Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

[Fritzbox]

OK, das werde ich mal versuchen wenn ich aus Asien zurück bin

 

[heimwerker1]

Danke. Bin Mitte Oktober vor Ort und gebe danach hier Feedback.

Hammer, das klappt!

SkyGo und Zattoo funktionieren jetzt im Ausland .

@buecke, herzlichen Dank für Deine kompetente Unterstützung!

 

[heimwerker1]

Ich musste jetzt meine fritz.box über "Internetzugang über LAN" an einen anderen Router anschließen. Leider funktioniert dann der Internet-Zugang mit die manuell geänderten VPN-Einstellungen nicht mehr, auch kein ping. Mit den Standard-Einstellungen funktioniert das Internet, aber dann halt mit der ausländischen (lokalen) IP.

Hat jemand eine Idee, was ich ändern muss, damit VPN inkl. IP der entfernten Box auch über einen weiteren Router (Internetzugang über LAN) wieder funktioniert (war vorher "über Mobilfunk" (UMTS)).

 

[n0niL]

Hallo,

habe die Anleitung hier gelesen, verstehe aber noch nicht so genau wie das funktioniert. Nutze mit meinem Macbook und Handy mein VPN.
Wie muss ich die cfg-Datei der Fritzbox ändern?

Habe
accesslist = "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255";
nach
accesslist = "permit ip any 192.168.178.201 255.255.255.255";
geändert.
Aber dann komm ich gar nicht mehr ins VPN...

Bitte um Hilfe.

 

[Micha0815]

Falls Du die VPN-Config-Dateien auf einem Windows-PC erstellt hast /erstellen kannst, sollte Dir
http://www.avm.de/de/Service/Servic...l/VPN_Interoperabilitaet/15451.php?portal=VPN

für Mac+Handy (I-Phone?) weiterhelfen.
LG

 

[n0niL]

Handy = Samsung. Aber das ist ja egal.
Ich komme ja bin beiden in mein VPN, nur komme ich nicht ins Internet. Möchte die Accessliste so ändern, dass ich auch ins Internet komme.
Aber wenn ich es so ändere, wie ich vorher (und in der Anleitung) beschrieben, dann geht es eben nicht

 

[Micha0815]

Mit einem Linuxfähigen Editor sollte es in der Boxconfig so aussehen

accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255", 
                             "permit ip any 192.168.178.201 255.255.255.255";

wie es das AVM-Programm erstellt.

Auf der Clientseite musst Du schauen, wie Android/Mac das "begreifen"

Auf einer Client-Windowsmaschine sieht es so aus

accesslist = "permit ip any 192.168.178.0 255.255.255.0", 
                             ... 
                             "permit ip any any";

LG und hoffentlich richtigherum angegeben?

 

[n0niL]

OK, danke. aber das hilft mir nicht so recht weiter.

Die Accesslist der Fritzbox muss ich so änder:
accesslist = "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255";
nach
accesslist = "permit ip any 192.168.178.201 255.255.255.255";

Beim Klienten sollte ja das stehen:
accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

Nur weis ich weder beim Mac noch beim Android Handy wo man des Einstellen sollte. Brauch ich da ein Extra-Programm?

 

[Micha0815]

Schaue bitte nochmals in meinen #407 rein. Asche übermein Haupt.

Für den MAC hatte ich Dir bereits den AVM-Link angegeben. Dort wird auf
http://www.lobotomo.com/products/IPSecuritas/index.html
verwiesen.

Für Dein Android
http://www.avm.de/de/Service/Servic...l/VPN_Interoperabilitaet/16518.php?portal=VPN

In den Anleitungen musst Du nur die IP-Segmente Benutzername Keys anpassen.

Falls Deine Box 192.168.178.1 halt entsprechend das vorletzte Segment (in den Bsp. wurde einmal 10 und einmal 100 verwandt) abändern.

