.titleBar { margin-bottom: 5px!important; }

[Frage] Android als VPN-Client mit VPN-Benutzer der FB7490 und Routing im Remote Heim-Netz (LAN)

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von floogy, 13 Apr. 2019.

  1. floogy

    floogy Neuer User

    Registriert seit:
    2 Jan. 2006
    Beiträge:
    70
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    #1 floogy, 13 Apr. 2019
    Zuletzt bearbeitet: 17 Apr. 2019
    [gelöst] Die AVM-android-APP MyFritz!APP hatte, beim Versuch darüber zum Heimnetz zu verbinden, darum gebeten den DHCP der box auf 1-200 (wegen IP der Box, in meinem Fall von 4-200) zu beschränken, um die oberen Ranges für virtuelle Teilnehmer zu reservieren, also z.B. dem per Tunnel verbundenem Smartphone z.B. 172.16.240.201 etc.). Dem kam ich nach, und änderte die Ranges entsprechend in der Fritz!Box. Danach ging es aber immer noch nicht. Vermutlich hat das die ganze Konfiguration der VPN-Verbindung quer gelegt(?). Nach Deinstallation ALLER VPN-Verbindungen und auch Deaktivierung des VPN-Zugriffs aller sonstigen VPN-Benutzer, und erneutem Import der per „Fritz!Fernzugang einrichten“-Software unter Windows, erstellten vpn-<domainname-account>.cfg bzw. der entsprechenden verschlüsselten *.eff-Datei, ging alles. Auch bei deaktivierten statischen Routen, die ich zuvor erfolglos unter Netzwerkeinstellungen als ratlosen Versuch anlegte. – Verständnisschwierigkeiten infolge des unerwarteten Verhaltens des Netzwerks blockierten mich für die nötigen Lösungsansätze. I'm sorry for the noise!

    Hallo, ich bin mit meinem Android Smart-Phone oder Tablet mit dem VPN-Nutzer der Fritz!Box 7490 verbunden, kann aber nichts anpingen. Das passiert sowohl mit dem android VPN-Client als auch mit MyFRITZ!App2 (-> mit Heimnetz verbinden, aktiv, Mobilfunk). Die Links zu den Freigaben (Die Lua-Links in der Mesh-Darstellung, oder auch Webseiten diverser Dienste *)) funktionieren nicht.

    *) Zugriff vom Smartphone bei bestehendem Tunnel, ohne gleichzeitig per WLAN aus dem lokalen LAN angemeldet zu sein.

    Nach meiner Vorstellung sollten aber alle Geräte im Heimnetz anpingbar sein. Das sind sie aber nur, wenn ich per WLAN mit dem Router in der Wohnung verbunden bin und VPN getrennt ist. Oder ist VPN nur direkt mit dem Router möglich, aber er routet keine Pakete vom android zu einem beliebigen Computer, der an ihm angeschlossen ist per VPN? ;)

    -- Aktualisiert --

    Um das noch mal zu präzisieren: Ich kann ausschließlich nur die Fritz!Box per VPN verbinden, also z.B. per Termux vom Android anpingen, oder dort mit nmap nur 2 Hosts finden, also die Fritz!Box und das android selbst.

    route im android termux Fenster zeigt:

    Code:
    ping 172.16.240.3
    PING 172.16.240.3 (172.16.240.3) 56(84) bytes of data.
    64 bytes from 172.16.240.3: icmp_seq=1 ttl=64 time=57.5 ms
    64 bytes from 172.16.240.3: icmp_seq=2 ttl=64 time=56.2 ms
    64 bytes from 172.16.240.3: icmp_seq=3 ttl=64 time=56.4 ms
    64 bytes from 172.16.240.3: icmp_seq=4 ttl=64 time=56.0 ms
    ^C
    --- 172.16.240.3 ping statistics ---
    4 packets transmitted, 4 received, 0% packet loss, time 3004ms
    rtt min/avg/max/mdev = 56.001/56.565/57.529/0.581 ms
    $ route
    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    10.0.0.0 * 255.0.0.0 U 0 0 0 ccmni0
    $ ping 172.16.240.4
    PING 172.16.240.4 (172.16.240.4) 56(84) bytes of data.
    ^C
    --- 172.16.240.4 ping statistics ---
    3 packets transmitted, 0 received, 100% packet loss, time 2003ms
    
    $ ping 172.16.240.199
    PING 172.16.240.199 (172.16.240.199) 56(84) bytes of data.
    ^C
    --- 172.16.240.199 ping statistics ---
    4 packets transmitted, 0 received, 100% packet loss, time 3000ms
    
    $ ifconfig
    ccmni0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
    inet addr:10.141.223.52 Mask:255.0.0.0
    UP RUNNING NOARP MTU:1500 Metric:1
    RX packets:261718 errors:0 dropped:0 overruns:0 frame:0
    TX packets:179655 errors:2 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:275183960 (262.4 MiB) TX bytes:23408579 (22.3 MiB)
    
    lo Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
    inet addr:127.0.0.1 Mask:255.0.0.0
    UP LOOPBACK RUNNING MTU:65536 Metric:1
    RX packets:18447 errors:0 dropped:0 overruns:0 frame:0
    
    $ nmap -sV -O 172.16.240.0/24
    TCP/IP fingerprinting (for OS scan) requires root privileges.
    QUITTING!
    
