[HowTo] Fritz!Box-Fernzugang und ShrewSoft VPN Client - Schritt für Schritt

Micha0815 · 13 Feb 2017

Danke @andilao NUR kennen ältere FBs halt die VPN-Config für FB-Benutzer nicht

Auf aktuellen FBs kein Problem.
@PeterPawn
Den PSK habe ich über das Shrew-GUI eingegeben und der passt (in der shrew-config steht er verschlüsselt). Im fqdn-Bereich hatte ich einen Fehler. Zumindest bin ich schonmal einen Schritt weiter, da zumindest schonmal "tunnel enabled" fehlerfrei auftaucht aber halt nicht "established" Auf der enfernten wird "wird aufgebaut" angezeigt. Ich muss die logs erstmal sichten und vorbereiten (ist etwas mühsam auf einem kleinen Netbook).

LG

andilao · 13 Feb 2017

Die VPN-Config für iDingens == XAuth-User gibt es doch schon ewig!

VPN ohne XAuth:

VPN mit XAuth:

Micha0815 · 13 Feb 2017

Ewig schon

Nur unter W10 nichtmehr nutzbar

Hatte ich aber weiter oben erwähnt, dass ich z.Zt. keine W7-Maschine im Zugriff habe.

LG

andilao · 13 Feb 2017

"FRITZ!Fernzugang einrichten" zusammen mit ShrewSoft - über was anderes habe ich hier nie geschrieben.

ShrewSoft ist aktuell der einzige kostenfreie Client für AVMs IPSec IKEv1 und "FRITZ!Fernzugang einrichten" ist ein völlig eigenständiges Tool für das Erzeugen von fehlerfreien VPN-Configs und nicht an den AVM-Client "FRITZ!Fernzugang" gekoppelt.

Micha0815 · 15 Feb 2017

Nach langem Suchen und unzähligen Versuchen (ich hatte zig Configs versucht einzuspielen via http-Zugriff, die stets nicht importiert wurden auf einer älteren FB) habe ich hier den entscheidenden Hinweis gefunden, dass

Code:

[COLOR=brown][B]passwd[/B][/COLOR] Ein beliebiges Passwort zur Authentifizierung. [SIZE=4][COLOR=#ff0000]Bitte [I]nur Zahlen[/I] verwenden[/COLOR][/SIZE].

im Gegensatz zu neueren FBs/FWs nur Zahlen erlaubt. (ein paar aneinandergekette Telefonnummern sollten reichen )

Danach war shrew-client einrichten in 5 Min. erledigt.

LG und TX an die Helfenden hier.

PeterPawn · 15 Feb 2017

Ich gieße ja nur ungerne Wasser in den Wein ... aber die Erklärung erscheint mir recht falsch. Der Autor im von Dir verlinkten Beitrag bezog sich mit seiner Bemerkung ohnehin eher nicht auf eine so alte Firmware-Version und ein so altes Modell (leider steht das nirgendwo - ich finde es zumindest dort nicht - und man muß ein wenig aufgrund der Datumsangaben bei den Kommentaren spekulieren, daß das dort wohl zwischen Sommer 2014 und 2015 geschrieben wurde) - eine 06.0x wäre (bei moderneren Boxen) spätestens seit Herbst/Winter 2013 verfügbar gewesen.

Auch bei seinem Vergleich der Modelle dreht es sich um neuere Versionen ... Du kannst ja mal nachfragen, wie er auf diesen Gedanken kommt bzw. ob er ihn (so ohne jeden weiteren Kontext) immer noch für sinnvoll und notwendig (dann schließt sich die Frage nach dem "warum" an) hält.

Ansonsten ist es sicherlich leichter, eine Zahlenkolonne unfallfrei zweimal einzugeben, als eine gemischte Zeichenkette mit Groß- und Kleinschreibung und ggf. noch Sonderzeichen. Zu den möglicherweise "schlecht lesbaren Zeichen" habe ich oben schon etwas geschrieben und in den Dateien, die Du hier gezeigt hast, war das ja jeweils ersetzt.