LG

 

[wolf.art]

Ich musste jetzt meine fritz.box über "Internetzugang über LAN" an einen anderen Router anschließen. Leider funktioniert dann der Internet-Zugang mit die manuell geänderten VPN-Einstellungen nicht mehr, auch kein ping. Mit den Standard-Einstellungen funktioniert das Internet, aber dann halt mit der ausländischen (lokalen) IP.

Hat jemand eine Idee, was ich ändern muss, damit VPN inkl. IP der entfernten Box auch über einen weiteren Router (Internetzugang über LAN) wieder funktioniert (war vorher "über Mobilfunk" (UMTS)).

So ein ähnliches Problem habe ich auch: FB vorher über UMTS Stick im Internet, VPN zu FB Zuhause und im Büro ging. Jetzt hängt die FB per "Internetzugang über LAN1" an einer WLAN-Bridge eines Providers und bekommt eine feste IP (192.168.1.99) aus dem Netzt des Providers (oder von "meinem" Ende der WLAN-Bridge). Ich kann in deren Konfiguration nicht rein, aber der Provider hat auf meinen Wunsch NAT-Trasversal, und die Ports 500 und 4500 auf meine IP 192.168.1.99 geleitet. sowie meine DynDns Daten eingetragen. (In meinem Dyn Account sehe ich die aktuelle externe IP, welche ich auch per PC unter "Showip.net" angezeigt bekomme.
Das VPN mit den per AVM Programm erzeugten cfg funktioniert natürlich nicht, da die Box meldet dass ihre IP (192.168.1.99) keine öffentliche IP sei. Gibt es einen Weg die Box "auszutricksen"? Evtl. durch Anpassungen in der cfg? Wäre für jede Hilfe dankbar!

 

[PeterPawn]

aber der Provider hat auf meinen Wunsch NAT-Trasversal

Was soll das sein ? Irgendwann muß der Router/was-auch-immer des Providers ja Deine IP-Pakete mal auf eine "offizielle" IP-Adresse umschreiben, das ist dann NAT (outgoing). NAT (incoming) käme z.B. zum Einsatz, wenn Du eine Portfreigabe auf einer Fritz!Box einrichtest.

und die Ports 500 und 4500 auf meine IP 192.168.1.99 geleitet

Ok, das ist ein Anfang, wenn er es richtig gemacht hat. Du bräuchtest das UDP-Protokoll für beide Ports, TCP-Weiterleitungen sind nutzlos.

UDP(!) 500 ist ISAKMP/IKE, was aber in Deinem Falle auch ziemlich nutzlos ist. Damit das funktioniert, müßte das Provider-Gateway "IPSec-Passthrough" machen, d.h. alle Pakete mit ESP-Protokoll (Nummer 50) und UDP 500 für den Schlüsselaustausch ohne Änderungen (also auch ohne die externe Adresse durch Deine 192.168.99.ZZZ zu ersetzen) an Deine Box weiterleiten und dürfte die von Deiner Box gesendeten Pakete auf ihrem Weg in das Internet nicht modifizieren, was aber wegen des erwähnten NAT nicht möglich ist.

UDP 4500 ist IPSec/NAT-T, das wäre in Deinem Falle das Protokoll, das zum Einsatz kommen muß. Dabei werden die eigentlichen IPSec-Pakete noch einmal zusätzlich in UDP-Paketen gekapselt, mit denen dann ein "Passieren" eines NAT-Gateways - und das ist dann NAT-Traversal - erst möglich wird, da in den äußeren UDP-Paketen sowohl die Adresse als auch der Port durch das NAT-Gateway geändert werden dürfen.

sowie meine DynDns Daten eingetragen. (In meinem Dyn Account sehe ich die aktuelle externe IP, welche ich auch per PC unter "Showip.net" angezeigt bekomme.

Das ist zwar nett, aber wahrscheinlich relativ nutzlos. Ich glaube auch nicht, daß Du hier mit einer AVM-Standardkonfiguration mit DynDNS-Adressen weiterkommen wirst.

Das VPN mit den per AVM Programm erzeugten cfg funktioniert natürlich nicht, da die Box meldet dass ihre IP (192.168.1.99) keine öffentliche IP sei.