    nmap -sV 172.16.240.0/24
    Starting Nmap 7.70 ( https://nmap.org ) at 2019-04-13 21:57 CEST
    Nmap scan report for 172.16.240.3
    Host is up (0.077s latency).
    Not shown: 992 closed ports
    PORT STATE SERVICE VERSION
    9/tcp filtered discard
    21/tcp open ftp AVM FRITZ!Box ftpd (model 7490)
    53/tcp open domain?
    80/tcp open http FRITZ!Box http config
    139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
    445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
    5060/tcp open sip?
    8181/tcp open http AVM FRITZ!Box 7300-series WAP http config
    1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
    SF-Port53-TCP:V=7.70%I=7%D=4/13%Time=5CB23F53%P=arm-unknown-linux-androide
    SF:abi%r(DNSVersionBindReqTCP,20,"\0\x1e\0\x06\x81\x05\0\x01\0\0\0\0\0\0\x
    SF:07version\x04bind\0\0\x10\0\x03");
    Service Info: Devices: broadband router, WAP
    
    Nmap scan report for 172.16.240.204
    Host is up (0.0031s latency).
    All 1000 scanned ports on 172.16.240.204 are closed
    
    Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
    Nmap done: 256 IP addresses (2 hosts up) scanned in 152.27 seconds
    $
    
    Vom Windows Computer 172.16.240.4 sieht das LAN aber so aus:
    Code:
    [email protected] ~
    $ nmap 172.16.240.0/24
    Starting Nmap 7.70 ( https://nmap.org ) at 2019-04-13 21:19 ope
    Nmap scan report for fritz.box (172.16.240.3)
    Host is up (0.00077s latency).
    Not shown: 993 closed ports
    PORT     STATE SERVICE
    21/tcp   open  ftp
    53/tcp   open  domain
    80/tcp   open  http
    139/tcp  open  netbios-ssn
    445/tcp  open  microsoft-ds
    5060/tcp open  sip
    8181/tcp open  intermapper
    MAC Address: 38:10:D5:73:45:38 (AVM Audiovisuelles Marketing und Computersysteme GmbH)
    
    Nmap scan report for 172.16.240.5
    Host is up (0.054s latency).
    Not shown: 998 closed ports
    PORT     STATE    SERVICE
    80/tcp   open     http
    8080/tcp filtered http-proxy
    MAC Address: 00:22:61:C7:BC:D0 (Frontier Silicon)
    
    Nmap scan report for freenas (172.16.240.15)
    Host is up (0.00084s latency).
    Not shown: 993 closed ports
    PORT     STATE SERVICE
    22/tcp   open  ssh
    80/tcp   open  http
    111/tcp  open  rpcbind
    139/tcp  open  netbios-ssn
    445/tcp  open  microsoft-ds
    2049/tcp open  nfs
    6000/tcp open  X11
    MAC Address: 00:9C:02:97:5D:54 (Hewlett Packard)
    
    Nmap scan report for nextcloud-1.fritz.box (172.16.240.16)
    Host is up (0.00084s latency).
    Not shown: 998 closed ports
    PORT    STATE SERVICE
    80/tcp  open  http
    443/tcp open  https
    MAC Address: 02:FF:B0:00:07:0B (Unknown)
    
    Nmap scan report for FAMP.fritz.box (172.16.240.19)
    Host is up (0.00038s latency).
    Not shown: 995 closed ports
    PORT     STATE SERVICE
    21/tcp   open  ftp
    22/tcp   open  ssh
    80/tcp   open  http
    443/tcp  open  https
    3306/tcp open  mysql
    MAC Address: 1A:60:9A:CF:25:0E (Unknown)
    
    Nmap scan report for firefly-1.fritz.box (172.16.240.23)
    Host is up (0.00s latency).
    All 1000 scanned ports on firefly-1.fritz.box (172.16.240.23) are closed
    MAC Address: BA:FE:43:80:7F:9E (Unknown)
    
    Nmap scan report for LIFETAB.fritz.box (172.16.240.24)
    Host is up (0.0061s latency).
    All 1000 scanned ports on LIFETAB.fritz.box (172.16.240.24) are closed
    MAC Address: 00:1A:13:80:66:2D (Wanlida Group)
    
    Nmap scan report for 172.16.240.26
    Host is up (0.0074s latency).
    Not shown: 994 closed ports
    PORT     STATE SERVICE
    22/tcp   open  ssh
    80/tcp   open  http
    111/tcp  open  rpcbind
    2068/tcp open  avocentkvm
    5988/tcp open  wbem-http
    5989/tcp open  wbem-https
    MAC Address: A0:B3:CC:E6:5E:9E (Hewlett Packard)
    
    Nmap scan report for freenas.mydomain.selfhost.bz (172.16.240.199)
    Host is up (0.0000050s latency).
    Not shown: 998 closed ports
    PORT     STATE SERVICE
    443/tcp  open  https
    3306/tcp open  mysql
    MAC Address: 02:FF:60:BA:B5:82 (Unknown)
    
    Nmap scan report for floogy-3.fritz.box (172.16.240.254)
    Host is up (0.000074s latency).
    Not shown: 995 closed ports
    PORT     STATE SERVICE
    111/tcp  open  rpcbind
    139/tcp  open  netbios-ssn
    445/tcp  open  microsoft-ds
    2049/tcp open  nfs
    6000/tcp open  X11
    MAC Address: 02:0C:D8:F9:90:00 (Unknown)
    
    Nmap scan report for Jamcast.fritz.box (172.16.240.4)
    Host is up (0.00s latency).
    Not shown: 986 closed ports
    PORT      STATE SERVICE
    21/tcp    open  ftp
    135/tcp   open  msrpc
    139/tcp   open  netbios-ssn
    445/tcp   open  microsoft-ds
    554/tcp   open  rtsp
    1025/tcp  open  NFS-or-IIS
    1026/tcp  open  LSA-or-nterm
    1027/tcp  open  IIS
    1031/tcp  open  iad2
    1034/tcp  open  zincite-a
    1083/tcp  open  ansoft-lm-1
    3389/tcp  open  ms-wbt-server
    16992/tcp open  amt-soap-http
    16993/tcp open  amt-soap-https
    
    Nmap done: 256 IP addresses (11 hosts up) scanned in 39.82 seconds
    
    [email protected] ~
    $
    
    Also, was ich versuche ist eine ganz normale Verbindung zum LAN per VPN herzustellen, um z.B. 172.16.240.4 per Intel AMT KVM per VPN getunnelt im "LAN" über port 5900 remote per Tablet anzusprechen, um dn Grub Bootloader auswählen zu können nach einem Wake-on-LAN ...

