Androiden erobern die Fritzbox! IPSEC VPN ZUR FRITZBOX !

[Firehand002]

Hallo Zusammen,

sorry für die etwas ungeschickte Fragen - aber ich habe versucht, bei mir Get-A-Robot-VPNC wie im Beitrag 131 hinzubekommen. Leider funktioniert dies mit der Version 0.99 von VPNC und Android 2.3 auf meinem Galaxy S I9000 nicht.

Wenn ich das richtig sehe, brauche ich bei Android 2.3 keine tun.ko mehr. Also habe ich nur die VPNC-Script Datei bearbeitet (IP Adresse abgeändert) und die vpnc-script sowie vpnc nach /data/data/org.codeandroid.vpnc_frontend/files/ kopiert.
Funktioniert aber leider nicht - ich erhalte nur die Meldung "Failed to connect". Gibt es die Möglichkeit, das Log anzusehen?

Vielen Dank!

 

[raix]

[Edit frank_m24: Vollzitat gelöscht, siehe Forumregeln.]

Exakt und in den Base AGB ist nirgendwo die Rede davon, dass das Volumen nur für HTTP-Traffic zählt. Von daher ist der Standpunkt "Man bekommt, wofür man zahlt" ein wenig fehl am Platz.

 

[frank_m24]

Wenn ich das richtig sehe, brauche ich bei Android 2.3 keine tun.ko mehr.

Wenn du auf einem Samsung Stock Kernel bist (oder einem darauf basierenden Custom Kernel), ist TUN dabei. Bei Custom Kerneln kann das anders aussehen.

Gibt es die Möglichkeit, das Log anzusehen?

Mit adb logcat.


@raix: Bitte unterlasse die unsinnigen Vollzitate.

Exakt und in den Base AGB ist nirgendwo die Rede davon, dass das Volumen nur für HTTP-Traffic zählt.

Vergiss nicht, die Leistungsbeschreibung zu berücksichtigen. Natürlich wird so ein Punkt nicht nachträglich geändert. Wenn der Vertrag erst mal abgeschlossen ist, stehen die Features fest.

Von daher ist der Standpunkt "Man bekommt, wofür man zahlt" ein wenig fehl am Platz.

Ganz im Gegenteil. Gerade her gilt die Aussage uneingeschränkt.

Damit soll es aber auch endgültig genug sein. Alle weiteren Kommentare zu Vertragsbestandteilen werden unweigerlich gelöscht. Es gibt genug Threads hier im Forum, die sich exakt damit beschäftigen. Suche dir einen davon aus, wenn du Bedarf hast, weiter zu diskutieren.

 

[Ichabod]

Hallo,

ich bin neu hier, weil ich mich wegen des Threads angemeldet habe.

Ich habe folgende Probleme: Mein Milestone mit CM 7 und vpnc, leider ohne script, da ich den Dateipfad, in dem vpnc-script abgelegt wird, nicht habe, obwohl ich pnc schon einmal gestartet habe.

Das andere ist die Konfiguration der VPN für die FB. Ich habe mich genau an Beispiel-Config von AVM gehalten, aber meine FB 7270 will die einfach nicht importieren. Woran kann das liegen?

 

[felixdacat]

Hi,
Zu dem Skipitverzeichnis kann ich leide rnichts sagen. Bei mir (Wildfire + Cyanogen Mod 7) war es nach der instlalation von der VPN APP vorhanden.

Zu der Fritzbox. Schaue mal genau Beitrag #314 an.
Die Fritzbox prüft die VPN Dateien beim Hochladen auf Fehler/Konsistenz.
Ist ein (Tipp)Fehler , zb falsches Komma o.Ä vorhanden, dann wird die Config abgelehnt.
Ich hatte das auch mal zwischendurch. Irgendwann habe ich dann die original von der Fritz Software exportierte config nochmal geöffnet und
alles nochmal nach Post #314 abgeändert und es ging.

Hab zwar nen Connect zur Box inzwischen, aber Daten fliessen immernoch keine.
Mangels Vergelichsmöglichkeiten was in der Fritz dann auf der VPN Seite steht geb ich jetzt auch somit erstmal auf.
Würd mich mal interessieren wie weit Du kommst mit dem CM7 -Vielleicht liegt es ja doch irgendwie an der FW.


Fx

 

[Ichabod]

Die IKE-Forwardrules benötige ich doch gar nicht? Zumindest sind sie in meiner Config nicht dabei. Habe jetzt nochmal einige Dinge geändert, mal schauen ob er sie annimmt.

Danke Fx.

