VPN-Client Verbindung zu 7270

[Moorhuhn87]

Hallo allerseits

Wollte meinen Laptop per VPN an meine 7270 hängen, damit ich, wenn ich an der BA bin, per VPN über mein Internet zu Hause surfen kann.

Um das alles zu konfigurieren, hab ich das also alles erstmal zu Hause getestet mit meinem PC.
Die VPN Verbindung klappt soweit, allerdings auch nur, wenn ich meine aktuelle (ext) IP-Adresse eintrage. Nehm ich meinen DynDNS account, schafft er anscheinend die Auflösung der IP net (steht so auch in der Logdatei von der Fritz Fernzugangs SW).

Hat da evtl jmd eine Idee wieso? Weil sonst funktioniert die Auflösung einwandfrei (anpingen des Domainamens spuckt die richtige IP aus).

meine config:

Fritzbox IP: 192.168.5.1
Heimnetz: 192.168.5.0
ClientIP-VPN: 192.168.6.66
Subnetzmaske: 255.255.255.0

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.6.66;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "abcdefgh";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.5.0 255.255.255.0 192.168.6.66 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "account.dyndns.org";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.6.66;
                remoteip = 0.0.0.0;
                remotehostname = "account.dyndns.org";
                localid {
                        user_fqdn = "[email protected]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "abcdefgh";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.5.0 255.255.255.0";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

So das wäre Problem #1, problem #2 wäre folgendes:

Mit der Eingabe der IP geht ja die VPN Verbindung, wie oben erwähnt, ist natürlich nur quatsch, wenn man dyn. IP hat.

Allerdings komme ich dann nur auf die FritzBox per VPN, ein Internetzugriff per VPN funktioniert nicht.
Ich hab auch schon die Boardsuche bemüht, die mir dann ausgespuckt hat, dass das mit der VPN SW der FritzBox nicht geht, allerdings wundert mich, dass da AVM auf deren Hilfeseiten folgendes schreibt:

http://www.avm.de/de/Service/Servic...PN_Praxis_und_Tipps/box_zu_box.php?portal=VPN

[B]reject_not_encrypted[/B]

Der Eintrag „reject_not_encrypted“ ist voreingestellt auf "no". Dies bewirkt, dass neben der VPN-Verbindung jeder Internetverkehr zugelassen ist. Wird der Wert auf "yes" geändert, ist bei bestehender VPN-Verbindung kein Surfen möglich.

HINWEIS: Auch die Anmeldung beim DynDNS-Provider und die Aktualisierung der Systemzeit von FRITZ!Box sind davon betroffen. Diese Funktion sollte daher nur bei fester IP-Adresse für den VPN Tunnelaufbau genutzt werden.

Demnach müsste es eigentlich doch gehen, oder irre ich mich?

Bedanke mich für Eure Hilfe schonmal im Vorraus!

 

[frank_m24]

Hallo,

Nehm ich meinen DynDNS account, schafft er anscheinend die Auflösung der IP net (steht so auch in der Logdatei von der Fritz Fernzugangs SW).

Hast du denn mal die Namensauflösung manuell per nslookup überprüft?

Fritzbox IP: 192.168.5.1
Heimnetz: 192.168.5.0
ClientIP-VPN: 192.168.6.66
Subnetzmaske: 255.255.255.0

Das verstehe ich nicht. Du meinst mit "ClientIP-VPN" doch hoffentlich nicht die IP, die der Client über VPN benutzen soll, oder? Das ist doch hoffentlich seine lokale IP im Netz der BA, oder?
Der VPN Client muss über VPN zwangsläufig eine IP aus dem Subnetz der VPN Server Box bekommen! Alles andere wird spätestens beim Zugriff auf Netzwerk-Ressourcen hinter der Server Box Probleme machen.

[B]reject_not_encrypted[/B]

Der Eintrag „reject_not_encrypted“ ist voreingestellt auf "no". Dies bewirkt, dass neben der VPN-Verbindung jeder Internetverkehr zugelassen ist. Wird der Wert auf "yes" geändert, ist bei bestehender VPN-Verbindung kein Surfen möglich.

Dort steht eindeutig, dass Internetverkehr neben der VPN Verbindung zugelassen wird, nicht über die VPN Verbindung. Außerdem hast du dir einen Bereich der LAN-LAN Konfiguration rausgesucht. Für Client-LAN gilt das nicht.

Internetzugriff über die VPN Verbindung geht nicht mit der AVM VPN Lösung.

 

[Moorhuhn87]

Erstmal THX für die Antwort

Hast du denn mal die Namensauflösung manuell per nslookup überprüft?

also du meinst nslookup *IP-Adresse*?
falls ja, da kommt der Servername von KabelBW, über den ich im inet bin
DynDNS funktioniert aber 100pro, hab nämlich mal 2 Fritzboxen über VPN miteinander verbunden und das geht über DynDNS, also spinnt evtl die SW von AVM?!

bzgl. "Client IP":

Ah danke, da war ich mir nicht sicher wie die IP aussehen muss, gut dann nehm ich mir die 192.168.5.55

Internetzugriff über die VPN Verbindung geht nicht mit der AVM VPN Lösung.

Argh, das mit dem "neben VPN" hab ich überlesen...
Naja dann gehts wohl einfach net, wirklich schade, weil OpenVPN wollt ich net unbedingt auf der Fritz installieren

Aber weißt du evtl worans liegt, dass es nicht geht? Ist das nur Einstellungssache oder unterstützt das die VPN SW nicht, die auf der Fritz drauf ist?

 

[frank_m24]

Hallo,

also du meinst nslookup *IP-Adresse*?

Nein, ich meine natürlich "nslookup deine.dyndns.org". Alles andere hilft dir nicht.

Aber weißt du evtl worans liegt, dass es nicht geht? Ist das nur Einstellungssache oder unterstützt das die VPN SW nicht, die auf der Fritz drauf ist?

Bitte Suchfunktion benutzen, das ist komplex und ich will es nicht schon wieder erklären. Es steht in zahlreichen Threads zur AVM VPN Lösung.

In Kürze: Es liegt an der Implementierung der AVM PC-Lösung und ist keine Einstellungssache.

 

[Moorhuhn87]

bei dem von dir beschriebenen befehl kommt:

Nicht authorisierte Antwort:
Name: *abc.dyndns.org*
Address: *meine aktuelle ext IP Adresse*

Bitte Suchfunktion benutzen, das ist komplex und ich will es nicht schon wieder erklären. Es steht in zahlreichen Threads zur AVM VPN Lösung.

In Kürze: Es liegt an der Implementierung der AVM PC-Lösung und ist keine Einstellungssache.

Kannst du mir vllt einen Tip geben, wonach ich konkret suchen kann?
Weil ich hab bisher zwar mehrere Antworten von dir bzgl. des Themas gefunden, aber immer nur die kurze Variante, sprich, dass es net geht.

Aber weil du sagst "PC-Lösung", gilt das dann für alle Clients oder nur für den von AVM? Weil gibt ja zb auch für MacOS die entsprechende Variante, die mir reichen würde, da mein Laptop, was ich fürs Studium nutze, ein MacBook ist

 

[frank_m24]

Hallo,

suche nach "Fernzugang Internet" oder so.

Und ja: Es gilt nur für den AVM Client. Für die anderen Clients, die hier im Forum oder im AVM VPN Portal beschrieben sind, gilt das nicht unbedingt.

 

[Moorhuhn87]

danke, das hat geholfen, ich denk zumindest mal, dass du folgendes meintest:

http://www.ip-phone-forum.de/showpost.php?p=1056801&postcount=2

jedenfalls werd ichs jetzt mal am Mac probieren, oder hast du noch ne Idee, warum die IP Auflösung net klappt?

 

[frank_m24]

Hallo,

ich hab auch schon ausführlichere Anleitungen geschrieben, aber im Grunde triffts das.

ich weiß nicht, warum die Namensauflösung bei dir nicht funktioniert, wenn nslookup geht, kann ich nicht sagen. Bei mir geht das.

 

[Moorhuhn87]

naja das reicht eigentlich

allerdings klappt das auf MacOS mit IPSecuritas überhaupt nicht
und aus den Logs werd ich auch net schlau:

IPSecuritas 3.1 build 1860, Mon Oct 15 22:03:05 CEST 2007, nadig
Darwin 8.10.1 Darwin Kernel Version 8.10.1: Wed May 23 16:33:00 PDT 2007; root:xnu-792.22.5~1/RELEASE_I386 i386

Nov 02, 18:52:25  Info     APP  IPSec restarting
Nov 02, 18:52:26  Info     APP  IKE daemon terminated
Nov 02, 18:52:26  Info     APP  IPSec restarting
Nov 02, 18:52:26  Error    APP  Tunnel creation failed with errno 17
Nov 02, 18:52:26  Error    APP  Activation of connection *Mail Adresse* failed
Nov 02, 18:52:26  Info     APP  IKE daemon started
Nov 02, 18:52:26  Info     APP  IPSec started
Nov 02, 18:52:26  Info     IKE  Foreground mode.
Nov 02, 18:52:26  Info     IKE  @(#)ipsec-tools CVS (http://ipsec-tools.sourceforge.net)
Nov 02, 18:52:26  Info     IKE  @(#)This product linked OpenSSL 0.9.7l 28 Sep 2006 (http://www.openssl.org/)
Nov 02, 18:52:26  Info     IKE  Reading configuration from "/Library/Application Support/Lobotomo Software/IPSecuritas/racoon.conf"
Nov 02, 18:52:26  Info     IKE  Resize address pool from 0 to 255
Nov 02, 18:52:26  Error    IKE  such policy already exists. anyway replace it: 192.168.5.0/24[0] 192.168.5.201/32[0] proto=any dir=in
Nov 02, 18:52:26  Error    IKE  such policy already exists. anyway replace it: 192.168.5.201/32[0] 192.168.5.0/24[0] proto=any dir=out

 

[frank_m24]

Hallo,

tja, da kann ich leider nicht helfen, ich hab keinen MAC. Finde doch mal raus, was "Errno 17" meint. Und offensichtlich scheint es mehrere konkurrierende VPN Profile zu geben.
Hast du dich an die Anleitung aus dem AVM Portal gehalten?

 

[Moorhuhn87]

ja hab ich, aber funzt net, glaub ich weiß aber mitlerweile warum:

auf mac geht das wohl net, wenn das Netzwerk, in dem sich der Mac befindet identisch ist, mit dem, mit dem man sich per VPN verbinden will

ich weiß, ist ja auch schwachsinn so ne konfig, aber um zu testen, obs überhaupt geht, hatt ich gehofft das das geht (geht unter windows ja)