    Leider lässt sich das per 16995 nicht verbinden, und 5900 (VNC) möchte ich nicht so gern unverschlüsselt im Netz bereit halten ...

    Aber im Grunde interessiert mich natürlich, was da überhaupt los ist.

    Code:
    [email protected] ~
    $ route print
    ===========================================================================
    Schnittstellenliste
     35...02 00 4c 4f 4f 50 ......Npcap Loopback Adapter
     21...02 00 4c 4f 4f 50 ......Microsoft Loopbackadapter
     13...90 2b 34 51 b4 cf ......Intel(R) 82579LM Gigabit Network Connection
      1...........................Software Loopback Interface 1
     18...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
     14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
     22...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4
    ===========================================================================
    
    IPv4-Routentabelle
    ===========================================================================
    Aktive Routen:
         Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
              0.0.0.0          0.0.0.0     172.16.240.3     172.16.240.4     10
            127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
            127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    286
            127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
            127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    286
      127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    286
          169.254.0.0      255.255.0.0   Auf Verbindung     169.254.8.217    286
        169.254.8.217  255.255.255.255   Auf Verbindung     169.254.8.217    286
      169.254.255.255  255.255.255.255   Auf Verbindung     169.254.8.217    286
         172.16.240.0    255.255.255.0   Auf Verbindung      172.16.240.4    266
         172.16.240.4  255.255.255.255   Auf Verbindung      172.16.240.4    266
       172.16.240.255  255.255.255.255   Auf Verbindung      172.16.240.4    266
            224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
            224.0.0.0        240.0.0.0   Auf Verbindung      172.16.240.4    266
            224.0.0.0        240.0.0.0   Auf Verbindung     169.254.8.217    286
            224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    286
      255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      255.255.255.255  255.255.255.255   Auf Verbindung      172.16.240.4    266
      255.255.255.255  255.255.255.255   Auf Verbindung     169.254.8.217    286
      255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    286
    ===========================================================================
    Ständige Routen:
      Keine
    
    IPv6-Routentabelle
    ===========================================================================
    Aktive Routen:
     If Metrik Netzwerkziel             Gateway
     13    266 ::/0                     fe80::3a10:d5ff:fe73:4538
      1    306 ::1/128                  Auf Verbindung
     35    286 ::1/128                  Auf Verbindung
     13    266 2003:c9:2f13:e000::/56   fe80::3a10:d5ff:fe73:4538
     13     18 2003:c9:2f13:e000::/64   Auf Verbindung
     13    266 2003:c9:2f13:e000:41a6:d3ae:d9c8:3265/128
                                        Auf Verbindung
     13    266 2003:c9:2f13:e000:f527:6927:3dc7:fbe8/128
                                        Auf Verbindung
     13    266 fe80::/64                Auf Verbindung
     21    286 fe80::/64                Auf Verbindung
     21    286 fe80::9019:f087:ecb5:8d9/128
                                        Auf Verbindung
     13    266 fe80::f527:6927:3dc7:fbe8/128
                                        Auf Verbindung
      1    306 ff00::/8                 Auf Verbindung
     13    266 ff00::/8                 Auf Verbindung
     21    286 ff00::/8                 Auf Verbindung
     35    286 ff00::/8                 Auf Verbindung
    ===========================================================================
    Ständige Routen:
      Keine
    
    -- Aktualisiert --

    Also mit der Fritz!Box kann ich mich ja schon sicher per SSL verbinden, mit dem KVM-Port 172.16.240.4:5900 geht das ohne VPN nicht. – Doof, dass ich mich mit VPN zwar mit der Fritzbox unter 172.16.240.3 verbinden kann, wo es die SSL-Verbindung über myfritz.net ja auch tut, aber 17.16.240.4 nach der erfolgreichen Herstellung der VPN-Verbindung nicht mal anpingen kann ...

    EDIT: Ich vermute mal eine Fehlkonfiguration entweder bei der Routenübermittlung im Android-Client (werde auch mal VPNcilla App ausprobieren), oder remote im Heimnetzwerk (LAN), mit dem ich mich verbinden will, komme aber absolut nicht weiter.

    Routenübermittlungen, die ich versucht habe in der Android-Einstellung:
    10.0.0.0/8 (entsprechend dem Vorschlag, und weil im terminux `route` 10.0.0.0 angezeigt hat (jedoch kein gw)
    0.0.0.0/0 (möglicherweise default, wenn man das unter erweitert gar nicht einstellt)
    172.16.240.0/24 (172.16.240.1-172.16.240.255, was mir eigentlich am geeignetsten erscheint.)

    DNS-Server-Übermitlung in den Android-VPN-Einstellungen:
    8.8.8.8 (Vorschlag, Google)
    172.16.240.3 (Fritz!Box Router, was mir am geeignetsten erscheint)
    172.16.240.3 172.16.240.4 8.8.8.8 8.8.4.4 (kombiniert, keine Ahnung, ob das per Komma statt Leerzeichen getrennt werden müsste)

    Apropos VPN-Apps für Android: Damit scheinen fast(!) ausschließlich VPN-Proxy-Apps gemeint zu sein, die es ermöglichen sollen Firewalls zu umgehen, oder angeblich das Surfverhalten zu anonymisieren (was zu bezweifeln ist ...). Wenn ihr da neben den Cisco-Apps und VPNcilla noch weitere brauchbare Clienten nennen könnt, mit denen das besser zu bewerkstelligen ist, als z.B. mit den Android-Boardmitteln (und Apps die dahin nur verlinken), dann würde mich das ebenfalls interessieren. Es gibt neben Cisco und Fritz!Apps ja auch noch welche, z.B. für Synology oder Symantec Router ... Ich meine aber eher allgemeine Clients, auch nicht unbedingt OpenVPN ClientApps (obwohl das vielleicht doch eine Alternative wäre, eventuell aber eher die Community Edition, oder eben doch die Amazon Cloud Variante für 2 Computer).

