[Frage] Android als VPN-Client mit VPN-Benutzer der FB7490 und Routing im Remote Heim-Netz (LAN)

floogy

Neuer User
Mitglied seit
2 Jan 2006
Beiträge
74
Punkte für Reaktionen
1
Punkte
8
[gelöst] Die AVM-android-APP MyFritz!APP hatte, beim Versuch darüber zum Heimnetz zu verbinden, darum gebeten den DHCP der box auf 1-200 (wegen IP der Box, in meinem Fall von 4-200) zu beschränken, um die oberen Ranges für virtuelle Teilnehmer zu reservieren, also z.B. dem per Tunnel verbundenem Smartphone z.B. 172.16.240.201 etc.). Dem kam ich nach, und änderte die Ranges entsprechend in der Fritz!Box. Danach ging es aber immer noch nicht. Vermutlich hat das die ganze Konfiguration der VPN-Verbindung quer gelegt(?). Nach Deinstallation ALLER VPN-Verbindungen und auch Deaktivierung des VPN-Zugriffs aller sonstigen VPN-Benutzer, und erneutem Import der per „Fritz!Fernzugang einrichten“-Software unter Windows, erstellten vpn-<domainname-account>.cfg bzw. der entsprechenden verschlüsselten *.eff-Datei, ging alles. Auch bei deaktivierten statischen Routen, die ich zuvor erfolglos unter Netzwerkeinstellungen als ratlosen Versuch anlegte. – Verständnisschwierigkeiten infolge des unerwarteten Verhaltens des Netzwerks blockierten mich für die nötigen Lösungsansätze. I'm sorry for the noise!

Hallo, ich bin mit meinem Android Smart-Phone oder Tablet mit dem VPN-Nutzer der Fritz!Box 7490 verbunden, kann aber nichts anpingen. Das passiert sowohl mit dem android VPN-Client als auch mit MyFRITZ!App2 (-> mit Heimnetz verbinden, aktiv, Mobilfunk). Die Links zu den Freigaben (Die Lua-Links in der Mesh-Darstellung, oder auch Webseiten diverser Dienste *)) funktionieren nicht.

*) Zugriff vom Smartphone bei bestehendem Tunnel, ohne gleichzeitig per WLAN aus dem lokalen LAN angemeldet zu sein.

Nach meiner Vorstellung sollten aber alle Geräte im Heimnetz anpingbar sein. Das sind sie aber nur, wenn ich per WLAN mit dem Router in der Wohnung verbunden bin und VPN getrennt ist. Oder ist VPN nur direkt mit dem Router möglich, aber er routet keine Pakete vom android zu einem beliebigen Computer, der an ihm angeschlossen ist per VPN? ;)

-- Aktualisiert --

Um das noch mal zu präzisieren: Ich kann ausschließlich nur die Fritz!Box per VPN verbinden, also z.B. per Termux vom Android anpingen, oder dort mit nmap nur 2 Hosts finden, also die Fritz!Box und das android selbst.

route im android termux Fenster zeigt:

Code:
ping 172.16.240.3
PING 172.16.240.3 (172.16.240.3) 56(84) bytes of data.
64 bytes from 172.16.240.3: icmp_seq=1 ttl=64 time=57.5 ms
64 bytes from 172.16.240.3: icmp_seq=2 ttl=64 time=56.2 ms
64 bytes from 172.16.240.3: icmp_seq=3 ttl=64 time=56.4 ms
64 bytes from 172.16.240.3: icmp_seq=4 ttl=64 time=56.0 ms
^C
--- 172.16.240.3 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 56.001/56.565/57.529/0.581 ms
$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.0 * 255.0.0.0 U 0 0 0 ccmni0
$ ping 172.16.240.4
PING 172.16.240.4 (172.16.240.4) 56(84) bytes of data.
^C
--- 172.16.240.4 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2003ms

$ ping 172.16.240.199
PING 172.16.240.199 (172.16.240.199) 56(84) bytes of data.
^C
--- 172.16.240.199 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3000ms

$ ifconfig
ccmni0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.141.223.52 Mask:255.0.0.0
UP RUNNING NOARP MTU:1500 Metric:1
RX packets:261718 errors:0 dropped:0 overruns:0 frame:0
TX packets:179655 errors:2 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:275183960 (262.4 MiB) TX bytes:23408579 (22.3 MiB)

lo Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:18447 errors:0 dropped:0 overruns:0 frame:0

$ nmap -sV -O 172.16.240.0/24
TCP/IP fingerprinting (for OS scan) requires root privileges.
QUITTING!

