FitzBox VPN-Verbindung vom Win10 Notebook ins Heimnetzwerk

IP-Phone-tom

Neuer User
Mitglied seit
10 Jul 2015
Beiträge
108
Punkte für Reaktionen
4
Punkte
18
Hallo,
meine Suche war erfolglos und ich kriegs nicht hin. Kann mir jemand helfen?

Ich habe hier ein kleines lokales Netzwerk, zu dem eine Mitarbeiterin von extern über Notebook und VPN Zugang erhalten soll.

Eigentlich wäre ich für einen stabilen und sicheren Zugang auch bereit, noch etwas in Hard- oder Software zu investieren?!? (= 2. Frage):confused:
Ich will es aber zunächst (unter Eile) mit den bekannten verfügbaren Mitteln versuchen:

Ich bin von dem Heise-Hinweis auf den
Shrew Soft Client 2.2.2 gekommen:

Meine Eckdaten:

Fritzbox 7590 (7.29), 192.168.10.251
FritzBox ist DHCP-Server: von 192.168.10.100 bis 192.168.10.199
DynDNS server name: aa-Firmenname.de (über Strato)

FRITZ!Box-Benutzer: VPNsally (mit Berechtigung "VPN")
VPN Nutzern: VPNsally
VPN pw: VPNsally_passwort
virtuelle IPAdresse: 192.168.10.201
Ich habe kein myFRITZ! Konto und möchte auch keins verwenden.

Notebook Win10 Pro, 21H1, 19043.1466
Notebook ist testweise über den "persönlichen Hotspot" eines iPhone im Mobilnetz.
Username und Passwort des Notebooks stimmen mit den lokalen Zugangdaten überein (über WLAN im Heimnetz hat die Userin entsprechd ihrer Rechte Zugriff z.B. auf die NAS), so dass die Userin doch eigentlich Zugriff auf die im Zielnetzwerk freigegebenen Ressourcen erhalten sollte.

Shrew Soft Client 2.2.2 installiert und nach dieser Beschreibung eingerichtet ("nur Anfragen an das entfernte FRITZ!Box-Netzwerk", Rest gelöscht)

Ich bekomme auf dem Notebook, Shrew Soft Client "tunnel enabeld", Status "connected", auch die Remote Host URL ist korrekt.
Auf der FritzBox erhalte ich unter VPN-Verbindungen eine plausbile "Adresse im Internet" 80.187.117.***, aber die Leuchte für die Verbindung des Fernzugangs ist nicht grün; außerdem kann die Userin nicht auf das Netzwerk zugreifen.
Das Notebook hat eine ganz IP-Adresse aus einem ganz anderen Adressbereich "172.20.10.***"

Bei der Einrichtung nach der AVM-Anleitung bleibt für mich eine Einstellung etwas unklar:
"1 Vorbereitungen
MyFRITZ! einrichten
6. Tragen Sie die gewünschte IP-Adresse und Subnetzmaske ein."
Muss ich auf dieser Seite eine (ggf. welche) IP-Adresse angeben, wenn ich DynDNS nutze?? - Wo genau?:confused:

Oder benötigt der "FRITZ!Box-Benutzer" VPNsally" weitere Berechtigungen auf der FritzBox, z.B. "Zugang auch aus dem Internet erlaubt"?:confused:

Oder woran könnte es noch liegen?:confused:

tom

übrigens: Die Suche hier im Forum nach "VPN" ist nur sehr erschwert auf Umwegen möglich, obwohl man die drei Buchstaben nicht so ganz einfach verlängern kann ("Die Suche konnte nicht abgeschlossen werden, weil die Suchbegriffe zu kurz, zu lang oder zu häufig waren.")
 
den Rechner nach der Shrew Soft Client 2.2.2 installation schon einmal neu gestartet?
auf dem rechner in der cmd-Konsole mal "ipconfig" eingeben wenn die VPN-Verbindung angeblich steht.
das sollte dann ein virtueller Netzwerkadapter mit auftauchen der dann in etwa so aus sehen sollte
Ethernet-Adapter LAN-Verbindung* 14:

Verbindungsspezifisches DNS-Suffix:
Verbindungslokale IPv6-Adresse . : irgendwas, aber egal
IPv4-Adresse . . . . . . . . . . : 192.168.10.201
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 0.0.0.0

ein "route print" sollte dir die fetten Zeilen neben ganz vielen anderen bringen, die Metrik-Zahl ist variabel
Dei erste Zeile ist typischer Weise die Route zu deinem loakalen Internetzugang des PC's
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.47 145
0.0.0.0 0.0.0.0 Auf Verbindung 192.168.10.201 56
192.168.10.0 255.255.255.0 Auf Verbindung 192.168.4.201 311
192.168.10.201 255.255.255.255 Auf Verbindung 192.168.10.201 311
192.168.10.255 255.255.255.255 Auf Verbindung 192.168.10.201 311
 
  • Like
Reaktionen: IP-Phone-tom
Man muß ja auch nicht die board-eigene Suche verwenden: https://www.google.com/search?q=site:ip-phone-forum.de+shrewsoft+vpn

Die Protokolle, in denen man nach dem Problem suchen kann, sind in mehreren Threads hier beschrieben.



das sollte dann ein virtueller Netzwerkadapter mit auftauchen
Das gilt (soweit ich mich korrekt erinnere, ich habe gerade keine Installation zur Hand, mit der ich das prüfen könnte) aber auch nur dann, wenn man den passenden Modus der Integration für die Verbindung ausgewählt hat: https://www.shrew.net/static/help-2.2.x/html/Shrew Soft VPN Client Administrators Guide.html - bei "Direct Adapter Mode" dürfte das eigentlich nicht der Fall sein.
 
Das Nutzen von Virtual Adapter ist der default.
Das Nutzen von "use an existing adapter und current address" macht nur in Spezialfällen Sinn, insbesondere wenn man das Lokale Netzwerk des Laptops im VPN-Ziel vergeben/routen kann. In Verbindung mit der Fritz!Box daher nicht nutzbar.
 
Zuletzt bearbeitet:
Verbindungsspezifisches DNS-Suffix:
Verbindungslokale IPv6-Adresse . : irgendwas, aber egal
IPv4-Adresse . . . . . . . . . . : 192.168.10.201
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 0.0.0.0
Danke, habe ich, korrekt.
Standardgateway ist bei mir leer, aber das sollte wohl egal sein.

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.47 145
0.0.0.0 0.0.0.0 Auf Verbindung 192.168.10.201 56
192.168.10.0 255.255.255.0 Auf Verbindung 192.168.4.201 311
192.168.10.201 255.255.255.255 Auf Verbindung 192.168.10.201 311
192.168.10.255 255.255.255.255 Auf Verbindung 192.168.10.201 311

Danke, stimmt auch (wenn ich das auf die von mir tatsächlich genutzten IP-Adressen übersetze, die ich hier im Post nicht angegeben, bzw. leicht verändert habe).

Trotzdem bleibt die grüne Leute auf der FritzBox aus und es gibt keien Zugriff auf die lokal freigegebenen Ressourcen?

tom
 
Dann am besten noch mal mit dem Muster von Kleinkariert probieren.
ggf. ist auch hier eines der beiden Passwörter vertippt eingegeben. Gerade bei dem von der Fritz!Box gewürflten langen shared secret kann man schon mal eine Buchstaben mit euiner Zifferverwechseln.
 