Wann und bei welcher Aktion meldet "die Box" das ?

Gibt es einen Weg die Box "auszutricksen"? Evtl. durch Anpassungen in der cfg ?

Vermutlich.

So weit, so kryptisch ... aber frisch ans Werk.

Werkzeug/Material bereitlegen:
1. Editor, der sich mit den unterschiedlichen Zeilenenden von DOS und Unix auskennt, z.B. NotePad++
2. Zwei relativ leere VPN-Konfigurationsdateien.

vpncfg {
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "Alice_to_Bob";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "dyndns_name_der_box_von_bob";
                keepalive_ip = lan_ip_der_box_von_bob;
                localid {
                        fqdn = "der_name_hier_ist_eigentlich_egal_er_muß_nur_gespiegelt_sein_zwischen_alice_und_bob";
                }
                remoteid {
                        fqdn = "bob_dnu_ecila_nehcsiwz_nies_tlegeipseg_run_ßum_re_lage_hciltnegie_tsi_reih_eman_red";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "hier_kommt_der_preshared_key_hin,am_besten_etwas_kompliziertes_wie_1234567890";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.XXX.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.YYY.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.YYY.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Bob ist z.B. die Box im Büro und Alice ist jetzt die Box mit der externen IP-Adresse 192.168.99.irgendwas hinter dem Provider-Router. Für sie paßt die o.a. Datei schon, wenn Du folgende Zeilen noch anpaßt:

1. DynDNS-Name von Bob
2. Keepalive-IP von Bob => kann auch wegbleiben, dann macht Alice die VPN-Verbindung nur auf, wenn Daten zu übertragen sind - das verzögert dann die ersten Pakete etwas, wenn Du die Adresse wegläßt, sollte die komplette Zeile raus ... ansonsten gehört da die lokale IP-Adresse der Fritz!Box bei Bob hinein
3. FQDNs auf eine sinnvolle Länge kürzen => Du kannst auch die DynDNS-Namen der jeweiligen Seite nehmen, aber es kommt nur auf korrekte Übereinstimmung und Kreuzung zwischen local und remote an
4. einen sinnvollen Preshared Key => ich nehme immer 64 Zeichen Zufall, längere Schlüssel habe ich noch nicht getestet
5. In phase2localid->ipnet->ipaddr das XXX durch die korrekte LAN-Adresse im lokalen Netz von Alice ersetzen
6. In phase2remoteid ->ipnet->ipaddr das YYY durch die korrekte LAN-Adresse im entfernten Netz von Bob ersetzen
7. in accesslist noch das YYY auf Bob anpassen

Damit ist die VPN-Konfiguration für Alice eigentlich fertig. Noch ein Hinweis: Nach meinen Erfahrungen sind neuere Versionen von firmwarecfg (das wird von der Box zum Einlesen der VPN-Konfiguration benutzt) etwas zickig, wenn in einer Zeile hinter dem abschließenden Semikolon oder der geschweiften Klammer noch irgendwelche Leerzeichen oder Tabulatorzeichen stehen. Notepad++ hat einen Modus, in dem Du Dir diese "Sonderzeichen" auch anzeigen lassen kannst.

Aus der soeben erstellten Datei für Alice machen wir jetzt die für Bob. Dazu entfernen wir die Zeilen "remotehostname" und "keepalive_ip" komplett, vertauschen die fqdn-Zeilen für phase1 und die ipaddr-Zeilen für phase2 zwischen local und remote und ändern accesslist nun so, daß dort die IP-Adresse des Netzes von Alice steht.

Dann importieren wir zuerst die Konfiguration für Bob in die Fritz!Box von Bob und anschließend die von Alice in die andere Box. Da Bob keine Ahnung hat, wo sich Alice befinden könnte (er hat keine remotehostname-Zeile in seiner Konfiguration), kann er also die VPN-Verbindung nicht starten (das würde wahrscheinlich ohnehin nicht klappen). Bob wartet also ganz geduldig, bis Alice sich meldet.

