.titleBar { margin-bottom: 5px!important; }

neue Labor Firmware 29.04.28-5702 (VPN Feature)

Dieses Thema im Forum "FRITZ!Box tot? Recover, Firmware Up-/ Downgrade" wurde erstellt von Komsomol, 20 Dez. 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Komsomol

    Komsomol Neuer User

    Registriert seit:
    7 Nov. 2006
    Beiträge:
    45
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    [Edit Novize: Titel an die anderen Laborfirmwarethreads angeglichen]

    Es sieht erst einmal so aus, als ob es ganz einfach wäre mit der Labor-Firmware 5702 und dem mitgelieferten Windows-Programm mit wenigen Klicks ein VPN aufzubauen. DAS TÄUSCHT!!
    Wie es im Moment aussieht, gibt es mindestens 2 Probleme:
    1. Man hat auf dem PC das Programm Fritz!Fernzugang installiert und startet es mit einem Benutzer mit Administratorrechten. Aber auch nach Import der Datei vpnuser.cfg wird im Programm die Verbindung nicht angezeigt und der Button "Aufbau" bzw. im Menü der Punkt "Datei -> Verbinden" sind ausgegraut.
    2. Es ist gelungen, die VPN-Verbindung im Fritz!Fernzugang einzurichten, aber die Verbindung zur Fritz!Box gelingt nicht.

    Zu 1:
    Nachdem ich mich mit dem lokalen Benutzer "Administrator" (also nicht nur mit einem Benutzer mit Admin-Rechten) angemeldet hatte, musste ich das Programm erneut installieren (obwohl es schon installiert war)! Dann habe ich den Rechner durchgestartet und dann erst (wieder als "Administrator") das Programm aufgerufen und die vpnuser.cfg importiert -> Voila! Jetzt konnte diese Verbindung auch von anderen Benutzern (mit Admin-Rechten) verwendet werden.

    Zu 2:
    Schon ein einfacher NAT-Router ohne Firewall-Funktionalität kann die Verbindung blockieren!
    Es muss mindestens der UDP-Port 500 aus- und eingehend auf Port 500 geroutet werden. In der Box wird für das VPN der Port 4500 freigeschaltet und muss vermutlich auch unverändert geroutet werden.
    Da es sich um das IPsec-Protokoll handelt, sollte normalerweise auch das ESP-Protokoll verwendet werden, d.h. der Router müsste - falls das so ist - IPsec-Passthrough beherrschen und dieses dann auch in beide Richtungen freigeschaltet sein.
    Ergo: Zumindest für einen ersten Test sollte man ohne Router arbeiten!!
     
  2. jojo-schmitz

    jojo-schmitz Aktives Mitglied

    Registriert seit:
    6 Mai 2006
    Beiträge:
    2,472
    Zustimmungen:
    3
    Punkte für Erfolge:
    38
    Beruf:
    Informatiker
    Ort:
    Düsseldorf
    Aha, ich hatte natürlich auch nicht unter dem Andminstrator Konto installiert sondern nur mit einem, das der Administratoren Gruppe angehört. Darüber hinaus gibt's auf diesem Rechner (wie auf alle Firmen Rechnern hier) dien Konto namens Andministrator (es wurde umbenannt, security by obscurity :cool:)

    Tschö, Jojo
     
  3. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    #3 frank_m24, 20 Dez. 2006
    Zuletzt bearbeitet: 20 Dez. 2006
    Hallo,

    Also das ganze Theater mit dem Administrator war bei mir nicht erforderlich. Ein Nutzer mit Admin Rechten reicht völlig für die Einrichtung des VPN Clients. Auf 3 PCs kein Problem.

    Das glaube ich ebenfalls nicht. Ausgehend sollten die Ports 500 (und 4500?) wohl frei sein, eingehend braucht man sie definitv nicht (denn dann würde es aus unserem Firmennetz mit Sicherheit nicht gehen. Da gibts keine Portweiterleitungen für Arbeitsplatz-PCs). IPSec Pasthrough ist wohl erforderlich inkl. der verwendeten Protokolle (ISAKMP/IKE, ESP, AH, NAT-T). In einem ersten Wireshark-Log (Paketmitschnitt auf DSL Ebene) habe ich allerdings nur ISAKMP auf Port 500 gesehen. Der Client hatte allerdings auch eine öffentliche IP (via UMTS).

    AVM scheint für Phase 1 den Aggressive Mode und für Phase 2 den Quick Mode zu verwenden. Ersteres ist zwar nicht ideal, lässt sich aber aufgrund der dynamischen IP-Adressvergabe in den deutschen Internetanbindungen wohl nicht umgehen.
    Das für diejenigen, die mal mit anderen VPN Clients experimentieren wollen.

    Weitere Analysen folgen. ;)

    Viele Grüße

    Frank
     
  4. jojo-schmitz

    jojo-schmitz Aktives Mitglied

    Registriert seit:
    6 Mai 2006
    Beiträge:
    2,472
    Zustimmungen:
    3
    Punkte für Erfolge:
    38
    Beruf:
    Informatiker
    Ort:
    Düsseldorf
    Installation als Administrator hat mir nix genutzt.

