lowbudget
Goto Top

Draytek Router kein IKEv2 IPSec VPN mit Android möglich

Hi,

leider bekomme ich es mit meinem Draytek Vigor 2765 Router nicht hin, eine IPSec VPN Verbindung mit dem im Android integrierten VPN Client aufzubauen.

Die Draytek Dinger sind vom Aufbaue ja etwas speziell :D Deswegen bin ich mir nicht sicher, ob ich evtl. was falsch gemacht hab.

Ich habe bei den Remote-Dial-In Users einen angelegt, der eigentlich alle Rechte hat. Zusätzlich bei den allgemeinen IPSec Einstellungen einen PSK erstellt. Das ja, weil der Client eine dynamische IP Adresse hat. Ansonsten müsste der PSK ja im User hinterlegt werden.

Den PSK trage ich im Android dann bei vorinstallierter Schlüssel ein und den Username dann bei IPSec-ID?

Versuche ich zu verbinden, dann kommt immer nur "Verbindung nicht möglich". Im Router hab ich mal das Emaillogging angemacht und bekomme dann tatsächlich eine Mail, in der steht PPP Drop VPN Remote Dial in User Mprofile Index 1mit meinem entsprechenden Usernamen.
Der Index ist auch tatsächlich der vom User. Das stimmt also schon. Wenn ich das also richtig verstehe, dann wird die VPN-Verbindung tatsächlich vom Router gedroppt.

Aber warum? Wenn ich mit Absicht einen falschen PSK eingebe, dann dauert das einfach mega lange und es wird trotzdem keine Verbindung aufgebaut. Der PSK muss ja also auch stimmen.

Kann hier einer aushelfen?
54019_002
6a39d9b85940169e56230eee0a40fcfe
1127158e60b170e66454a4d9005b1c45

Content-ID: 4949495103

Url: https://administrator.de/contentid/4949495103

Printed on: October 13, 2024 at 11:10 o'clock

radiogugu
radiogugu Dec 13, 2022 at 16:37:42 (UTC)
Goto Top
Nabend.

Bist du nach der Anleitung bei Draytek vorgegangen?

https://www.draytek.com/support/knowledge-base/5986

Lass mal bei dir die IPSec-ID leer.

Gruß
Marc
aqui
aqui Dec 13, 2022 updated at 16:55:28 (UTC)
Goto Top
Und du solltest dich auf Serverseite für ein VPN Protokoll entscheiden und da nicht den ganzen Zoo anhaken, das ist sinnfrei und schafft nur Folgeprobleme.
Ein weiterer Fehler ist das du oben beim Menüpunkt "IKE Authentisierungsverfahren" vergessen hast den Haken Preshared Keys zu setzen!

Idealerweise wählt man L2TP mit IPsec! Das ist schnell und einfach konfiguriert und der VPN Client ist auf allen Betriebssystemen und mobilen Endgeräten onboard enthalten und erfordert kein Server Zertifikat wie z.B. IKEv2.
Siehe für die Client Einrichtung auch hier.
Bedenke auch das VPNs generell per IPv4 nicht funktionieren wenn dein Draytek an einem DS-Lite Anschluß mit CGNAT hängt! Eine öffentliche v4 IP vom Provider am WAN Port ist also Pflicht. Ansonsten ist der Zugang nur per IPv6 möglich.

Nebenbei
Sehr hilfreich für ein zielführendes VPN Troubleshooting ist übrigens immer ein Log Auszug des Routers welches du im GUI siehst oder auch schnell und einfach mit dem kostenlosen Draytek Syslog Tool auf deinem Rechner empfangen kannst:
https://www.draytek.com/support/knowledge-base/5746
lowbudget
lowbudget Dec 13, 2022 at 16:53:14 (UTC)
Goto Top
@radiogugu danke für den tipp, aber wenn ich die ID leer lasse, dann kann ich das Profil nicht speicher. Die von dir verlinkte Anleitung ist auch für L2TP over IPSEC das kann ich im Androidclient gar nicht auswählen.

