dieses Tests und gleich ShrewSoft zu nehmen, ist einfach nur schmerzfreier. Auch finde ich die eine default zu startendende Verbindung beim AVM-Klient etwas zu eingeschränkt gegenüber der ShrewSoft-Kommandozeile, mit der ich die Verbindungen zu mehreren Boxen bzw. zu Sipgate mit nur einem Klick starten oder anders automatisieren kann.

[pixelhead]

Vielen Dank, hat super funktioniert!

[JoMensdorf]

Hallo!

Erst mal Danke für die Tipps.
Ich habe jetzt erfolgreich eine Verbindung mit dem Shrew und meiner Fritzbox 7220 hergestellt, der Shrew meldet "tunnel enabled".
Allerdings habe ich keinen Zugriff auf mein Heimnetz (auch meine IP ist nicht die von zuhause), und auf der Übersichtsseite der FB wird auch die Verbindung nicht als grün angezeigt. Das ist blöd, weil ich aus dem Ausland über meine IP zuhause surfen möchte. Es ist also so, also ob ich die VPN-Verbindung nicht hätte.

Wenn ich mich mit meinem IPhone einlogge wir die andere Verbindung grün und ich surfe unter meiner IP der Fritzbox zuhause.

Hat da jemand einen Tipp für mich?

Danke,
Jo

[andilao]

Fürs sichere Surfen solltest Du hier mal lesen: VPN: Shrew und Internet komplett über Fritzbox routen.

"keinen Zugriff auf mein Heimnetz" bedeutet für Dich was? Denke daran, dass auch wie beim Box2Box-VPN das Netz daheim nicht durchsuchbar ist und Du alle Geräte per IP-Adresse ansprechen musst. Gar kein VPN wird funktionieren, wenn das Subnetz vom Gast-WLAN das gleiche ist wie daheim.

[JoMensdorf]

Fürs sichere Surfen solltest Du hier mal lesen: VPN: Shrew und Internet komplett über Fritzbox routen.

Aloha andilao,

den Betrag habe ich bei meiner Recherche nicht gefunden. Aber mit diesen Einstellungen geht es.

1000 Dank, Du bist mein Held!
Jo

[ricknicker]

Hallo,

mit meiner 7390 und FW .05 hatte ich mit VPN null Probleme.
Einrichtung habe ich wie oben geschrieben gemacht (nur mit 192.168.178.x).

Seit dem Update auf .20 geht die Internetverbindung des Gerätes, mit dem ich auf den VPN-Server zugreife (z. B. MacBook Pro oder iPhone), flöten.
Beim VPN-Client im OS X konnte ich den Fehler durch Eingabe eines DNS-Servers beheben, das geht aber am iPhone/iPad nicht so.

Any ideas zur Fehlerbehebung?

Danke und Gruß

Nicky

[Tarzan4711]

Hallo ich bin neu hier und kämpfe gerade auch mit shrew.
Ich benutze die Fritzbox 7270 und habe dort den VPN für z.B. mein IPad oder IPhone angelegt. Das geht auch alles sehr gut. Ich trage in meinem Ipad nur folgendes ein:
Sever xxx.dyndns.org
Account xxx@domain.de
Gruppenname xxx@domain.de
Shared Secret den Key der die Fritzbox erzeugt hat
Proxy = aus

Damit geht es wunderbar mit den IPad oder Iphone.

Aber ich bekomme einfach den Shrew Client oder den NCP Client nicht zum laufen. Kann mit jemand helfen?

Danke

[andilao]

Sobald es den Shrew Client für iOS gibt, werde ich mich hier damit beschäftigen.

Unter Windows geht es einfach nach Posting #1.

[Tarzan4711]

Danke für die Antwort, aber ich kann oder möchte die config Datei auf der Fritzbox nicht ändern. Ich habe angst das nachher gar nicht mehr geht. In dem Posting #1 steht leider nicht welche einstellungen ich benutzen muss, damit es mit den einstellungen die gleich sind wir für das IPhone/Ipad geht.

Danke

[andilao]

Du musst die Config auf der Fritzbox nicht (mehr) per Editor anpassen, das war sowieso nur erforderlich bei der alten "FRITZ!Fernzugang einrichten"-VPNAdmin-Version, oder hast Du das machen müssen? Die aktuelle Version 1.0.3.0 enthält bereits die Optionen für "PC oder iOS" und "Alle Daten über den VPN-Tunnel senden".

Da Du ohnehin pro Gerät einen Zugang anlegen solltest, erstellst Du einen weiteren zur selben Box, wobei die Software sogar im Standardfall automatisch die nächste IP .202 nimmt. Dabei aktivierst Du PC statt iOS und bei Bedarf "Alle Daten ...". Und dann weiter wie #1 oben (ja, ich muss noch unbedingt meinen Beitrag #1 für Version 1.0.3.0 anpassen).

[Octalong]

Hallo

Nach gefühlten tausend Versuchen wende ich mich mal an das Forum. Mein Problem:
Ich versuche eine VPN Verbindung über Umts/HSPDA hin zu bekommen. Auf meinem
Android-Phone habe ich das schon hin bekommen und alles läuft zu 100%.
Kann auf die Fritzbox zugreifen, genauso wie auf alle Netzwerkgeräte. Herrlich!
Schieb ich die gleiche Karte in meinen Webstick und diesen ins Notebook, sieht die Sache
anders aus. Die VPN Verbindung steht, aber ich komme an kein Gerät. Und ich kann machen
was ich will.
Habe wirklich ALLES durch, was ich im Net so gelesen habe und ich habe wirklich viel gelesen.
Auch die Configs hier in #1 habe ich minutiös angeglichen und getestet. Gleicher Erfolg.

Getestet: 2 verschiedene Notebooks mit Windos 7 32 Bit.
Verwendet: Shrewsoft (aktuelle Version)
Meine Fritz.cfg

Code:

/*
 * C:\Users\PCNAME\AppData\Roaming\AVM\FRITZ!Fernzugang\my_adress_com\fritzbox_my_adress.cfg
 * Tue Aug 21 00:29:50 2012
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "NAME";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "NAME";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "mykey";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip any 192.168.178.202 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Habe auch schon

Code:

                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }

unter Angabe des DNS-Servers versucht.

Vielleicht kann mir ja jemand helfen.

Viele Grüße

[Fritzix]

Hallo, andalino schreibt folgendes:

weil z.B. der Client von AVM über UMTS nicht funktioniert,

Warum funktioniert der Client von AVM nicht über UMTS, welche Erklärung gibt es dafür?

MfG

Fritzix

[ht81]

[B]benötigt man neben dem Adressbereich 192.168.100.0

Das ist aber kein muss, oder? Natürlich gehen hier auch alle anderen außer die Standard IP. Oder ist beim Shrew zwingend die 192.168.100.x vorgeschrieben?

[andilao]

Das sind alles Beispiele!

[KunterBunter]

Deshalb auch direkt darüber der

Hinweis: Die rot und blau markierten Beispiel-Einträge müssen natürlich immer durch die eigenen Werte ersetzt werden!

[andilao]

Das war die Änderung nach der Frage von[SIZE=2pt]ht81[/SIZE], es stand vorher nicht so exponiert.

[pigpen]

- Verbindung wird nicht "Established" (ohne Fehlermeldungen), FritzBox zeigt ewig "wird verbunden":
- Allein der Windows-Neustart kann das "reparieren", der Gund ist mir noch unklar.

Ein ping auf die fritzbox schafft hier Abhilfe, danach ist die Verbindung 'established' und die fritzbox geht auf grün.