Nachrichten aus dem Sado/Maso-Studio: Ellenlange Kennworte abtippen. :)
 
ggf. ist auch hier eines der beiden Passwörter vertippt eingegeben.
Und dann klappt P1 inkl. XAUTH dennoch? Eher unwahrscheinlich, oder? Eine weiterhin grau angezeigte LED im FRITZ!OS-GUI ist üblicherweise ein Hinweis auf ein Problem in P2 - was auch dazu paßt, daß die entfernte IP-Adresse des Peers ja offenbar korrekt angezeigt wird. Das KANN nur dann erfolgen, wenn sich der Benutzer korrekt ggü. der Box authentifiziert hat (sonst wäre ja nicht klar, welchem Benutzer die Verbindung zuzuordnen ist beim IKE) - alle anderen Versuche drückt das FRITZ!OS ohne weitere Nachricht(en) in den Skat.
 
Das KANN nur dann erfolgen, wenn sich der Benutzer korrekt ggü. der Box authentifiziert hat
Das denke ich auch.

Das meldet der Shrew Soft Client:
Shrew Soft connected.png

Und das die FritzBox:
FritzBox VPW Benutzer.jpg
[Edit Novize: Riesenbilder gemäß der Forumsregeln auf Vorschau verkleinert]

tom
 
Diese graphischen Anzeigen sind praktisch nichts wert - oder etwas zurückhaltender: Deren Aussage ist unzureichend.

Genauere Informationen finden sich in der Protokoll-Datei der FRITZ!Box (die ist Teil der Support-Daten) und in den Protokoll-Dateien des SC (Shrewsoft Client), wobei es dort ein Programm gibt, um die Protokollierung zu starten und deren Details festzulegen.

Ich denke mal, daß hier ein "no proposal chosen"-Fall vorliegt, weil sich die Peers nicht auf eine gemeinsame Strategie beim Ver-/Entschlüsseln einigen können in P2 - damit gibt es für die eigentlichen "Nutzdaten" keine (aktiven) Transformationen.

Um zu sehen, welche Werte hier vom SC angeboten werden, muß man sich aber schon durch alle Registerkarten in der Client-Konfiguration kämpfen. Damit die Pakete mit den Vorschlägen nicht per se schon zu groß werden für manche Verbindungen (spez. bei DS-Lite und DOCSIS), empfiehlt es sich ohnehin, daß man sich selbst EINEN Vorschlag für jede Phase "ausdenkt" und den SC so konfiguriert, daß er nur diesen einen Vorschlag auch sendet. Da wäre (aus Sicherheitsaspekten) AES-256 mit SHA-1 (oder SHA-512) als HMAC zu empfehlen, für P1 auch mit PFS, wobei die FRITZ!Box hier nur DH-Group 2 unterstützt (1024-Bit-DHE). Für P2 versteht die FRITZ!Box (bei dieser Art von Verbindung, die für einen BENUTZER eingerichtet wurde und nicht als LAN-LAN-Kopplung) nur Vorschläge OHNE PFS.

Aber das ist eben schon mehrfach hier diskutiert/beschrieben - auch wenn die Xenforo-Suche nicht mit dreibuchstabigen Suchbegriffen umgehen kann, klappt das mit einer Suchmaschine i.d.R. dennoch. Zumindest bei den Fragen, wo und wie man an die Protokoll-Dateien herankommt, sollte man dort erst einmal nachlesen - das muß man ja nicht alles noch einmal im Detail aufschreiben.
 
Vielleicht liegt hier der Hase im Pfeffer:
Bei Windows10 KB 5009543 kann es zu Problemen mit einer VPN-Verbindung kommen.

PS: Scheint nur die Server Seite zu betreffen.
 
Zuletzt bearbeitet:
Danke! Damit haben ich zwei Korrekturen/Ergänzungen vorgenommen und die FritzBox VPN-LED ist grün:

1:
s: policy-list-include: 192.168.10.201 / 255.255.255.0
Subnetzmaske von 255.255.255.255 auf 255.255.255.0 abgeändert (ich glaube, die Eingabe wurde in der GUI von Shrew Soft automatisch auf .255 korrigiert - kann das sein?)

2.
s:client-saved-username: VPNsally
Den Eintrag gab es zuvor gar nicht.