@aqui
Das mit den ganzen Protokollen ist klar. Die hatte ich auch erst ausgestellt. Allerdings sind die im Standard an. Aber nachdem das nicht funktioniert hatte, habe ich halt erst die Standardeinstellungen wiederhergestellt.

ikev2/IPSEK mit PSK braucht doch gar kein Zertifikat, oder nicht? Deswegen doch der PSK
aqui
aqui Dec 13, 2022, updated at Dec 14, 2022 at 09:25:54 (UTC)
Goto Top
ikev2/IPSEK mit PSK braucht doch gar kein Zertifikat
Die Praxis und auch der Standard sagt etwas anderes....
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Genau deshalb die Empfehlung an dich nur L2TP zu nutzen!
Außerdem hast du ja generell vergessen PSKs im Setup zu aktivieren. S.o.
radiogugu
radiogugu Dec 13, 2022 at 17:41:13 (UTC)
Goto Top
Zitat von @lowbudget:
@radiogugu danke für den tipp, aber wenn ich die ID leer lasse, dann kann ich das Profil nicht speicher. Die von dir verlinkte Anleitung ist auch für L2TP over IPSEC das kann ich im Androidclient gar nicht auswählen.

Sorry.

Wollte eigentlich das IPSec XAuth Verfahren verlinken:

https://www.draytek.com/support/knowledge-base/5276

Damit sollte das klappen.

Zitat von @aqui:
Außerdem hast du ja generell vergessen PSKs im Setup zu aktivieren. S.o.

Bei den Drayteks definiert man den PSK im allgemeinen Reiter, was der TO ja getan hatte.
Die Einstellungen im User-Profil ist nicht so ganz eingängig.

Draytek hat leider viele Dinge etwas "anders" umgesetzt, als es andere Firewall Hersteller es handhaben.

Gruß
Marc
lowbudget
lowbudget Dec 20, 2022 at 09:54:58 (UTC)
Goto Top
@radiogugu
Kann ich tatsächlich auch nicht auswählen. Ich hab nur noch die ikev2 Möglichkeiten im Android.

Allerdings habe ich jetzt wohl das problem gefunden. Bei o2 hast hat man seit letztem Jahr zwar auch eine ipv6 Adresse, aber eben nur auch. Das VPN scheint er trotzdem über die genattete ipv4 Adresse aufbauen zu wollen. Das klappt natürlich nicht. Leider kann ich, wenn ich im APN auf nur ipv6 gehe, keine VPN Verbindung mehr initiieren. Das Handy sagt dann, dass es keine Internetverbindung hätte. Obwohl ich mit dem Browser surfen kann.

Ich hab mir jetzt erstmal mit OpenVPN geholfen. Trotzdem danke für die Hilfe.
aqui
aqui Dec 20, 2022 updated at 10:15:12 (UTC)
Goto Top
Das VPN scheint er trotzdem über die genattete ipv4 Adresse aufbauen zu wollen.
Das kann dann nicht klappen weil du bei einem DS-Lite Anschluss mit CGNAT bei IPv4 das NAT Gateway des Providers nicht überwinden kannst.
DS-Lite Anschlüsse mit CGNAT supporten technisch bedingt generell keinen remoten IPv4 Zugriff von außen. Egal ob Port Forwarding oder VPN.
Das geht dann nur mit IPv6 oder wenn IPv4 zwingend erforderlich ist nur mit Business Account und öffentlicher IPv4 vom Provider oder einer Jumphost Lösung!!
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
Feste IPs zuhause in pfsense via WireGuard Tunnel
Ich hab mir jetzt erstmal mit OpenVPN geholfen.
L2TP wäre die deutlich sinnvollere VPN Wahl gewesen denn das supportet der Draytek auch und Android hat dafür einen onboard Client. Aber egal...

Wenns das denn war bitte deinen Thread hier dann auch als erledigt schliessen!
lowbudget
lowbudget Dec 20, 2022 at 11:03:02 (UTC)
Goto Top
Also mit Android 12 gibts kein L2TP mehr. Deswegen musste ich ik2v2 nehmn. Hatte ich ja auch schon ein paar mal geschrieben. Aber egal...

Mit o2 meine ich hier den Mobilfunkprovider.
Als DSL Provider gibts da immer Dualstack. DSLite gibts da wohl nur für Kabel.
Und im o2 Mobilfunk gibts halt seit letztem Jahr auch IPv6 Adresse. Deswegen war ich (wohl falsch) der Meinung, dass ich keine bezahlte ipv4 Adresse mehr haben muss.
aqui
aqui Dec 20, 2022 at 11:11:55 (UTC)
Goto Top
DSLite gibts da wohl nur für Kabel.
Nope, gibts auch bei xDSL mit PPPoE.
Mobilfunk gibts halt seit letztem Jahr auch IPv6 Adresse.
Das ist normal, da LTE und 5G rein nur auf IP basiert, auch Voice. Und bei (fast) allen Providern gilt:
https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
dass ich keine bezahlte ipv4 Adresse mehr haben muss.
Dem Irrglauben verfallen leider viele... 😉