[HowTo] Fritz!Box-Fernzugang und ShrewSoft VPN Client - Schritt für Schritt

A

andilao

Guest
Mit den Firmware-Versionen ab 6.50 geht nun leider gar nichts mehr von meiner 2012er Anleitung, also hier mein Update (Kurzfassung) für Shrew Soft vpn-client-2.2.2-release und mehrfach getestet mit einer 7390 FRITZ!OS 06.51 (Da AVM per WebIF nur mutual-psk-xauth-Konfigurationen erstellt, habe ich mich allein darauf bezogen.):

Code:
n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-dns-used:0
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:0
n:client-splitdns-auto:1
n:client-wins-used:0
n:client-wins-auto:1
n:phase1-dhgroup:2
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
s:network-host:[COLOR=#ff0000][B]<Fritzbox-DDNS- oder MyFritz-Adresse>[/B][/COLOR]
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk-xauth
s:ident-client-type:keyid
s:ident-server-type:address
s:ident-client-data:[B][COLOR=#ff0000]<Fritzbox-Benutzername/IPSec Identifier>[/COLOR][/B]
b:auth-mutual-psk:[B][COLOR=#ff0000]<IPSec Pre-Shared Key, muss mit VPN Access Manager eintragen werden>[/COLOR][/B]
s:phase1-exchange:aggressive
s:phase1-cipher:auto
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:-1
s:policy-level:auto
Zu beachten ist, dass man eine "ausgefüllte" site-config.vpn mit dem Klartext-auth-mutual-psk weder einfach nach "%LOCALAPPDATA%\Shrew Soft VPN\sites" kopieren noch importieren kann. Man muss für die korrekte Kodierung den Klartext-auth-mutual-psk unbedingt mit dem VPN Access Manager eintragen, dann kann man die anderen zwei Einträge auch gleich mit erledigen:


  1. Speichere die "site-config.vpn -- Muster.txt" aus dem Anhang als "site-config.vpn" unter "%LOCALAPPDATA%\Shrew Soft VPN\sites"
  2. Starte den VPN Access Manager und ersetze die <Platzhalter>:
    1 Fritzbox-DDNS- oder MyFritz-Adresse.PNG 2 Fritzbox-Benutzername.PNG 3 Pre-Shared Key.PNG
  3. Erstelle eine Verknüpfung: "C:\Program Files\ShrewSoft\VPN Client\ipsecc.exe" -r site-config.vpn -u Fritzbox-Benutzername -p Fritzbox-Kennwort -a
    Wer das für gefährlich hält, kann "-p Fritzbox-Kennwort -a" weglassen, sollte sich aber nicht mit allzu einfachen Kennworten abgeben bzw. diese einzig nur für VPN-Zugänge nutzen.


Für bessere Lesbarkeit habe ich die alte Fassung komplett entfernt.
 

Anhänge

Zuletzt bearbeitet von einem Moderator:

Novize

Moderator
Teammitglied
Mitglied seit
17 Aug 2004
Beiträge
20,819
Punkte für Reaktionen
59
Punkte
48
Sehr tolle Anleitung!

=> Ich habe diese gleich mal oben angepinnt :)
 

decoder2

Neuer User
Mitglied seit
6 Mai 2009
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
ein RIESEN Dank an andilao!!!

ich hab stunden mti fritz fernzugang verbracht bis ich hier gelesen hatte das das tool keine umts karten unterstützt.

nun klappt der zugang von zuhause und über umts O2 problemlos dank dieser Anleitung.

das ganze war innerhalb von 10 minuten eingerichtet und funktionierte auf anhieb.

TOP :)
 
A

andilao

Guest
Du solltest auch AVM danken, wo man die VPN-Kombinationen getestet und die Einrichtung sauber dokumentiert hat.