Hmm, ich habe mich genau an das Beispiel aus #314 gehalten. Meine FB will die Config wieder nicht.

 

[felixdacat]

Hi Mbassador

Also die IKE Forward rules sind eigentlich in der Originalconfig schon drin. Du findest sie ganz unten am Ende.
Kann man leicht übersehen, wenn man mehrere VPN Profile in der Konfig hat.
Wenn Du immernoch Probleme hast , dann würde ich die Konfig mal neu aus dem AVM tool exportieren und dann zur not den kompletten Block, der
für den Zugang des Handys steht, ersetzten.

Fx

 

[Ichabod]

Hallo,

ich bins nochmal. Unten steht meine Config. Bis auf die zu verändernden Passagen ist das genau die Config, die ich aus dem "Fritz!Fernzugang einrichten" bekommen habe. Ist da irgendwas falsch?

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "66michel87.endofinternet.net";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.178.201;
                remoteip = 0.0.0.0;
                remotehostname = "dyndns-domain";
                localid {
                        key_id = "Nutzer";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "o57c7?7!'%z';x+#7ksoqk[au;9(}42t+]al";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = yes;
		xauth {
		valid = yes;
		username = "Benutzername";
		passwd = "Kennwort";
		}
                phase2localid {
                        ipaddr = 192.168.178.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = "permit ip any 192.168.178.201 255.255.255.255";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

 

[SnoopyDog]

Das ist die Config Datei für den Client. In die Fritz!box mußt Du die andere importieren.

 

[Ichabod]

Danke. Ich hatte mich schon gewundert.

VPN an der FB ist jetzt eingerichtet. HEX-Editor habe ich auch runtergeladen und die aktuelle VPNC, nur das Script kann ich mit ASTRO nicht verschieben, weil ich diesen Ordner nicht sehe.

 

[cakruege]

---edit---

hier ein von mir compiliertes Busybox-Binary

Diese Anleitungen waren die Vorlage:
http://www.arm9board.net/wiki/index.php?title=Filesystem_using_Busybox
http://afewe.wordpress.com/android-arm-development/cross-compile-busybox-for-arm-android/

http://www.neroon.com/BusyBox_v1.18.5_android/busybox

BusyBox v1.18.5 (2011-07-18 07:43:28 PDT) multi-call binary.
Copyright (C) 1998-2009 Erik Andersen, Rob Landley, Denys Vlasenko
and others. Licensed under GPLv2.
See source distribution for full notice.

Usage: busybox [function] [arguments]...
   or: busybox --list[-full]
   or: function [arguments]...

        BusyBox is a multi-call binary that combines many common Unix
        utilities into a single executable.  Most people will create a
        link to busybox for each function they wish to use and BusyBox
        will act like whatever it was invoked as.

Currently defined functions:
        [, [[, acpid, add-shell, addgroup, adduser, adjtimex, ar, arp, arping,
        ash, awk, base64, basename, beep, blkid, blockdev, bootchartd, brctl,
        bunzip2, bzcat, bzip2, cal, cat, catv, chat, chattr, chgrp, chmod,
        chown, chpasswd, chpst, chroot, chrt, chvt, cksum, clear, cmp, comm,
        cp, cpio, crond, crontab, cryptpw, cttyhack, cut, date, dc, dd,
        deallocvt, delgroup, deluser, depmod, devmem, df, dhcprelay, diff,
        dirname, dmesg, dnsd, dnsdomainname, dos2unix, du, dumpkmap,
        dumpleases, echo, ed, egrep, eject, env, envdir, envuidgid, ether-wake,
        expand, expr, fakeidentd, false, fbset, fbsplash, fdflush, fdformat,
        fdisk, fgconsole, fgrep, find, findfs, flock, fold, free, freeramdisk,
        fsck, fsck.minix, fsync, ftpd, ftpget, ftpput, fuser, getopt, getty,
        grep, gunzip, gzip, halt, hd, hdparm, head, hexdump, hostid, hostname,
        httpd, hush, hwclock, id, ifconfig, ifdown, ifenslave, ifplugd, ifup,
        inetd, init, insmod, install, ionice, iostat, ip, ipaddr, ipcalc,
        ipcrm, ipcs, iplink, iproute, iprule, iptunnel, kbd_mode, kill,
        killall, killall5, klogd, last, length, less, linux32, linux64,
        linuxrc, ln, loadfont, loadkmap, logger, login, logname, logread,
        losetup, lpd, lpq, lpr, ls, lsattr, lsmod, lspci, lsusb, lzcat, lzma,
        lzop, lzopcat, makedevs, makemime, man, md5sum, mdev, mesg, microcom,
        mkdir, mkdosfs, mke2fs, mkfifo, mkfs.ext2, mkfs.minix, mkfs.vfat,
        mknod, mkpasswd, mkswap, mktemp, modinfo, modprobe, more, mount,
        mountpoint, mpstat, mt, mv, nameif, nbd-client, nc, netstat, nice,
        nmeter, nohup, nslookup, ntpd, od, openvt, passwd, patch, pgrep, pidof,
        ping, ping6, pipe_progress, pivot_root, pkill, pmap, popmaildir,
        poweroff, powertop, printenv, printf, ps, pscan, pwd, raidautorun,
        rdate, rdev, readahead, readlink, readprofile, realpath, reboot,
        reformime, remove-shell, renice, reset, resize, rev, rm, rmdir, rmmod,
        route, rpm, rpm2cpio, rtcwake, run-parts, runlevel, runsv, runsvdir,
        rx, script, scriptreplay, sed, sendmail, seq, setarch, setconsole,
        setfont, setkeycodes, setlogcons, setsid, setuidgid, sh, sha1sum,
        sha256sum, sha512sum, showkey, slattach, sleep, smemcap, softlimit,
        sort, split, start-stop-daemon, stat, strings, stty, su, sulogin, sum,
        sv, svlogd, swapoff, swapon, switch_root, sync, sysctl, syslogd, tac,
        tail, tar, tcpsvd, tee, telnet, telnetd, test, tftp, tftpd, time,
        timeout, top, touch, tr, traceroute, traceroute6, true, tty, ttysize,
        tunctl, udhcpc, udhcpd, udpsvd, umount, uname, uncompress, unexpand,
        uniq, unix2dos, unlzma, unlzop, unxz, unzip, uptime, usleep, uudecode,
        uuencode, vconfig, vi, vlock, volname, wall, watch, watchdog, wc, wget,
        which, who, whoami, xargs, xz, xzcat, yes, zcat, zcip