nmap -sV 172.16.240.0/24
Starting Nmap 7.70 ( https://nmap.org ) at 2019-04-13 21:57 CEST
Nmap scan report for 172.16.240.3
Host is up (0.077s latency).
Not shown: 992 closed ports
PORT STATE SERVICE VERSION
9/tcp filtered discard
21/tcp open ftp AVM FRITZ!Box ftpd (model 7490)
53/tcp open domain?
80/tcp open http FRITZ!Box http config
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
5060/tcp open sip?
8181/tcp open http AVM FRITZ!Box 7300-series WAP http config
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port53-TCP:V=7.70%I=7%D=4/13%Time=5CB23F53%P=arm-unknown-linux-androide
SF:abi%r(DNSVersionBindReqTCP,20,"\0\x1e\0\x06\x81\x05\0\x01\0\0\0\0\0\0\x
SF:07version\x04bind\0\0\x10\0\x03");
Service Info: Devices: broadband router, WAP

Nmap scan report for 172.16.240.204
Host is up (0.0031s latency).
All 1000 scanned ports on 172.16.240.204 are closed

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 256 IP addresses (2 hosts up) scanned in 152.27 seconds
$

Vom Windows Computer 172.16.240.4 sieht das LAN aber so aus:
Code:
floogy@winpc ~
$ nmap 172.16.240.0/24
Starting Nmap 7.70 ( https://nmap.org ) at 2019-04-13 21:19 ope
Nmap scan report for fritz.box (172.16.240.3)
Host is up (0.00077s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
53/tcp   open  domain
80/tcp   open  http
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
5060/tcp open  sip
8181/tcp open  intermapper
MAC Address: 38:10:D5:73:45:38 (AVM Audiovisuelles Marketing und Computersysteme GmbH)

Nmap scan report for 172.16.240.5
Host is up (0.054s latency).
Not shown: 998 closed ports
PORT     STATE    SERVICE
80/tcp   open     http
8080/tcp filtered http-proxy
MAC Address: 00:22:61:C7:BC:D0 (Frontier Silicon)

Nmap scan report for freenas (172.16.240.15)
Host is up (0.00084s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
2049/tcp open  nfs
6000/tcp open  X11
MAC Address: 00:9C:02:97:5D:54 (Hewlett Packard)

Nmap scan report for nextcloud-1.fritz.box (172.16.240.16)
Host is up (0.00084s latency).
Not shown: 998 closed ports
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  https
MAC Address: 02:FF:B0:00:07:0B (Unknown)

Nmap scan report for FAMP.fritz.box (172.16.240.19)
Host is up (0.00038s latency).
Not shown: 995 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
80/tcp   open  http
443/tcp  open  https
3306/tcp open  mysql
MAC Address: 1A:60:9A:CF:25:0E (Unknown)

Nmap scan report for firefly-1.fritz.box (172.16.240.23)
Host is up (0.00s latency).
All 1000 scanned ports on firefly-1.fritz.box (172.16.240.23) are closed
MAC Address: BA:FE:43:80:7F:9E (Unknown)

Nmap scan report for LIFETAB.fritz.box (172.16.240.24)
Host is up (0.0061s latency).
All 1000 scanned ports on LIFETAB.fritz.box (172.16.240.24) are closed
MAC Address: 00:1A:13:80:66:2D (Wanlida Group)

Nmap scan report for 172.16.240.26
Host is up (0.0074s latency).
Not shown: 994 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
2068/tcp open  avocentkvm
5988/tcp open  wbem-http
5989/tcp open  wbem-https
MAC Address: A0:B3:CC:E6:5E:9E (Hewlett Packard)

Nmap scan report for freenas.mydomain.selfhost.bz (172.16.240.199)
Host is up (0.0000050s latency).
Not shown: 998 closed ports
PORT     STATE SERVICE
443/tcp  open  https
3306/tcp open  mysql
MAC Address: 02:FF:60:BA:B5:82 (Unknown)

Nmap scan report for floogy-3.fritz.box (172.16.240.254)
Host is up (0.000074s latency).
Not shown: 995 closed ports
PORT     STATE SERVICE
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
2049/tcp open  nfs
6000/tcp open  X11
MAC Address: 02:0C:D8:F9:90:00 (Unknown)

Nmap scan report for Jamcast.fritz.box (172.16.240.4)
Host is up (0.00s latency).
Not shown: 986 closed ports
PORT      STATE SERVICE
21/tcp    open  ftp
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
554/tcp   open  rtsp
1025/tcp  open  NFS-or-IIS
1026/tcp  open  LSA-or-nterm
1027/tcp  open  IIS
1031/tcp  open  iad2
1034/tcp  open  zincite-a
1083/tcp  open  ansoft-lm-1
3389/tcp  open  ms-wbt-server
16992/tcp open  amt-soap-http
16993/tcp open  amt-soap-https

Nmap done: 256 IP addresses (11 hosts up) scanned in 39.82 seconds

floogy@winpc ~
$

Also, was ich versuche ist eine ganz normale Verbindung zum LAN per VPN herzustellen, um z.B. 172.16.240.4 per Intel AMT KVM per VPN getunnelt im "LAN" über port 5900 remote per Tablet anzusprechen, um dn Grub Bootloader auswählen zu können nach einem Wake-on-LAN ...