Sowie jetzt irgendwann bei Alice ein Paket an eine Adresse im Netz von Bob auftaucht, hält Alice dieses Paket erst einmal fest und baut im Hintergrund die benötigte VPN-Verbindung auf. Wenn die Topologie so aussieht, wie ich sie mir nach Deinem Text vorstelle, kommt bei Bob ein Paket mit der Absenderadresse des Provider-Gateways von Alice und dem Zielport UDP 4500 an. Da damit auf der Seite von Alice ein "Tunnel" durch das NAT aktiviert wurde (schließlich muß die Antwort Alice ja irgendwie erreichen können), kann Bob jetzt an die Absenderadresse des bei ihm eingegangenen Pakets antworten und kennt nun die externe Adresse von Alice und den Port, der von der Internetadresse des Provider-Gateways zum Port 4500 von Alice führt. Die beiden sprechen sich jetzt erst einmal gründlich aus, stellen dabei fest, ob die andere Seite auch wirklich die ist, die sie vorgibt zu sein (dafür der PSK als "gemeinsames Geheimnis") und machen für die nahe Zukunft eine Geheimwort aus, das nur sie beide kennen. Anschließend schickt Alice noch das bisher zurückgehaltene Paket an Bob und damit ist es dann erst einmal gut. Um sicher zu gehen, daß die Gegenseite noch da und auch sie selbst ist (die könnte ja auch plötzliche eine andere dynamische Adresse haben und dann ist es auf einmal nicht mehr Alice, sondern ihre Großmutter mit den großen Ohren, mit der Bob redet) und um den Tunnel durch das NAT des Providers offen zu halten, unterhalten die beiden sich in relativ kurzen Abständen. So stellen Sie fest, ob sie noch da sind und halten die VPN-Verbindung am Leben (keepalive). Die Initiative dazu geht wieder von Alice aus.

Blöd ist jetzt nur, daß AVM meines Wissens den keepalive-Parameter erst nachträglich implementiert hat und ich nicht sagen kann, ob er in Deiner (doch ziemlich alten) 7170 schon benutzbar ist. Auch dafür gäbe es eine Lösung, die spare ich mir aber, bis sie gebraucht werden sollte.

Wenn es nicht klappen sollte, brauchen wir folgende Dateien zur Fehlersuche:

1. die beiden Konfigurationsdateien (PSK maskieren nicht vergessen, den Rest möglichst lassen -> manchmal reicht schon ein kleiner Tippfehler, der beim Verschleiern von Daten mit verschwindet)
2. die Dateien /var/tmp/ike.log (und wenn vorhanden /var/tmp/ike.old) von beiden Boxen, über Telnet oder Support-Daten auszulesen
3. die IP-Adressen der Interfaces und die Routing-Table von beiden Boxen, wieder per Telnet oder über die Support-Daten zu ermitteln
4. am besten noch die Ausgabe von "showdsldstat" auf beiden Boxen (ist auch in den Support-Daten enthalten)
5. die Dateien /var/vpnroutes von beiden Boxen

Das dann bitte nicht einzeln ins Forum setzen, sondern die Anhänge am besten in eine einzige ZIP-Datei packen.

 

[wolf.art]

Hallo PeterPawn,
erstmal herzlichen Dank für die detaillierte Anleitung! Ich werde mal versuchen die cfg entsprechend zu bearbeiten. An "Alice" komme ich erst morgen ran.
Nur noch ein paar Punkte, die ich nicht so deutlich gemacht hatte (falls das relevant für Deine Anleitung sein sollte):
"Alice" ist eine 7270 v2, "Bob" wäre Zuhause eine 7390 per UMTS (in dieser Betriebsart lässt sich MyFritz gar nicht aktivieren, VPN mit AVM-Standard cfg geht je nach Provider, in meinem Fall mit Movistar in Spanien kein Problem, die vergebenen IPs gelten wohl als öffentliche, mit Tuenti in Spanien z. B. nicht), es gibt noch einen zweiten "Bob" im Büro, 7270 v3 an ADSL (es reicht aber erstmal, wenn es mit einer von beiden klappt).
Im LAN hat Alice die 192.168.4.1 und vergibt per DHCP. Falls dies die Sache erschwert, könnte ich auch auf 192.168.1.xxx gehen, aber meine "Bobs" bauen auch noch ein VPN zu einer anderen Box mit diesem Bereich auf (den ich dort auch nicht so leicht ändern könnte), aber die Verbindung zu Alice hat für mich Priorität!