    EDIT 2: Ich habe nun gefühlt alles mit VPNcilla ausprobiert, es klappt aber nicht. Es werden weiterhin nur 2 hosts angezeigt.
     
  2. floogy

    floogy Neuer User

    Registriert seit:
    2 Jan. 2006
    Beiträge:
    70
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
  3. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    868
    Zustimmungen:
    65
    Punkte für Erfolge:
    28
    #3 Shirocco88, 16 Apr. 2019
    Zuletzt bearbeitet: 16 Apr. 2019
    @floogy:
    könntest Du mal einen anderen VPN-Client (statt Android-Handy einen PC mit shrewsoft oder iphone) ausprobieren und Ergebnisse posten.

    das mit den statischen Routing-Einträgen bei IPsec-VPN verstehe ich nicht;
    bei IPsec verwendet man doch Traffic-Selectoren (siehe accesslist-Abschnitt in der vpn.cfg) statt static-routing-table entries !

    Nur um sicher zu sein, was meinst Du hiermit ?
    o Portforwarding
    o Windows Netzwerk Freigaben
    ...


    Ansonsten sollten weiterhin Probleme auftreten so ist ein Config-Problem (Layer2, Layer3, accesslist in vpn.cfg) naheliegend, hierzu sind folgende Abschnitte aus den Supportdaten der Fritzbox erforderlich:
    http://fritz.box/?lp=support

    Code:
    ##### BEGIN SECTION vpn VPN
    ...
    ##### END SECTION vpn
    
    
    ##### BEGIN SECTION dyndns DynDNS
    ...
    ##### END SECTION dyndns
    
    
    ##### BEGIN SECTION Networking Supportdata networking
    ...
    ##### END SECTION Networking Supportdata networking
    
    
    ##### BEGIN SECTION Events Events
    ...
    ##### END SECTION Events
    

    ggf. bei vpn.cfg die Zeilen key, remoteip, remotehostname anonymisieren;
    das ike.log sollte die Zeile "avmike:< add(appl=dsld,cname=" beginnend enthalten; ggf. vorher Fritzbox rebooten; alles in CODE-Tags oder Attachement-Datei posten und dann kann man weiteres sagen.
     
    floogy gefällt das.
  4. Phoenixtime

    Phoenixtime Neuer User

    Registriert seit:
    1 Juni 2018
    Beiträge:
    62
    Zustimmungen:
    13
    Punkte für Erfolge:
    8
  5. floogy

    floogy Neuer User

    Registriert seit:
    2 Jan. 2006
    Beiträge:
    70
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    #5 floogy, 16 Apr. 2019
    Zuletzt von einem Moderator bearbeitet: 17 Apr. 2019
    Ich habe ja schon geschrieben, dass ich alle Einstellungen im Routing des android VPN Klienten durchprobiert habe (übrigens auch in VPNcilla).

    Ich könnte mir vorstellen, dass irgend etwas die ICMP Pings blockiert. Das hatte ich zuvor in cygwin, da konnte nmap auch nicht die hosts sehen, weil der host-onli-ethernet-adapter von VirtualBox falsch konfiguriert war. Nun habe ich schon Kaspersky, Teamviewer und SecurityKISS deinstalliert und alle adapter außer Netzkarte, Loopback und nccap Loopback deaktiviert.

    Leider habe ich kein weiteres Gerät zur Verfügung.

    Mir kommt aber gerade die Idee den Windows-Computer auszuschalten und nur das FreeNAS laufen zu lassen ... (vice versa, wenn das NAS aus ist, ist die Situation mit dem falschen/fehlenden Routing die selbe).

    Werde das hier ergänzen, und mal schauen, ob ich das mit einem anderen Klienten (OsX, Linux, iOS oder Windows) auch noch bewerkstelligen kann ...

    -- aktualisiert --

    Danke! Mit den „Freigaben“ meine ich die Links in der Mesh-Darstellung der Fritz!Box, jedenfalls denke ich das jetzt.

    Ich will damit ja KVM im VPN-Heimnetz sozusagen „lokal“ nutzen, also getunnelt, da man in AMT den Port z.B. 5900 für legacy VNC freischalten kann, damit auch andere VNC-Klienten wie Real oder ähnlich zugreifen können. 5900 aber per Portforwarding freizugeben und von „außen“ zu verbinden ist aber unsicher, da unverschlüsselt.

    Die Supportdatei (hatte ich noch gar nicht dran gedacht) erstelle ich mal und suche die entsprechenden Abschnitte heraus. Mit vpn.cfg ist die der Fritz!Box gemeint?
     
  6. Phoenixtime

    Phoenixtime Neuer User

    Registriert seit:
    1 Juni 2018
    Beiträge:
    62
    Zustimmungen:
    13
    Punkte für Erfolge:
    8
    Du hast den Link nicht gelesen oder verstanden?

    Du musst die VPN config auf der Server Seite (fritzbox anpassen).

    Beim Client bist du an der falschen Seiten.

    Die Fritzbox lässt in den Standard VPN Einstellung nur Pakete vom VPN zu dem Standard IP Range zu (192.168.178.x)

    Wenn du kein Windows Pc hast dann, kannst du dir auch per Beispiele im Internet deine eigene VPN Config basteln.

