VPNUSER.CFG manuell anpassen für WEBIF User

gatemaster99

Neuer User
Mitglied seit
24 Feb 2005
Beiträge
94
Punkte für Reaktionen
0
Punkte
6
Hallo,

ich habe in der Fritzbox über das WEBIF einen User angelegt. Der Zugang mit IOS Gerät funktioniert vollständig.
Gibt es die Möglichkeit mit dem gleichen User auch noch einen Windows 10 Rechner per VPN anzubinden?
Den AVM VPN Client hab ich installiert und ich habe auch mit "Fritz Fernzugang einrichten" schon eine vpnuser*,cfg erstellt.
Kann ich die darin den User und den Shared Key anpassen? Wo muss ich das Kennwort des VPN Users eingeben?
Oder geht das nicht? Brauche ich da Shewsoft?

Danke
 

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
10,875
Punkte für Reaktionen
939
Punkte
113

gatemaster99

Neuer User
Mitglied seit
24 Feb 2005
Beiträge
94
Punkte für Reaktionen
0
Punkte
6
Hallo,

hier ist die unkenntlich gemachte vpnuser*cfg.

Als key muss ich dann den Shared Key des Users eingeben oder?
Und hinter user_fqdn den schon angelegten VPN User statt der Mail.
Wo kommt dann das Passwort rein?


Code:
/*
 * C:\Users\49162\AppData\Roaming\AVM\FRITZ!Fernzugang\uspvh731mu7eg3wc_myfritz_net\buerointakt_posteo_de\vpnuser_*****.cfg
 * Wed Apr 07 17:58:49 2021
 */

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "meinefritzbox.myfritz.net";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.178.201;
                remoteip = 0.0.0.0;
                remotehostname = "meinefritzbox.myfritz.net";
                localid {
                        user_fqdn = "[email protected]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "fa8dwd7O*K9dfdeb[]c39403}me99e85";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.178.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0",
                             "reject udp any any eq 53",
                             "reject udp any any eq 500",
                             "reject udp any any eq 4500",
                             "permit ip any any";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,771
Punkte für Reaktionen
1,262
Punkte
113
DAS scheitert vermutlich schon an der doppelt vergebenen IP-Adresse (ich gehe mal davon aus, daß der für die iOS-Verbindung verwendete (Benutzer) schon die 201 hat). Wenn man dann - versehentlich oder absichtlich - beide VPN-Verbindungen parallel aktiviert hat, ist das Ergebnis nicht mehr vorhersagbar.

Zwar kann man - theoretisch - die Konfigurationen auch von Hand so anpassen, daß tatsächlich nur ein einzelner (FRITZ!Box-)Account benötigt wird, aber bei der nächsten Änderung irgendwelcher VPN-Einstellungen über das GUI kann das dann alles wieder wie ein Kartenhaus in sich zusammenfallen.



Denn AVM stellt zwischen der VPN-Konfiguration und dem Benutzer-Account eine Verbindung her (über den Wert bei boxuser_id in einer VPN-Verbindung) und synchronisiert (mittlerweile) einige Änderungen zwischen den Konfigurationen (in der ar7.cfg und der vpn.cfg) ... seitdem ist ja auch die VPN-Konfiguration für einen Benutzer in diesen Teil des GUI (Benutzerverwaltung) gewandert.

Ich habe lange nicht mehr getestet, WAS AVM da alles synchronisiert ... die Aufgaben sind/wären ja vielfältig und einiges läßt sich auch gar nicht automatisch abgleichen. Wenn man z.B. das LAN-Segment einer FRITZ!Box ändert und irgendein VPN-Client mit der AVM-Lösung und seiner (alten) VPN-IP in der Konfiguration arbeitet, kann das FRITZ!OS die ja nicht auch noch auf dem Windows-PC ändern.

In einer (clientseitigen) Konfiguration bei iOS oder Android taucht hingegen die Client-IP ja gar nicht auf - da erhält der Client diese Informationen im Rahmen einer Konfiguration durch den Server (also die FRITZ!Box) beim Aufbau der Verbindung. Genauso wenig werden beim Ändern einer lokalen LAN-Konfiguration allerdings die VPN-Konfigurationen der Peers (auf den entfernten Geräten), die in LAN-LAN-Verbindungen involviert sind, geändert ... da KANN AVM aber eigentlich auch nichts automatisieren bei der Synchronisation.

Aber das war auch nur der Versuch, EIN Beispiel zu bringen, wo AVM Einstellungen "am Stück" ändert oder ändern müßte oder auch gar nicht automatisch ändern kann - da sollte man jetzt nicht noch durch eigene "Kunststückchen" (außer man hat (a) gute Gründe und (b) guten Durchblick) irgendwelche weiteren Hürden aufstellen. Das nächste "Problem" wäre - auch für die Konfigurationen, wo der Client die IP-Settings automatisch bezieht - ja die Frage, wie sich die Firmware verhalten sollte, wenn man einen Benutzer umbenennt - das geht normalerweise sogar für den gerade angemeldeten Benutzer und alles, was ich da bisher an "Warnungen" gesehen habe, kam nur dann zur Anzeige, wenn damit auch der Benutzername für die (automatische) Anmeldung bei der Weiterleitung von der MyFRITZ!-Site geändert wurde. Aber gleichzeitig steht dieser Name eben auch im xauth-Abschnitt einer VPN-Konfiguration vom Typ conntype_user.

Ich weiß (bei der aktuellen Firmware) auch nicht wirklich, WAS AVM da alles synchronisiert und wie es sich auswirkt, wenn z.B. mehr als eine VPN-Verbindung für dieselbe boxuser_id existieren würde - aber das kann ja auch jeder selbst testen. Vielleicht ist es sogar immer noch so, daß die Daten GAR NICHT synchronisiert werden - wobei das wieder merkwürdig wäre, denn im xauth-Abschnitt steht ja auch noch das Kennwort und wenn DAS für einen Benutzer geändert wird und in der VPN-Konfiguration bleibt alles beim alten, wäre das Chaos wohl perfekt.

Fakt ist auch, daß da immer mal wieder gebaut wird (sicherlich mit der Absicht, dem "Benutzer" weiter Arbeit und die Notwendigkeit für eigene Kenntnisse abzunehmen) seitens AVM und man so heute noch gar nicht voraussagen kann, was die nächsten Versionen bringen werden. Daher sollte man (wenn es nicht wirklich notwendig ist) an dieser Stelle eigentlich nichts basteln, was mit anderen Mitteln auch leichter zu erreichen wäre und die Aufgabe, das dann alles korrekt zu ändern (in den Einstellungen), einfach AVM und deren Firmware überläßt.



Mein Fazit und meine Empfehlung, wenn man das eigentlich nur BENUTZEN und nicht erkunden will:

Schlauer ist es dann in jedem Falle, nicht
mit dem gleichen User auch noch
irgendeine andere Verbindung zu konfigurieren, sondern FÜR JEDES GERÄT einen eigenen Account zu verwenden. Irgendwelche "Sparsamkeit" an dieser Stelle bräuchte schon sehr, sehr gute Gründe ...

Dann hat sich vielleicht auch der Rest der Frage, wo man da was ändern müßte in der Konfigurationsdatei, um mit demselben Benutzer eine weitere Verbindung zu ermöglichen, erledigt.
 
  • Like
Reaktionen: Marcus68

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via