Den Provider hatte ich um folgendes gebeten, und er hat bestätigt dass er es so eingerichtet hat (was ich natürlich noch nicht verifizieren konnte), jeweils auf die IP der FB 192.168.1.99:
ESP ("Encapsulated Security Payload"; IP-Protokollnummer 50) oder "IPsec-Passthrough"
UDP-Port 53 (DNS)
UDP-Port 500 (ISAKMP)
UDP-Port 4500 (NAT-Traversal)

Die Box "meldet" unter dem Punkt VPN und unter MyFritz!, dass ihre IP (192....) keine öffentliche ist, und VPN sowie MyFritz daher voraussichtlich nicht funktionieren werden.

Noch eine Frage: Wie bekomme ich Alice dazu, ein Paket an Bob senden zu wollen? Ich bin nicht vor Ort, möchte aber gerne auf meine Fritz Smart Home Geräte zugreifen (z. B. Steckdosen fernsteuern). Ich könnte evtl. eine meiner Webcams auf mein heimisches NAS per FTP uploaden lassen, das würde doch eine Verbindung initiieren?

Ich hoffe ich habe jetzt nicht alles durcheinander gebracht, aber als ich den Post schrieb, hatte ich nicht alle Details zur Hand (und hatte ehrlich gesagt gar nicht mit einer so detaillierten Antwort gerechnet - IP-Phone-Forum ist eben top!)

 

[PeterPawn]

Im LAN hat Alice die 192.168.4.1 und vergibt per DHCP. Falls dies die Sache erschwert, könnte ich auch auf 192.168.1.xxx gehen, aber meine "Bobs" bauen auch noch ein VPN zu einer anderen Box mit diesem Bereich auf (den ich dort auch nicht so leicht ändern könnte), aber die Verbindung zu Alice hat für mich Priorität!

Keinesfalls darf Alice im LAN auf 192.168.1.xxx umgestellt werden. Wie soll sie dann zwischen LAN und WAN unterscheiden ?

Wenn es vorher schon einmal lief, gehe ich davon aus, daß Du eine der Grundvoraussetzungen für eine LAN-LAN-Kopplung, nämlich unterschiedliche Subnetze an *jedem* beteiligten Standort, bereits erfüllt hast. Wenn jetzt bei Alice 192.168.1.x im WAN zum Einsatz kommt, sollte vorsichtshalber zur Vermeidung möglicher Komplkationen beim Kreuzen verschiedener VPN-Verbindungen die 192.168.1.0/24 auch an keinem anderen Standort als LAN-Netz verwendet werden.

ESP ("Encapsulated Security Payload"; IP-Protokollnummer 50) oder "IPsec-Passthrough"
UDP-Port 53 (DNS)
UDP-Port 500 (ISAKMP)
UDP-Port 4500 (NAT-Traversal)

Sollte i.d.R. eigentlich alles nicht notwendig sein, wenn NAT-T zum Einsatz kommt.

Port 53 würde externe DNS-Anfragen an Deine Fritz!Box weitergeben, die diese auf ihrem WAN-Interface aber ohnehin ignoriert.
ESP und UDP 500 habe ich schon abgehandelt.

Die Weiterleitung von Port 4500 an Deine Fritz!Box könnte helfen, wenn auch auf Initiative von "außen" (also von Bob) eine VPN-Verbindung aufgebaut werden soll. Würde ich aber erst einmal nicht so machen, wenn man Pech hat, reden dann beide Seiten aneinander vorbei.