    Wenn du nicht weißt, was du tust, dann solltest du ab hier abbrechen.
    Weil jetzt geht es um Einstellungen, die deine Netzwerksicherheit beeinflussen und Fehler sich böse bemerkbar machen können.
     
    floogy gefällt das.
  7. floogy

    floogy Neuer User

    Registriert seit:
    2 Jan. 2006
    Beiträge:
    70
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    #7 floogy, 16 Apr. 2019
    Zuletzt bearbeitet: 16 Apr. 2019
  8. Phoenixtime

    Phoenixtime Neuer User

    Registriert seit:
    1 Juni 2018
    Beiträge:
    62
    Zustimmungen:
    13
    Punkte für Erfolge:
    8
    Falsches Programm:
    Um die VPN Datei zu erstellen musst du das nehmen:
    FRITZ!Box-Fernzugang einrichten

    Danach muss dann die erstellte Datei, nach dem oben genannten Link bearbeiten.
     
  9. floogy

    floogy Neuer User

    Registriert seit:
    2 Jan. 2006
    Beiträge:
    70
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    #9 floogy, 16 Apr. 2019
    Zuletzt von einem Moderator bearbeitet: 17 Apr. 2019
    Ich habe das nun für iphone eingerichtet, da es ja nur die Auswahl iphone oder pc gab.


    Code:
    {
                    enabled = yes;
                    editable = no;
                    conn_type = conntype_user;
                    name = "[email protected]";
                    boxuser_id = 0;
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 0.0.0.0;
                    remote_virtualip = 172.16.240.201;
                    keepalive_ip = 0.0.0.0;
                    remoteid {
                            key_id = "SECRET";
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "SECRET";
                    cert_do_server_auth = no;
                    use_nat_t = yes;
                    use_xauth = yes;
                    xauth {
                            valid = yes;
                            username = "SECRET";
                            passwd = "SECRET";
                    }
                    use_cfgmode = yes;
                    phase2localid {
                            ipnet {
                                    ipaddr = 0.0.0.0;
                                    mask = 0.0.0.0;
                            }
                    }
                    phase2remoteid {
                            ipaddr = 172.16.240.201;
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                    accesslist =
                                 "permit ip 172.16.240.0 255.255.255.0 172.16.240.201 255.255.255.255",
                                 "permit ip any 172.16.240.201 255.255.255.255";
                    app_id = 0;
            }
    Das hat die gleichen Probleme.

    Die anderen Support-Daten folgen

    EDIT: Das ist ganz schön viel Kram. Die Sektionen kommen wiederholt vor:
    Code:
    $ egrep -n -i ^#.*(vpn|dyndns|Events|networking) --color support FRITZ.Box 7490 113.07.01_16.04.19_1209.txt
    $ for i in {vpn,dyndns,Events,networking}; do  echo -e "\n$i\n" ;egrep -n -i ^#.*"$i" --color "\\Documents\Computer\AVM Fritz\Sup
    port-Daten\20190416_12.08\support FRITZ.Box 7490 113.07.01_16.04.19_1209.txt" ; done
    
    vpn
    
    10743:##### BEGIN SECTION vpn VPN
    10974:##### END SECTION vpn
    14747:##### BEGIN SECTION vpn VPN
    14758:##### END SECTION vpn
    16210:##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
    16211:##### END SECTION vpn_cfg
    28379:##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
    28653:##### END SECTION vpn_cfg
    
    dyndns
    
    6469:##### BEGIN SECTION dyndns DynDNS
    6767:##### END SECTION dyndns
    14725:##### BEGIN SECTION dyndns DynDNS
    14727:##### END SECTION dyndns
    
    Events
    
    16245:##### BEGIN SECTION Events Events
    16249:##### END SECTION Events
    17921:##### BEGIN SECTION WLAN_EVENTS Filtered Events
    18024:##### END SECTION WLAN_EVENTS
    29387:##### BEGIN SECTION Events Events
    29514:##### END SECTION Events
    
    networking
    
    4509:##### BEGIN SECTION Networking Supportdata networking
    12056:##### END SECTION Networking
    14553:##### BEGIN SECTION Networking Supportdata networking
    14779:##### END SECTION Networking
    
    
    Was genau wird davon noch benötigt?



    Okay, ich arbeite mich derweil mal hier durch:

    VPN Konfigurationsdatei | Alexander Burth | Parameter der Konfigurationsdatei
    http://www.burth-online.de/cms/index.php/technik/fritzbox/49-vpn-konfigurationsdatei.html
    https://www.computersalat.de/linux/vpn/ipsec-vpn-zwischen-fritzbox-und-linux/
    https://blog.webernetz.net/fritzos-ab-06-23-ipsec-p2-proposals-erweitert/

    intra2net.com | 42.4. IPSec Verbindungen | Ein IPSec Verbindungsaufbau geschieht mit dem Protokoll Internet Key Exchange (IKE) in zwei Phasen. https://www.intra2net.com/de/support/manual/administrator/vpn-basics-connections.php
    https://de.wikipedia.org/wiki/IPsec#Phase_2

    IPSec Overview Part Four: Internet Key Exchange (IKE) | By Andrew Mason. | Cisco Press Feb 22, 2002.
    How IPSec works http://www.ciscopress.com/articles/article.asp?p=25474&seqNum=7

    Kryptowissen.de | IPsec (Internet Protocol Security) https://www.kryptowissen.de/ipsec.php

    heise security | VPN-Knigge | Daniel Bachfeld | Hintergrund 13.04.2006 16:11 Uhr
    Verschiedene Techniken bieten sich zum Aufbau eines virtuellen privaten Netzwerks an, aber nicht alle passen zum gedachten Einsatzszenario. Eine Übersicht über Standards und Protokolle erleichtert die Auswahl https://www.heise.de/security/artikel/VPN-Knigge-270796.html?seite=all

    -- aktualisiert --

    Mir ist das mit dem Routing nicht ganz klar. Ich denke, es müsste doch alles richtig eingerichtet sein mit

    ipnet
    Code:
    phase2localid {
    ipnet {
                                    ipaddr = 0.0.0.0;
                                    mask = 0.0.0.0;
                            }
    }
    
    ipadd
    Code:
     phase2remoteid {
                            ipaddr = 172.16.240.201;
                    }
    
    accesslist
    Code:
    accesslist =
                                 "permit ip 172.16.240.0 255.255.255.0 172.16.240.201 255.255.255.255",
                                 "permit ip any 172.16.240.201 255.255.255.255";
    
    Oder muss bei phase2localid das Netz des androids hinein (10.0.0.0 laut route unter termux)?
    Oder zusätzlich als permit ip any?

