[Frage] Standard-Szenarien für VPN zu Firmennetz mit FriBo als Initiator

4WD

Neuer User
Mitglied seit
20 Mai 2007
Beiträge
91
Punkte für Reaktionen
3
Punkte
8
Ich suche das erste Standardszenario, mit dem sich eine FritzBox (z.B. 7490 mit FW 6.60) mittels eines über den Assistenten (also die GUI) eingerichteten VPNs "Diese FRITZ!Box mit einem Firmen-VPN verbinden" bei der Gegenstelle meldet.

Ein "all/all/all" genügt mir hier nicht als Auskunft, sondern für mich wäre es wichtig zu wissen, was ich denn in beispielsweise einem bintec-Router als Szenario für die Phasen 1 und 2 des IPsec-VPNs denn einstellen müsste, also die Authentifizierungs- und Verschlüsselungs-Algorithmen.
XAUTH soll übrigens nicht verwendet werden.

Hat jemand dazu eine Information für mich?

Der AVM-Support hat mich zu dieser Frage leider nicht informieren können (oder wollen) und verwies darauf, dass sie nicht für die Einrichtung von Fremdroutern zuständig seien.
Eine tolle Aussage, wenn man bedenkt, dass die da gar nichts einstellen, sondern lediglich Informationen zu ihren eigenen Geräten heraus geben sollen.:confused:

CU, Axel
 
Die Suche nach dem Inhalt und der Bedeutung der Datei "ipsec.cfg" im FRITZ!OS sollte hier die notwendigen Informationen liefern.
 
Nicht das ich da was falsch verstehe ...
Eine .cfg Datei wird hier ja nicht verwendet, sondern (wie ich schon schrieb) der VPN-Assistent über die GUI.

Ich habe hier mal den m.E. zuständigen Ausschnitt aus der gesamten Konfiguration angehängt.


Code:
        } {
                enabled = no;
                editable = yes;
                conn_type = conntype_out;
                name = "Name der Verbindung";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "DynDNS-Name";
                keepalive_ip = 192.168.117.1;
                localid {
                        key_id = "KeyID";
                }
                mode = phase1_mode_aggressive;
                [COLOR=#ff0000]phase1ss = "all/all/all";[/COLOR]
                keytype = connkeytype_pre_shared;
                key = "PreSharedKey";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                [COLOR=#ff0000]phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";[/COLOR]
                accesslist = "permit ip any 192.168.117.0 255.255.255.0";
                app_id = 0;
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

und (wie ebenfalls schon geschrieben) mit all/all/all in Phase 1 kann ich irgendwie nichts anfangen.
 
Zuletzt bearbeitet:
die Werte für P1/P2 bzw. der Inhalt der Datei ipsec.cfg ist FW-Versionsspezifisch:

Hier die möglichen Verschlüsselungsschemata für P2 gemäß ipsec.cfg Definition der FB7490 06.60:

Die möglichen Verschlüsselungsszenarien sind mir bekannt.
Daher nochmal zu meiner Frage: Welches Szenario wird als erstes standardmäßig verwendet, wenn man den LAN-Firmennetzwerk-Assistenten der GUI benutzt?

Der Gegenrouter erwartet ein zu definierendes Szenario, welches ich vorgeben muß.

Es geht hier nicht darum eine cfg zu bauen, die man dann in die FriBo einbaut, sondern um die Anwendung des Assistenten mittels FritzBox-GUI.
Bitte meine Anfrage nicht nur lesen, sondern auch verstehen.
 
Die möglichen Verschlüsselungsszenarien sind mir bekannt.
Daher nochmal zu meiner Frage: Welches Szenario wird als erstes standardmäßig verwendet, wenn man den LAN-Firmennetzwerk-Assistenten der GUI benutzt?

Der Gegenrouter erwartet ein zu definierendes Szenario, welches ich vorgeben muß.
...
Bitte meine Anfrage nicht nur lesen, sondern auch verstehen.

