tango333
Goto Top

Digitalisierungsbox Premium 2 Shrewsoft VPN funktioniert nicht

Digitalisierungsbox Premium 2 (Nagelneu) 04/24 Shrewsoft VPN funktioniert nicht

Ich bin sämtliche Anleitungen im Internetz durchgegangen. Keine hat zu einem guten Ergebnis geführt.

Muss mich von Außerhalb ins Firmennetz wo ich die Digitalisierungsbox Premium 2 angeschlossen habe.


Egal was ich einstelle bekomme ich in Shrewsoft die Meldung
"tunnel disabled
detached from key daemon"


Kann mir bitte jemand helfen, damit auch ich eine Lösung finde. Bintech mag ich nicht, weil zu teuer.

Content-ID: 53860904150

Url: https://administrator.de/forum/digitalisierungsbox-premium-2-shrewsoft-vpn-funktioniert-nicht-53860904150.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

Pjordorf
Pjordorf 20.04.2024 aktualisiert um 23:53:57 Uhr
Goto Top
Hallo,

Zitat von @Tango333:
Screwsoft VPN funktioniert nicht
Schraubenweich will nicht, oder was falsch gemacht?

Ich bin sämtliche Anleitungen im Internetz durchgegangen. Keine hat zu einem guten Ergebnis geführt.
Wie viele Jahre bist du denn schon an dein Schraubenweich Problem dran?

Muss mich von Außerhalb ins Firmennetz wo ich die Digitalisierungsbox Premium 2 angeschlossen habe.
Sind dir die Buchstaben ausgegangen um diesen Satz zu ende zu bringen?

Egal was ich einstelle bekomme ich in Screwsoft die Meldung
"tunnel disabled
detached from key daemon"
Du hast was falsch gemacht bzw. an einer Seite oder beiden Seiten was falsch eingestellt bzw. Konfiguriert.
https://www.shrew.net/support/Main_Page
https://www.shrew.net/support/index.php?search=tunnel+disabled&title ...

Kann mir bitte jemand helfen, damit auch ich eine Lösung finde. Bintech mag ich nicht, weil zu teuer.
Bintec schreibt sich ohne h, nicht wie Schraubenweich die sich eigentlich Spitzmausweich oder ein unhöfliches, lricht arrogantes leicht verärgertes weibsbild darstellen bzw. nennen Shrew Soft.
https://www.shrew.net/software
https://www.teldat.com/de/ueber-bintec-elmeg/
What does it mean to be called a shrew?
an offensive word for a woman who is considered to be unpleasant and easily annoyed, and who argues a lot. (Definition of shrew from the Cambridge Advanced Learner's Dictionary & Thesaurus © Cambridge University Press)

Der Shre Soft Client füw Win 10 soll auch eine Zeitlang Probleme gemacht haben. Die dürften aber mittlerweile behoben sein. Ob deine Clients auch betroffen sind...sein könnten... Hier im Forum mal suchen...oder auch gurgel nutzen: https://www.google.de/search?q=shrew+soft+site%3Aadministrator.de

https://telekomhilft.telekom.de/t5/Festnetz-Internet/Digitalisierungsbox ...
Digibox und Shrew Client
https://miscdesign.de/vpn-digitalisierungsbox-shrew-soft/
https://telekomhilft.telekom.de/t5/Festnetz-Internet/Digitalisierungsbox ...
https://blog.vpntracker.com/de/vpn-fuer-telekom-digitalisierungsbox-prem ...

Gruss,
Peter
Tango333
Tango333 21.04.2024 um 00:06:24 Uhr
Goto Top
Habe ich genauso wie beschrieben gemacht. Funktioniert aber trotzdem leider nicht. Habe schon mehrfach die VPN Verbindung neu in die Digitalisierungsbox eingegeben. Und schon zig mal alles in Screwsoft eingegeben wie in dem Link beschrieben. Trotzdem leider noch keine Verbindung.
Avoton
Avoton 21.04.2024 um 07:42:39 Uhr
Goto Top
Wie wäre es denn Mal, statt immer nur zu schreiben "es geht nicht", wenn du Mal deine Konfiguration bzw Screenshots davon hier postest?

Dann können wir auch helfen.

Bintech mag ich nicht, weil zu teuer.
Du weißt aber schon, dass die Digibox eine umgelabelte Bintec ist?
Wenn dir das Ding nicht gefällt, hättest du ja auch einen eigenen Router besorgen und anschließen können.