    Was ist denn die eigene IP? Ich fände es besser da von „Initiator IP“ oder bei remote IP gegebenenfalls von „remote VPN-Server-IP“ zu sprechen. Okay, ich bin halt verwirrt, weil nix greift. Dann verwerfe ich mein bisheriges Denken darüber, was vielleicht nicht mal falsch war ...

    locale IP = initiator IP = android IP = ? (172.16.240.201 oder irgendwas mit 10.x.x.x ?)
    remote IP = remote VPN-Server IP (Fritz!Box)/remote Netz = remote Heimnetz = 172.16.240.0/24

    Ist das ein Split-Netz? Soll deshalb der DHCP nur bis x.x.x.200 verteilen und darüber ist dann für virtuelle IPs aus dem VPN reserviert?

    Hier wird auch in phase2localid ipaddr = 0.0.0.0 eingetragen, wie bei mir die Fritz!Fernzugang einrichten generiert hat, ich denke durch die Option „Alles Daten über den VPN-Tunnel senden“ (Checkbox).

    Workshop Heimnetzwerk: Fritzbox VPN einrichten
    Code:
    vpncfg {
    connections {
    enabled = yes;
    conn_type = conntype_user;
    name = "Fritzbox VPN einrichten";
    always_renew = no;
    reject_not_encrypted = no;
    dont_filter_netbios = yes;
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = 0.0.0.0;
    remote_virtualip = 192.168.178.201;
    remoteid {
    key_id = "Fritzbox VPN einrichten";
    }
    mode = phase1_mode_aggressive;
    phase1ss = "all/all/all";
    keytype = connkeytype_pre_shared;
    key = "h3sEf5Vkk6kwaBEISPIELa44jP7bMQWa3m";
    cert_do_server_auth = no;
    use_nat_t = yes;
    use_xauth = yes;
    xauth {
    valid = yes;
    username = "Fritzbox VPN einrichten";
    passwd = "91815";
    }
    use_cfgmode = yes;
    phase2localid {
    ipnet {
    ipaddr = 0.0.0.0;
    mask = 0.0.0.0;
    }
    }
    phase2remoteid {
    ipaddr = 192.168.178.201;
    }
    phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
    accesslist =
    "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255",
    "permit ip any 192.168.178.201 255.255.255.255";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
    
    
    // EOF
    https://www.workshop-heimnetzwerk.de/fritzbox-vpn-einrichten.php

    Ich möchte einen Computer über VPN mit dem Netzwerk der FRITZ!Box verbinden. Wie richte ich das ein? HowTo von AVM: http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/14761.php3 ( Memento bei archive.org)
    Code:
    Erläuterungen zur VPN-Configurationsdatei der Fritz!Box
    
    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_lan;
                    name = "VPN to Office";          !Name nur zur Anzeige im Box-Monitor
                    always_renew = no;
                    reject_not_encrypted = no;       !Yes=keine Internetverbindung bei VPN
                    dont_filter_netbios = yes;       !Netbios durchlassen
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;       !IP falls cfgmode=no bei roadrunner
                    remoteip = 0.0.0.0;              !IP-Adresse Gegenstelle, remotehostname dann weglassen
                    remote_virtualip = 0.0.0.0;      ! Identität Phase 2 Gegenstelle ggf.
                    remotehostname = "office-vpn.dyndns.org"; ! oder DNSame der Gegenstelle
                    localid {
                            fqdn = "myhome.dyndns.org";  ! unsere Identitaet Phase 1
                    }
                    remoteid {
                            fqdn = "office-vpn.dyndns.org"; ! Identität der Gegenstelle
                    }
                    mode = phase1_mode_aggressive;   ! Aggressive Mode in Phase 1
                    phase1ss = "all/all/all";        ! Sicherheits Strategie
                    keytype = connkeytype_pre_shared;! Schlüssel-Art (Certs??)
                    key = "Klartext_PreShared_Key";  ! wird autom. generiert vorgeschlagen
                    cert_do_server_auth = no;        ! Zertifikate statt preshared Key
                    use_nat_t = no;
                    use_xauth = no;                  ! yes=Radius Server oder Cisco etc., dann xauth {}
                        !xauth {
                        !        valid = yes;
                        !        username = "CISCO-Benutzername";
                        !        passwd = "CISCO-Benutzerkennwort";
                        !}
                    use_cfgmode = no;                !yes=virtuelle IP von Gegenstelle + autom. NAT
                    phase2localid {                  !Identifikation des Tunnels (Box-Seite)
                            ipnet {
                                    ipaddr = 192.168.200.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                                                     ! Alle Algorithmen, ohne AH, mit PFS
                    accesslist = "permit ip any 192.168.0.0 255.255.255.0, ! Durch VPN geroutete Verbindungen
                                 "permit ip any 10.21.0.0 255.255.0.0";    ! Rückroute an Gegenstelle definieren nicht vergessen
                                                     ! Firewall zur Gegenstelle wird autom. geöffnet
            }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
    
    https://www.bluestonedesign.de/faq/16-server-administration/183-fritzbox-cfg-datei

