.titleBar { margin-bottom: 5px!important; }

VPN mit Shrew auf 7270 (Vista x64)

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von cha, 4 Feb. 2009.

  1. cha

    cha Neuer User

    Registriert seit:
    3 Feb. 2009
    Beiträge:
    2
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 cha, 4 Feb. 2009
    Zuletzt von einem Moderator bearbeitet: 4 Feb. 2009
    Hi!

    Da es für Vista x64 die offizielle VPN-Software von AVM nicht gibt (bzw. den Treiber) möchte ich Shrew nutzen, was ich über dieses Forum gefunden habe. Auch die Einrichtung habe ich genauso gemacht wie hier beschrieben, meine Konfiguration sieht also so aus:
    Code:
    n:version:2
    n:network-ike-port:500
    n:network-mtu-size:1500
    n:client-addr-auto:0
    n:network-natt-port:4500
    n:network-natt-rate:15
    n:network-frag-size:540
    n:network-dpd-enable:0
    n:client-banner-enable:0
    n:network-notify-enable:0
    n:client-wins-used:0
    n:client-wins-auto:0
    n:client-dns-used:0
    n:client-dns-auto:0
    n:client-splitdns-used:0
    n:client-splitdns-auto:0
    n:phase1-dhgroup:2
    n:phase1-keylen:256
    n:phase1-life-secs:3600
    n:phase1-life-kbytes:0
    n:vendor-chkpt-enable:0
    n:phase2-keylen:256
    n:phase2-life-secs:3600
    n:phase2-life-kbytes:0
    n:policy-nailed:0
    n:policy-list-auto:0
    s:network-host:xyz.dyndns.org
    s:client-auto-mode:disabled
    s:client-iface:virtual
    s:client-ip-addr:192.168.0.201
    s:client-ip-mask:255.255.255.0
    s:network-natt-mode:enable
    s:network-frag-mode:enable
    s:auth-method:mutual-psk
    s:ident-client-type:ufqdn
    s:ident-server-type:address
    s:ident-client-data:bsp@adresse.de
    b:auth-mutual-psk:12345
    s:phase1-exchange:aggressive
    s:phase1-cipher:aes
    s:phase1-hash:sha1
    s:phase2-transform:esp-aes
    s:phase2-hmac:sha1
    s:ipcomp-transform:deflate
    n:phase2-pfsgroup:2
    s:policy-list-include:192.168.0.0 / 255.255.255.0
    s:client-saved-username:
    
    Username, PSK und dyndns sind natürlich geändert. Die FritzBox hat die IP-Adresse 192.168.0.1. Das Netz ist dementsprechend 192.168.0.0 / 255.255.255.0.
    Über die AVM-Software "Fernzugang einrichten" habe ich eine Konfigurationsdatei erstellt, die ich in die FritzBox geladen habe.

    Ich hoffe so weit alle wichtigen Infos genannt zu haben.

    Mein Problem ist jetzt folgendes:
    Shrew sagt mir, das der Tunnel aufgebaut ist ("tunnel enabled"), ich kann aber weder die FritzBox anpingen, noch die Konfirgurationsseite aufrufen noch eine Remotedesktopverbindung zu einem PC aufbauen.

    Auf dem Netzwork-Tab von Shrew steht folgendes (Unter "Tunnel"):
    Status: Connected
    Remote Host: IP-Adresse meines DSL-Zugangs
    Transport Used: IKE | ESP
    IKE Fragmentation: Disabled
    Dead Peer Detection: Disabled

    Unter "Security Associations" steht folgendes, mas mich etwas stutzig macht:
    Established: 0
    Expired: 0
    Failed: 1

    Allerdings dauert es einige Zeit bis dort eine "1" steht.

    In der Konfigurationseite "VPN" sehe ich auch bestehende keine Verbindung (Icon ist "aus"/nicht grün), allerdings steht dort in der Spalte "Adresse im Internet" die Adresse des Intgernetzugangs von dem ich versuche die Verbindung aufzubauen.

    So, das war jetzt ziemlich viel Text. Ich hoffe, das mir jemand helfen kann. Falls ich irgendeine Hintergrundinfo vergessen habe zu erwähnen bitte ich um Nachfrage. Danke schon mal!
     
  2. Zipper

    Zipper Neuer User

    Registriert seit:
    11 Nov. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
  3. HarryHirsch999

    HarryHirsch999 Neuer User

    Registriert seit:
    18 Feb. 2009
    Beiträge:
    1
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Gleiche Konfiguration, gleiches Problem

    Hi,

    kann mich der oben geschilderten Problemstellung nur anschließen. Habe unter Vista (64-Bit) genau das selbe Problem (mit der selben Konfiguration). Beim ersten Connect konnte ich noch eine IP-Adresse im Ziel-Netz pingen, bei allen weiteren Versuchen nicht mehr.

    Stehe total auf dem Schlauch. Für Lösungsvorschläge wäre ich sehr dankbar...

    Grüße,

    HarryHirsch999
     
  4. bongokarl

    bongokarl Neuer User

    Registriert seit:
    24 März 2009
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    ich habe unter Ubuntu 9.04 und Shrew versucht einen Tunnel zwischen meinem Laptop und meiner FritzBox zuhause aufzubauen.

    Augenscheinlich funktioniert alles... Der Shrew client sagt ich wäre connected.

    Sobald ich aber versuche meine FritzBox mit auf 192.168.178.1 zu pingen bekomme ich folgende Fehlermeldung:

    Code:
    ping: sendmsg: Operation not permitted
    Weiss jemand Rat?

    LG

    Jonas
     
  5. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,707
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Poste mal die Ausgaben von ifconfig, route -n und iptables -L
     
  6. bongokarl

    bongokarl Neuer User

    Registriert seit:
    24 März 2009
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    danke für deine schnelle Antwort!

    ifconfig:
    Code:
    eth0      Link encap:Ethernet  Hardware Adresse 00:18:8b:b3:9d:2b  
              inet Adresse:192.168.120.123  Bcast:192.168.120.255  Maske:255.255.255.0
              inet6-Adresse: fe80::218:8bff:feb3:9d2b/64 Gültigkeitsbereich:Verbindung
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
              RX packets:140661 errors:0 dropped:0 overruns:0 frame:0
              TX packets:130474 errors:0 dropped:0 overruns:0 carrier:0
              Kollisionen:0 Sendewarteschlangenlänge:1000 
              RX bytes:111777129 (111.7 MB)  TX bytes:12937058 (12.9 MB)
              Interrupt:18 
    
    lo        Link encap:Lokale Schleife  
              inet Adresse:127.0.0.1  Maske:255.0.0.0
              inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
              UP LOOPBACK RUNNING  MTU:16436  Metrik:1
              RX packets:258 errors:0 dropped:0 overruns:0 frame:0
              TX packets:258 errors:0 dropped:0 overruns:0 carrier:0
              Kollisionen:0 Sendewarteschlangenlänge:0 
              RX bytes:20500 (20.5 KB)  TX bytes:20500 (20.5 KB)
    
    route -n
    Code:
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    192.168.120.0   0.0.0.0         255.255.255.0   U     1      0        0 eth0
    169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
    0.0.0.0         192.168.120.1   0.0.0.0         UG    0      0        0 eth0
    
    iptables -L
    Code:
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination         
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination         
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination     
    Das war jetzt alles ohne per VPN verbunden zu sein.

    LG

    Jonas
     
  7. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,707
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Den ping willst Du doch über vpn machen, oder?

    Wie ist ifconfig und route -n, mit vpn?
     
  8. bongokarl

    bongokarl Neuer User

    Registriert seit:
    24 März 2009
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Stimmt sorry :)

    Code:
    eth0      Link encap:Ethernet  Hardware Adresse 00:18:8b:b3:9d:2b  
              inet Adresse:192.168.120.123  Bcast:192.168.120.255  Maske:255.255.255.0
              inet6-Adresse: fe80::218:8bff:feb3:9d2b/64 Gültigkeitsbereich:Verbindung
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
              RX packets:144583 errors:0 dropped:0 overruns:0 frame:0
              TX packets:135351 errors:0 dropped:0 overruns:0 carrier:0
              Kollisionen:0 Sendewarteschlangenlänge:1000 
              RX bytes:112580266 (112.5 MB)  TX bytes:13581958 (13.5 MB)
              Interrupt:18 
    
    lo        Link encap:Lokale Schleife  
              inet Adresse:127.0.0.1  Maske:255.0.0.0
              inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
              UP LOOPBACK RUNNING  MTU:16436  Metrik:1
              RX packets:258 errors:0 dropped:0 overruns:0 frame:0
              TX packets:258 errors:0 dropped:0 overruns:0 carrier:0
              Kollisionen:0 Sendewarteschlangenlänge:0 
              RX bytes:20500 (20.5 KB)  TX bytes:20500 (20.5 KB)
    
    tap0      Link encap:Ethernet  Hardware Adresse 32:9d:48:21:87:bf  
              inet Adresse:192.168.178.201  Bcast:192.168.178.255  Maske:255.255.255.0
              inet6-Adresse: fe80::309d:48ff:fe21:87bf/64 Gültigkeitsbereich:Verbindung
              UP BROADCAST RUNNING  MTU:1380  Metrik:1
              RX packets:0 errors:0 dropped:0 overruns:0 frame:0
              TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
              Kollisionen:0 Sendewarteschlangenlänge:500 
              RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
    
    Code:
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    192.168.178.0   192.168.178.201 255.255.255.0   UG    0      0        0 tap0
    192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 tap0
    192.168.120.0   0.0.0.0         255.255.255.0   U     1      0        0 eth0
    169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
    0.0.0.0         192.168.120.1   0.0.0.0         UG    0      0        0 eth0
    
    Danke!

    Jonas
     
  9. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,707
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Versuch mal mit:

    ping -S 192.168.178.201 192.168.178.1
     
  10. bongokarl

    bongokarl Neuer User

    Registriert seit:
    24 März 2009
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Bekomm ich leider auch Operation not permitted :/
     
  11. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,707
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Sorry, die Option -S gibts bei Unix für die source address. Bei Linux ist es die Option -I ( von Interface) für die source address:

    ping -I 192.168.178.201 192.168.178.1
     
  12. bongokarl

    bongokarl Neuer User

    Registriert seit:
    24 März 2009
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    jetzt sagt er:

    Code:
    ping: cannot set preload to value > 3
    Vielen lieben Dank für deine Hilfe!

    Danke danke danke :)

    Jonas
     
  13. peter_altherr

    peter_altherr Neuer User

    Registriert seit:
    12 Aug. 2005
    Beiträge:
    112
    Zustimmungen:
    3
    Punkte für Erfolge:
    18
    Beruf:
    Systemadministrator, Support Engineer
    Ort:
    Straubenhardt, Baden-Württemberg
    bei avm auf dem vpn-portal gibts seit kurzem ein howto, wie der shrew soft client zu konfigurieren ist (und die erkenntnis, dass das config-file für die box eine kleine manuelle modifikation für den psk benötigt):

    wäre schön, wenn wir ein paar erfahrungsberichte dazu zusammenbringen würden (mich würde speziell ubuntu interessieren)

    http://www.avm.de/de/Service/Servic...l/VPN_Interoperabilitaet/15729.php?portal=VPN


    grüsse

    peter
     
  14. bongokarl

    bongokarl Neuer User

    Registriert seit:
    24 März 2009
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    ich hab mittlerweile alles so konfiguriert wie es auf der AVM Seite beschrieben ist.

    Laut Shrew ist der Tunnel jetzt "enabled" - Die FritzBox zeigt an das ich verbunden wäre.

    Nur Pingen lässt sich immer noch nichts. Ich bekomme allerdings diesmal keine Fehlermeldung sondern es timetouted ganz normal.

    LG

    Jonas
     
  15. Harryblond

    Harryblond Neuer User

    Registriert seit:
    16 Apr. 2008
    Beiträge:
    67
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hallo,
    versuch mal NAT Transversal = disable

    kann sein das es dann geht.

    Hatte aber auch bei manchen Firewalls Probleme mit Shrew, daher bin ich dann auf NCP umgestiegen. Weil ich bei manchen Kunden mit dem Shrew einfach nicht rausgekommen, allerdings mit Cisco schon.

    Cisco nutze ich für die Firma und NCP für Zuhause (fritzbox), laufen auch beide auf einen Rechner ohne Probleme. Man kann sich halt nur mit einem zur gleichen Zeit verbinden, ist ist klar.
     
  16. pfeffer

    pfeffer Mitglied

    Registriert seit:
    26 Okt. 2004
    Beiträge:
    755
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Das klingt mir nach einem Problem mit den Policies. Ich vermute, bei der FritzBox sind andere Policies gesetzt als in Shrew. Setze in Shrew mal eine include policy mit dem lokalen Netzwerk der FritzBox und berichte, ob es was geändert hat.

    Gruß,
    Pfeffer.