Die Box "meldet" unter dem Punkt VPN und unter MyFritz!, dass ihre IP (192....) keine öffentliche ist, und VPN sowie MyFritz daher voraussichtlich nicht funktionieren werden.

MyFritz vergiss einfach ... solange bei einer MyFritz-Anmeldung die Alice bekannte WAN-Adresse (bei Dir die 192.168.1.99) verwendet wird, kommst Du über MyFritz ohnehin nie an die Box heran. Melde sie einfach in MyFritz ab und deaktiviere die Anmeldung in der Box.
Bei VPN sollte das etwas anders sein. Die Box muß ihre eigene externe Adresse eigentlich nicht kennen. In den VPN-Verhandlungen kommt ja auch nicht die 192.168.1.99 vor ... da werden die lokalen Netze (192.168.4.0/24 bei Alice) verwendet.

Noch eine Frage: Wie bekomme ich Alice dazu, ein Paket an Bob senden zu wollen?

Wenn das Eintragen der LAN-IP von Bob unter keepalive_ip nicht ausreicht, um per keepalive-Paket den Verbindungsaufbau zu initiieren, richte ich immer auf der einen Seite ein SIP-Telefoniegerät (Bob) und auf der anderen Seite eine dazu passende SIP-Rufnummer (bei Alice) ein. Dann baut irgendwann die Telefonie-Funktion der Fritz!Box die VPN-Verbindung auf, wenn sie das SIP-Gerät (die Box bei Alice) beim Server (die Box bei Bob) anmelden will. Und das hat auch noch den Vorteil, daß die Box es immer wieder versucht und man sich um das "Antreten" irgendwelcher Wiederholungen keine Gedanken machen muß. Das mit der Kamera ginge selbstverständlich auch, aber so bleibt man innerhalb eines Gerätes und es klappt auch noch dann, wenn die Kamera mal nicht will. Wenn ohnehin die Box nicht will, nutzt die Kamera auch nicht ...

 

[tr4c3rt]

Jetzt habe ich auch nochmal eine Frage, obwohl PeterPawn oben schon eine solche Vorlage gepostet hat.
Ich verbinde eine externe Sophos UTM mit meiner Fritzbox 7490.

Der IP Sec Tunnel steht, ich kann auch komplett auf das Netz der Fritzbox zu greifen.

Nur leider scheint es so zu sein, dass die Fritzbox die Freigabe des eigenen Internets verweigert.

Hier meine Conf:

/*
* Thu Oct 01 12:56:00 2015
*/

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Sophos UTM v9";
always_renew = yes;
keepalive_ip = 192.168.10.1;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "test";
localid {
fqdn = "xxx.no-ip.biz";
}
remoteid {
fqdn = "xxx.de";
}
mode = phase1_mode_idp;
phase1ss = "alt/all-no-aes/all";
keytype = connkeytype_pre_shared;
key = "xxx";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;

phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.10.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
accesslist = "permit ip any 192.168.10.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Sollte das Internet damit für die Rechner im entfernen 192.168.10.0/24 Netz freigeschaltet sein (dann ist es ein Routing oder NAT Problem seitens der UTM, oder wird es geblockt?)

 

[Wulfman_CGN]

Hallo miteinander,

ich drehe am Rad ;(

Ich habe eine 7390 mit aktueller FW und ein iPhone6. Versuche eigentlich schon seit ewigen Zeiten ein VPN aufzubauen was auch DNS-Abfragen zu meinem Server durchschickt. Das klappt einfach nicht.

Ich hab mir soeben mal die aktuelle Version der VPN Fernzugang-Einrichtungs-Software geholt und dann mit der Option ALLES eingerichtet. Dazu hab ich noch für das iPhone eine .mobileconfig-Datei wo ich das "on demand" z.b. etwas näher definiere (sobald ich einen LAN-Host eingebe, soll das VPN aktiv werden etc.)

