[Problem] Mehrere VPN-User auf 7270 bzw. zwei Boxen koppeln

[Knutschi]

Hallo zusammen,

bisher hatte ich eine VPN Verbindung zwischen einer 7170 und 7270 realisiert.
Da ich aber gerne mit einem Handy (HTC HD2 mit Android NAND) per VPN auf meine 7270 wollte, bin ich im Netz auf folgende Anleitung gestoßen Link.

Nach ein Wenig hin und her habe ich eine Verbindung hinbekommen.
Nun wollte ich eben wieder die beiden Boxen mit in die VPN einbeziehen.
Das scheint wohl nicht so zu wollen. Die VPN vom Handy aus geht garnicht mehr.

Hat jemand zu fällig eine Idee ob sich das lösen lässt?
Im oben genannten Link habe ich bis jetzt noch keine Lösung gefunden (habe bis jetzt
auch keinen dort getroffen der das selbe vorhat).
Für irgendwelche Sufu und Google Anfragen haben meine bisherigen Versuche nicht das gewünschte Ergebnis gebracht.

Danke für die Hilfe.

 

[Telefonmännchen]

bisher hatte ich eine VPN Verbindung zwischen einer 7170 und 7270 realisiert...
...Nach ein Wenig hin und her habe ich eine Verbindung hinbekommen.
Nun wollte ich eben wieder die beiden Boxen mit in die VPN einbeziehen.

Hast Du für Dein Handy-VPN eine neue Konfiguration angelegt oder die vorhandene Box-Kopplung übernommen. Wenn Du sie übernommen hast, dann musst Du für die Boxen eine neue anlegen und in beide Boxen importieren. Es lassen sich keine zwei Verbindungen mit den gleichen Zugangsdaten herstellen.

Für weitere Hilfe ist die Faktenlage etwas dürftig (anonymisierte Konfigurationsdaten?). Das würde in Kaffeesatzleserei ausarten.

Gruß Telefonmännchen

 

[Knutschi]

stimmt sorry.

also ich habe die VPN Config komplett neu aufgesetzt.
1.) per AVM Fernzugang einrichten, beide Boxen gekoppelt.
2.) zur 7270 einen neuen Benutzer hinzugefügt
3.) die Konfig wie im Link beschrieben bearbeitet.

so sieht meine akt. Config aus.
Die Config für beide Boxen plus Handy habe ich nicht mehr da sie ja nicht funktionierte.
An dem Teil für die Kopplung beider Boxen haben ich NICHTS editiert.

/*
 * C:\Dokumente und Einstellungen\.........
 * Wed Nov 02 09:28:38 2011
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.47.11;
                remoteid {
                        key_id = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "mein_Key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
				xauth {
						valid = yes;
						username = "Benutzername";
						passwd = "einPAsswordnatürlich";
						}
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.47.11;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 0.0.0.0 0.0.0.0 192.168.47.11 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

Hast Du für Dein Handy-VPN eine neue Konfiguration angelegt oder die vorhandene Box-Kopplung übernommen. Wenn Du sie übernommen hast, dann musst Du für die Boxen eine neue anlegen und in beide Boxen importieren. Es lassen sich keine zwei Verbindungen mit den gleichen Zugangsdaten herstellen.

Ich versteh das gerade so:
1.) Beide Boxen koppeln und importieren. Dann meine Konfig fürs Handy importieren. Richtig? Würde es dann nicht die bestehende Config überschreiben?
Oder stehe ich auf dem Schlauch?

 

[Telefonmännchen]

so sieht meine akt. Config aus.

Sieht nach Standard aus und bietet keinen Anhaltspunkt.

Die Config für beide Boxen plus Handy habe ich nicht mehr da sie ja nicht funktionierte...
...Würde es dann nicht die bestehende Config überschreiben?

Die Konfigurationsdateien hätten aber Anhaltspunkte gegeben, woran es scheiterte. Egal, weg ist weg.

Man kann auch mehrere Konfigurationen nacheinander einspielen und auch wieder löschen ohne die andere Konfiguration zu verlieren.

Gruß Telefonmännchen

 

[Knutschi]

habe gerade mal verschieden Configs (also eine einzelen für Handy, Laptop und dann für beide Boxen) angelegt und versucht eine nach der anderen auszuspielen. Schon nach der ersten hat er mir die bestehende (fürs Handy) gelöscht.
Vorweg noch: Um einen Fehler vermeiden will ich zu Testzwecken auf die 7170 connecten, da ich nicht weiß wie es sich mit einer VPN von der eigenen auf die eigene IP verhält.
Habe mir jetzt mal die Mühe gemacht und eine Konfig für folgendes erstellt:

Realisiert soll werden eine VPN-Verbindung zwischen einer 7170 und 7270. Auf die 7170 soll zusätzlich eine Handy und ein Laptop verbinden können (später dann primär auf die 7270 aber wenn beides klappt wäre natürlich super). Dazu bin ich folgendermaßen vorgegangen:
1.) Per AVM software beide Boxen verbunden.
2.) Benutzer fürs Handy auf die 7170 angelegt
3.) Benutzer für den Laptop auf die 7170 angelegt.
4.) die Config der 7170 editiert.

Vielleicht sieht hier ja jemand schon einen grundlegenden Fehler.

Config der 7170:

/*
 * C:\Dokumente und Einstellungen\*.cfg
 * Mon Nov 07 19:26:29 2011
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Box_zu_Box";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "xxx.la.dyndns.org";
                localid {
                        fqdn = "yyy.dyndns.org";
                }
                remoteid {
                        fqdn = "xxx.dyndns.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "Box_zu_Box_Key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.3.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = "Laptop_zu_7170";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.3.252;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "Laptop_zu_Box_Key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.3.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.3.252;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.3.0 255.255.255.0 192.168.3.252 255.255.255.255";
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = "Handy_zu_7170";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.3.253;
                remoteid {
                        key_id = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "Handy_zu_7170_Key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
				xauth {
						valid = yes;
						username = "Handy_User";
						passwd = "Handy_PW";
						}
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.3.253;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 0.0.0.0 0.0.0.0 192.168.3.253 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Config der 7270:

/*
* C:\Dokumente und Einstellungen\Administrator\*.cfg
* Mon Nov 07 19:26:29 2011
*/

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "yyy.dyndns.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "yyy.dyndns.org";
localid {
fqdn = "xxx.dyndns.org";
}
remoteid {
fqdn = "yyy.org";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "Box_zu_Box_Key";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.3.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.3.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

fehlt noch was? Ich wüsst im Moment nichts.

 

[Knutschi]

ok habe die config wie erwähnt importiert.
und siehe da, aufeinmal klappt alles.
habe nun die config auch auf die 7270 angewendet und was soll ich sagen,
es läuft wie gewünscht.

danke für die hilfe.