Leider lässt sich das per 16995 nicht verbinden, und 5900 (VNC) möchte ich nicht so gern unverschlüsselt im Netz bereit halten ...

Aber im Grunde interessiert mich natürlich, was da überhaupt los ist.

Code:
floogy@winpc ~
$ route print
===========================================================================
Schnittstellenliste
 35...02 00 4c 4f 4f 50 ......Npcap Loopback Adapter
 21...02 00 4c 4f 4f 50 ......Microsoft Loopbackadapter
 13...90 2b 34 51 b4 cf ......Intel(R) 82579LM Gigabit Network Connection
  1...........................Software Loopback Interface 1
 18...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
 14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 22...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0     172.16.240.3     172.16.240.4     10
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    286
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    286
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    286
      169.254.0.0      255.255.0.0   Auf Verbindung     169.254.8.217    286
    169.254.8.217  255.255.255.255   Auf Verbindung     169.254.8.217    286
  169.254.255.255  255.255.255.255   Auf Verbindung     169.254.8.217    286
     172.16.240.0    255.255.255.0   Auf Verbindung      172.16.240.4    266
     172.16.240.4  255.255.255.255   Auf Verbindung      172.16.240.4    266
   172.16.240.255  255.255.255.255   Auf Verbindung      172.16.240.4    266
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung      172.16.240.4    266
        224.0.0.0        240.0.0.0   Auf Verbindung     169.254.8.217    286
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    286
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung      172.16.240.4    266
  255.255.255.255  255.255.255.255   Auf Verbindung     169.254.8.217    286
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    286
===========================================================================
Ständige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
 13    266 ::/0                     fe80::3a10:d5ff:fe73:4538
  1    306 ::1/128                  Auf Verbindung
 35    286 ::1/128                  Auf Verbindung
 13    266 2003:c9:2f13:e000::/56   fe80::3a10:d5ff:fe73:4538
 13     18 2003:c9:2f13:e000::/64   Auf Verbindung
 13    266 2003:c9:2f13:e000:41a6:d3ae:d9c8:3265/128
                                    Auf Verbindung
 13    266 2003:c9:2f13:e000:f527:6927:3dc7:fbe8/128
                                    Auf Verbindung
 13    266 fe80::/64                Auf Verbindung
 21    286 fe80::/64                Auf Verbindung
 21    286 fe80::9019:f087:ecb5:8d9/128
                                    Auf Verbindung
 13    266 fe80::f527:6927:3dc7:fbe8/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
 13    266 ff00::/8                 Auf Verbindung
 21    286 ff00::/8                 Auf Verbindung
 35    286 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

-- Aktualisiert --

Also mit der Fritz!Box kann ich mich ja schon sicher per SSL verbinden, mit dem KVM-Port 172.16.240.4:5900 geht das ohne VPN nicht. – Doof, dass ich mich mit VPN zwar mit der Fritzbox unter 172.16.240.3 verbinden kann, wo es die SSL-Verbindung über myfritz.net ja auch tut, aber 17.16.240.4 nach der erfolgreichen Herstellung der VPN-Verbindung nicht mal anpingen kann ...

EDIT: Ich vermute mal eine Fehlkonfiguration entweder bei der Routenübermittlung im Android-Client (werde auch mal VPNcilla App ausprobieren), oder remote im Heimnetzwerk (LAN), mit dem ich mich verbinden will, komme aber absolut nicht weiter.

Routenübermittlungen, die ich versucht habe in der Android-Einstellung:
10.0.0.0/8 (entsprechend dem Vorschlag, und weil im terminux `route` 10.0.0.0 angezeigt hat (jedoch kein gw)
0.0.0.0/0 (möglicherweise default, wenn man das unter erweitert gar nicht einstellt)
172.16.240.0/24 (172.16.240.1-172.16.240.255, was mir eigentlich am geeignetsten erscheint.)