 

[Ichabod]

Wollte mal Bescheid geben: Nachdem sich der Irrtum geklärt hat, danke an SnoopyDog nochmal, hat die VPN-Verbindung funktioniert, aber es scheint so, dass BASE VPN-Verbindungen blockiert, da bei mir immer steht, dass die Verbindung corrupted und somit getrennt wurde.

Toller Thread und tolles How-To.

 

[Rob2222]

Huhu,

ich kämpfe seit knapp 8 Stunden mit dem Android VPN.
Problem war, daß sich das Telefon mit VPNC und auch mit VPNC-Widget zur Fritzbox connected, dann aber keinerlei Datentransfer möglich ist. Kein Ping, nix.

Ich habe die ganze Zeit die Lösung bei Android gesucht.

Nun habe ich mal das andere eingerichtete Fritzbox <=> Fritzbox VPN deaktiviert, und schwupp, die Android VPN Verbindung läuft wie sie es sollte. *grummel*

Also das Problem:
Aktiviere ich die Fritzbox zu Fritzbox VPN Verbindung (192.168.0.0 <==> 192.168.8.0) zusätzlich zu der Fritzbox zu Android Verbindung, verwurschtelt die Fritzbox scheinbar das Routing und von und zu Android geht nichts mehr.

Statische Routen sind nicht vorhanden und die Firmware ist die 29.04.87.

Habt Ihr ein Tip für mich?


EDIT:
Oh Mann ...

Hab die (Box <=>Box) Verbindung nochmal eingerichtet.
Hierbei fiel mir auf, daß der Assistent mir bei dem Netzwerk "192.168.0.0" die Subnetzmaske 255.555.0.0 vorgeschlagen hat. Richtig ist aber "255.255.255.0".
Durch die vorletzte 0 als Netzwerk, konnte es der Assistent aber nicht besser wissen.

Diesmal dann die richtige Subnetzmaske ausgewählt und die Konfig auf beiden Boxen neu eingespielt.

Und jetzt klappts auch mit Android problemlos. OMG!
Nunja, Fehler behoben.


Viele Grüße
Robert

 

[felixdacat]

AH , Guck an - Habe ja auhc noch ne Box2Box Verbindung und das Problem das nix geht. Werde morgen mal schauen wie
die 255.255.0.0-Geschichte bei mir aussieht und ob da was falsch ist.

 

[cakruege]

# /data/data/org.codeandroid.vpnc_frontend/files/vpnc --script /data/data/org.codeandroid.vpnc_frontend/files/vpnc-script --no-detach

Tunnelaufbau von der Shell aus klappt, per vpn connections app leider nicht.
Mit dem vpnc widget klappts auch grafisch.