Ich will es auch nicht beschwören (oder gar testen), wie das wirklich bei irgendeiner 05.5x-Version gewesen sein mag (das liegt mir auch zu lange zurück) ... aber bist Du Dir wirklich zu 100% sicher, daß Du das Kennwort (bei moderneren FRITZ!OS-Versionen wäre das ja das Kennwort des Box-Benutzers und das darf (obwohl es in der von Dir verlinkten Beschreibung so steht) auch nicht nur Ziffern enthalten) tatsächlich beide Male identisch eingegeben hattest?

Nach dem "einen Schritt weiter" haben wir ja keine Protokoll-Datei mehr zu sehen bekommen ... wenn es wirklich ein Problem mit dem Key gegeben hätte (ob der Import der Datei über das GUI geklappt hat, sollte man ja nun auf einer so alten Freetz-Version sofort sehen und sich sogar noch mit allcfgconv den ansonsten verschlüsselten Inhalt der vpn.cfg anzeigen lassen können), dann sollte das für die XAUTH-Phase auch protokolliert gewesen sein. Ich weiß auch nicht mehr wirklich, ob bei einer 05.5x schon der Import einzelner, benannter Verbindungen möglich war oder ob da noch bei jedem Import immer die gesamte Datei, ggf. mit mehreren Einträgen, vorliegen mußte.

Ich freue mich ja für Dich, wenn es jetzt funktioniert, aber als "Fazit" erscheint mir das ohne passende Gegenprobe (bei "ABCDEFGHIJ" kann man auch wenig falsch machen, wenn man kein kleines "L" wie "Lambda" in dieser Reihe sehen will an Position 9) etwas gewagt, wenn es um die eigentliche Ursache des Problems geht. Die Theorie mit dem "nur Ziffern" war jedenfalls zum angenommenen(!) Zeitpunkt des Beitrags dort definitiv schon falsch, auch bei Verbindungen zu iPhone oder iPad. Das steht aber auch nur als "Bitte" in der Anleitung und nicht als "etwas anderes funktioniert nicht".

- - - Aktualisiert - - -

Vielleicht wollte die Box beim Import kein ISO-8859-1 "schlucken", hattest Du denn den Zeichensatz irgendwie festgelegt am Beginn der Datei?

Wobei der Umstieg auf Unicode tatsächlich auch erst nach der 05.5x erfolgt sein könnte ... vielleicht steht in irgendeiner ranzigen "info.txt" von AVM etwas dazu, notfalls findet man es bestimmt in der Freetz-Historie, wann das geändert wurde von AVM.

Ist/war das in #108 wirklich die vollständige Datei, die wir dort sehen und die sich nicht importieren ließ?

andilao · 15 Feb 2017

Das muss aber aus der Zeit stammen, wo die Telefone nur Tasten hatten, mit Zahlen. ;-)
Scherz beiseite, ich habe jetzt mal in 3 Minuten meine 7170 hochgefahren, per VPNAdmin eine cfg erstellt und erfolgreich importiert:

Die Firmware 4.88 der 7170 stammt praktisch von 2011 (2014 kam nur die Behebung des Praktikanten-Bugs), und da müsste ja die 5.53 der 7240 von 2013 ein unvorstellbarer Rückschritt gewesen sein oder deine Alien hat genau da eine spezielle Macke. Auch kam in den vergangenen Jahren so ein Thema nie zur Sprache.

Nur zur Info:

Code:

[B]IPhone / iPod touch / iPad VPN-Konfiguration[/B]

Wählen Sie auf dem Homescreen Ihres iPhones, iPod touch oder iPad das Symbol "Einstellungen".
"Allgemein" > "Netzwerk" > "VPN" > "VPN hinzufügen"


Wählen Sie als VPN-Betriebsmodus "IPSec".
Tragen Sie in die Felder folgende Angaben ein:


Beschreibung :   7271.daheim.de 
                 (Die Beschreibung kann frei gewählt werden.)
Server:          7271.daheim.de
Account:         E-Mail-Adresse
Kennwort:        cdUEb998Gc
                 (Das Kennwort wird bei jedem VPN-Verbindungsaufbau abgefragt.)
Zertifikat verwenden ist deaktiviert
Gruppenname:     E-Mail-Adresse
Shared Secret:   cdUEb998Gcbx%bh$paecfe3c318zi


Geben Sie bei "Proxy" "aus" an.


Beenden Sie die VPN-Einrichtung mit "Sichern".