    Tschö, Jojo
     
  5. Homar

    Homar Neuer User

    Registriert seit:
    23 Juli 2005
    Beiträge:
    58
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Voyager
    Bei uns hat das einwandfrei nach Anleitung funktioniert.

    Die Anleitung für die beiden Konfigurationsdateien, welche für die Fritz.Box ist und welche für den VPN-Assistenten ist, ist nicht ganz eindeutig.

    Es werden nämlich 3 Konfigurationsfiles erzeugt !!!
    1. vpnadmin.cfg "links liegen lassen", keine Ahnung wofür gut sein soll
    2. fritzbox.cfg in die Fritz.box laden (Internet->Fernzugang->VPN-Konfiguration importieren)
    3. vpnuser.cfg in den FRITZ!Fernzugang laden (Datei->Import)

    MFG
    Homar
     
  6. user31085

    user31085 Mitglied

    Registriert seit:
    5 März 2005
    Beiträge:
    754
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    kann man den VPN Zugang tunneln über den 80er port?
     
  7. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    @user31085: Unwahrscheinlich. Zum einen benötigt man möglicherweise mehr als nur einen Port. Dazu kommt, dass viele VPN Server das Umstellen der Eingangsports nicht erlauben: Nicht umsonst gibt es Portzuordnungen bei IANA. Gibt es doch sogar VPN Sever, die empfindlich darauf reagieren, wenn der Abgangsport des Clients nicht richtig ist (Stichwort VPN Passthrough durch NAT/PAT Router). Auch der Client muss erst mal umgestellt werden (oft auch nicht möglich).
    Und nicht zuletzt: Wenn in einer Firewall alles bis auf Port 80 gesperrt ist, so hat sich der Betreiber sicher was dabei gedacht: Durch einen VPN Tunnel macht man immerhin ein ziemlich dickes Loch in alle Sicherheitsmechanismen, hat man doch plötzlich Internetzugang ohne die üblichen Proxys und Firewalls etc. Fängt man sich darüber einen Virus oder Wurm möchte ich nicht in der Haut des Verursachers stecken ...

    Viele Grüße

    Frank
     
  8. Humfri

    Humfri Neuer User

    Registriert seit:
    26 Juni 2006
    Beiträge:
    91
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    #8 Humfri, 21 Dez. 2006
    Zuletzt bearbeitet: 21 Dez. 2006
    Jo, jetzt funktioniert es. FB Zugriff zu Hause vom Büro aus.

    User mit Admin Rechten hat gereicht zur Installation.

    Erst nach Weiterleitung der UDP-Port 500 und UDP-Port 4500 (habe beide genommen) auf Port 500 bzw. Port 4500 gehts! Danke für den Hinweis.

    Habe zu Hause die xxx.xxx.xx1.1 der FB vergeben, hier läuft die FB mit IP xxx.xxx.xx2.1. Hätte man die Subnetmaske auch ändern müssen von 255.255.255.0 auf was anders? Tue ich das-meldet die FB Fehler, (z.B. 255.255.255.128 etc. gehen nicht). Na ja, jetzt läuft es auch ohne Änderung der Subnetzmaske...

    So und nun die Große Frage, wie greift man auf die an der entfernten FB hängenden Rechner zu. Sagt nicht, die müssten im gleichen Netzwerk sein (Name etc. ist ja klar), Aber so weit bringt es die VPN Verbindung bei mir noch nicht. Probiere noch etwas rum.

    Aber auf jeden Fall kann ich jetzt von zu Hause meine Büro Anrufweiterleitung ändern etc. (wenn ich es auch andersherum eingerichtet habe) Sehr geil!

    Die ist für das admin-fernzugang Programm. Das speichert darin die erstellten Zugänge...
     
  9. semilla

    semilla Mitglied

    Registriert seit:
    6 Juni 2004
    Beiträge:
    352
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    die entfernten rechner/netzwerkfreigaben erreichst du nur über deren IP-adresse. wenn du die rechner in der windows-netzwerkumgebung namentlich "browsen" willst, brauchst du im remote-netzwerk einen dienst zur namensauflösung (DNS oder WINS) - die namensauflösung über netbios klappt nur im gleichen subnetz...

    s.a. http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/6290.php3
     
  10. Humfri

    Humfri Neuer User

    Registriert seit:
    26 Juni 2006
    Beiträge:
    91
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    ah ja, Danke! So was habe ich mir doch gedacht, über die IP-Adresse, bloss wo die einzutragen war, war mich nicht ganz klar. (Dass es nicht "direkt" geht war mir klar.)
     
  11. semilla

    semilla Mitglied

    Registriert seit:
    6 Juni 2004
    Beiträge:
    352
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    du kannst die computer übrigens auch ohne LMHOST über "Suchen" / "Computer und Personen" / "Nach einem Computer im Netzwerk" durch eingabe der IP finden...
     