Zugriff auf die Fritzbox und aufs LAN ist jetzt möglich (ping, ftp, smb)
Die Fritz!App Fon verbindet sich allerdings nicht mit der Fritzbox, hat jemand eine Idee warum?
Ich bin dann auf Sipdroid ausgewichen. Funktioniert im LAN prima aber per VPN wird zwar ein Telefongespräch aufgebaut, in beide Richtungen wird aber kein Ton übertragen.

 

[humanoid]

Hallo,
wie bekomme ich es hin, dass mein Andoid-Handy uneingeschränkten Zugang auf mein Heimnetzwerk per VPN bekommt?

Dies soll mein gerootetes Galaxy S (custom rom) via IPSec erledigen.
Dafür benutze ich als App "VPNC Widget" von "Matthias Meier" in der aktuellen Version 1.15 aus dem Anroid Market.
Auf meinem Router (der FRITZ!Box WLAN 3270) habe ich bereits eine entsprechende cfg-Datei, welche ich zuvor mit dem "Fritz!Fernzugang einrichten"-Programm erstellt und per Texteditor anschließend modifiziert hatte, importiert, so dass ein VPN Zugang bereits funktioniert

Allerdings kann ich momentan ausschließlich die FRITZ!Box (192.168.1.1) anpingen.
Mein PC mit der SMB-Share, auf den ich zugreifen möchte, lässt sich hingegen erst gar nicht anpingen. Auch die anderen Rechner im LAN lassen sich nicht anpingen.

Und so in etwa sieht mein Fritzbox-Congig-File aus:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.1.201;
                remoteid {
                        key_id = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xlasjhfgliawhfiwlazlawizdlwiadzlaiwgzlawigzilawgzlawizgilwazgwlai";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
				xauth {
				valid = yes;
				username = "bla";
				passwd = "bla";
				}
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.1.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.1.1 255.255.255.255 192.168.1.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Während ich mit dem Handy auf die FB per VPN zugreife, steht Folgendes im Browser:
Aktiv: [x]
Name: [email protected]
Adresse im WWW: 3.4.5.6
lokales Netz: 0.0.0.0
entferntes Net: 192.168.1.201
Status: grün

EDIT:
Ich habe hier gerade noch einen Beitrag gefunden, der mein Problem lösen könnte. Ich habe nur noch nicht so recht nachvollzogen, was es mit den drei hier aufgeführten Benutzern (Benutzer, Benutzer2 und iPhone) aufsich hat.

EDIT2:
Ich glaube ich habe es mit ein paar weiteren Änderungen an der Fritzbox-cfg geschafft. Komischerweise wird im Browserstatus der Fritzbox nach wie vor 0.0.0.0 angezeigt. Müsste da nicht auch 192.168.1.201 stehen? Und aus potentiellen Vorteilen der o.g. 3-Benutzer-Einrichtung werde ich immer noch nicht so richtig schlau. Naja, ich werde am Ball bleiben.

 

[cakruege]

accesslist =
"permit ip 192.168.1.1 255.255.255.255 192.168.1.201 255.255.255.255";

Das ist das Problem. Du erlaubst nur die eine IP und nicht das Netz.

 

[frank_m24]

Wenn das AVM Konfigurationstool nach einem Netz fragt, dann solltest du keine IP-Adresse angeben.

 

[doc456]

@humanoid, dein Link im 1. Edit ist genau der Richtige...

 

[humanoid]

Ich habe es ganz einfach mit "any" gelöst. Das wurde auch hier einige Seiten vorher bereits vorgeschlagen. Manchmal sieht man den Wald vor lauter Bäumen eben nicht.

accesslist =
"permit ip any 192.168.1.201 255.255.255.255";

Damit geht's am unproblematischsten. Den Link aus meinem ersten Edit halte ich eher für unnötig. Ich lasse mich aber auch gerne eines Besseren belehren.

Mit der "any-Lösung" kann ich alle LAN-Rechner erreichen und umgekehrt lässt sich ebenso meine Handy-IP anpingen.
Also müsste das Handy jetzt ja quasi ganz normal in einem LAN mit meinen PCs und meinem TV sein?!
Ich habe mal spaßeshalber mit dem Handy eine Verbindung über VPNC aus dem HSDPA Netz aufgebaut und versucht, meinen TV via Samsung Remote App fernzusteuern. Das geht jedoch nicht. Zugegeben sind das Sachen die die Welt nicht braucht, aber es geht ja schließlich ums Prinzip ;-) Sicherlich gibt es somit auch an anderer Stelle noch Einschränkungen.
Wenn ich's hinbekommen habe werde ich es hier posten.