    In diesem Beispiel wird hingegen das lokale Netz eingetragen:
    Code:
                        phase2localid {
                                       ipnet {
                                              ipaddr = 192.168.50.0;   | <- Eigenes Netzwerk ANPASSEN
                                              mask = 255.255.255.0;
                                             }
    
    
    https://www.router-forum.de/avm-fri...i-cfg-fuer-fritz-box-7490.t62294/#post-260689
     
  10. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    868
    Zustimmungen:
    65
    Punkte für Erfolge:
    28
    #10 Shirocco88, 16 Apr. 2019
    Zuletzt bearbeitet: 16 Apr. 2019
    Nochmals da wird bei IPsec-VPN nichts geroutet;
    bei User-VPN (vpn.cfg: conntype_user) wird Proxy-ARP eingesetzt;

    siehe auch die vpn.cfg:

    der VPN-Client erhält bei Proxy-ARP eine IP-Adresse (hier 172.16.240.201) aus dem LAN der Fritzbox.


    der Fachausdruck ist "Proxy-ARP",
    d.h. aus Sicht der anderen Devices im LAN verhält sich die Fritzbox, wie wenn sich ein IP-Alias (secondary IP) auf der LAN-Schnittstellen-IP der Fritzbox sich befindet;
    und wenn dann der Netzwerkstack ein IP-Frame entsprechend der accesslist "matched", dann wird dieses in den Tunnel "gestopft".

    Ja, Genau.
    ansonsten ist "Handarbeit" erforderlich, d.h. vpn.cfg editierung und importieren.

    Was ist nun genau das Problem ? Was ist das Ziel ? wie ist die Netzwerkdesign ? was wurde gemacht und was funktioniert bei diesem Setup nicht ?

    Oder geht es nur darum das IPsec-Funktionsprinzip und die Unterschiede zu anderen VPN-Techniken zu verstehen ?
     
    floogy gefällt das.
  11. floogy

    floogy Neuer User

    Registriert seit:
    2 Jan. 2006
    Beiträge:
    70
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    #11 floogy, 16 Apr. 2019
    Zuletzt von einem Moderator bearbeitet: 17 Apr. 2019
    Um mal ganz von vorne anzufangen. Es soll doch sicher das ganze Remotenetzwerk zugänglich werden. Ist dazu kein Routing nötig?

    Es geht konkret darum Intel® vPro ATM KVM auf dem Rechner 172.16.240.4 zugänglich zu machen, um über Port 5900 darauf aus der Ferne zuzugreifen, um nach dem Booten über wake-on-lan, per Grub-Bootloader z.B. Windows oder Ubuntu auszuwählen, falls ich remote mitdiesem Rechner in meinem Heimnetz z.B. aus einem Hotelzimmer arbeiten möchte.

    Fritz!Box 172.16.240.3
    Win7-PC 172.16.240.4
    FreeNAS 172.16.240.199
    ...

    Jetzt kann ich ja nicht mal mehr die Fritz!Box anpingen, obwohl ich alles in den Dialogen von „Fritz!Fernzugang einrichten“ wie angegeben ausgefüllt habe. Der Tunnel steht aber, zumindest laut VPNcilla oder android ... Außerdem wird kein weiterer Zugang akzeptiert, jedenfalls erscheint dieser nicht nachdem ich die *.cfg oder *.eff nach dem weiteren erfolgreichen Anlegen in „Fritz!Fernzugang einrichten“ erfolgreich[!] in die Fritz!Box importiert habe ...

    -- aktualisiert --

    Mir scheint, in phase2localid erscheint (bei iphone radiobutton in screen 2 jedenfalls) in der cfg immer 0.0.0.0 für ipaddr.

    Code:
                    use_cfgmode = yes;
                    phase2localid {
                            ipnet {
                                    ipaddr = 0.0.0.0;
                                    mask = 0.0.0.0;
                            }
                    }
    
    
    Wenn man alles durch den Tunnel leitet, werden noch zwei Zeilen angehangen:

    Code:
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    
    Vielleicht (wahrscheinlich, da es ja UDP ist) geht es da aber auch um etwas anderes. Ich blick es sowieso grade nicht. Entweder gibt es im Netz bebilderte Schritt-für-Schritt-Anleitungen, die einen doof sterben lassen, oder man bekommt abstrakte Einführungen in Netzwerktechniken und Sicherheitsprotokolle, die man nicht auf die Fritz! vpn.cfg übertragen kann ... Wo ist der Krempel überhaupt ordentlich dokumentiert?
     
  12. Phoenixtime

    Phoenixtime Neuer User

    Registriert seit:
    1 Juni 2018
    Beiträge:
    62
    Zustimmungen:
    13
    Punkte für Erfolge:
    8
    Zeig mal bitte dein Netzwerkkonzept. Ich glaube, du wirfst gerade alles durcheinander. Von IPSec über routing und die konfig mit Udp, die nur sagt, welche Ports bei der fritzbox aufgemacht werden.
    Z.B. Brauchst du im Normalfall nur das routing wenn du hinter der fritzbox ein Layer 3 Netzwerk aufbaust mit anderen Adressen.

    Auch das eingetragene routing in deiner fritzbox macht kein Sinn.

    Mein Tipp, baue alles zurück und setze Stück für Stück einzelne Funktionen um.
     
    floogy gefällt das.
  13. floogy

    floogy Neuer User

    Registriert seit:
    2 Jan. 2006
    Beiträge:
    70
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    #13 floogy, 16 Apr. 2019
    Zuletzt bearbeitet: 16 Apr. 2019
    Was versteht ihr denn nicht an meinen Ausführungen?

    Ich will von einem android Phone per VPN auf sämtliche Rechenr in meinem Heimnetz zugreifen.