Hoffentlich findest Du jemand, der Deine Anfrage #1 Dir direkt mundgerecht bereitstellt;
Bitte nicht falsch verstehen, aber ich habe keinen Bedarf an Diskussionen mit "Oberlehrer Marnier", so kommen Sätze von Dir bei mir an;
ich bin aus dem Thread raus;
 
Zuletzt bearbeitet:
Eine .cfg Datei wird hier ja nicht verwendet, sondern (wie ich schon schrieb) der VPN-Assistent über die GUI.
Na dann ist es ja gut ... Hauptsache AVM (genauer der avmike als der zuständige Daemon) weiß das auch - sonst geht das bestimmt schief.

4WD schrieb:
Bitte meine Anfrage nicht nur lesen, sondern auch verstehen.
Bitte die Anfrage so formulieren, daß man sie auch verstehen kann.

Es gibt eine standardisierte Vorgehensweise der beiden Seiten bei der Aushandlung von IPSec-Verschlüsselung und die beruht auf Verhandlungen (oder meinetwegen auch auf "aushandeln"). Damit ist es (bei korrekter Implementierung auf beiden Seiten) vollkommen schnuppe, was die FRITZ!Box und deren Gegenstelle jeweils "anbietet", solange es eine Schnittmenge gibt und per Definition wird aus dieser Schnittmenge der kryptographisch stärkste Algorithmus und die kürzeste "lifetime" (nach Zeit oder Datenmenge) für generierte Keys verwendet.

Manchmal ist es eben auch hilfreich, wenn man sich erst einmal die Grundlagen "anschafft" (das gilt zugegebenermaßen für VPN-Lösungen ganz besonders), bevor man die Hinweise, welche man bisher hier erhalten hat, einfach ignoriert, verwirft oder "abqualifiziert".

Aber Du weißt ja offenbar bereits genau, was Du eigentlich brauchst ... warum bedarf es dann der Hilfe hier aus dem Forum?
 
Sorry wenn das so ankam; ist nicht meine Absicht.
Ich bin es einfach leid, wenn ich auf Dinge hingewiesen werde, die ich natürlich schon überprüft habe, schließlich frage ich in diesem Fachforum erst dann, wenn ich anderweitig nicht mehr weiter kommen.
Das sollte gerade derjenige verstehen, der schon lange im Thema ist und sein Studium weit hinter sich gelassen hat (wie ich im Übrigen auch).
Einen Fragesteller dann gleich als "dummen Jungen" abzuqualifizieren ist da wenig hilfreich, auch wenn es für "alten Hasen" oft schwierig ist manche Sachen verständlich zu erklären.

Nach meinen bisher erarbeiteten Informationen werden Szenarien vom Initiator nicht zur Auswahl angeboten, sondern in einer Reihenfolge; es gibt also eine Art "Anfangs-Szenario".
Sollte das anders sein, dann nehme ich das gerne zur Kenntnis und versuche mich dementsprechend.

Das ich weiß was ich benötige impliziert sicher nicht, dass ich auch weiß wie ich es bekomme, oder?
Wäre mir die Hilfe dieses Forums nichts wert, hätte ich doch gar nicht erst hier gefragt.

Ich konnte aus den bisherigen Hinweisen nur das erkennen was ich vorher schon wusste und was ich auch im Startbeitrag zu verstehen zu geben versucht habe.
Wo ist jetzt der Fehler und was habe ich übersehen?

Was bedeutet beispielsweise:
Hauptsache AVM (genauer der avmike als der zuständige Daemon) weiß das auch - sonst geht das bestimmt schief.
Ich kenne keinen avmike und auch keinen Daemon, sondern allenfalls die mittels dieses AVM-Tools erzeugbare VPN.cfg-Datei, auf die hier aus Gründen der einfachen Installation des VPNs verzichtet werden soll.
Erkläre mir doch bitte was Du damit meinst, bzw. was das ist.
 
Zuletzt bearbeitet:
http://www.ip-phone-forum.de/showthread.php?t=278624

enthält u.a. ein Debug-Log eines "racoon" als Gegenstelle für eine FRITZ!Box; dort kann man dann auch sehen, wie eine FRITZ!Box sich beim ISAKMP-Exchange verhält.

