.titleBar { margin-bottom: 5px!important; }

VPN-Client Verbindung zu 7270

Dieses Thema im Forum "AVM-Software" wurde erstellt von Moorhuhn87, 2 Nov. 2008.

  1. Moorhuhn87

    Moorhuhn87 Neuer User

    Registriert seit:
    25 Feb. 2006
    Beiträge:
    160
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo allerseits :)

    Wollte meinen Laptop per VPN an meine 7270 hängen, damit ich, wenn ich an der BA bin, per VPN über mein Internet zu Hause surfen kann.

    Um das alles zu konfigurieren, hab ich das also alles erstmal zu Hause getestet mit meinem PC.
    Die VPN Verbindung klappt soweit, allerdings auch nur, wenn ich meine aktuelle (ext) IP-Adresse eintrage. Nehm ich meinen DynDNS account, schafft er anscheinend die Auflösung der IP net (steht so auch in der Logdatei von der Fritz Fernzugangs SW).

    Hat da evtl jmd eine Idee wieso? Weil sonst funktioniert die Auflösung einwandfrei (anpingen des Domainamens spuckt die richtige IP aus).

    meine config:

    Fritzbox IP: 192.168.5.1
    Heimnetz: 192.168.5.0
    ClientIP-VPN: 192.168.6.66
    Subnetzmaske: 255.255.255.0

    Code:
    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_user;
                    name = "abc@gmx.net";
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 0.0.0.0;
                    remote_virtualip = 192.168.6.66;
                    remoteid {
                            user_fqdn = "abc@gmx.net";
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "abcdefgh";
                    cert_do_server_auth = no;
                    use_nat_t = no;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                    accesslist = 
                                 "permit ip 192.168.5.0 255.255.255.0 192.168.6.66 255.255.255.255";
            }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
    
    
    // EOF
    Code:
    version {
            revision = "$Revision: 1.30 $";
            creatversion = "1.1";
    }
    
    
    pwcheck {
    }
    
    
    datapipecfg {
            security = dpsec_quiet;
            icmp {
                    ignore_echo_requests = no;
                    destunreach_rate {
                            burstfactor = 6;
                            timeout = 1;
                    }
                    timeexceeded_rate {
                            burstfactor = 6;
                            timeout = 1;
                    }
                    echoreply_rate {
                            burstfactor = 6;
                            timeout = 1;
                    }
            }
            masqtimeouts {
                    tcp = 15m;
                    tcp_fin = 2m;
                    tcp_rst = 3s;
                    udp = 5m;
                    icmp = 30s;
                    got_icmp_error = 15s;
                    any = 5m;
                    tcp_connect = 6m;
                    tcp_listen = 2m;
            }
            ipfwlow {
                    input {
                    }
                    output {
                    }
            }
            ipfwhigh {
                    input {
                    }
                    output {
                    }
            }
            NAT_T_keepalive_interval = 20;
    }
    
    
    targets {
            policies {
                    name = "account.dyndns.org";
                    connect_on_channelup = no;
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    virtualip = 192.168.6.66;
                    remoteip = 0.0.0.0;
                    remotehostname = "account.dyndns.org";
                    localid {
                            user_fqdn = "abc@gmx.net";
                    }
                    mode = mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = keytype_pre_shared;
                    key = "abcdefgh";
                    cert_do_server_auth = no;
                    use_nat_t = no;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                    accesslist = "permit ip any 192.168.5.0 255.255.255.0";
                    wakeupremote = no;
            }
    }
    
    
    policybindings {
    }
    
    
    // EOF
    So das wäre Problem #1, problem #2 wäre folgendes:

    Mit der Eingabe der IP geht ja die VPN Verbindung, wie oben erwähnt, ist natürlich nur quatsch, wenn man dyn. IP hat.

    Allerdings komme ich dann nur auf die FritzBox per VPN, ein Internetzugriff per VPN funktioniert nicht.
    Ich hab auch schon die Boardsuche bemüht, die mir dann ausgespuckt hat, dass das mit der VPN SW der FritzBox nicht geht, allerdings wundert mich, dass da AVM auf deren Hilfeseiten folgendes schreibt:

    http://www.avm.de/de/Service/Servic...PN_Praxis_und_Tipps/box_zu_box.php?portal=VPN

    Code:
    [B]reject_not_encrypted[/B]
    
    Der Eintrag „reject_not_encrypted“ ist voreingestellt auf "no". Dies bewirkt, dass neben der VPN-Verbindung jeder Internetverkehr zugelassen ist. Wird der Wert auf "yes" geändert, ist bei bestehender VPN-Verbindung kein Surfen möglich.
    
    HINWEIS: Auch die Anmeldung beim DynDNS-Provider und die Aktualisierung der Systemzeit von FRITZ!Box sind davon betroffen. Diese Funktion sollte daher nur bei fester IP-Adresse für den VPN Tunnelaufbau genutzt werden.
    Demnach müsste es eigentlich doch gehen, oder irre ich mich?

    Bedanke mich für Eure Hilfe schonmal im Vorraus! :)
     
  2. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    Hast du denn mal die Namensauflösung manuell per nslookup überprüft?

    Das verstehe ich nicht. Du meinst mit "ClientIP-VPN" doch hoffentlich nicht die IP, die der Client über VPN benutzen soll, oder? Das ist doch hoffentlich seine lokale IP im Netz der BA, oder?
    Der VPN Client muss über VPN zwangsläufig eine IP aus dem Subnetz der VPN Server Box bekommen! Alles andere wird spätestens beim Zugriff auf Netzwerk-Ressourcen hinter der Server Box Probleme machen.


    Dort steht eindeutig, dass Internetverkehr neben der VPN Verbindung zugelassen wird, nicht über die VPN Verbindung. Außerdem hast du dir einen Bereich der LAN-LAN Konfiguration rausgesucht. Für Client-LAN gilt das nicht.

    Internetzugriff über die VPN Verbindung geht nicht mit der AVM VPN Lösung.
     
  3. Moorhuhn87

    Moorhuhn87 Neuer User

    Registriert seit:
    25 Feb. 2006
    Beiträge:
    160
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Erstmal THX für die Antwort :)

    also du meinst nslookup *IP-Adresse*?
    falls ja, da kommt der Servername von KabelBW, über den ich im inet bin
    DynDNS funktioniert aber 100pro, hab nämlich mal 2 Fritzboxen über VPN miteinander verbunden und das geht über DynDNS, also spinnt evtl die SW von AVM?!

    bzgl. "Client IP":

    Ah danke, da war ich mir nicht sicher wie die IP aussehen muss, gut dann nehm ich mir die 192.168.5.55


    Argh, das mit dem "neben VPN" hab ich überlesen...
    Naja dann gehts wohl einfach net, wirklich schade, weil OpenVPN wollt ich net unbedingt auf der Fritz installieren

    Aber weißt du evtl worans liegt, dass es nicht geht? Ist das nur Einstellungssache oder unterstützt das die VPN SW nicht, die auf der Fritz drauf ist?
     
  4. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    Nein, ich meine natürlich "nslookup deine.dyndns.org". Alles andere hilft dir nicht.

    Bitte Suchfunktion benutzen, das ist komplex und ich will es nicht schon wieder erklären. Es steht in zahlreichen Threads zur AVM VPN Lösung.

    In Kürze: Es liegt an der Implementierung der AVM PC-Lösung und ist keine Einstellungssache.
     
  5. Moorhuhn87

    Moorhuhn87 Neuer User

    Registriert seit:
    25 Feb. 2006
    Beiträge:
    160
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    bei dem von dir beschriebenen befehl kommt:

    Code:
    Nicht authorisierte Antwort:
    Name: *abc.dyndns.org*
    Address: *meine aktuelle ext IP Adresse*
    Kannst du mir vllt einen Tip geben, wonach ich konkret suchen kann? :)
    Weil ich hab bisher zwar mehrere Antworten von dir bzgl. des Themas gefunden, aber immer nur die kurze Variante, sprich, dass es net geht.

    Aber weil du sagst "PC-Lösung", gilt das dann für alle Clients oder nur für den von AVM? Weil gibt ja zb auch für MacOS die entsprechende Variante, die mir reichen würde, da mein Laptop, was ich fürs Studium nutze, ein MacBook ist
     
  6. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    suche nach "Fernzugang Internet" oder so.

    Und ja: Es gilt nur für den AVM Client. Für die anderen Clients, die hier im Forum oder im AVM VPN Portal beschrieben sind, gilt das nicht unbedingt.
     
  7. Moorhuhn87

    Moorhuhn87 Neuer User

    Registriert seit:
    25 Feb. 2006
    Beiträge:
    160
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
  8. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    ich hab auch schon ausführlichere Anleitungen geschrieben, aber im Grunde triffts das.

    ich weiß nicht, warum die Namensauflösung bei dir nicht funktioniert, wenn nslookup geht, kann ich nicht sagen. Bei mir geht das.
     
  9. Moorhuhn87

    Moorhuhn87 Neuer User

    Registriert seit:
    25 Feb. 2006
    Beiträge:
    160
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    naja das reicht eigentlich :)

    allerdings klappt das auf MacOS mit IPSecuritas überhaupt nicht
    und aus den Logs werd ich auch net schlau:

    Code:
    IPSecuritas 3.1 build 1860, Mon Oct 15 22:03:05 CEST 2007, nadig
    Darwin 8.10.1 Darwin Kernel Version 8.10.1: Wed May 23 16:33:00 PDT 2007; root:xnu-792.22.5~1/RELEASE_I386 i386
    
    Nov 02, 18:52:25  Info     APP  IPSec restarting
    Nov 02, 18:52:26  Info     APP  IKE daemon terminated
    Nov 02, 18:52:26  Info     APP  IPSec restarting
    Nov 02, 18:52:26  Error    APP  Tunnel creation failed with errno 17
    Nov 02, 18:52:26  Error    APP  Activation of connection *Mail Adresse* failed
    Nov 02, 18:52:26  Info     APP  IKE daemon started
    Nov 02, 18:52:26  Info     APP  IPSec started
    Nov 02, 18:52:26  Info     IKE  Foreground mode.
    Nov 02, 18:52:26  Info     IKE  @(#)ipsec-tools CVS (http://ipsec-tools.sourceforge.net)
    Nov 02, 18:52:26  Info     IKE  @(#)This product linked OpenSSL 0.9.7l 28 Sep 2006 (http://www.openssl.org/)
    Nov 02, 18:52:26  Info     IKE  Reading configuration from "/Library/Application Support/Lobotomo Software/IPSecuritas/racoon.conf"
    Nov 02, 18:52:26  Info     IKE  Resize address pool from 0 to 255
    Nov 02, 18:52:26  Error    IKE  such policy already exists. anyway replace it: 192.168.5.0/24[0] 192.168.5.201/32[0] proto=any dir=in
    Nov 02, 18:52:26  Error    IKE  such policy already exists. anyway replace it: 192.168.5.201/32[0] 192.168.5.0/24[0] proto=any dir=out
     
  10. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    tja, da kann ich leider nicht helfen, ich hab keinen MAC. Finde doch mal raus, was "Errno 17" meint. Und offensichtlich scheint es mehrere konkurrierende VPN Profile zu geben.
    Hast du dich an die Anleitung aus dem AVM Portal gehalten?
     
  11. Moorhuhn87

    Moorhuhn87 Neuer User

    Registriert seit:
    25 Feb. 2006
    Beiträge:
    160
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ja hab ich, aber funzt net, glaub ich weiß aber mitlerweile warum:

    auf mac geht das wohl net, wenn das Netzwerk, in dem sich der Mac befindet identisch ist, mit dem, mit dem man sich per VPN verbinden will

    ich weiß, ist ja auch schwachsinn so ne konfig, aber um zu testen, obs überhaupt geht, hatt ich gehofft das das geht (geht unter windows ja)