VPN: Shrew und Internet komplett über Fritzbox routen

Aber bedenke daß dich Chinesen sehr wohl sehen können daß du ständig einen VPN-Tunnel nach Deutschland aufrecht erhältst. Nicht daß der Verdachtsmoment zusammen mit dem ermittelten Datenvolumen ausreicht daß du mal Besuch von hiesigen Beamten bekommst.
 
Hi,

danke für den Hinweis. Ich brauch das nur, um gelegentlich Videos für meinen Blog bei Youtube hochzuladen. Wird also keine Standardverbindung werden.

Gruß

Alex
 
Hallo,

habe meine Fritz!Box auch mal mit VPN versorgt und will hier mein Ubuntu 11.04 (ist Teil einer VMware unter Windows 7 x64) in mein LAN und Internet an meinem VDSL25er mit Fritz!Box 7390 koppeln.

Der Netzwerkadapter ist Bridged und hat eine feste IP Adresse.

Auszug aus der Fritz!Box Config
Code:
{
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.2.201;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "blabla";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.2.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip any 192.168.2.201 255.255.255.255";
        }

Shrew Config
Code:
n:version:2
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:network-notify-enable:1
n:client-banner-enable:1
n:client-dns-used:0
b:auth-mutual-psk:
n:phase1-dhgroup:2
n:phase1-keylen:256
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:0
n:phase2-pfsgroup:2
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
n:client-dns-auto:0
s:client-dns-suffix:
s:policy-list-include:0.0.0.0 / 0.0.0.0
s:network-host:bla.dyndns.org
s:client-auto-mode:pull
s:client-iface:virtual
s:client-ip-addr:192.168.2.201
s:client-ip-mask:255.255.255.0
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-client-data:[email protected]
s:ident-server-type:address
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:auto
s:phase2-hmac:sha1
s:ipcomp-transform:deflate

Wenn ich die Verbindung nun so aufbaue kommt laut Fritz!Box Webinterface und Shrew Anzeige eine Verbindung zustande

Code:
config loaded for site 'home'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
ipcomp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
network device configured
tunnel enabled

Ich kann das default GW im LAN noch anpingen kann aber weder fritz.box noch 192.168.2.1 (was die interne IP der Fritz!Box ist) anpingen. Auch gehen keine Internetseiten mehr aufzurufen.

Wenn ich für die dyndnsip der Box ein gateway setze kann ich diese aber noch anpingen - was mir allerdings immer noch kein Zugriff auf meine Fritz!Box oder das Internet über die selbige bringt.
 
Zuletzt bearbeitet:
Code:
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
79.212.xx.xxx   172.18.xxx.252  255.255.255.255 UGH   0      0        0 eth0
192.168.2.0     *               255.255.255.0   U     0      0        0 tap0
172.18.xxx.0    *               255.255.254.0   U     1      0        0 eth0
link-local      *               255.255.0.0     U     1000   0        0 eth0
default         192.168.2.201   0.0.0.0         UG    0      0        0 tap0
default         172.18.xxx.252  0.0.0.0         UG    0      0        0 eth0

Ich glaube das Problem ist auch, dass das default gw auf meine VPN IP gelegt wird und nicht auf die Fritz.box IP (192.168.2.1) ... ich fürchte irgendwo in shrew oder im Linux noch etwas nicht richtig eingestellt zu haben.

Habe mal versucht mich mit "vpnc" auf die Box zu verbinden mit meinen Settings, die ich für das iPhone gemacht habe - geht aber leider auch nicht zu verbinden. :(
 
Zuletzt bearbeitet:
Auf seiten der FB kann man beides in einer .cfg unterbringen wenn man im "connections {" unter den ersten noch einen zweiten Verbindungsblock anlegt.

Grüße,

f0x

Hallo foxm2k und vielen Dank

Gibt es bitte vielleicht für Anfänger auch dazu ein ein kleines Posting der config der FB?

Das wäre toll
 
Hallo scheichip,

kein Problem:

Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "VPN_Only";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.123.202;
                remoteid {
                        user_fqdn = "VPN_Only";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "Geb0ebdfb8>23xc35:0dH27b3Ce1080d";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.123.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.123.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.123.0 255.255.255.0 192.168.123.202 255.255.255.255";
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = "VPN_Internet";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.123.201;
                remoteid {
                        user_fqdn = "VPN_Internet";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "{d7bfx98e08cec?a7Z95c4fae2:Me1c8f7";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.123.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip any 192.168.123.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Beachte die öffnende geschweifte Klammer vor name = "VPN_Internet";
Das ist der Beginn des zweiten Blocks.