Da ich (aus VPN-Sicht) mit dem Begriff "Szenario" (und erst recht "Standardszenario") nichts anfangen kann, weiß ich immer noch nicht genau, worauf Du am Ende hinauswillst. Die korrekten "Begriffe" (u.a. die Definition der DOI für IPSec) stehen in den RFC 240x für die erste IPSec-Version ... auch wenn diese RFC inzwischen "obsolet" sind, machen sie immer noch Sinn, denn die FRITZ!Box arbeitet mit IKEv1 und die neueren RFC (ab 4301) definieren eigentlich IKEv2.

Die Bemerkung
4WD schrieb:
Ich bin es einfach leid, wenn ich auf Dinge hingewiesen werde, die ich natürlich schon überprüft habe, schließlich frage ich in diesem Fachforum erst dann, wenn ich anderweitig nicht mehr weiter kommen.
erklärt in meinen Augen aber immer noch nicht, warum Du Deinerseits auf #2 mit der Feststellung reagierst:
4WD schrieb:
Eine .cfg Datei wird hier ja nicht verwendet, sondern (wie ich schon schrieb) der VPN-Assistent über die GUI.
Das zeigt ja eben gerade, daß Du Dich offenbar nicht genug damit beschäftigt hast ... wenn Du im Vorfeld Deiner Frage nicht auf die "ipsec.cfg" gestoßen sein solltest, "entschuldigt" das noch lange nicht, daß Du - zumindest dem Anschein nach - es auch nach dem Lesen von #2 nicht für nötig erachtetest, erst einmal mit dem angegebenen "Stichwort" noch einmal zu suchen.

Die Tatsache, daß diese Datei ein "cfg" im Namen hat, war für Dich wohl bereits Grund genug, meinen Beitrag zu ignorieren bzw. als nicht zielführend anzusehen ... dabei enthält eben genau diese Datei die Definitionen, was sich hinter "all/all/all" für P1 und "esp-all-all/ah-none/comp-all/no-pfs" für P2 dann "verbirgt". Unter anderem deshalb schrieb ich von "Inhalt und Bedeutung" dieser Datei.

Da macht die Feststellung
4WD schrieb:
Sorry wenn das so ankam; ist nicht meine Absicht.
dann auch nur wirklich Sinn, wenn man den eigenen "Fehler" ohne wenn und aber eingesteht ... jeder nachträgliche Versuch der Relativierung macht dann dieses "Sorry" eigentlich nur wieder unglaubwürdig, vor allem dann, wenn die Begründungen nicht schlüssig sind.

Wenn Du in derselben Art und Weise beim AVM-Support aufgelaufen bist, dann kann ich deren Reaktion irgendwie auch verstehen ... vielleicht hat man Dich ja dort ebenfalls auf die "ipsec.cfg" hingewiesen, die genau Deine Forderung
4WD schrieb:
Eine tolle Aussage, wenn man bedenkt, dass die da gar nichts einstellen, sondern lediglich Informationen zu ihren eigenen Geräten heraus geben sollen.
erfüllen würde? Hast Du diesen (hypothetischen) Hinweis dort vielleicht ebenfalls falsch verstanden?

Ansonsten ist der "avmike" der zuständige Daemon für VPN-Verbindungen in der FRITZ!OS-Firmware ... solltest Du mit diesen Begriffen tatsächlich nichts anfangen können (der ist hier im IPPF mehrmals thematisiert, ebenso wie die Frage, wie man an dessen Protokoll-Informationen kommt), wäre auch hier allerdings der Einsatz einer Suchmaschine zu empfehlen.
 
http://www.ip-phone-forum.de/showthread.php?t=278624
Da ich (aus VPN-Sicht) mit dem Begriff "Szenario" (und erst recht "Standardszenario") nichts anfangen kann, weiß ich immer noch nicht genau, worauf Du am Ende hinauswillst.

Dann möchte ich es mal andersrum erklären und mein Vorhaben wird vielleicht ein wenig deutlicher.

Nehmen wir mal eine handelsübliche FriBo 7490 mit der FW 6.60 an.

Ich möchte unter Verwendung der FritzBox Bordmittel, also des Assistenten für VPN (VPN hinzufügen) ein solches VPN zu einem Firmennetzwerk aufbauen (Diese FRITZ!Box mit einem Firmen-VPN verbinden).