DNS-Server-Übermitlung in den Android-VPN-Einstellungen:
8.8.8.8 (Vorschlag, Google)
172.16.240.3 (Fritz!Box Router, was mir am geeignetsten erscheint)
172.16.240.3 172.16.240.4 8.8.8.8 8.8.4.4 (kombiniert, keine Ahnung, ob das per Komma statt Leerzeichen getrennt werden müsste)

Apropos VPN-Apps für Android: Damit scheinen fast(!) ausschließlich VPN-Proxy-Apps gemeint zu sein, die es ermöglichen sollen Firewalls zu umgehen, oder angeblich das Surfverhalten zu anonymisieren (was zu bezweifeln ist ...). Wenn ihr da neben den Cisco-Apps und VPNcilla noch weitere brauchbare Clienten nennen könnt, mit denen das besser zu bewerkstelligen ist, als z.B. mit den Android-Boardmitteln (und Apps die dahin nur verlinken), dann würde mich das ebenfalls interessieren. Es gibt neben Cisco und Fritz!Apps ja auch noch welche, z.B. für Synology oder Symantec Router ... Ich meine aber eher allgemeine Clients, auch nicht unbedingt OpenVPN ClientApps (obwohl das vielleicht doch eine Alternative wäre, eventuell aber eher die Community Edition, oder eben doch die Amazon Cloud Variante für 2 Computer).

EDIT 2: Ich habe nun gefühlt alles mit VPNcilla ausprobiert, es klappt aber nicht. Es werden weiterhin nur 2 hosts angezeigt.
 
Zuletzt bearbeitet:
@floogy:
könntest Du mal einen anderen VPN-Client (statt Android-Handy einen PC mit shrewsoft oder iphone) ausprobieren und Ergebnisse posten.

Hier die Einstellungen in der Fritz!Box:
https://i.imgur.com/reRGufy.png
das mit den statischen Routing-Einträgen bei IPsec-VPN verstehe ich nicht;
bei IPsec verwendet man doch Traffic-Selectoren (siehe accesslist-Abschnitt in der vpn.cfg) statt static-routing-table entries !

Die Links zu den Freigaben funktionieren nicht.
Nur um sicher zu sein, was meinst Du hiermit ?
o Portforwarding
o Windows Netzwerk Freigaben
...


Ansonsten sollten weiterhin Probleme auftreten so ist ein Config-Problem (Layer2, Layer3, accesslist in vpn.cfg) naheliegend, hierzu sind folgende Abschnitte aus den Supportdaten der Fritzbox erforderlich:
http://fritz.box/?lp=support

Code:
##### BEGIN SECTION vpn VPN
...
##### END SECTION vpn


##### BEGIN SECTION dyndns DynDNS
...
##### END SECTION dyndns


##### BEGIN SECTION Networking Supportdata networking
...
##### END SECTION Networking Supportdata networking


##### BEGIN SECTION Events Events
...
##### END SECTION Events


ggf. bei vpn.cfg die Zeilen key, remoteip, remotehostname anonymisieren;
das ike.log sollte die Zeile "avmike:< add(appl=dsld,cname=" beginnend enthalten; ggf. vorher Fritzbox rebooten; alles in CODE-Tags oder Attachement-Datei posten und dann kann man weiteres sagen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: floogy
Ich habe ja schon geschrieben, dass ich alle Einstellungen im Routing des android VPN Klienten durchprobiert habe (übrigens auch in VPNcilla).

Ich könnte mir vorstellen, dass irgend etwas die ICMP Pings blockiert. Das hatte ich zuvor in cygwin, da konnte nmap auch nicht die hosts sehen, weil der host-onli-ethernet-adapter von VirtualBox falsch konfiguriert war. Nun habe ich schon Kaspersky, Teamviewer und SecurityKISS deinstalliert und alle adapter außer Netzkarte, Loopback und nccap Loopback deaktiviert.

Leider habe ich kein weiteres Gerät zur Verfügung.

Mir kommt aber gerade die Idee den Windows-Computer auszuschalten und nur das FreeNAS laufen zu lassen ... (vice versa, wenn das NAS aus ist, ist die Situation mit dem falschen/fehlenden Routing die selbe).

Werde das hier ergänzen, und mal schauen, ob ich das mit einem anderen Klienten (OsX, Linux, iOS oder Windows) auch noch bewerkstelligen kann ...

-- aktualisiert --

@floogy:
könntest Du mal einen anderen VPN-Client (statt Android-Handy einen PC mit shrewsoft oder iphone) ausprobieren und Ergebnisse posten.

.... Vollzitat gekürzt

Danke! Mit den „Freigaben“ meine ich die Links in der Mesh-Darstellung der Fritz!Box, jedenfalls denke ich das jetzt.

Ich will damit ja KVM im VPN-Heimnetz sozusagen „lokal“ nutzen, also getunnelt, da man in AMT den Port z.B. 5900 für legacy VNC freischalten kann, damit auch andere VNC-Klienten wie Real oder ähnlich zugreifen können. 5900 aber per Portforwarding freizugeben und von „außen“ zu verbinden ist aber unsicher, da unverschlüsselt.

Die Supportdatei (hatte ich noch gar nicht dran gedacht) erstelle ich mal und suche die entsprechenden Abschnitte heraus. Mit vpn.cfg ist die der Fritz!Box gemeint?
 