Grüße,

f0x
 
Hallo und ganz herzlichen Dank

Ich habe die drei configs unter Linux auf meine Verhältnisse angepasst.
Nun läuft der Tunnel auf die Fritzbox (VPN_only)weiterhin - aber ich bekomme den Tunnel ins Netz (VPN_Internet)nicht zum laufen (Gateway is not responding)
Möglicherweise sehe ich den Wald vor lauter Bäumen nicht.

Vpn_und Interet.cfg
Code:
n:version:2
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-used:1
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:phase1-dhgroup:2
n:phase1-keylen:256
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
b:auth-mutual-psk:xxxx
n:phase2-pfsgroup:2
s:policy-level:auto
s:network-host:xxxx.dyndns.tv
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:client-dns-addr:192.168.178.1
s:client-dns-suffix:
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-client-data:VPN_Internet
s:ident-server-type:address
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:auto
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
s:policy-list-include:0.0.0.0 / 0.0.0.0


meine config in der Fritzbox:

Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "VPN_Only";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.100.202;
                remoteid {
                        user_fqdn = "VPN_Only";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.100.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.100.0 255.255.255.0 192.168.100.202 255.255.255.255";
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = "VPN_Internet";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.100.205;
                remoteid {
                        user_fqdn = "VPN_Internet";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.100.205;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip any 192.168.100.205 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


Darf ich um den freundlichen - prüfenden Blick von Expertenseite bitten damit ich das Problem lösen kann?

Ganz herzlichen Dank
 
Zuletzt bearbeitet:
Danke an 'pfeffer', hab heute erfolgreich mein VPN eingerichtet.
Da die Fritz-Software über UMTS keine Verbindung aufbauen konnte bin ich auf Shrew ausgewichen, womit es nun wie gewünscht funktioniert.

Musste allerdings in Shrew noch als DNS meine Fritzbox angeben, dafür konnte ich auf Punkt 5 verzichten.
'route print' zeigte schon eine entsprechende Route Fritzbox-IP <-> Gateway.
 
Danke an 'pfeffer', hab heute erfolgreich mein VPN eingerichtet.
Da die Fritz-Software über UMTS keine Verbindung aufbauen konnte bin ich auf Shrew ausgewichen, womit es nun wie gewünscht funktioniert.

Musste allerdings in Shrew noch als DNS meine Fritzbox angeben, dafür konnte ich auf Punkt 5 verzichten.

Ich war schon wieder am verzweifeln, aber DANKE das wars!
Allerdings brauche ich dennoch Punkt 5.
 
Zuletzt bearbeitet:
Allerdings brauche ich dennoch Punkt 5.
Hm, merkwürdig an was das dann liegt. Vielleicht am Betriebssystem oder an dem/der UMTS-Stick/Einwahlsoftware.
Dann werde ich die bat-Datei mal auf dem Notebook gespeichert lassen, falls es unterwegs mal nicht geht.
 
Wenn du es aus C raus startest braucht es auch Adminrechte. Ich hab mir ne Verknüpfung gelegt. Damit ist das auch hinfällig.
W7+Os eigene Software
 
Zuletzt bearbeitet:
Wenn du es aus C raus startest braucht es auch Adminrechte. Ich hab mir ne Verknüpfung gelegt. Damit ist das auch hinfällig.
W7+Os eigene Software
Danke für den Tipp, falls ich es dann doch mal benötige.

Ich hab ebenfalls Win7 ohne weitere Software.
 
Zuletzt bearbeitet:
Ich hab zwar keine Trennung für "Internet" und "nur VPN" aber in meiner Konfig sind noch 2 weitere Daten für andere Geräte/Benutzer.
Alle 3 funktionieren bei mir.
 
So sähe es dann aus:
Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "VPN_standard";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "VPN_standard";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255";

       } {
                enabled = yes;
                conn_type = conntype_user;
                name = "VPN_Inet";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "VPN_Inet";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip any 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
 
Vielleicht teste ich so eine Konfig mal, wenn ich Zeit habe. Aber heute nicht mehr ;)
 
Bei mir funktioniert es.
Mit beiden komme ich z.B. auf mein NAS, mit dem einen geht das Internet über die Fritzbox und mit dem anderen weiterhin über UMTS.
 
Interessant. Danke schonmal für den Test!
Dann muss ich den Fehler woanders suchen.
 
VPN_standard hat die ganze Sache blockiert. Jetzt sind 3 Profile drin und es läuft.

Wie passe ich denn die Batch an, dass ich es von jedem Pfad aus starten kann?

"c:\Program Files\ShrewSoft\VPN Client\ipsecc.exe"
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.