Die einzigen in der FritzBox möglichen Einstellungen für

1. VPN-Benutzername(Key-ID)
2. VPN-Kennwort (Preshared Key)
3. Internetadresse der VPN-Gegenstelle
4. IP-Netzwerk der VPN-Gegenstelle

habe ich entsprechend vorgenommen; eine Verbindung kommt jedoch nicht zustande

Die Einstellungen der FriBo kann ich nicht weiter beeinflussen, die des Responder-Routers aber schon.

Responderrouter ist in diesem Fall eine bintec be.IP (Firmware V.10.1.21.100).
Key-ID heißt bei bintec Peer-ID und ist genau so wie der PSK natürlich auf beiden Geräten identisch.

Die im bintec werksseitig vorgegeben (aber veränderbaren) Szenarien für die Phase 1 sind

AES mit SHA2
AES mit SHA1 oder
3DES mit SHA1


alles mit DH-Gruppe 5 und einer Lifetime von 14.400sec eingetragen.
"NAT-Traversal" ist ebenfalls eingeschaltet und ob die Erreichbarkeit mittels Heartbeats überprüft wird, das können die Geräte untereinander aushandeln.

In der Phase 2 sind die gleichen Proposals für Verschlüsselung und Authentifizierung eingetragen und es wird die PFS-Gruppe 5 vorgegeben.
Komprimierung ist ausgeschaltet.

Es kommt keine Verbindung zustande.
Meine Vermutung ist daher, dass die FritzBox mit einem in der bintec nicht eingetragenen Szenario ankommt und die Verbindung daher scheitert.

Die Einträge im bintec kann ich anfassen, die in der FritzBox nicht; da muß ich das nehmen was AVM anbietet.
Weshalb das so ist kann ich bei Bedarf erklären, aber vielleicht nimmt man das ja mal einfach so hin.

Vielleicht hatte ich meine Frage ja auch falsch formuliert und sie wird jetzt deutlicher.

Was muß ich im bintec-Router einrichten damit die FritzBox ein VPN initiieren kann ?



Nachtrag:
Nicht das jemand der Ansicht ist, ich hätte nicht ausreichend hier im Forum und auch anderswo gestöbert.

Die Threads
AVM-VPN - oder auch: 54 Minuten sind eben keine ganze Stunde und VPN zwischen Bintec Hybrid / Telekom Digitalisierungsbox Premium und Fritzbox 7390 sind mir natürlich bekannt, und auch noch einige andere Threads wurden von mir vorab eingesehen.

Und ich gebe gerne zu, dass ich mich zwar mit mit Netzwerktechnik beschäftige, aber kein "Server-Mann" bin und auch in Sachen VPN scheinbar nur rudimentäre Kenntnisse besitze.
Wie für viele Leute gilt auch für mich: "je mehr ich weiß, desto weniger weiß ich", stelle also meine Defizite fest.
Irgendwie ist EDV ein derart weit gefasstes Gebiet, dass eben nicht jeder alles darüber weiß und ich bitte mir das nachzusehen.
Sollte ich auf einen Hinweis falsch reagieren, dann genügt es durchaus mich darauf nochmals hinzuweisen.

CU, Axel
 
Zuletzt bearbeitet:
Die im bintec werksseitig vorgegeben (aber veränderbaren) Szenarien für die Phase 1 sind

AES mit SHA2
AES mit SHA1 oder
3DES mit SHA1


alles mit DH-Gruppe 5 und einer Lifetime von 14.400sec eingetragen.

Warum ignorierst Du Beitrag #2 ?
hier sind doch auf Anhieb Lösungshinweise zu erkennen, z.B. Verwende FB-Setting "dh5/aes/sha" für P1:
Code:
                name = "dh5/aes/sha";
                comment = "dh_group_modp5";
                dhgroup = dh_group_modp5;
                life_dur_sec = 1h;
                life_dur_kb = 0;
                accept_all_dh_groups = no;
                proposals {
                        hash = ike_sha;
                        enc {
                                type = ike_aes;
                                keylength = 256;
                        }
                }{
                        hash = ike_sha;
                        enc {
                                type = ike_aes;
                                keylength = 192;
                        }
                } {
                        hash = ike_sha;
                        enc {
                                type = ike_aes;
                                keylength = 0;
                        }
                }

für P2 gilt analoges ....