Code:

[B]/* * C:\Users\User\AppData\Roaming\AVM\FRITZ!Fernzugang\7271_daheim_de\fritzbox_7271_daheim_de.cfg[/B]
[B] * Wed Feb 15 01:10:28 2017[/B]
[B] */[/B]


vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "E-Mail-Adresse";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        key_id = "E-Mail-Adresse";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "cdUEb998Gcbx%bh$paecfe3c318zi";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "E-Mail-Adresse";
                        passwd = "cdUEb998Gc";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}




// EOF

Code:

[B]**** CFGFILE:vpn.cfg[/B]
[B]/*[/B]
[B] * /var/flash/vpn.cfg[/B]
[B] * Wed Feb 15 01:11:12 2017[/B]
[B] */[/B]


vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "E-Mail-Adresse";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        key_id = "$$$$W21IBVRWQYJN1Y6Y2YV26CUL5LPAFBELC3O5QFOD6V1TZUZC6RIZUEPOQZV2EJBQGKBPN6RVKCGGQAAA";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$OT3N5OSDJ6YDPT5HNVK4SS4Y1LBH3LCI41T14XBEFOSJ1U5RNQWRZ6EW4R1OVJL4CHLHXOGJE2RE1665O6ZZYFCWGKR55B53QS4ZI5QA";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "$$$$LS4A4BOCUHPDNGN4OHOAYYIT2OXAQRICKGTFICWAMNQWPJ2J2ZWONBRSDJLLFVCJYMQKQR6QH2NKEAAA";
                        passwd = "$$$$4AEOMRGC5TEYJFNIXMXWKLALOJ5HM3FPXU5B26Y3L1RIQCADMIWNSO5QKR5APGWB5BA4ZCSC23VRWAAA";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Micha0815 · 15 Feb 2017

Ich bitte höflichst um Entschuldigung @andilao und PeterPawn (#132 geändert). Beim Erstellen einer Vorlage aus einer export-Datei sind mir 2 Zeilen abhanden gekommen, dessen Fehlen ich wieder und wieder (über viele Stunden) nicht erkannt habe,

Code:

[SIZE=2]ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";[/SIZE]

woraufhin zurecht der Import verweigert wurde. Die config aus #118 liess sich zwar einspielen, brachte aber keinen Zugriff trotz vieler Variationen im Shrewsoft-Client.

LG+TX

P.S.: @PeterPawn Über einen http://dyndns.bla: port (den es abzuschalten galt aus Sicherheitsgründen) Fernzugriff kam ich nicht ins Freetz-Menue

PeterPawn · 15 Feb 2017

Läuft's denn jetzt? 0x2026? Oder ist das Thema gegessen?

Abgesehen davon verstehe ich nicht, wieso sich diese falsche Datei dann mit einem Kennwort nur aus Ziffern doch noch importieren ließ. ;-)

Micha0815 · 15 Feb 2017

Ja danke läuft. Der config mit dem 0x2026 Fehler aus #118 bin ich nicht weiter nachgegangen. Den Fehler mit den fehlenden 2 Zeilen, habe ich erst auf Euren Protest hin bemerkt. Ich hatte eine neue Kopie/Vorlage aus dem Link in #132 erstellt was dann auf Anhieb klappte.

LG

OT: Beim Decrypten einer alten export stach mir

Code:

TR-069-Fernkonfiguration
 url                       -> https://clcert.a1.net/ACS/TR069
 username                  -> 00040EC02xxxx
 password                  -> fxxxx
 ConnectionRequestUsername -> 00040E-FRITZ!Box-C02xxxxx
 ConnectionRequestPassword -> 2e......................................4

ins Auge.
Ich dachte immer, A1 (Austria) unterstützt keine Fritzboxen? VOIP/SIP gibt es bei A1 eh -wenn- nur für Geschäftskunden.