  12. DevilX

    DevilX Neuer User

    Registriert seit:
    23 Apr. 2005
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    der user der sich verbinden will bekommt immer:
    "Im IKE-Modul ist der Fehler 0 aufgetreten"

    macht ihr automatische adress vergabe oder feste?
     
  13. Komsomol

    Komsomol Neuer User

    Registriert seit:
    7 Nov. 2006
    Beiträge:
    45
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Befindet der User sich hinter einem Router? Macht dieser IPSec Pasthrough?

    Schau 'mal in das Log "access0.log" im Verzeichnis X:\Programme\FRITZ!Fernzugang\access . Dort steht vermutlich irgend etwas mit
    Datum Zeit "avmike: " hostadresse [Aggr Mode]
    und dann die Information, dass der Client auf seinen Verbindungsversuch gar keine Antwort bekommen hat. URL und Zieladresse kannst Du ja noch 'mal überprüfen, aber wenn diese OK ist und auf der Fritz!Box alles korrekt eingerichtet ist und läuft, dann wird die Verhandlung über den VPN-Aufbau zu einem ziemlich frühen Zeitpunkt unterbunden, vermutlich von dem Router. Und ich tippe 'mal auf das nicht funktionierende IPsec Passthrough.

    Noch viel Spaß mit IPsec!
     
  14. Humfri

    Humfri Neuer User

    Registriert seit:
    26 Juni 2006
    Beiträge:
    91
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    #14 Humfri, 22 Dez. 2006
    Zuletzt bearbeitet: 22 Dez. 2006
    Das war bei mir auch so, bis ich die Ports (UDP s.o.) weitergeleitet habe und zwar auf dem rechner bzw. der Fritzbox, von dem ich mich verbinden will. Dann gings sofort.
     
  15. omega

    omega Neuer User

    Registriert seit:
    27 März 2005
    Beiträge:
    66
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    BSB
    Ort:
    Augsburg
    Software-Installation auf entferntem PC?

    Hallo,
    vorab die Info, ich habe diese Version der Firmware noch nicht installiert.

    Meine Frage ist, wie greift man vom entfernten PC aus auf die FritzBox zu?
    Muss dazu auf dem entfernten PC eine Software installiert werden?
    Müssen bestimmte Ports geöffnet sein?
    Wenn ja, brauche ich nämlich diese Firmware nicht installieren, da ich auf dem Büro-PC keine Software installieren kann.

    Und ergänzend noch die Frage, falls keine Softwareinstallation erforderlich ist, kann auch über den Internet-Browser eines Handys, hier Nokia 6280, auf die FritzBox zugegriffen werden?

    Danke schon mal für die Antworten

    Omega
     
  16. DevilX

    DevilX Neuer User

    Registriert seit:
    23 Apr. 2005
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hab mal das log angehängt..
    mein Kumpel hat nen scheiß Router..
     

    Anhänge:

    • log.txt
      Dateigröße:
      7 KB
      Aufrufe:
      120
  17. herges

    herges Aktives Mitglied

    Registriert seit:
    16 Aug. 2005
    Beiträge:
    939
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Beruf:
    Student
    Du brauchst einen IPSec-Client.
    Wenn es den im Büro schon gibt, dann erübrigt sich das mit dem installieren.
    Windows bringt einen schon von Haus aus mit, müsste man aber auch noch konfigurieren, was du im Büro vergessen kannst.
     
  18. herges

    herges Aktives Mitglied

    Registriert seit:
    16 Aug. 2005
    Beiträge:
    939
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Beruf:
    Student
    o.k. das hatte ich wo anders anders verstanden.
     
  19. Komsomol

    Komsomol Neuer User

    Registriert seit:
    7 Nov. 2006
    Beiträge:
    45
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    @devilX

    "2006-12-21 23:25:37 avmike: [87.122.200.206][devilx.dyndns.tv][Aggr Mode][Start][IC:6f49a7d2eda5602f][RC:00000000][Initiator]

    2006-12-21 23:26:07 avmike: [87.122.200.206][devilx.dyndns.tv][Aggr Mode][SA negotiation failed,Timeout beim warten auf Antwort][IC:6f49a7d2eda5602f][RC:00000000][Initiator]"


    Wie ich befürchtet habe: Die Aushandlung der Verbindung (IKE) kommt erst gar nicht durch. Die Anfrage durch den Client wird nicht etwa abgelehnt sondern verschwindet einfach im Nirwana.
    Kannst du dich mit dem Rechner auf dem der Client läuft direkt mit dem Internet verbinden?
     
  20. flames91

    flames91 Neuer User

    Registriert seit:
    13 Sep. 2006
    Beiträge:
    57
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Hannover
    #20 flames91, 22 Dez. 2006
    Zuletzt bearbeitet: 22 Dez. 2006
    Was meint ihr wird AVM auch einen Linux Client bringen oder kann man das Protokoll auch auf die *NIX IPSec Struktur umbiegen. AVM meint ja, dass man den Industriestandard benutzt, daher sollte man doch annehmen, dass man NICHT auf AVM Software angewiesen ist, oder ??
     
Status des Themas:
Es sind keine weiteren Antworten möglich.