[OT]
@4WD: aufgrund des Threadverlaufs könnte zur Ansicht kommen, dass Du dich irgendwie selbst blockierst bzw. Hinweise von Hilfswilligen nicht annimmst oder gar tw. vor den Kopf stößt; evtl. mal raus gehen und frische Luft tanken[/OT]

- - - Aktualisiert - - -

evtl. hilft Dir http://s3.router-forum.de/attachments/attachment-5013.jpg als Einstellungs-Vorlage für P1/P2.

- - - Aktualisiert - - -

Quelle: http://www.router-forum.de/board-bi...hen-bintec-und-avm-fritzbox-64371-page-1.html
 
@4WD:
Eben weil ich Dir eigentlich nicht auf die Füße treten wollte (was alles zum VPN-Verständnis bei AVM notwendig ist, steht nun wirklich in genug anderen Threads und ich habe mir in #2 jeden weiteren Hinweis auf die Forensuche verkniffen ... ebenso ist die (erneute) Aufzählung, was zu einer nachvollziehbaren Fehlermeldung beim VPN gehört, sicherlich nicht erforderlich und das ist definitiv mehr als "eine Verbindung kommt jedoch nicht zustande"), habe ich #2 extrem kurz (und dennoch präzise) gehalten - was ansonsten eher nicht meine Art ist (also das mit "kurz", "präzise" hoffentlich schon).

Wenn Du eine VPN-Verbindung "nach Anleitung" konfiguriert hast (was ja bei anderen offenbar funktioniert, jedenfalls würde ich den Beitrag in router-forum.de so interpretieren) und diese nicht funktioniert, dann gehören auch da bereits die Konfigurationen auf beiden Seiten und auch die passenden Protokoll-Dateien dazu ... ich habe allerdings keine Ahnung, wie gut die Protokollierung in einer be.IP ist - bei AVM ist sie eher grottig, aber zumindest vorhanden.

Das ändert aber auch nichts daran, daß sich bei der "ipsec.cfg" von AVM seit einiger Zeit (irgendwo um 06.20 herum - die entsprechende aktuelle Datei gibt es hier auch in irgendeinem Thread, falls Du sie selbst nicht aus einem Firmware-Image auspacken willst oder kannst) nichts Großartiges geändert; da spricht also absolut nichts dagegen, daß man sich entsprechend in der "ipsec.cfg" informiert.

Bereits wenn man sich die Vorgaben im bintec-Gerät (nach Deinem Text in #10) ansieht, ergibt das eine erhebliche Differenz bei der "lifetime", denn 3600 Sekunden bei AVM (solange man kein LT8h-Set verwendet) sind eben keine 14.400 Sekunden bei bintec.

Das sollte a priori zwar gar nicht schaden (die kürzere Zeit sollte "gewinnen"), aber alleine die drei bintec-Vorgaben für P1 und die drei für P2 ergäben (das sagt uns die Kombinatorik) neun verschiedene Paarungen und da wäre es schon nicht ganz uninteressant, was Du da eigentlich (und mit welchem "ausführlichen" Ergebnis anstelle von "verbindet nicht") im Einzelnen probiert hast.

Daß bei AVM keine Auswahl des Proposal-Sets im GUI-"Editor" (so kann man den eigentlich nicht nennen, weil ein Bearbeiten eben nur sehr, sehr eingeschränkt möglich ist) gibt, ist allgemein bekannt - zumindest steht es ebenfalls in diversen Threads hier.

Wenn man also ein "spezielles Bedürfnis" hat, dann muß man eben eine "handgearbeitete Konfiguration" verwenden ... da wird dann die Forderung
4WD schrieb:
Es geht hier nicht darum eine cfg zu bauen, die man dann in die FriBo einbaut, sondern um die Anwendung des Assistenten mittels FritzBox-GUI.
schnell zum Hemmschuh für die Verwendung längerer Werte beim DHE.

AVM akzeptiert zwar (jedenfalls nach meiner Interpretation) beim "all/all/all"-Set eingehend auch bessere "DH groups" (accept_all_dh_groups = yes;), verwendet aber wohl ausgehend selbst weder "modp5" oder "modp14" (dhgroup = alt;) - damit kann dann auf der be.IP die "DH group 5" als einzige Auswahlmöglichkeit wohl vergessen.