Nun habe ich eine stabile "grüne" LED auf der FritzBox aber ein ping auf die FritzBox / Heimnetzt klappt immernoch nicht :confused:

tom
 
s: policy-list-include: 192.168.10.201 / 255.255.255.0 ist nicht korrekt, nicht umsonst stand da ???.???.???.0 und dahinter IP-Bereich der VPN-Fritzbox.
s: policy-list-include: 192.168.10.0 / 255.255.255.0 ist dein Freund.

s:client-saved-username: VPNsally wird nach der ersten manuellen Einwahl eingetragen. War auch in meinem Muster.

Den Ping machst du mit: ping 192.168.10.201 und auf den "Server" auch per IP?
Die lokale IP von Userin ist nicht zufällig 192.168.10.0?
 
Zuletzt bearbeitet:
s: policy-list-include: 192.168.10.201 / 255.255.255.0 ist nicht korrekt, nicht umsonst stand da ???.???.???.0 und dahinter IP-Bereich der VPN-Fritzbox.
s: policy-list-include: 192.168.10.0 / 255.255.255.0 ist dein Freund.
Ja, hatte nicht genau aufgepasst. Danke!

Aber, nach der Korrektur gibt Shrew Soft neu und in rot aus:
"failed to attach to key daemon"

Und: Seltsamerweise ist auf der FritzBox die VPN-LED noch immer grün, obwohl die Verbindung schon lange nicht mehr besteht. Auch nicht so vertrauenserweckend ...

Die lokale IP von Userin ist nicht zufällig 192.168.10.0?
nein und 192.168.10.0 ist auf der FritzBox auch nicht vergeben.

tom
 
Meine Frage war nicht korrekt, also nochmal:
Die lokale IP im Heimnetz von Userin, nicht die VPN-IP auf deiner Fritzbox von Userin, ist nicht zufällig im Bereich 192.168.10.0?
Und richtig, 192.168.10.0 kann man nicht vergeben, denn das ist der IP-Bereich deiner Fritzbox.
 
  • Like
Reaktionen: IP-Phone-tom
Die lokale IP im Heimnetz von Userin, nicht die VPN-IP auf deiner Fritzbox von Userin, ist nicht zufällig im Bereich 192.168.10.0?
Ähmmm - also wenn ich richtig verstehe, meinst du die aktuelle lokale IP-Adresse des Notebooks auf dem Userin eingeloggt ist? Die kann doch eigentlich nicht 192.168.***.*** lauten, weil die doch über das iPhone aus dem Mobilnetz kommt (soweit ich das verstehe?). Die ist ganz anders: 172.20.10.***

Die Reihenfolge der Einträge in der *.vpn Datei, die Shrew Soft erhält, spielt doch wohl keine Rolle, oder?

tom

edit: Ich habe den ShrewSoft IKE Daemon neu gestartet. Jetzt steht die VPN-Verbindung und die FritzBox antwortet auf ping!!
Danke kleinkariert - bis hierher!!

Leider habe ich noch immer keinen Zugriff auf die Freigaben im lokalen Netz hinter der FritzBox:confused:

edit2: Ich muss das korrigieren. Ich habe über VPN im browser über deren lokale IP-Adressen Zugriff auf die NAS im LAN, OK.
Ich hatte allerdings angenommen, ich könnte über SMB und den Win Explorer auf die freigegebenen Verzeichnisse der Synology NAS zugreifen, da die Userin einen lokal akzeptierten Benutzernamen und Passwort hat!?
Hat jemand eine Ahnung, ob das geht oder was ich evtl falsch mache?

edit3: Ich habe auch die Lösung für die SMB-Zugriffe. Falls es noch jemanden interessieren sollte. AVM hat es erklärt.

Nochmals vielen Dank an alle!
tom
 
Zuletzt bearbeitet:
  • Like
Reaktionen: kleinkariert
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.