PeterPawn · 15 Feb 2017

TR-069 ist ja eine "allgemeine" Schnittstelle, die auch ein paar allgemein implementierte Funktionen bereithält. Da läßt sich auch eine "Schnittstellenbeschreibung" abrufen (so etwas ähnliches wie die *SCPD.xml-Dateien beim TR-064) und solange es nicht um etwas Geräte- oder Herstellerspezifisches geht, kann man mit den regelmäßigen Meldungen eines CPE (also einer FRITZ!Box) beim ACS auch gut so etwas wie "da ging es noch alles" protokollieren lassen. Da muß man nicht unbedingt nur Updates "pushen" oder Support-Daten abfragen - schon die "uptime" kann für den Provider interessant sein und die steht direkt im INFORM-Request, wenn ich mich richtig erinnere (steht irgendwo in der TR-069-Spec.).

vel_tins · 23 Feb 2017

Ich komme nicht weiter: "negotiation timout occurred"

Mein Gerät: FRITZ!Box Fon WLAN 7360 FRITZ!OS: 06.80, VPN USER wurde über Webif angelegt.
Client: Windows 10, per LAN, mit Shrewsoft IKE Daemon, ver 2.2.2
Windows Firewall und Defender sind aus.

Ich habe die angepinnte Muster "site-config.vpn" genommen, im Access Manager geladen und die drei Änderungen vorgenommen.
Allerdings bleibt Shrewsoft immer bei "negotiation timout occurred" hängen.

Code:

config loaded for site 'site-config.vpn'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon

Das LOG (Tracefile) von Shrew liegt hier. (btw. warum funktionieren hier keine "Pastebin" Links?)

Ich habe auch die Anleitung von "Rays Blog" probiert, mit gleichem negativen Ergebnis.

Generell funktioniert das VPN sowohl per Android, als auch per Ubuntu (welches unter oben erwähntem Win10 als virtuelle Maschine läuft).
Help please.

EDIT: Habe den Shrewsoft Client mal testweise auf meinem Ubuntu 16.04 installiert, auch da bricht der Verbindungsaufbau ab, wobei es "nativ" unter Ubuntu nach wie vor funktioniert.

Pokemon20021 · 24 Feb 2017

@vel_tins: es ist zwar Karneval-Zeit, auch habe ich keine Wahrsager-Kontakte, die das Problem lösen könnten;
somit wird Dir ohne Bereitstellung der VPN-Config (vpn.cfg) und Logfiles (ike.log) von Fritzbox niemand helfen können;
beide Dateien können der Fritzbox aus Supportdaten Datei http://fritz.box/?lp=support entnommen werden;
am Besten vorher restart durchführen und dann VPN-Test durchführen und Logfiles von beiden Fritzbox und shrewsoft posten.

vel_tins · 24 Feb 2017

Ok, hier sind die Logs, die größeren habe ich hochgeladen, das ike.log poste ich direkt.
Für mich als Laie sieht es so aus, als käme gar keine Verbindung zustande.

ike.log:

Code:

ls: /var/tmp/ike.old: No such file or directory
-rw-r--r--    1 root     root           669 Jan  1  1970 /var/tmp/ike.log
1970-01-01 01:01:13 avmike:< add(appl=dsld,cname=rol234,localip=93.195.xxx.xx, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:01:13 avmike:new neighbour rol234:  dynamic  user  every-id  nat_t
1970-01-01 01:01:13 avmike:< add(appl=dsld,cname=vpn,localip=93.195.xxx.xx, remoteip=0.0.0.0, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x802f tunnel xauth no_cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:01:13 avmike:new neighbour vpn:  dynamic  user  every-id  nat_t

Shrewsoft Log:
https://ghostbin.com/paste/w7ck7

vpn.cfg:
https://ghostbin.com/paste/zmdxs

Pokemon20021 · 25 Feb 2017

das Shrewsoft Logfile zeigt Probleme bei Verbindungsaufbau:

Code:

17/02/24 17:45:47 -> : send IKE packet 192.168.2.202:500 -> 93.195.xxx.xxx:500 ( 1202 bytes ) 
17/02/24 17:45:47 DB : phase1 resend event scheduled ( ref count = 2 ) 
17/02/24 17:45:52 -> : resend 1 phase1 packet(s) [0/2] 192.168.2.202:500 -> 93.195.xxx.xxx:500 
17/02/24 17:45:57 -> : resend 1 phase1 packet(s) [1/2] 192.168.2.202:500 -> 93.195.xxx.xxx:500 
17/02/24 17:46:02 -> : resend 1 phase1 packet(s) [2/2] 192.168.2.202:500 -> 93.195.xxx.xxx:500 
17/02/24 17:46:07 ii : resend limit exceeded for phase1 exchange

analog zu:

https://lists.shrew.net/pipermail/vpn-help/attachments/20111024/8f59d0e8/attachment-0002.html schrieb:
Code:

11/10/21 12:43:32 -> : send IKE packet xx.xx.xx.xx:500 -> yy.yy.yy.yy:500 ( 1190 bytes ) 11/10/21 12:43:32 DB : phase1 resend event scheduled ( ref count = 2 ) 11/10/21 12:43:37 -> : resend 1 phase1 packet(s) xx.xx.xx.xx:500 -> yy.yy.yy.yy:500 11/10/21 12:43:42 -> : resend 1 phase1 packet(s) xx.xx.xx.xx:500 -> yy.yy.yy.yy:500 11/10/21 12:43:47 -> : resend 1 phase1 packet(s) xx.xx.xx.xx:500 -> yy.yy.yy.yy:500 11/10/21 12:43:52 ii : resend limit exceeded for phase1 exchange ....

The trace shows that Shrew did not receive a response to the packet that it sent to the gateway. Since you indicate that the gateway logs show nothing, it does appear that the packets may be blocked.

There have been a few other posts on the list about people having problems with UMTS connections, but as far as I know, there's not been any resolution. This might mean that people have solved the problem and not written back, but it also might mean they've given up.
Also some UMTS operator block VPN Protocol....

Frage: Welcher Provider nutzt Du ?

evtl. hilft folgender Vorschlag aus gleicher Problemstellung "negotiation timout occurred" aus #54, #56:

PeterPawn schrieb:
Deine Konfiguration arbeitet in jedem Falle ohne NAT-T (lt. Protokoll erfolgt IKE über Port 500). In jedem Falle wäre (trotz Proxy) ein Versuch mit "NAT-Traversal: Force RFC" bei den Clienteinstellungen noch lohnenswert. Die automatische NAT-Erkennung scheitert wahrscheinlich irgendwie

Bitte mal testen.

- - - Aktualisiert - - -

ggf. Debugging aktivieren:
Auszug aus Shrewsoft Knowledgebase:

Enable IKE Service Debug Output

To enable the IKE Service debug output, start the VPN Trace application using Administrative privileges and perform the following steps.

Click the IKE Service Tab and Stop the Service
Open the File Menu and Select Options
- Set the Log output level to debug
- Click the OK Button
Click the IKE Service Tab and Start the Service

Copy IKE Service Debug Output Files

To make a copy of the IKE Service debug output, start the VPN Trace application using Administrative privileges and perform the following steps.

Click the IKE Service Tab and Stop the Service
Copy the following files from <VPN Client>\debug to a temporary directory
- iked.log

vel_tins · 27 Feb 2017

Pokemon20021 schrieb:
das Shrewsoft Logfile zeigt Probleme bei Verbindungsaufbau:

Frage: Welcher Provider nutzt Du ?

Der Provider in Deutschland ist die Telekom.

evtl. hilft folgender Vorschlag aus gleicher Problemstellung "negotiation timout occurred" aus #54, #56:

Bitte mal testen.

Wurde getestet, mit gleichem "Erfolg"

- - - Aktualisiert - - -

ggf. Debugging aktivieren:
Auszug aus Shrewsoft Knowledgebase:

Das von mir gepostete Shrewsoft Log, ist ein solches Debugging Log.
Ich werde das ganze jetzt noch auf einem anderen Win10 Rechner testen, mal sehen.

Shirocco88 · 27 Feb 2017

@vel_tins: könntest Du Shrewsoft pcap-Files vom VPN-Sessionaufbau erstellen und in Wireshark einlesen, um zu sehen wo der "Knoten" ist.

[HowTo] Fritz!Box-Fernzugang und ShrewSoft VPN Client - Schritt für Schritt

IPPF-Promi

Anhänge

andilao

Guest

IPPF-Promi

andilao

Guest

IPPF-Promi

IPPF-Urgestein

andilao

Guest

IPPF-Promi

IPPF-Urgestein

IPPF-Promi

IPPF-Urgestein

Mitglied

Mitglied

Mitglied

Mitglied

Mitglied

Aktives Mitglied

Statistik des Forums