Das sollte aber irgendwo in den Protokollen (und teilweise sogar in den Fehlernachrichten beim Versuch des Verbindungsaufbaus - m.W. gibt es einen Fehlercode für "no intersection") stehen ... da muß man gar nicht raten und solange Du wirklich nur nach den passenden Informationen suchst und nicht nach einem "mundgerechten Häppchen", was man bloß noch abschreiben muß, sollten die vorliegenden Informationen ausreichend sein, damit man nunmehr eigene, weitergehende Recherchen ausführen kann.
 
Zuletzt bearbeitet:
Gut, keine DH-Gruppen, das hilft mir doch schon mal weiter,
vielen Dank, werde ich mal so testen.

Eine spezielle Config in die FriBos schieben geht nicht, weil ich den Einrichtern das nicht als Anleitung in die Hand mit nach Hause geben, es aber auch aufgrund der entfernten Örtlichkeiten auch nicht selber in deren FritzBoxen einbauen kann.
Ich habe da lediglich Zugriff auf die differenzierten Einstellungen des VPNs in der bintec.
Lifetime kann ich natürlich problemlos in der bintec anpassen, wobei ja auch mit unterschiedlichen Werten zunächst eine Verbindung hätte zustande kommen müssen.

@scirocco88
Den Vorschlag aus dem router-forum hatte ich gesehen, ihn aber verworfen, weil dort die peer-ID als Mail-Adresse ausgeworfen wird (nicht als FQDN) und ich nicht weiß ob das relevant ist.

und Du hast sicher recht, dass ich eine mundgerechte Lösung suche und bevorzugen würde, schon weil ich bereits viel Zeit in die Lösung investiert habe.
Aber auch Deinen Rat habe ich befolgt und bin mal vor die Tür gegangen ... oft hilft sowas.

Ich habe übrigens schon verschiedene lancoms, ciscos, safeguards und bintecs zusammengebracht und tue mich bei den FritzBoxen offensichtlich schwer,
sicherlich weil mir die passenden Einstellungsdaten eben genau nicht mundgerecht geliefert werden bzw. ich diese bei den AVM Geräten nicht wählen kann.

Sorry für die Mühen die ich Euch hier verursache, aber wenn die Hersteller nicht helfen, wo soll man sonst nachfragen als in kompetenten Foren?
Auch habe ich nicht das Bedürfnis sämtliche Feinheiten der VPNs zu entschlüsseln und zu verstehen, sondern einfach nur beliebige FritzBoxen simpel mit bintec-Routern verbinden.

Vielleicht gibt es irgendwann mal wieder einen Thread hier im Forum, in dem ich mit meinen Kenntnissen aufwarten und jemand anderem helfen kann; ist ja auch schon vorgekommen.

Dank und Grüß,
Axel
 
Sorry ... aber wenn Du eine VPN-Konfiguration per GUI einrichten (lassen) kannst, kannst Du ebenso eine vorbereitete Datei importieren (lassen).

Das Argument halte ich also für weniger stichhaltig - wenn Du den "Einrichtern" einen Screenshot irgendwelcher GUI-Masken an die Hand geben kannst (oder eine Beschreibung), dann sollte das auch mit einer stinknormalen Textdatei (notfalls mit Template oder gar mit einem kleinen Skript, welches so eine Datei nach Deinem Bedarf generiert) möglich sein.

Man braucht für deren Erstellung bzw. das Bearbeiten ja nur einen passenden Editor (wobei ich nicht einmal sicher bin, ob da wirklich auf 0x0A als Zeilenende bestanden wird und ob 0x0D0A tatsächlich zu Problemen führt) und nicht unbedingt das AVM-Programm (dieses ominöse "FRITZ!Fernzugang konfigurieren").

Dann einfach diese Datei importieren anstatt eine neue Verbindung einzurichten (ist m.E. der letzte Punkt von den vier Möglichkeiten im GUI-"Editor") und fertig ist die Laube ... da sollte man keinesfalls hingehen und kürzere DH-Keys verwenden, nur weil das FRITZ!OS das von sich aus vielleicht so macht. Es ist am Ende ja auch eine Frage der Absicherung von P1 - man muß die Sicherheit ja nicht mit Macht aufweichen.
 