Gruß, Avoton
MysticFoxDE
MysticFoxDE 21.04.2024 aktualisiert um 08:24:25 Uhr
Goto Top
Moin @Avoton,

Bintech mag ich nicht, weil zu teuer.
Du weißt aber schon, dass die Digibox eine umgelabelte Bintec ist?

👍👍👍

genaugenommen ist die Digibox nicht nur umlackiert, sondern im Vergleich zum Original, an vielen Stellen auch noch ordentlich kastriert worden. 😔

Gruss Alex
Boomercringe
Boomercringe 21.04.2024 um 09:35:23 Uhr
Goto Top
Selbst schuld, wenn man sich so einen Müll ins Netzwerk setzt. Proprietäre VPN-Clients sind für mich generell ein K.O. Kriterium im SMB Segment. Wer kauft/mietet sich einen 350€ teuren Router, um dann noch extra zu bezahlen um maximal fünf simultane VPN tunnel nutzen zu können? Oder mit dem über 10 Jahre alten ShrewSoft client herumhantieren?

Diese Schrottfirmen können nicht schnell genug verschwinden, AGFEO ist so ein anderes Beispiel. Du siehst diese absolut nicht konkurrenzfähigen Produkte und denkst dir: "Wer kauft diesen Müll?" Zumindest darauf bietet dieser Thread eine Antwort...
aqui
aqui 21.04.2024 um 11:36:17 Uhr
Goto Top
Wäre sinnfrei einen IKEv1 Client mit der Bintec zu verheiraten wenn die das moderne IKEv2 Verfahren supportet so das man problemlos überall alle onboard VPN Clients verwenden kann!!
https://digitalisierungsbox.bintec-elmeg.com/smart2premium2/client-to-si ...

Wie die Clients zu konfigurieren sind zeigen dir die beiden hiesigen Tutorials hier und auch hier!

https://telekomhilft.telekom.de/t5/All-IP-das-digitale-Netz/Digitalisier ...
Tango333
Tango333 21.04.2024 um 13:04:22 Uhr
Goto Top
So wehrte Freunde und Helfer, anbei die Screenshots
vpn momsen mitte
vpn momsen unten
vpn Übersicht
vpn momsen oben
Tango333
Tango333 21.04.2024 aktualisiert um 13:18:21 Uhr
Goto Top
Und hier die Screwsoft Konfiguration

Möglicherweise könnt Ihr mir bitte helfen
autentication
autentication1
general
autentication2
phase 1
client
phase 2
policy
radiogugu
radiogugu 21.04.2024 um 13:40:57 Uhr
Goto Top
Mahlzeit.

Welche IKE Einstellungen sind den an der Digibox vorgenommen worden?
Es liest sich für mich so, dass die Phase 1 und 2 nicht konfiguriert sind (kenne die Digibox / Bintec Geräte jedoch auch nicht wirklich).

Liegt denn eine öffentliche IPv4 vor oder beginnt die mit 100.?

Gruß
Marc
Tango333
Tango333 21.04.2024 um 13:48:10 Uhr
Goto Top
Hallo Marc IKE ist angestellt und meine öffentliche IP4 ist über Port 80 und 443 sauber zu erreichen.
aqui
aqui 21.04.2024 um 14:15:41 Uhr
Goto Top
Wie immer die üblichen Fehler... 🙄
  • Lokales Netz ist falsch, denn es zeigt eine Hostadresse und keine Netzwerk Adresse! face-sad (Alle Hostbits auf 0)
  • FQDN ist kein FQDN sondern ein simpler String
  • Agressive Mode musst du checken ob der Bintec das supportet oder nur Main Mode
  • DH Group 5 ist eher exotisch. Besser DH2 bei schwacher Verschlüsselung mit AES128 und SHA1 oder versuchsweise 14.
Das sind die gröbsten Fehler.
Es ist völlig unverständlich warum du mit IKEv1 und einem externen v1 Client rumfrickelst wenn die Bintec 2 Box IKEv2 supportet und somit die onboard IPsec VPN Clients supportet?!
Das Support Filmchen von Bintec zeigt ja wie das mit ein paar Mausklicks erledigt ist.
radiogugu
radiogugu 21.04.2024 um 14:23:16 Uhr
Goto Top
Zitat von @aqui:
FQDN ist kein FQDN sondern ein simpler String

Ändere mal im Shrewsoft Client auf "Key Identifier".

Plus das, was @aqui sagt.