Ganz erstaunlich bei AVM ist, dass die Fritz!Boxen keinerlei Schwierigkeiten haben, (einseitig) ein VPN über UMTS zu einer anderen per DSL angeschlossenen Box aufzubauen. Der AVM-Klient ist nicht generell bei allen UMTS-Konstellationen ohne Funktion, das Weglassen dieses Tests und gleich ShrewSoft zu nehmen, ist einfach nur schmerzfreier. Auch finde ich die eine default zu startendende Verbindung beim AVM-Klient etwas zu eingeschränkt gegenüber der ShrewSoft-Kommandozeile, mit der ich die Verbindungen zu mehreren Boxen bzw. zu Sipgate mit nur einem Klick starten oder anders automatisieren kann.
 

pixelhead

Neuer User
Mitglied seit
2 Jul 2004
Beiträge
28
Punkte für Reaktionen
0
Punkte
0
Vielen Dank, hat super funktioniert!
 

JoMensdorf

Neuer User
Mitglied seit
27 Apr 2011
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Hallo!

Erst mal Danke für die Tipps.
Ich habe jetzt erfolgreich eine Verbindung mit dem Shrew und meiner Fritzbox 7220 hergestellt, der Shrew meldet "tunnel enabled".
Allerdings habe ich keinen Zugriff auf mein Heimnetz (auch meine IP ist nicht die von zuhause), und auf der Übersichtsseite der FB wird auch die Verbindung nicht als grün angezeigt. Das ist blöd, weil ich aus dem Ausland über meine IP zuhause surfen möchte. Es ist also so, also ob ich die VPN-Verbindung nicht hätte.

Wenn ich mich mit meinem IPhone einlogge wir die andere Verbindung grün und ich surfe unter meiner IP der Fritzbox zuhause.

Hat da jemand einen Tipp für mich?

Danke,
Jo
 
Zuletzt bearbeitet:
A

andilao

Guest
Fürs sichere Surfen solltest Du hier mal lesen: VPN: Shrew und Internet komplett über Fritzbox routen.

"keinen Zugriff auf mein Heimnetz" bedeutet für Dich was? Denke daran, dass auch wie beim Box2Box-VPN das Netz daheim nicht durchsuchbar ist und Du alle Geräte per IP-Adresse ansprechen musst. Gar kein VPN wird funktionieren, wenn das Subnetz vom Gast-WLAN das gleiche ist wie daheim.
 

ricknicker

Mitglied
Mitglied seit
22 Sep 2005
Beiträge
233
Punkte für Reaktionen
0
Punkte
0
Hallo,

mit meiner 7390 und FW .05 hatte ich mit VPN null Probleme.
Einrichtung habe ich wie oben geschrieben gemacht (nur mit 192.168.178.x).

Seit dem Update auf .20 geht die Internetverbindung des Gerätes, mit dem ich auf den VPN-Server zugreife (z. B. MacBook Pro oder iPhone), flöten.
Beim VPN-Client im OS X konnte ich den Fehler durch Eingabe eines DNS-Servers beheben, das geht aber am iPhone/iPad nicht so.

Any ideas zur Fehlerbehebung?

Danke und Gruß

Nicky
 

Tarzan4711

Neuer User
Mitglied seit
31 Mrz 2012
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo ich bin neu hier und kämpfe gerade auch mit shrew.
Ich benutze die Fritzbox 7270 und habe dort den VPN für z.B. mein IPad oder IPhone angelegt. Das geht auch alles sehr gut. Ich trage in meinem Ipad nur folgendes ein:
Sever xxx.dyndns.org
Account [email protected]
Gruppenname [email protected]
Shared Secret den Key der die Fritzbox erzeugt hat
Proxy = aus

Damit geht es wunderbar mit den IPad oder Iphone.

Aber ich bekomme einfach den Shrew Client oder den NCP Client nicht zum laufen. Kann mit jemand helfen?

Danke
 
A

andilao

Guest
Sobald es den Shrew Client für iOS gibt, werde ich mich hier damit beschäftigen. ;-)

Unter Windows geht es einfach nach Posting #1.
 

Tarzan4711

Neuer User
Mitglied seit
31 Mrz 2012
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Danke für die Antwort, aber ich kann oder möchte die config Datei auf der Fritzbox nicht ändern. Ich habe angst das nachher gar nicht mehr geht. In dem Posting #1 steht leider nicht welche einstellungen ich benutzen muss, damit es mit den einstellungen die gleich sind wir für das IPhone/Ipad geht.