Ich habe die Erfahrung gemacht, das viele FritzBox-Besitzer schon Probleme damit haben die GUI überhaupt aufzurufen und bereits die Grundeinrichtung (also die Einrichtung der FritzBox als Internetzugang) von dritten erledigen lassen.
Eine Datei zu importieren fällt diesen Leuten deutlich schwerer als nach Aufruf einer Webseite ein paar Haken zu setzen und die ihnen vorgegebenen Wörter einzutragen.

Vielleicht kann man sich als User dieses Forums nicht vorstellen wieviel noch erheblich unbedarftere Internetbenutzer es "da draußen" so gibt.
Meine Anfragen hier haben sicherlich gezeigt, dass es selbst bei denjenigen, die sich auch beruflich täglich mit derartiger Materie beschäftigen, noch deutliche Wissensdefizite gibt.

Ich glaube eher nicht, dass die "Einrichter" dazu in der Lage wären, einen ihnen überlassene Datei aufzurufen und einzupflegen.
 
Meine Anfragen hier haben sicherlich gezeigt, dass es selbst bei denjenigen, die sich auch beruflich täglich mit derartiger Materie beschäftigen, noch deutliche Wissensdefizite gibt.
Man kann zwar aus deinen Beiträgen deutlich herauslesen, dass es neben Wissens- auch noch andere Defizite gibt, aber ich kann aus dieser Tatsache irgendwie keinen Nutzen ziehen. :(
 
Man kann zwar aus deinen Beiträgen deutlich herauslesen, dass es neben Wissens- auch noch andere Defizite gibt, aber ich kann aus dieser Tatsache irgendwie keinen Nutzen ziehen. :(

Hm ... ich aus Deiner Einlassung aber auch nicht.
Hast Du so die stolze Zahl an Beiträgen zusammen bekommen?
Sorry, aber da haben wir scheinbar unterschiedliche Vorstellungen von Forengeist.

Aber zurück zum Thema:
TeamViewer und Co sind natürlich vorhanden und kosten mich auch jährlich eine Menge Geld, insofern könnte ich ganz froh sein, wenn damit wieder was herein verdient wird.
Meine Eingangsfrage war aber nicht "Wie richte ich bei diversen FritzBoxen eine VPN-Verbindung zu einem bintec-Router ein", sondern war eher die nach der sinnvollen Einrichtung der bintecs, damit man den Assistenten der FB benutzen kann.

Auch möchte ich gar nicht wissen wie VPN denn nun im Detail funktioniert; es genügt mir ein Grundwissen dazu.

Derjenige der hier schon geschrieben hatte, ich würde am Liebsten eine "mundgerechte" Lösung serviert bekommen, der hat sicherlich recht mit dieser Aussage.
Aber ist mein Wunsch jetzt so schlimm?
Sollte das tatsächlich so sein, dann bitte ich um Entschuldigung hier in diesem Forenbereich gestört zu haben.
Aber auch Entschuldigungsbitten werden hier ja auch eher nicht akzeptiert und es wird lieber weiter eingeprügelt.
In anderen Bereichen des IPPF ist das glücklicherweise anders und dort komme ich her.

CU, Axel
 
So langsam muß man ja auch nicht mehr verstehen, was Du nun eigentlich willst.

Die Information, welche Proposals eine FRITZ!Box mit den per GUI konfigurierten Verbindungen verwendet, hast Du hier erhalten (bereits in #2) ... auch wenn das "nur" in der Form des richtigen Verweises war (bzw. sogar nur in Form eines Stichworts für die eigene Suche) und man Dir das eigene Nachsehen nicht abnehmen konnte/wollte. Das ist ja wohl genau der gesuchte Punkt gewesen, wenn Du in #1 erfahren wolltest (zumindest vom AVM-Support), was das AVM-VPN nun verwendet (letzter Satz in #1).

