.titleBar { margin-bottom: 5px!important; }

VPN Tunnel steht, Ping Probleme

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von decoder, 6 Feb. 2012.

  1. decoder

    decoder Neuer User

    Registriert seit:
    2 Feb. 2009
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    bekomme mit NCP Secure Entry Client und Shrew Soft problemlos den VPN Tunnel aufgebaut.

    Ich kann jedoch keine Rechner oder die Fritz Box 7390 anpingen.

    Das Config File welches in die Fritz Box geladen wurde, sieht so aus:


    vpncfg {
    connections {
    enabled = yes;
    conn_type = conntype_user;
    name = "decoder";
    always_renew = no;
    reject_not_encrypted = no;
    dont_filter_netbios = yes;
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = 0.0.0.0;
    remote_virtualip = 192.168.178.211;
    remoteid {
    user_fqdn = "decoder";
    }
    mode = phase1_mode_aggressive;
    phase1ss = "all/all/all";
    keytype = connkeytype_pre_shared;
    key = "1234567890";
    cert_do_server_auth = no;
    use_nat_t = yes;
    use_xauth = no;
    use_cfgmode = no;
    phase2localid {
    ipnet {
    ipaddr = 192.168.178.0;
    mask = 255.255.255.0;
    }
    }
    phase2remoteid {
    ipaddr = 192.168.178.211;
    }
    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
    accesslist =
    "permit ip 192.168.178.0 255.255.255.0 192.168.178.211 255.255.255.255";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
    }



    Diese Anleitungen hab ich mehrfach 1:1 befolgt:
    http://www.ip-phone-forum.de/showthread.php?t=237484

    http://www.avm.de/de/Service/Servic...l/VPN_Interoperabilitaet/15729.php?portal=VPN

    http://www.avm.de/de/Service/Servic...l/VPN_Interoperabilitaet/15591.php?portal=VPN

    Ich bin nun echt ratlos was das sein könnte :(
     
  2. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,702
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Funktioniert der Ping evtl., wenn Du die Source-IP angibst?
     
  3. decoder

    decoder Neuer User

    Registriert seit:
    2 Feb. 2009
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    wenn ich über cmd ping 192.168.178.1 sowie 192.168.178.44 (PC im entfernten Netzwerk) eingebe, kommt nur Zeitüberschreitung der Anforderung

    ping 192.168.178.211 funktioniert auf den VPN Client.

    Über die Fritz Fernzugang Software funktioniert die Verbindung und der Ping auf die Fritz Box und den entfernten PC

    Bei den Tests wurde der Rechner immer neugestartet und immer nur eine VPN Software gleichzeitig war installiert.
     
  4. andilao

    andilao IPPF-Promi

    Registriert seit:
    8 Juni 2006
    Beiträge:
    4,347
    Zustimmungen:
    30
    Punkte für Erfolge:
    48
    Die Box-cfg funktioniert ja schon, jetzt liegt also der Fehler beim Shrew- bzw. NCP-Client bzw. deren Konfigurationen.

    ShrewSoft:
    Der Client muss im Register Network anzeigen:
    - "Status - Connected" direkt nach der Verbindungsaufnahme,
    - "Established - 1" nach dem ersten Zugriff, z.B. Ping.

    Benutzt Du auch die Version 2.2.0-beta-2?
    Sieht Deine Shrew.vpn so aus?
    Code:
    n:version:2
    s:network-host:[COLOR="red"]irgendwas.dyndns.org[/COLOR]
    s:policy-list-include:[COLOR="red"]192.168.178.0 / 255.255.255.0[/COLOR]
    b:auth-mutual-psk:[COLOR="red"]1234567890[/COLOR]
    s:ident-client-data:[COLOR="red"]decoder[/COLOR]
    n:network-ike-port:500
    s:client-auto-mode:pull
    n:network-mtu-size:1380
    s:client-iface:virtual
    n:client-addr-auto:1
    s:network-natt-mode:enable
    n:network-natt-port:4500
    n:network-natt-rate:15
    s:network-frag-mode:enable
    n:network-frag-size:540
    n:network-dpd-enable:1
    n:client-banner-enable:1
    n:network-notify-enable:1
    n:client-wins-used:0
    n:client-wins-auto:1
    n:client-dns-used:0
    n:client-dns-auto:0
    n:client-splitdns-used:0
    n:client-splitdns-auto:0
    s:auth-method:mutual-psk
    s:ident-client-type:ufqdn
    s:ident-server-type:address
    s:phase1-exchange:aggressive
    n:phase1-dhgroup:2
    s:phase1-cipher:aes
    n:phase1-keylen:256
    s:phase1-hash:sha1
    n:phase1-life-secs:3600
    n:phase1-life-kbytes:0
    n:vendor-chkpt-enable:0
    s:phase2-transform:esp-aes
    n:phase2-keylen:256
    s:phase2-hmac:sha1
    s:ipcomp-transform:deflate
    n:phase2-pfsgroup:2
    n:phase2-life-secs:3600
    n:phase2-life-kbytes:0
    s:policy-level:auto
    n:policy-nailed:0
    n:policy-list-auto:0
     