Danke
 
A

andilao

Guest
Du musst die Config auf der Fritzbox nicht (mehr) per Editor anpassen, das war sowieso nur erforderlich bei der alten "FRITZ!Fernzugang einrichten"-VPNAdmin-Version, oder hast Du das machen müssen? Die aktuelle Version 1.0.3.0 enthält bereits die Optionen für "PC oder iOS" und "Alle Daten über den VPN-Tunnel senden".

Da Du ohnehin pro Gerät einen Zugang anlegen solltest, erstellst Du einen weiteren zur selben Box, wobei die Software sogar im Standardfall automatisch die nächste IP .202 nimmt. Dabei aktivierst Du PC statt iOS und bei Bedarf "Alle Daten ...". Und dann weiter wie #1 oben (ja, ich muss noch unbedingt meinen Beitrag #1 für Version 1.0.3.0 anpassen).
 

Octalong

Neuer User
Mitglied seit
11 Aug 2011
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
Hallo

Nach gefühlten tausend Versuchen wende ich mich mal an das Forum. Mein Problem:
Ich versuche eine VPN Verbindung über Umts/HSPDA hin zu bekommen. Auf meinem
Android-Phone habe ich das schon hin bekommen und alles läuft zu 100%.
Kann auf die Fritzbox zugreifen, genauso wie auf alle Netzwerkgeräte. Herrlich!
Schieb ich die gleiche Karte in meinen Webstick und diesen ins Notebook, sieht die Sache
anders aus. Die VPN Verbindung steht, aber ich komme an kein Gerät. Und ich kann machen
was ich will.
Habe wirklich ALLES durch, was ich im Net so gelesen habe und ich habe wirklich viel gelesen.
Auch die Configs hier in #1 habe ich minutiös angeglichen und getestet. Gleicher Erfolg.

Getestet: 2 verschiedene Notebooks mit Windos 7 32 Bit.
Verwendet: Shrewsoft (aktuelle Version)
Meine Fritz.cfg
Code:
/*
 * C:\Users\PCNAME\AppData\Roaming\AVM\FRITZ!Fernzugang\my_adress_com\fritzbox_my_adress.cfg
 * Tue Aug 21 00:29:50 2012
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "NAME";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "NAME";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "mykey";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip any 192.168.178.202 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
Habe auch schon
Code:
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
unter Angabe des DNS-Servers versucht.

Vielleicht kann mir ja jemand helfen.

Viele Grüße
 

Fritzix

Mitglied
Mitglied seit
18 Jun 2006
Beiträge
460
Punkte für Reaktionen
0
Punkte
0
Hallo, andalino schreibt folgendes:

weil z.B. der Client von AVM über UMTS nicht funktioniert,
Warum funktioniert der Client von AVM nicht über UMTS, welche Erklärung gibt es dafür?

MfG

Fritzix
 

ht81

Mitglied
Mitglied seit
26 Feb 2007
Beiträge
584
Punkte für Reaktionen
0
Punkte
16
benötigt man neben dem Adressbereich 192.168.100.0


Das ist aber kein muss, oder? Natürlich gehen hier auch alle anderen außer die Standard IP. Oder ist beim Shrew zwingend die 192.168.100.x vorgeschrieben?
 

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
22,330
Punkte für Reaktionen
62
Punkte
48
Deshalb auch direkt darüber der
Hinweis: Die rot und blau markierten Beispiel-Einträge müssen natürlich immer durch die eigenen Werte ersetzt werden!
 
A

andilao

Guest
Das war die Änderung nach der Frage von[SIZE=2pt]ht81[/SIZE], es stand vorher nicht so exponiert.
 

pigpen

Neuer User
Mitglied seit
21 Sep 2012
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
- Verbindung wird nicht "Established" (ohne Fehlermeldungen), FritzBox zeigt ewig "wird verbunden":
- Allein der Windows-Neustart kann das "reparieren", der Gund ist mir noch unklar.
Ein ping auf die fritzbox schafft hier Abhilfe, danach ist die Verbindung 'established' und die fritzbox geht auf grün.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
231,836
Beiträge
2,015,783
Mitglieder
348,906
Neuestes Mitglied
schlumpf#