Und "Entschuldigungsbitten", die nur pro forma als Bitte verkleidet sind und am Ende nur erklären, daß doch die anderen eigentlich daran schuld sind, wenn sie Dein Anliegen tatsächlich wörtlich als Bitte um Informationen interpretieren (immer noch aus #1 zitiert) und nicht gleich verstehen wollen, daß Du eigentlich nur jemanden suchst, der Dir die Arbeit abnimmt, kann man einfach nicht wirklich als Entschuldigung ansehen. So ein Wunsch wäre zwar tatsächlich "nicht schlimm", wenn er denn auch von Beginn an so deutlich geäußert wird ... das spart nämlich dann auch dem Antwortenden jede Menge Zeit, weil er (zumindest gilt das für mich) das im Geiste dann gleich aussortieren kann.

Ich habe nichts gegen Wissenstransfer ... wenn mir aber jemand erklärt, er wolle sich eigentlich gar nicht wirklich schlau machen (und das vorhandene "Grundwissen" ist ja offenkundig nicht ausreichend, sonst wäre damit ja auch die gestellte Frage zu beantworten bzw. sonst wäre der Hinweis in #2 ja problemlos aufzunehmen gewesen) und suche nur einen Dummen, der ihm die Arbeit abnimmt (#18), dann mißversteht derjenige nach meinem Dafürhalten den "Forengeist" ganz gewaltig - ich bin jedenfalls nicht ohne weiteres bereit, mich ausnutzen zu lassen, nur damit derjenige, der das Problem eigentlich hat und damit automatisch auch für seine Lösung zuständig ist, sich weniger anstrengen muß.

Wenn jemand das hier als "Premium-Support" versteht, der immer dann einspringen soll, wenn ein Hersteller nicht weiterhelfen kann, dann hat er entweder einer "Community" auch etwas zurückzugeben (und das nicht in Form von genervten Reaktionen, daß man doch sein Anliegen bitte richtig verstehen solle, auch wenn er es nicht klar darstellt) oder er muß sich eben professionelle Hilfe suchen, die dann mit entsprechenden Kosten verbunden ist. Alles andere ist reines "Leeching" ... auch kein Problem, dann aber auch ganz klar mit der Ansage, daß man genau das erhält, wofür man "gezahlt" hat und daß dann das gezeigte "Anspruchsdenken" vollkommen fehl am Platze ist.

Vor allem dann, wenn man selbst das hier offenbar nur als "Kummerkasten" versteht, sich alle Jubeljahre mal blicken läßt und dabei dann genau seine eigenen "Bedürfnisse" befriedigt (die in der Regel eben im Lösen der eigenen Probleme bestehen) und ansonsten (außer wenig qualifizierten Reaktionen auf erhaltene Antworten und ich war ja nicht der Erste in diesem Thread, dem das "Abbügeln" sauer aufstieß) selbst nichts wirklich beiträgt. Der schnelle Blick auf die letzten 20 Beiträge (da landet man dann schnell bereits in 2014) offenbart jedenfalls deutlich mehr Fragen an die Leute hier in den Foren als eigene Versuche, jemandem zu helfen.

Um kein Mißverständnis aufkommen zu lassen ... es ist mir bei jemandem, der keine Ahnung hat, allemal lieber, wenn er keine falschen Antworten liefert und sich eher heraushält (das erspart Korrekturen). Wenn so jemand dann aber über den "Forengeist" im IPPF schwadroniert und sich aufregt, dann wird es schon fast wieder witzig.

Abgesehen davon weiß hier nun immer noch kein Mensch, ob Du es inzwischen geschafft hast, die von AVM in den per GUI erstellten Verbindungen verwendeten Sets anhand der "ipsec.cfg" zu analysieren ... insofern ist das Thema entweder noch keinen Schritt weitergekommen (was kaum daran liegen kann, daß die "ipsec.cfg" nicht zugänglich ist, denn auch deren Existenz in irgendeinem Thread hier habe ich extra noch einmal betont) oder es ist mit dem Wissenstransfer in der anderen Richtung eben auch nicht weit her und nach der Lösung des (eigenen) Problems kehrt dann ganz schnell wieder Stille ein.
 
... und nach der Lösung des (eigenen) Problems kehrt dann ganz schnell wieder Stille ein.

Manchmal auch ohne eine Lösung ...
... denn wie der aufmerksame Leser bemerkt haben wird, bin ich offensichtlich etwas zu sensibel um hier jetzt weiterzumachen.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
244,695
Beiträge
2,216,699
Mitglieder
371,316
Neuestes Mitglied
realbluethunder
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.