Gruß
Marc
Tango333
Tango333 21.04.2024 um 20:29:45 Uhr
Goto Top
Hallo, danke für die Antwort. Screwsoft kann doch nur Ikev1 so wie ich das sehe. Falls nicht wäre ein kurzes Roundabout sicher gut und ich sehr dankbar.
Kuemmel
Kuemmel 21.04.2024 um 20:38:04 Uhr
Goto Top
Du verstehst falsch. @aqui meint, du benötigst doch gar keine VPN-Software wie Shrewsoft wenn du IKEv2 verwendest, dann kannst du das ganze auch direkt mit Windows-Boardmitteln ohne Zusatzsoftware abfackeln:
https://thesafety.us/vpn-setup-ikev2-windows11
Tango333
Tango333 21.04.2024 um 20:42:56 Uhr
Goto Top
Meine öffentliche IP beginnt mit 91.54.149...........
Tango333
Tango333 21.04.2024 um 20:44:38 Uhr
Goto Top
Hallo, habe noch Windows 10 in Nutzung.
Kuemmel
Kuemmel 21.04.2024 um 20:46:50 Uhr
Goto Top
Völlig egal, aber das sagt mir das du die Kommentare hier nicht richtig liest. Es ist alles hier beschrieben wie es mit IKEv2 funktioniert auf Windows-Seite:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi

Du solltest grundlegend einfach Abstand nehmen von IKEv1. Wie du es auf Routerseite korrekt konfigurierst hat @aqui oben verlinkt.
Tango333
Tango333 21.04.2024 um 20:53:23 Uhr
Goto Top
Hallo wo bekomme ich in der Digitalisierungsbox Premium 2 einen Benutzernamen her? das Passwort leuchtet mir ein.
Tango333
Tango333 21.04.2024 um 21:35:06 Uhr
Goto Top
Hallo, wenn ich WIndows 10 Onboard VPN benutze benötige ich Benutzername und Passwort. Einen Benutzernamen kann ich jedoch in der Digitalisierungbox Premium 2 anlegen. Sodaß der Windows 10 Onboard VPN nicht gehen wird.

Mit Screwsoft geht es auch nicht. Und ich lese die Kommentare.
Tango333
Tango333 21.04.2024 um 22:08:29 Uhr
Goto Top
Aus der DigiBox wird das in den Log geschrieben

Apr 21 21:59:07 digi daemon.info syslog: 14[CFG] configured proposals: IKE:AES_CCM_16_128/AES_CCM_16_192/AES_CCM_16_256/AES_CCM_12_128/AES_CCM_12_192/AES_CCM_12_256/AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/PRF_HMAC_SHA2
Apr 21 21:59:07 digi daemon.info syslog: 14[IKE] received proposals unacceptable
Apr 21 21:59:07 digi daemon.info syslog: 14[ENC] generating IKE_SA_INIT response 0 [ N(NO_PROP) ]
Apr 21 21:59:07 digi daemon.info syslog: 14[NET] sending packet: from meineIP[500] to 192.168.2.186[500] (36 bytes)
Apr 21 21:59:07 digi user.notice vpnd[3210]: info:ViciHdl eventIKEUpdownCB:890
Apr 21 21:59:14 digi daemon.err lighttpd[6832]: (mod_session.c.2064) WARNING: No matching session
Apr 21 21:59:14 digi local0.info gui: pre login session (1894259516) from HTTP 192.168.2.186 waitTime: 0
Apr 21 21:59:29 digi daemon.info syslog: 07[NET] received packet: from 192.168.2.186[500] to meineIP[500] (408 bytes)
Apr 21 21:59:29 digi daemon.info syslog: 07[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
Apr 21 21:59:29 digi daemon.info syslog: 07[IKE] no IKE config found for meineIP...192.168.2.186, sending NO_PROPOSAL_CHOSEN
Apr 21 21:59:29 digi daemon.info syslog: 07[ENC] generating INFORMATIONAL_V1 request 134440878 [ N(NO_PROP) ]
Apr 21 21:59:29 digi daemon.info syslog: 07[NET] sending packet: from meineIP[500] to 192.168.2.186[500] (40 bytes)
Apr 21 21:59:29 digi local0.warn kernel: Firewall violation detectedIN=ppp1 OUT= MAC= SRC=142.132.144.45 DST=91.54.149.202 LEN=44 TOS=0x00 PREC=0x00 TTL=59 ID=57159 SKBPRIO=0 MARK=0x0000 EXTMARK=0x409A0021 PROTO=TCP SPT=8094 DPT=13164 WINDOW=16384 RES=0x00 ACK SYN UR
Apr 21 21:59:30 digi daemon.info syslog: 05[NET] received packet: from 192.168.2.186[500] to meineIP[500] (408 bytes)
Apr 21 21:59:30 digi daemon.info syslog: 05[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
Apr 21 21:59:30 digi daemon.info syslog: 05[IKE] no IKE config found for meineIP...192.168.2.186, sending NO_PROPOSAL_CHOSEN
Apr 21 21:59:30 digi daemon.info syslog: 05[ENC] generating INFORMATIONAL_V1 request 2989957638 [ N(NO_PROP) ]
Apr 21 21:59:30 digi daemon.info syslog: 05[NET] sending packet: from meineIP[500] to 192.168.2.186[500] (40 bytes)
Apr 21 21:59:31 digi daemon.info syslog: 08[NET] received packet: from 192.168.2.186[500] to meineIP500] (408 bytes)
Apr 21 21:59:31 digi daemon.info syslog: 08[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
Apr 21 21:59:31 digi daemon.info syslog: 08[IKE] no IKE config found for meineIP...192.168.2.186, sending NO_PROPOSAL_CHOSEN
Apr 21 21:59:31 digi daemon.info syslog: 08[ENC] generating INFORMATIONAL_V1 request 1412512089 [ N(NO_PROP) ]
wenn ich von Windows 10 onboard mit Benutzename MonkeyVPN01 und Passwort zugreife