Zuletzt bearbeitet von einem Moderator:
Du hast den Link nicht gelesen oder verstanden?

Du musst die VPN config auf der Server Seite (fritzbox anpassen).

Beim Client bist du an der falschen Seiten.

Die Fritzbox lässt in den Standard VPN Einstellung nur Pakete vom VPN zu dem Standard IP Range zu (192.168.178.x)

Wenn du kein Windows Pc hast dann, kannst du dir auch per Beispiele im Internet deine eigene VPN Config basteln.

Wenn du nicht weißt, was du tust, dann solltest du ab hier abbrechen.
Weil jetzt geht es um Einstellungen, die deine Netzwerksicherheit beeinflussen und Fehler sich böse bemerkbar machen können.
 
  • Like
Reaktionen: floogy
Zuletzt bearbeitet:
Falsches Programm:
Um die VPN Datei zu erstellen musst du das nehmen:
FRITZ!Box-Fernzugang einrichten

Danach muss dann die erstellte Datei, nach dem oben genannten Link bearbeiten.
 
Ich habe das nun für iphone eingerichtet, da es ja nur die Auswahl iphone oder pc gab.


Code:
{
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "[email protected]";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 172.16.240.201;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "SECRET";
                        passwd = "SECRET";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 172.16.240.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 172.16.240.0 255.255.255.0 172.16.240.201 255.255.255.255",
                             "permit ip any 172.16.240.201 255.255.255.255";
                app_id = 0;
        }

Das hat die gleichen Probleme.

Die anderen Support-Daten folgen

EDIT: Das ist ganz schön viel Kram. Die Sektionen kommen wiederholt vor:
Code:
$ egrep -n -i ^#.*(vpn|dyndns|Events|networking) --color support FRITZ.Box 7490 113.07.01_16.04.19_1209.txt
$ for i in {vpn,dyndns,Events,networking}; do  echo -e "\n$i\n" ;egrep -n -i ^#.*"$i" --color "\\Documents\Computer\AVM Fritz\Sup
port-Daten\20190416_12.08\support FRITZ.Box 7490 113.07.01_16.04.19_1209.txt" ; done

vpn

10743:##### BEGIN SECTION vpn VPN
10974:##### END SECTION vpn
14747:##### BEGIN SECTION vpn VPN
14758:##### END SECTION vpn
16210:##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
16211:##### END SECTION vpn_cfg
28379:##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
28653:##### END SECTION vpn_cfg

dyndns

6469:##### BEGIN SECTION dyndns DynDNS
6767:##### END SECTION dyndns
14725:##### BEGIN SECTION dyndns DynDNS
14727:##### END SECTION dyndns

Events

16245:##### BEGIN SECTION Events Events
16249:##### END SECTION Events
17921:##### BEGIN SECTION WLAN_EVENTS Filtered Events
18024:##### END SECTION WLAN_EVENTS
29387:##### BEGIN SECTION Events Events
29514:##### END SECTION Events

networking

4509:##### BEGIN SECTION Networking Supportdata networking
12056:##### END SECTION Networking
14553:##### BEGIN SECTION Networking Supportdata networking
14779:##### END SECTION Networking

Was genau wird davon noch benötigt?



Okay, ich arbeite mich derweil mal hier durch:

VPN Konfigurationsdatei | Alexander Burth | Parameter der Konfigurationsdatei
http://www.burth-online.de/cms/index.php/technik/fritzbox/49-vpn-konfigurationsdatei.html
https://www.computersalat.de/linux/vpn/ipsec-vpn-zwischen-fritzbox-und-linux/
https://blog.webernetz.net/fritzos-ab-06-23-ipsec-p2-proposals-erweitert/

intra2net.com | 42.4. IPSec Verbindungen | Ein IPSec Verbindungsaufbau geschieht mit dem Protokoll Internet Key Exchange (IKE) in zwei Phasen. https://www.intra2net.com/de/support/manual/administrator/vpn-basics-connections.php
https://de.wikipedia.org/wiki/IPsec#Phase_2

IPSec Overview Part Four: Internet Key Exchange (IKE) | By Andrew Mason. | Cisco Press Feb 22, 2002.
How IPSec works http://www.ciscopress.com/articles/article.asp?p=25474&seqNum=7

Kryptowissen.de | IPsec (Internet Protocol Security) https://www.kryptowissen.de/ipsec.php

heise security | VPN-Knigge | Daniel Bachfeld | Hintergrund 13.04.2006 16:11 Uhr
Verschiedene Techniken bieten sich zum Aufbau eines virtuellen privaten Netzwerks an, aber nicht alle passen zum gedachten Einsatzszenario. Eine Übersicht über Standards und Protokolle erleichtert die Auswahl https://www.heise.de/security/artikel/VPN-Knigge-270796.html?seite=all

-- aktualisiert --

Mir ist das mit dem Routing nicht ganz klar. Ich denke, es müsste doch alles richtig eingerichtet sein mit

ipnet
Code:
phase2localid {
ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
}

ipadd
Code:
 phase2remoteid {
                        ipaddr = 172.16.240.201;
                }

accesslist
Code:
accesslist =
                             "permit ip 172.16.240.0 255.255.255.0 172.16.240.201 255.255.255.255",
                             "permit ip any 172.16.240.201 255.255.255.255";

Oder muss bei phase2localid das Netz des androids hinein (10.0.0.0 laut route unter termux)?
Oder zusätzlich als permit ip any?