Das IP-Netz @ home: a.b.c.0/255.255.255.0
DNS: a.b.c.200
IP VPN-Client: a.b.c.191
IP Fritz!Box: a.b.c.250


Konfig für die Box:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "USERNAME";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = a.b.c.191;
                remoteid {
                        key_id = "USERNAME";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SHAREDKEY";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "USERNAME";
                        passwd = "PASSWORT";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = a.b.c.191;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = "permit ip a.b.c.0 255.255.255.0 a.b.c.191 255.255.255.255",                         "permit ip any a.b.c.191 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

=> das ist das ergebnis des Tools.
=> VPN klappt darüber grundsätzlich - halt nur kein DNS - das geht über die MobFu-Verbindung

Ich hab hier aus dem Thread schon folgende änderung übernommen:

accesslist = "deny ip any a.b.c.200 255.255.255.255", "deny ip any a.b.c.200 255.255.255.255", "deny ip any a.b.c.0 255.255.255.0", "permit ip any any";

=> damit schieß ich mir meine Box an. Internet ist dann tod - auch wenn ich noch keine VPN-Verbindung aufgebaut habe - die Lokalen clients komme nicht mehr ins Netz.

Auf dem iPhone hab ich folgende Konfig:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>IPSec</key>
            <dict>
                <key>AuthenticationMethod</key>
                    <string>SharedSecret</string>
                <key>OnDemandEnabled</key>
                    <integer>1</integer>
                <key>OverridePrimary</key><!-- Specifies whether to send all traffic through the VPN interface. If true, all network traffic is sent over VPN. -->
                    <true/>
                <key>OnDemandRules</key>
                    <array>
                    <!-- Turn off VPNONDEMAND if on matching WiFi network -->
                    <dict>
                        <key>InterfaceTypeMatch</key>
                            <string>WiFi</string>
                        <key>SSIDMatch</key>
                            <array>
                                <string>SSID MEINES WLANs</string>
                            </array>
                        <key>Action</key>
                            <string>Disconnect</string>
                    </dict>
                    <!-- Turn on VPNONDEMAND if matching IP or Domain -->
                    <dict>
                        <key>Action</key>
                            <string>EvaluateConnection</string>
                        <key>ActionParameters</key>
                            <array>
                                <dict>
                                    <key>Domains</key>
                                    <array>
                                        <string>a.b.c.200</string>
                                        <string>a.b.c.250</string>
                                        <string>*.air</string>
                                        <string>*.lan</string>
                                        <string>*.wlan</string>
                                        <string>*.plc</string>
                                        <string>*.box</string>
                                        <string>*.nas</string>
                                    </array> 
                                    <key>dhcp-option</key> <!-- veraltet? -->
                                        <string>DNS a.b.c.200</string>
                                    <key>DomainAction</key>
                                        <string>ConnectIfNeeded</string>
                                    <key>RequiredDNSServers</key>
                                        <string>a.b.c.200</string>
                                </dict>
                            </array>
                    </dict>
                    </array>
                <key>LocalIdentifier</key>
                    <string>USERNAME</string>
                <key>LocalIdentifierType</key>
                    <string>KeyID</string>
                <key>RemoteAddress</key>
                    <string>DDNS-HOSTNAME</string>
                <key>SharedSecret</key>
                    <string>SHAREDKEY</string>
            </dict>
            <key>PayloadDescription</key>
                <string>Configures VPN settings, including authentication.</string>
            <key>PayloadDisplayName</key>
                <string>VPN (Name)</string>
            <key>PayloadIdentifier</key>
                <string>DDNS-HOSTNAME</string>
            <key>PayloadOrganization</key>
                <string>Name</string>
            <key>PayloadType</key>
                <string>com.apple.vpn.managed</string>
            <key>PayloadUUID</key>
                <string>SHAREDKEY</string>
            <key>PayloadVersion</key>
                <integer>1</integer>
            <key>UserDefinedName</key>
                <string>Name</string>
            <key>VPNType</key>
                <string>IPSec</string>
        </dict>
    </array>
    <key>PayloadDescription</key>
        <string>VPN-Zugang zu Name</string>
    <key>PayloadDisplayName</key>
        <string>Name</string>
    <key>PayloadIdentifier</key>
        <string>DDNS-HOSTNAME</string>
    <key>PayloadOrganization</key>
        <string>Name</string>
    <key>PayloadType</key>
        <string>Configuration</string>
    <key>PayloadUUID</key>
        <string>DDNS-HOSTNAME</string>
    <key>PayloadVersion</key>
        <integer>1</integer>
</dict>
</plist>