Keine Verbindung möglich
MysticFoxDE
MysticFoxDE 22.04.2024 um 06:41:11 Uhr
Goto Top
Moin @Tango333,

also, deine jüngste Fehlermeldung sagt bereits eindeutig in deren zweiten Zeile, ...

Apr 21 21:59:07 digi daemon.info syslog: 14[CFG] configured proposals: IKE:AES_CCM_16_128/AES_CCM_16_192/AES_CCM_16_256/AES_CCM_12_128/AES_CCM_12_192/AES_CCM_12_256/AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/PRF_HMAC_SHA2
Apr 21 21:59:07 digi daemon.info syslog: 14[IKE] received proposals unacceptable

... dass die IKE Proposal's zwischen der Digibox und dem Client nicht übereinstimmen.

Sprich, das hier ...

digibox ike

... passt nicht so ganz zu dem hier.

client-ike

Hast du bei deiner Digibox den die Möglichkeit, die Phase 1 (IKE) und Phase 2 (ESP) Proposal's anzupassen?

Gruss Alex
aqui
aqui 22.04.2024 aktualisiert um 07:58:53 Uhr
Goto Top
DH5 vermutlich wieder falsch! DH2 (1024) ist die bessere Wahl! Die configured Default Proposals des Bintec sind etwas wirr zu lesen. AES128 oder AES256 mit SHA2 (HMAC_SHA2) mal versuchen. SHA1 wird wegen der schwachen Verschlüsselung meist nicht mehr verwendet.
Wie Kollege @MysticFoxDE schon sagt stimmen die Krypto Proposals zwischen der Box und dem Shrew Client nicht überein bzw. können sich nicht dynamisch auf einen gemeinsamen Nenner einigen!
Hier musst du also am Shrew Client mal variieren. Es sei denn man kann das an der Box auch vorgeben?!
MysticFoxDE
MysticFoxDE 22.04.2024 um 08:02:31 Uhr
Goto Top
Moin @aqui,

Es sei denn man kann das an der Box auch vorgeben?!

bei der original be.IP, geht das auf jeden Fall.

Gruss Alex
Tango333
Tango333 22.04.2024 um 11:19:39 Uhr
Goto Top
Hallöchen, also ich kann unten bei Ike und ESP IKEV2 only einstellen. Wenn ich dann bei Windows 10 onboard VPN IKEV2 einstelle entsteht die oben angezeigte Aufzeichnung im Logfile. Also DigiBox 2 und Rechner auf IKEV2 eingestellt. Ergebnis keine richtige Proposal Aushandlung. Bin bald durch mit den Nerven. Alles richtig eingestellt trotzdem kein Erfolg. Hat nicht einer von Euch Lust bei mir per AnyDesk oder etwas anderem mal sein können oder Wissen bei meiner Konfi auszuprobieren. Könnte nur helfen.
12764050420
12764050420 22.04.2024 aktualisiert um 11:46:12 Uhr
Goto Top
Hallo.
Zitat von @aqui:
Es ist völlig unverständlich warum du mit IKEv1 und einem externen v1 Client rumfrickelst wenn die Bintec 2 Box IKEv2 supportet und somit die onboard IPsec VPN Clients supportet?!
Die Digibox kann bei IKEv2 in der Phase1 nur PresharedKey Auth oder RSA Auth mit Zertifikaten. Windows unterstützt bei Verwendung von IKEv2 aber kein PresharedKey sondern nur EAP-MSCHapv2 oder die anderen EAP-Spielarten. Hier kann also der interne Windows VPN-Client schon aus Prinzip nicht zum Einsatz kommen sofern man nicht komplett auf Zertifikate setzt