  5. KunterBunter

    KunterBunter IPPF-Urgestein

    Registriert seit:
    12 Okt. 2005
    Beiträge:
    22,000
    Zustimmungen:
    31
    Punkte für Erfolge:
    48
    Auch diese ? VPN für Einsteiger: Die wichtigsten Informationen

    VPN und IP - Die Randbedingungen

    "Damit sich zwei Gegenstellen erfolgreich verbinden können benötigen sie vor allem zwei Dinge: einen Internetzugang und unterschiedliche lokale IP-Netze. Der Grund für letzteres ist einfach. Würden zwei Netze A und B die gleichen Netzadressen verwenden, wäre bei einer Verbindung der Netze eine eindeutige Adressierbarkeit nicht mehr gewährleistet. So könnte es z.B. in beiden Netzen ein Gerät mit der IP-Adresse 192.168.178.1 geben. Wird diese IP-Adresse angesprochen, könnte nicht differenziert werden, ob das Gerät in Netz A oder B gemeint ist."

    Das Netz 192.168.178.0 ist im VPN nicht brauchbar, weil es meistens schon woanders in Verwendung ist.
     
  6. decoder

    decoder Neuer User

    Registriert seit:
    2 Feb. 2009
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo andilao,

    hab deine Config Datei verwendet und die aktuelle Shrew Soft Beta runtergeladen / installiert.

    Er zeigt mir an Conencted aber bei Established steht weiterhin 0 und bekomme keinen Ping :(

    wegen dem IP BEreich, ich hab nur die eine Fritz Box mit 192.168.178.1

    Vom dem anderen Netzwerk wo der VPN Client sitzt ist es ein Asus Router mit 192.168.1.1 oder eine UMTS Verbindung. Beides ohne Erfolg getestet.

    Weiss nicht mehr was ich noch machen kann?
     
  7. andilao

    andilao IPPF-Promi

    Registriert seit:
    8 Juni 2006
    Beiträge:
    4,347
    Zustimmungen:
    30
    Punkte für Erfolge:
    48
    Welche Schreckens-Suite ist denn auf dem PC/Notebook, die gelbe von Norton, die grüne von Kaspersky oder die rote von McAfee (Liste unvollständig!)?
    Kein Established erhielt ich einzig mal bei einem falschen IP-Eintrag per Gutten/\-Teufel.
     
  8. decoder

    decoder Neuer User

    Registriert seit:
    2 Feb. 2009
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    verwende avast internet security. hab die zum testen auch schon komplett abgeschalten für paar minuten.

    Man muss dazu sagen das es monatelang problemlos lief bis ich meinte ein shrew soft update könne nichts schaden.

    nach dem update dann das problem woraufhin es nicht mehr ging und ich alles löschte und neu einspielte :(
     
  9. andilao

    andilao IPPF-Promi

    Registriert seit:
    8 Juni 2006
    Beiträge:
    4,347
    Zustimmungen:
    30
    Punkte für Erfolge:
    48
    Dann kontrolliere mal die Dienste:
    - ShrewSoft DNS Proxy Daemon = dtpd
    - ShrewSoft IKE Daemon = iked
    - ShrewSoft IPSEC Daemon = ipsecd

    Und wiederhole das Ganze mal mit deinstallierter Suite. Ein Avast-Shrew-Problem ist seit 2010 bekannt und der Verzicht auf den Viel-Lärm-um-nichts-Personal-Woodoo hilft sicher weiter. Wenn ich jedesmal, wenn eine dieser Suiten ein ernsthaftes Problem verursachte, Geld bekommen hätte, würde ich jetzt in Thailand statt in dieser Arschkälte sitzen. Oh, ich vergaß, das tue ich ja gerade ....
     
  10. decoder

    decoder Neuer User

    Registriert seit:
    2 Feb. 2009
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Boah ne, gibts doch nicht?

    1000 DANK an andilao!!!

    Ich hab gestern 5 Stunden lang den Fehler gesucht und es lag wirklich an Avast.
    Das Deaktivieren hat nicht geholfen, daher hab ich den Rat befolgt und hab es deinstalliert. Siehe da, alles geht einwandfrei!!

    andilao ist der BESTE!!

    Hatte ShrewSoft schon seit Monaten zusammen mit Avast im Einsatz. Erst nach einem Update auf die Beta ging gestern nichts mehr. Hatte daher überall anders als bei Avast den Fehler gesucht.

    Jetzt die Frage an dich, andilao...welche Security Suite würdest du mir empfehlen?
    Oder wieder Avast installieren und in den Einstellungen rumspielen?
     
  11. andilao

    andilao IPPF-Promi

    Registriert seit:
    8 Juni 2006
    Beiträge:
    4,347
    Zustimmungen:
    30
    Punkte für Erfolge:
    48
    Wenn Du keine Software drauf hast, die Du explizit am nach-hause-Telefonieren hindern willst, sind reine Antiviren-Programme in Verbindung mit der durchaus zuverlässigen Windows-Firewall ausreichend (und Windows-Defender deaktivieren). Avast! war 2010 dafür bekannt, regelmäßig nach jedem Programm-(nicht Signatur-)Update ShrewSoft zu blockieren.

    Persönlich und in der Fa. nutze ich NOD32, seit 1998 100% ITW-Erkennung ohne false positive. Klar, das ist Vergangenheit aber keinesfalls würde ich eine Software nehmen, die hier in letzter Zeit versagt hat:
    AV-Vergleich.png
    Quelle: http://www.virusbtn.com/vb100/archive/compare?tab=onDemand&id=9&id2=14&id3=70&id4=15&id5=4&id6=72

    Allerdings hatte mir zuletzt die neue NOD32-Version 5 von ESET wg. der Performance nicht so gefallen.
     
  12. decoder

    decoder Neuer User

    Registriert seit:
    2 Feb. 2009
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    alles klar, ich hab nun eset smart security 5 am laufen.
    allein schon wegen spam reicht mir da kein antiviren tool aus.

    die downloads werden aber schon richtig angezeigt, oder? hatte mal eine zeit lang avira internet security und ewig nach einem fehler gesucht weshalb nur die halbe download speed ankommt, bis ich merkte es liegt an avira das er mir den download bremst / nicht richtig anzeigt...
     
  13. andilao

    andilao IPPF-Promi

    Registriert seit:
    8 Juni 2006
    Beiträge:
    4,347
    Zustimmungen:
    30
    Punkte für Erfolge:
    48
    Gut zu wissen, dass mit Avira. Und meine Meinung zu Personal Firwewalls kennst Du ja bereits.
     
  14. decoder

    decoder Neuer User

    Registriert seit:
    2 Feb. 2009
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hab noch ein hoffentlich kleines problem.

    verbindung über shresoft klappt, eset meldet mir aber nun identische ip adresse 192.168.178.1 im netzwerk entdeckt sobald ich diese anpinge.
    bekomme da wieder keinen zugriff auf die ip :(

    muss ich da noch was einstellen?
     
  15. andilao

    andilao IPPF-Promi

    Registriert seit:
    8 Juni 2006
    Beiträge:
    4,347
    Zustimmungen:
    30
    Punkte für Erfolge:
    48
    Wenn Du einen Adresskonflikt ausschließen kannst, dann solltest du eine PFW einsetzen, die überschaubar und einfach zu warten ist oder eben keine.
     
  16. FrankyFish

    FrankyFish Neuer User

    Registriert seit:
    10 Feb. 2012
    Beiträge:
    1
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi Decoder, ich habe genau das gleiche Problem wie Du und habe es durch diesen Threat lösen können:

    Ich habe ein netbook, welches im normalweise im Fritznetz betreibe. Um einen VPN Tunnel aufzubauen nutze ich einen Surfstick und habe bislang nur die WLAN - Antenne des Netbooks vorher abgeschaltet, damit das Firtznetz nicht verbunden ist.
    Jetzt kommts: DAS REICHT NICHT. Man muss das Netzwerk komplett auf dem Netbook deaktivieren, dann klappts auch mit dem Ping. (Zumindest bei mir.)