Was ist denn die eigene IP? Ich fände es besser da von „Initiator IP“ oder bei remote IP gegebenenfalls von „remote VPN-Server-IP“ zu sprechen. Okay, ich bin halt verwirrt, weil nix greift. Dann verwerfe ich mein bisheriges Denken darüber, was vielleicht nicht mal falsch war ...

locale IP = initiator IP = android IP = ? (172.16.240.201 oder irgendwas mit 10.x.x.x ?)
remote IP = remote VPN-Server IP (Fritz!Box)/remote Netz = remote Heimnetz = 172.16.240.0/24

Ist das ein Split-Netz? Soll deshalb der DHCP nur bis x.x.x.200 verteilen und darüber ist dann für virtuelle IPs aus dem VPN reserviert?

Hier wird auch in phase2localid ipaddr = 0.0.0.0 eingetragen, wie bei mir die Fritz!Fernzugang einrichten generiert hat, ich denke durch die Option „Alles Daten über den VPN-Tunnel senden“ (Checkbox).

Workshop Heimnetzwerk: Fritzbox VPN einrichten
Code:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "Fritzbox VPN einrichten";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.178.201;
remoteid {
key_id = "Fritzbox VPN einrichten";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "h3sEf5Vkk6kwaBEISPIELa44jP7bMQWa3m";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
xauth {
valid = yes;
username = "Fritzbox VPN einrichten";
passwd = "91815";
}
use_cfgmode = yes;
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.178.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255",
"permit ip any 192.168.178.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
https://www.workshop-heimnetzwerk.de/fritzbox-vpn-einrichten.php

Ich möchte einen Computer über VPN mit dem Netzwerk der FRITZ!Box verbinden. Wie richte ich das ein? HowTo von AVM: http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/14761.php3 ( Memento bei archive.org)
Code:
Erläuterungen zur VPN-Configurationsdatei der Fritz!Box

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "VPN to Office";          !Name nur zur Anzeige im Box-Monitor
                always_renew = no;
                reject_not_encrypted = no;       !Yes=keine Internetverbindung bei VPN
                dont_filter_netbios = yes;       !Netbios durchlassen
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;       !IP falls cfgmode=no bei roadrunner
                remoteip = 0.0.0.0;              !IP-Adresse Gegenstelle, remotehostname dann weglassen
                remote_virtualip = 0.0.0.0;      ! Identität Phase 2 Gegenstelle ggf.
                remotehostname = "office-vpn.dyndns.org"; ! oder DNSame der Gegenstelle
                localid {
                        fqdn = "myhome.dyndns.org";  ! unsere Identitaet Phase 1
                }
                remoteid {
                        fqdn = "office-vpn.dyndns.org"; ! Identität der Gegenstelle
                }
                mode = phase1_mode_aggressive;   ! Aggressive Mode in Phase 1
                phase1ss = "all/all/all";        ! Sicherheits Strategie
                keytype = connkeytype_pre_shared;! Schlüssel-Art (Certs??)
                key = "Klartext_PreShared_Key";  ! wird autom. generiert vorgeschlagen
                cert_do_server_auth = no;        ! Zertifikate statt preshared Key
                use_nat_t = no;
                use_xauth = no;                  ! yes=Radius Server oder Cisco etc., dann xauth {}
                    !xauth {
                    !        valid = yes;
                    !        username = "CISCO-Benutzername";
                    !        passwd = "CISCO-Benutzerkennwort";
                    !}
                use_cfgmode = no;                !yes=virtuelle IP von Gegenstelle + autom. NAT
                phase2localid {                  !Identifikation des Tunnels (Box-Seite)
                        ipnet {
                                ipaddr = 192.168.200.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                                                 ! Alle Algorithmen, ohne AH, mit PFS
                accesslist = "permit ip any 192.168.0.0 255.255.255.0, ! Durch VPN geroutete Verbindungen
                             "permit ip any 10.21.0.0 255.255.0.0";    ! Rückroute an Gegenstelle definieren nicht vergessen
                                                 ! Firewall zur Gegenstelle wird autom. geöffnet
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
https://www.bluestonedesign.de/faq/16-server-administration/183-fritzbox-cfg-datei