    Und zwar mit einer VPN-Verbindung. Initiator ist also das android VPN (oder eben VPNcilla). VPN-Gatweway soll der Fritz!Router (172.16.240.3) in meinem Heimnetz (172.16.240.0/24) sein.

    Die Verbindung soll über das Mobilfunknetz ohne Wlan möglich sein (aber auch per Wlan).

    Ein DynDNS ist vorhanden (sowohl myfritz.net, als auch selfhost.de).

    Ein Problem scheint zu sein, dass ich nicht wusste, dass es VPN-Verbindungen host-to-host gibt, also etwa 10.153.234.8 (android) <-> (VPN-Tunnel) <-> 172.16.240.199

    Ich möchte aber android <-> (VPN-Tunnel) <-> LAN

    Offenbar habe ich bisher aber nur die erste Variante (host-to-host) hinbekommen ...
     
  14. Phoenixtime

    Phoenixtime Neuer User

    Registriert seit:
    1 Juni 2018
    Beiträge:
    62
    Zustimmungen:
    13
    Punkte für Erfolge:
    8
    Alles!
    Zeige dein Netzwerkkonzept von Eintritt (DSL/ Kabel) bis zum Gerät auf das du zugreifen möchtest.
    Davor kann man dir nicht helfen.
     
  15. floogy

    floogy Neuer User

    Registriert seit:
    2 Jan. 2006
    Beiträge:
    70
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    #15 floogy, 16 Apr. 2019
    Zuletzt von einem Moderator bearbeitet: 17 Apr. 2019
    Ich hatte eigentlich gedacht, das für Ostern hinzubekommen. Das scheint ja wohl nicht zu klappen.

    Naja, dann muss nextcloud per https reichen ...

    Ich hatte gerade erst am frühen Abend überflüssige VPN-Accounts und Verbindungen gelöscht und in der „Fritz!Fernzugang einrichten“-Software alles gelöscht und von vorne angefangen. Aber schon der zweite Account zur selben DYNDNS-Fritz!Box-Verbindung (per selfhost.de) erschien nach dem Hochladen der Konfiguration nicht als weiterer Account unter dem Netzwerk>Netzwerkeinstellungen>VPN-Tab.

    -- aktualisiert --

    Also keine Ahnung, was man daran jetzt nicht versteht.

    Code:
    Telekom<-Netzkabel->Fritz!7490<-switch->Computer
                                |
                          Freenas<->jails
                                |
                           bhyve-VM
    
    WLAN
    
    Mobile Phone (android)
    Ich möchte vom Smartphone am besten auf Computer, Freenas und alle jails und VMs im LAN (alle in 172.16.240.0-200) per VPN zugreifen, so dass arp -a oder nmap -sn 172.16.240.0/24 oder irgend sonst ein Netzwerkscanner alle 11 Netzwerkadressen anzeigen und alle anpingbar sind. Es ist aber nur ein host erreichbar.
     
  16. Phoenixtime

    Phoenixtime Neuer User

    Registriert seit:
    1 Juni 2018
    Beiträge:
    62
    Zustimmungen:
    13
    Punkte für Erfolge:
    8
    In dem gezeigten Netzwerk brauchst du keine zusätzlichen routing Einträge.
    Fritzbox auf Werkseinstellungen setzen.
    Du aktivierter VPN über die Benutzersteuerung in der Fritzbox.
    Das wars.
     
    floogy gefällt das.
  17. floogy

    floogy Neuer User

    Registriert seit:
    2 Jan. 2006
    Beiträge:
    70
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    Ich kann auch die ganzen Supportdaten veröffentlichen, weiß aber ehrlich nicht, ob ich damit sensitive Infos preis gebe ...
     
  18. floogy

    floogy Neuer User

    Registriert seit:
    2 Jan. 2006
    Beiträge:
    70
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    Ich setz doch wegen dem Quark nicht die Fritz!box auf Werkeinstellung.


    Genau das hatte ich ja gemacht, ohne dieses Zusatz-Tool zur Einrichtung. Das hatte ja auch nicht funktioniert. Ich hatte immer nur die Verbindung zur Fritz!Box, eventuell noch zusätzlich das Tablet, aber jedenfalls nicht zum LAN insgesamt.
     
  19. Phoenixtime

    Phoenixtime Neuer User

    Registriert seit:
    1 Juni 2018
    Beiträge:
    62
    Zustimmungen:
    13
    Punkte für Erfolge:
    8
    —> Ab dem Punkt bin ich raus.
     
  20. floogy

    floogy Neuer User

    Registriert seit:
    2 Jan. 2006
    Beiträge:
    70
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    #20 floogy, 16 Apr. 2019
    Zuletzt bearbeitet: 16 Apr. 2019
    Vielen Dank! Noch mal alle Routen deaktiviert und wirklich jede[!] VPN-Verbindung entfernt. Und die letzte cfg nochmals geladen. Nun wurden auch alle drei Accounts der mit „Fritz!Fernzugang einrichten“-Software nach dem Import aufgelistet!

    Bei der letzten Säuberung hatte ich die beiden MyFritz!App2 nicht entfernt!

    Bei der ersten VPN-Account-Installation dieser MyFritz!App2 wurde darauf verwiesen, den DHCP auf 2-200 zu begrenzen (oder bei mir eben 4, da die Fritz!Box .3 hat). Dann ging es immer noch nicht, ich hatte die Einträge aber drin gelassen ...

    Ich meine die Routen hatte ich schon mal alle deaktiviert. Ich nehme wirklich an, dass es an den MyFritz!App2-VPN-Einträgen lag.

    Sorry für den ganzen Müll ... Auf Werkeinstellungen hätte ich sie deswegen aber nicht gesetzt. Vielleicht auf eine frühere Sicherung der Einstellungen.