screenshot

screenshot

screenshot

Gruß schrick.
MysticFoxDE
MysticFoxDE 22.04.2024 um 11:37:28 Uhr
Goto Top
Moin @Tango333,

Alles richtig eingestellt trotzdem kein Erfolg. Hat nicht einer von Euch Lust bei mir per AnyDesk oder etwas anderem mal sein können oder Wissen bei meiner Konfi auszuprobieren. Könnte nur helfen.

Lust ja, aber keine Zeit, zumindest nicht bis ~16Uhr, danach können wir das aber gerne mal gemeinsam durchgehen.

Gruss Alex
Tango333
Tango333 22.04.2024 um 12:34:37 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @Tango333,

Alles richtig eingestellt trotzdem kein Erfolg. Hat nicht einer von Euch Lust bei mir per AnyDesk oder etwas anderem mal sein können oder Wissen bei meiner Konfi auszuprobieren. Könnte nur helfen.

Lust ja, aber keine Zeit, zumindest nicht bis ~16Uhr, danach können wir das aber gerne mal gemeinsam durchgehen.

Gruss Alex

Habe Dir ein PM geschrieben!
Lochkartenstanzer
Lochkartenstanzer 22.04.2024 um 12:47:16 Uhr
Goto Top
Moin

Kauf Dir doch einfach die Client-Lizenz fur den Bintec-Client. Kostet nur ca. 100 Euro, funktioniert auf Anhieb und spart Dir einen Haufen Zeit.

lks
aqui
aqui 02.05.2024 um 13:52:29 Uhr
Goto Top
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren!
Wie kann ich einen Beitrag als gelöst markieren?
tw2023
tw2023 06.10.2024 aktualisiert um 01:04:11 Uhr
Goto Top
Zitat von @Tango333:

Digitalisierungsbox Premium 2 (Nagelneu) 04/24 Shrewsoft VPN funktioniert nicht

Ich bin sämtliche Anleitungen im Internetz durchgegangen. Keine hat zu einem guten Ergebnis geführt.

Wir hatten auch VPN Einrichtung Probleme mit der Digitalisierungsbox Smart 2 (die der Digitalisierungsbox Premium 2 sehr ähnlich ist) und dem Shrew Client, haben dann eine Lösungsmöglichkeit gefunden und hier in der Telekom hilft Community gepostet: Digitalisierungsbox Smart 2 mit Shrew Soft VPN Client

Vielleicht hilft die Beschreibung auch anderen weiter.

Zitat von @aqui:

DH5 vermutlich wieder falsch! DH2 (1024) ist die bessere Wahl! Die configured Default Proposals des Bintec sind etwas wirr zu lesen. AES128 oder AES256 mit SHA2 (HMAC_SHA2) mal versuchen. SHA1 wird wegen der schwachen Verschlüsselung meist nicht mehr verwendet.

In Phase 2 verwendet die Digitalisierungsbox Smart 2 (die der Digitalisierungsbox Premium 2 sehr ähnlich ist) im Configured Default Proposal "SCU01 & SCU02" tatsächlich AES256 mit HMAC_SHA1_96 und sowohl in Phase 1 als auch Phase 2 DH5 und kann mit diesem Proposal mit Shrew zusammenarbeiten.
Tango333
Lösung Tango333 08.10.2024 um 01:17:23 Uhr
Goto Top
Die Lösung ist bei https://www.cs-wi.de/?inf=digitalisierungsbox_premium_2_vpn_via_screwsof ... gefunden.

Funkioniert einwandfrei.

Danke für alle Unterstützung.
tw2023
tw2023 08.10.2024 um 17:21:15 Uhr
Goto Top
@Tango333 Danke für diesen Link mit extra manuell neu hinzugefügtem eigenen Proposal in der Digitalisierungsbox.

Die o.g. Lösungsmöglichkeit in der Telekom hilft Community arbeitet mit dem bereits standardmässig vorhandenen Proposal "SCU01 & SCU02" in der Digitalisierungsbox zusammen.