In diesem Beispiel wird hingegen das lokale Netz eingetragen:
Code:
                    phase2localid {
                                   ipnet {
                                          ipaddr = 192.168.50.0;   | <- Eigenes Netzwerk ANPASSEN
                                          mask = 255.255.255.0;
                                         }
https://www.router-forum.de/avm-fri...i-cfg-fuer-fritz-box-7490.t62294/#post-260689
 
Zuletzt bearbeitet von einem Moderator:
Mir ist das mit dem Routing nicht ganz klar
Nochmals da wird bei IPsec-VPN nichts geroutet;
bei User-VPN (vpn.cfg: conntype_user) wird Proxy-ARP eingesetzt;

siehe auch die vpn.cfg:
Code:
     phase2remoteid {
                            ipaddr = 172.16.240.201;
                    }
SNIP
    accesslist =
                                 "permit ip 172.16.240.0 255.255.255.0 172.16.240.201 255.255.255.255",
                                 "permit ip any 172.16.240.201 255.255.255.255";


Was ist denn die eigene IP?
der VPN-Client erhält bei Proxy-ARP eine IP-Adresse (hier 172.16.240.201) aus dem LAN der Fritzbox.


Ist das ein Split-Netz?
der Fachausdruck ist "Proxy-ARP",
d.h. aus Sicht der anderen Devices im LAN verhält sich die Fritzbox, wie wenn sich ein IP-Alias (secondary IP) auf der LAN-Schnittstellen-IP der Fritzbox sich befindet;
und wenn dann der Netzwerkstack ein IP-Frame entsprechend der accesslist "matched", dann wird dieses in den Tunnel "gestopft".

Soll deshalb der DHCP nur bis x.x.x.200 verteilen und darüber ist dann für virtuelle IPs aus dem VPN reserviert?
Ja, Genau.
ansonsten ist "Handarbeit" erforderlich, d.h. vpn.cfg editierung und importieren.

Was ist nun genau das Problem ? Was ist das Ziel ? wie ist die Netzwerkdesign ? was wurde gemacht und was funktioniert bei diesem Setup nicht ?

Oder geht es nur darum das IPsec-Funktionsprinzip und die Unterschiede zu anderen VPN-Techniken zu verstehen ?
 
Zuletzt bearbeitet:
  • Like
Reaktionen: floogy
Um mal ganz von vorne anzufangen. Es soll doch sicher das ganze Remotenetzwerk zugänglich werden. Ist dazu kein Routing nötig?

Es geht konkret darum Intel® vPro ATM KVM auf dem Rechner 172.16.240.4 zugänglich zu machen, um über Port 5900 darauf aus der Ferne zuzugreifen, um nach dem Booten über wake-on-lan, per Grub-Bootloader z.B. Windows oder Ubuntu auszuwählen, falls ich remote mitdiesem Rechner in meinem Heimnetz z.B. aus einem Hotelzimmer arbeiten möchte.

Fritz!Box 172.16.240.3
Win7-PC 172.16.240.4
FreeNAS 172.16.240.199
...

Jetzt kann ich ja nicht mal mehr die Fritz!Box anpingen, obwohl ich alles in den Dialogen von „Fritz!Fernzugang einrichten“ wie angegeben ausgefüllt habe. Der Tunnel steht aber, zumindest laut VPNcilla oder android ... Außerdem wird kein weiterer Zugang akzeptiert, jedenfalls erscheint dieser nicht nachdem ich die *.cfg oder *.eff nach dem weiteren erfolgreichen Anlegen in „Fritz!Fernzugang einrichten“ erfolgreich[!] in die Fritz!Box importiert habe ...

-- aktualisiert --

Mir scheint, in phase2localid erscheint (bei iphone radiobutton in screen 2 jedenfalls) in der cfg immer 0.0.0.0 für ipaddr.

Code:
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }

Wenn man alles durch den Tunnel leitet, werden noch zwei Zeilen angehangen:

Code:
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";

Vielleicht (wahrscheinlich, da es ja UDP ist) geht es da aber auch um etwas anderes. Ich blick es sowieso grade nicht. Entweder gibt es im Netz bebilderte Schritt-für-Schritt-Anleitungen, die einen doof sterben lassen, oder man bekommt abstrakte Einführungen in Netzwerktechniken und Sicherheitsprotokolle, die man nicht auf die Fritz! vpn.cfg übertragen kann ... Wo ist der Krempel überhaupt ordentlich dokumentiert?
 