Sobald ich in safari z.b. blabla.box eingebe, wird sofort das VPN aufgebaut ... der Part klappt also. Ich hab nach viel gesuche zwar möglichkeiten gefunden einen DNS-Server mit zu übergeben - aber ich werde da bei Apple nicht schlau - sind wohl nicht mehr aktiv diese Settings ...

Ziel soll sein:
* DNS geht über das VPN (favorisiert ist eigentlich der Homeserver; alternativ lass ich das aber auch die fritzbox machen)
* ALLES geht über das VPN (also auch Apps usw.)
* Die On-Demand-Rules sollten bestehen bleiben
* iPhone und später auch Android ... und Windows-PC

Ja aber da bin ich mit meinem Latein am Ende. Es scheitert ja schon mal am blöden DNS. Wo ist hier mein Fehler?

Grüße
Wulfman

 

[buecke]

Hej!

Ziel soll sein:
* DNS geht über das VPN (favorisiert ist eigentlich der Homeserver; alternativ lass ich das aber auch die fritzbox machen)

Ich meine, dass mit dem DNS ging nie über die VPN-Verbindung. Deswegen auch mein Hinweis gleich im ersten Beitrag. Wenn es irgendwie geht, ist es wohl vom Client (in deinem Fall iPhone) abhängig.

Viele Grüße
buecke

 

[Wulfman_CGN]

sehr irritierend - da es in der Fritz-Soft ja heiß das "alles" drüber geht .. "alles" schließt DNS für mich ein.

Scheinbar geht es - aber so richtig nachvollziehbar ist das nicht:
In http://www.ip-phone-forum.de/showthread.php?t=277015&p=2074280&viewfull=1#post2074280
Er nutzt eine mobileconfig auf dem iPhone (Ref: https://developer.apple.com/library...roduction.html#//apple_ref/doc/uid/TP40010206 ) womit es klappt:

<key>RequiredDNSServers</key>
<string>a.b.c.200</string>

Im nächsten Post sagt er: geht nicht mehr - bis man teredo-Filter rausnimmt ... dann geht es wieder. Das hab ich gemacht - aber klappt immer noch nicht.

Sehr merkwürdig das ganze ...

Edit: https://support.apple.com/de-de/HT203743 ... auch danach sollte das iOS doch nicht das problem sein - eher dann die Fritz!box ?

 

[HabNeFritzbox]

DNS ging schon immer über VPN, es gab und gibt jeweils da aber einen Bug.

NetBIOS Filter aus, und wieder an, dann sollte es passen. Suche verwenden ist nicht neu hier.

 

[Wulfman_CGN]

DNS ging schon immer über VPN, es gab und gibt jeweils da aber einen Bug.

NetBIOS Filter aus, und wieder an, dann sollte es passen. Suche verwenden ist nicht neu hier.

vor zig jahren hatte ich das schon gelesen und erfolglos mit NetBIOS an/aus versucht - das es das problem immer noch gibt wundert mich - aber ok - aus, ein -> kein DNS via VPN

 

[PeterPawn]

Mal völlig unbeeindruckt vom Rest des Problems ... mich würde interessieren, welches "Tool" denn für eine Konfiguration mit einer "accesslist" von:

accesslist = "permit ip a.b.c.0 255.255.255.0 a.b.c.191 255.255.255.255",                         "permit ip any a.b.c.191 255.255.255.255";

verantwortlich sein soll (und welche Versionsnummer dieses Tool dann hat), denn das ist ziemlich eindeutig, daß die zweite Regel den kompletten Verkehr der ersten einschließt. Da stellt sich die Frage, was sich das Tool dabei wohl "gedacht" haben mag ... :gruebel: