VPN mit Shrew auf 7270 (Vista x64)

[cha]

Hi!

Da es für Vista x64 die offizielle VPN-Software von AVM nicht gibt (bzw. den Treiber) möchte ich Shrew nutzen, was ich über dieses Forum gefunden habe. Auch die Einrichtung habe ich genauso gemacht wie hier beschrieben, meine Konfiguration sieht also so aus:

n:version:2
n:network-ike-port:500
n:network-mtu-size:1500
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:0
n:client-banner-enable:0
n:network-notify-enable:0
n:client-wins-used:0
n:client-wins-auto:0
n:client-dns-used:0
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:phase1-dhgroup:2
n:phase1-keylen:256
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:256
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
s:network-host:xyz.dyndns.org
s:client-auto-mode:disabled
s:client-iface:virtual
s:client-ip-addr:192.168.0.201
s:client-ip-mask:255.255.255.0
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:address
s:ident-client-data:[email protected]
b:auth-mutual-psk:12345
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:esp-aes
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
n:phase2-pfsgroup:2
s:policy-list-include:192.168.0.0 / 255.255.255.0
s:client-saved-username:

Username, PSK und dyndns sind natürlich geändert. Die FritzBox hat die IP-Adresse 192.168.0.1. Das Netz ist dementsprechend 192.168.0.0 / 255.255.255.0.
Über die AVM-Software "Fernzugang einrichten" habe ich eine Konfigurationsdatei erstellt, die ich in die FritzBox geladen habe.

Ich hoffe so weit alle wichtigen Infos genannt zu haben.

Mein Problem ist jetzt folgendes:
Shrew sagt mir, das der Tunnel aufgebaut ist ("tunnel enabled"), ich kann aber weder die FritzBox anpingen, noch die Konfirgurationsseite aufrufen noch eine Remotedesktopverbindung zu einem PC aufbauen.

Auf dem Netzwork-Tab von Shrew steht folgendes (Unter "Tunnel"):
Status: Connected
Remote Host: IP-Adresse meines DSL-Zugangs
Transport Used: IKE | ESP
IKE Fragmentation: Disabled
Dead Peer Detection: Disabled

Unter "Security Associations" steht folgendes, mas mich etwas stutzig macht:
Established: 0
Expired: 0
Failed: 1

Allerdings dauert es einige Zeit bis dort eine "1" steht.

In der Konfigurationseite "VPN" sehe ich auch bestehende keine Verbindung (Icon ist "aus"/nicht grün), allerdings steht dort in der Spalte "Adresse im Internet" die Adresse des Intgernetzugangs von dem ich versuche die Verbindung aufzubauen.

So, das war jetzt ziemlich viel Text. Ich hoffe, das mir jemand helfen kann. Falls ich irgendeine Hintergrundinfo vergessen habe zu erwähnen bitte ich um Nachfrage. Danke schon mal!

 

[Zipper]

Unter Vista 32bit SP1 habe ich das selbe Problem. Mal abgesehen davon, dass ich keine "Failed"-Einträge habe, dafür "Established". (siehe http://www.ip-phone-forum.de/showpost.php?p=1272882&postcount=109)

Hat denn hier schon jemand Vista und Shrew mit einer FritzBox zum Laufen bekommen?

 

[HarryHirsch999]

Gleiche Konfiguration, gleiches Problem

Hi,

kann mich der oben geschilderten Problemstellung nur anschließen. Habe unter Vista (64-Bit) genau das selbe Problem (mit der selben Konfiguration). Beim ersten Connect konnte ich noch eine IP-Adresse im Ziel-Netz pingen, bei allen weiteren Versuchen nicht mehr.

Stehe total auf dem Schlauch. Für Lösungsvorschläge wäre ich sehr dankbar...

Grüße,

HarryHirsch999

 

[bongokarl]

Hi,

ich habe unter Ubuntu 9.04 und Shrew versucht einen Tunnel zwischen meinem Laptop und meiner FritzBox zuhause aufzubauen.

Augenscheinlich funktioniert alles... Der Shrew client sagt ich wäre connected.

Sobald ich aber versuche meine FritzBox mit auf 192.168.178.1 zu pingen bekomme ich folgende Fehlermeldung:

ping: sendmsg: Operation not permitted

Weiss jemand Rat?

LG

Jonas

 

[sf3978]

ping: sendmsg: Operation not permitted

Weiss jemand Rat?

Poste mal die Ausgaben von ifconfig, route -n und iptables -L

 

[bongokarl]

Hi,

danke für deine schnelle Antwort!

ifconfig:

eth0      Link encap:Ethernet  Hardware Adresse 00:18:8b:b3:9d:2b  
          inet Adresse:192.168.120.123  Bcast:192.168.120.255  Maske:255.255.255.0
          inet6-Adresse: fe80::218:8bff:feb3:9d2b/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:140661 errors:0 dropped:0 overruns:0 frame:0
          TX packets:130474 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:111777129 (111.7 MB)  TX bytes:12937058 (12.9 MB)
          Interrupt:18 

lo        Link encap:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metrik:1
          RX packets:258 errors:0 dropped:0 overruns:0 frame:0
          TX packets:258 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:20500 (20.5 KB)  TX bytes:20500 (20.5 KB)

route -n

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.120.0   0.0.0.0         255.255.255.0   U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         192.168.120.1   0.0.0.0         UG    0      0        0 eth0

iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Das war jetzt alles ohne per VPN verbunden zu sein.

LG

Jonas

 

[sf3978]

Das war jetzt alles ohne per VPN verbunden zu sein.

Den ping willst Du doch über vpn machen, oder?

Wie ist ifconfig und route -n, mit vpn?

 

[bongokarl]

Stimmt sorry

eth0      Link encap:Ethernet  Hardware Adresse 00:18:8b:b3:9d:2b  
          inet Adresse:192.168.120.123  Bcast:192.168.120.255  Maske:255.255.255.0
          inet6-Adresse: fe80::218:8bff:feb3:9d2b/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:144583 errors:0 dropped:0 overruns:0 frame:0
          TX packets:135351 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:112580266 (112.5 MB)  TX bytes:13581958 (13.5 MB)
          Interrupt:18 

lo        Link encap:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metrik:1
          RX packets:258 errors:0 dropped:0 overruns:0 frame:0
          TX packets:258 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:20500 (20.5 KB)  TX bytes:20500 (20.5 KB)

tap0      Link encap:Ethernet  Hardware Adresse 32:9d:48:21:87:bf  
          inet Adresse:192.168.178.201  Bcast:192.168.178.255  Maske:255.255.255.0
          inet6-Adresse: fe80::309d:48ff:fe21:87bf/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING  MTU:1380  Metrik:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:500 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.178.0   192.168.178.201 255.255.255.0   UG    0      0        0 tap0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.120.0   0.0.0.0         255.255.255.0   U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         192.168.120.1   0.0.0.0         UG    0      0        0 eth0

Danke!

Jonas

 

[sf3978]

Versuch mal mit:

ping -S 192.168.178.201 192.168.178.1

 

[bongokarl]

Bekomm ich leider auch Operation not permitted :/

 

[sf3978]

Sorry, die Option -S gibts bei Unix für die source address. Bei Linux ist es die Option -I ( von Interface) für die source address:

-I interface address
Set source address to specified interface address. Argument may be numeric IP address or name of device. When pinging IPv6 link-local address this option is
required.

ping -I 192.168.178.201 192.168.178.1

 

[bongokarl]

Hi,

jetzt sagt er:

ping: cannot set preload to value > 3

Vielen lieben Dank für deine Hilfe!

Danke danke danke

Jonas

 

[peter_altherr]

bei avm auf dem vpn-portal gibts seit kurzem ein howto, wie der shrew soft client zu konfigurieren ist (und die erkenntnis, dass das config-file für die box eine kleine manuelle modifikation für den psk benötigt):

wäre schön, wenn wir ein paar erfahrungsberichte dazu zusammenbringen würden (mich würde speziell ubuntu interessieren)

http://www.avm.de/de/Service/Servic...l/VPN_Interoperabilitaet/15729.php?portal=VPN


grüsse

peter

 

[bongokarl]

Hi,

ich hab mittlerweile alles so konfiguriert wie es auf der AVM Seite beschrieben ist.

Laut Shrew ist der Tunnel jetzt "enabled" - Die FritzBox zeigt an das ich verbunden wäre.

Nur Pingen lässt sich immer noch nichts. Ich bekomme allerdings diesmal keine Fehlermeldung sondern es timetouted ganz normal.

LG

Jonas

 

[Harryblond]

hallo,
versuch mal NAT Transversal = disable

kann sein das es dann geht.

Hatte aber auch bei manchen Firewalls Probleme mit Shrew, daher bin ich dann auf NCP umgestiegen. Weil ich bei manchen Kunden mit dem Shrew einfach nicht rausgekommen, allerdings mit Cisco schon.

Cisco nutze ich für die Firma und NCP für Zuhause (fritzbox), laufen auch beide auf einen Rechner ohne Probleme. Man kann sich halt nur mit einem zur gleichen Zeit verbinden, ist ist klar.

 

[pfeffer]

Unter "Security Associations" steht folgendes, mas mich etwas stutzig macht:
Established: 0
Expired: 0
Failed: 1

Das klingt mir nach einem Problem mit den Policies. Ich vermute, bei der FritzBox sind andere Policies gesetzt als in Shrew. Setze in Shrew mal eine include policy mit dem lokalen Netzwerk der FritzBox und berichte, ob es was geändert hat.

Gruß,
Pfeffer.