Zuletzt bearbeitet von einem Moderator:
Zeig mal bitte dein Netzwerkkonzept. Ich glaube, du wirfst gerade alles durcheinander. Von IPSec über routing und die konfig mit Udp, die nur sagt, welche Ports bei der fritzbox aufgemacht werden.
Z.B. Brauchst du im Normalfall nur das routing wenn du hinter der fritzbox ein Layer 3 Netzwerk aufbaust mit anderen Adressen.

Auch das eingetragene routing in deiner fritzbox macht kein Sinn.

Mein Tipp, baue alles zurück und setze Stück für Stück einzelne Funktionen um.
 
  • Like
Reaktionen: floogy
Was versteht ihr denn nicht an meinen Ausführungen?

Ich will von einem android Phone per VPN auf sämtliche Rechenr in meinem Heimnetz zugreifen.

Und zwar mit einer VPN-Verbindung. Initiator ist also das android VPN (oder eben VPNcilla). VPN-Gatweway soll der Fritz!Router (172.16.240.3) in meinem Heimnetz (172.16.240.0/24) sein.

Die Verbindung soll über das Mobilfunknetz ohne Wlan möglich sein (aber auch per Wlan).

Ein DynDNS ist vorhanden (sowohl myfritz.net, als auch selfhost.de).

Ein Problem scheint zu sein, dass ich nicht wusste, dass es VPN-Verbindungen host-to-host gibt, also etwa 10.153.234.8 (android) <-> (VPN-Tunnel) <-> 172.16.240.199

Ich möchte aber android <-> (VPN-Tunnel) <-> LAN

Offenbar habe ich bisher aber nur die erste Variante (host-to-host) hinbekommen ...
 
Zuletzt bearbeitet:
Ich hatte eigentlich gedacht, das für Ostern hinzubekommen. Das scheint ja wohl nicht zu klappen.

Naja, dann muss nextcloud per https reichen ...

Ich hatte gerade erst am frühen Abend überflüssige VPN-Accounts und Verbindungen gelöscht und in der „Fritz!Fernzugang einrichten“-Software alles gelöscht und von vorne angefangen. Aber schon der zweite Account zur selben DYNDNS-Fritz!Box-Verbindung (per selfhost.de) erschien nach dem Hochladen der Konfiguration nicht als weiterer Account unter dem Netzwerk>Netzwerkeinstellungen>VPN-Tab.

-- aktualisiert --

Also keine Ahnung, was man daran jetzt nicht versteht.

Code:
Telekom<-Netzkabel->Fritz!7490<-switch->Computer
                            |
                      Freenas<->jails
                            |
                       bhyve-VM

WLAN

Mobile Phone (android)

Ich möchte vom Smartphone am besten auf Computer, Freenas und alle jails und VMs im LAN (alle in 172.16.240.0-200) per VPN zugreifen, so dass arp -a oder nmap -sn 172.16.240.0/24 oder irgend sonst ein Netzwerkscanner alle 11 Netzwerkadressen anzeigen und alle anpingbar sind. Es ist aber nur ein host erreichbar.
 
Zuletzt bearbeitet von einem Moderator:
In dem gezeigten Netzwerk brauchst du keine zusätzlichen routing Einträge.
Fritzbox auf Werkseinstellungen setzen.
Du aktivierter VPN über die Benutzersteuerung in der Fritzbox.
Das wars.
 
  • Like
Reaktionen: floogy
Ich setz doch wegen dem Quark nicht die Fritz!box auf Werkeinstellung.


Du aktivierter VPN über die Benutzersteuerung in der Fritzbox.
Das wars.

Genau das hatte ich ja gemacht, ohne dieses Zusatz-Tool zur Einrichtung. Das hatte ja auch nicht funktioniert. Ich hatte immer nur die Verbindung zur Fritz!Box, eventuell noch zusätzlich das Tablet, aber jedenfalls nicht zum LAN insgesamt.
 
Vielen Dank! Noch mal alle Routen deaktiviert und wirklich jede[!] VPN-Verbindung entfernt. Und die letzte cfg nochmals geladen. Nun wurden auch alle drei Accounts der mit „Fritz!Fernzugang einrichten“-Software nach dem Import aufgelistet!

Bei der letzten Säuberung hatte ich die beiden MyFritz!App2 nicht entfernt!

Bei der ersten VPN-Account-Installation dieser MyFritz!App2 wurde darauf verwiesen, den DHCP auf 2-200 zu begrenzen (oder bei mir eben 4, da die Fritz!Box .3 hat). Dann ging es immer noch nicht, ich hatte die Einträge aber drin gelassen ...

Ich meine die Routen hatte ich schon mal alle deaktiviert. Ich nehme wirklich an, dass es an den MyFritz!App2-VPN-Einträgen lag.

Sorry für den ganzen Müll ... Auf Werkeinstellungen hätte ich sie deswegen aber nicht gesetzt. Vielleicht auf eine frühere Sicherung der Einstellungen.
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.